Nguyen Huu Phan Hoang Ho

Microsoft phát hành bản cập nhật dành cho Windows Vista, Server 2008 và 7 hỗ trợ Secure Digital (SD) Cards lớn hơn 32 GB

Microsoft vừa phát hành bản updates dành cho Windows Vista, Server 2008 and 7 hỗ trợ người dùng Secure Digital (SD) cards lên đến hơn 32 GB.

Trên thực tế Windows Vista, Server 2008 và 7 có một lỗi xuất hiện khi bạn cố gắng để kết nối một thẻ SD lớn hơn 32 GB do Windows không thể tính toán kích thước chính xác của thẻ SD.

Trong hệ điều hành Windows, nếu lưu lượng của SD thấp hơn hoặc bằng 32 GB thì nó sẽ cho ra thông số dung lượng chính xác. Tuy nhiên, đối với thẻ SD được lớn hơn 32 GB,  thì các bit cao được tính không chính xác, bằng 6 bit thay vì 16 bit. Vì vậy, dung lượng của SD được tính không chính xác.

Người dùng Windows Vista và Server 2008 có thể yêu cầu cập nhật bằng cách sử dụng liên kết sau:

Hotfix dành cho Windows Vista và Server 2008

Đối với người dùng Windows 7 và Server 2008 R2 cập nhật bằng cách sử dụng liên kết sau:

Bản cập nhật dành cho Windows 7

Bản cập nhật dành cho Windows 7 (64-bit)

Bản cập nhật dành cho Windows Server 2008 R2 (64-bit)

Bản cập nhật dành cho Windows Server 2008 R2 (IA-64)

Tổng quan về Windows Server 2008 Hyper-V

Giới thiệu

Trung tâm dữ liệu ngày nay là một hệ thống phức tạp bao gồm các máy chủ, các hệ điều hành và các ứng dụng tương tác với nhiều loại máy tính để bàn, cũng như các khách hàng di động. Chính điều đó làm cho bộ phận CNTT đang phải chịu áp lực ngày càng tăng để quản lý, kiểm soát chi phí và duy trì bảo mật trong hệ thống trung tâm dữ liệu. Vì vậy việc triển khai công nghệ ảo hóa máy chủ trong một trung tâm quản lý là sự lựa chọn phổ biến và khôn ngoan để giải quyết các vấn đề này.

Với việc xây dựng công nghệ ảo hóa máy chủ trên Windows Server 2008 cho phép bạn giảm chi phí và sử dụng tối ưu các thiết bị phần cứnng cũng như thúc đẩy và mở rộng triển khai ứng dụng truy cập trên các máy chủ sẵn có.

Windows Server 2008 bao gồm Hyper-V, một công nghệ ảo hóa mạnh mẽ cho phép các doanh nghiệp để tận dụng lợi ích của ảo hóa. Hyper-V giúp giảm chi phí, sử dụng phần cứng tăng lên, tối ưu hóa hạ tầng cơ sở kinh doanh, và cải thiện tính sẵn sàng của máy chủ. Microsoft Hyper-V Server ™ cung cấp chức năng Hyper-V trong một gói độc lập dành riêng cho các máy ảo hóa.

Tống quan Hyper-V

Ảo hóa là một giải pháp phổ biến rộng rãi. Khoảng 75 phần trăm của các tổ chức đang sử dụng và đánh giá ảo hóa là lợi thế trong việc hợp nhất máy chủ, quản lý tập trung, và giảm chi phí-do phần cứng giảm, năng lượng và chia sẻ các yêu cầu . Sử dụng Hyper-V cung cấp giải pháp ảo hóa mạnh hơn và linh hoạt được tích hợp tốt hơn với các công cụ quản lý. Microsoft tạo ra Hyper-V, một thế hệ kế tiếp - hypervisor dựa trên công nghệ ảo hóa cung cấp một nền tảng ảo hóa và quản lý đáng tin cậy và tích hợp cho phép khách hàng có thể ảo hóa cơ sở hạ tầng của họ và giảm chi phí.

Lợi ích chính

Windows Server 2008 Hyper-V công nghệ đơn giản hoá sự tương tác giữa phần cứng, hệ điều hành, và các máy ảo, trong khi đồng thời tăng cường các thành phần cốt lõi ảo hóa.

1.Độ tin cậy

Hyper-V cung cấp độ tin cậy tốt hơn và khả năng mở rộng lớn hơn mà cho phép bạn ảo hóa cơ sở hạ tầng của bạn. Nó có một kiến trúc ảo nhân siêu nhỏ mỏng với bề mặt tấn công tối thiểu. Hypervisor không phụ thuộc vào bất kì trình điều khiển thiết bị nào của hãng thứ ba. Nó thúc đẩy phần lớn các trình điều khiển thiết bị đó đã được xây dựng cho Windows. Hyper-V cũng có sẵn trên Server Core .

2.Máy chủ ảo hóa mạnh

Ảo hóa cho phép khả năng sử dụng, quản lý các tài nguyên các ứng dụng hiệu quả trên một máy chủ. Các máy chủ ảo hóa có khả năng làm công việc của mình với sự linh hoạt cao, tận dụng khả năng phần cứng tối đa, mà không có xung đột với các máy chủ ảo hóa khác. Hyper-V kiểm soát chặt chẽ các nguồn tài nguyên phần cứng có sẵn cho mỗi máy ảo. Ví dụ: máy ảo được cô lập hoặc tiếp xúc rất giới hạn với máy ảo khác trên mạng hoặc trên cùng một máy tính.

3.Bảo mật

An ninh bảo mật là một thách thức chính trong mọi giải pháp máy chủ. Các máy chủ ảo hóa ít tiếp xúc với các chức năng máy chủ khác trên cùng một hệ thống chính. Ví dụ khi triển khai nhiều chức năng máy chủ trên một máy tính, mỗi máy chủa ảo hóa đảm nhận một chức năng, khi đó nếu một máy chủ ảo hóa bị mất quyền kiểm soát, thì vẫn đảm bao kẻ tấn công khó có thể thể tiếp xúc với các máy ảo hóa khác trên cùng một máy chủ vật lý. Ảo hóa cung cấp một cơ hội để tăng cường an ninh cho tất cả các nền tảng máy chủ. Các tính năng Hyper-V sử dụng để tăng cường an ninh bao gồm:

• Sử dụng máy chủ ảo hóa để tận dụng các tính năng, nâng cao mức độ bảo mật phần cứng.

• Đảm bảo tiếp xúc chia sẻ của các máy chủ ảo hóa với nhau một cách.

• An ninh mạng tính năng cho phép tự động Network Address Translation (NAT), tường lửa, và Chính sách bảo vệ truy cập mạng .
• Giảm bề mặt tấn công thông qua một kiến trúc gọn nhẹ.

4.Hiệu suất

Hyper-V có thể ảo hóa khối lượng công việc đòi hỏi nhiều hơn các giải pháp ảo hóa trước đây và cung cấp khả năng phát triển trong hệ thống. Hiệu suất bao gồm:

• Tốc độ cải tiến thông qua kiến trúc ảo hóa cốt lõi hypervisor. 

• Hỗ trợ đa luồng tăng đến bốn bộ vi xử lý trên mảy chủ ảo hóa.

• Tăng cường hỗ trợ 64-bit, cho phép máy chủ ảo hóa chạy các hệ điều hành bit-64 và truy cập số lượng lớn bộ nhớ (lên đến 64 GB mỗi VM), cho phép sử lý khối lượng công việc chuyên sâu cao hơn.

• kiến trúc hypervisor cho phép chia cắt ra các lớp thực thi và các trình điều khiển, làm việc chặt chẽ hơn với ảo hóa kiến trúc phần cứng.

• Nâng cao hiệu suất phần cứng. Chia sẻ, tối ưu hóa truyền dữ liệu giữa các phần cứng vật lý và máy ảo.

Kiến trúc Microkernelized Hypervisor

Hyper-V sử dụng dựa trên công nghệ hypervisor 64-bit  để cung cấp cho các máy ảo chạy Windows Server 2008, Windows Server 2003, bản phân phối Linux , hoặc Xen-enabled Linux khả năng làm việc chặt chẽ với các CPU và bộ nhớ trong một môi trường chung, tăng hiệu suất làm việc.

Sự ảo hóa ngày nay trên nền Windows về cơ bản có các dạng sau:

1. Ảo hóa cơ bản (Type 2)

Một ví dụ điển hình về sự ảo hóa Type 2 là máy ảo Java, hoặc một ví dụ khác là common language runtime (CLR). Trong cả 2 ví dụ bạn sẽ bắt đầu với hệ điều hành host – nghĩa là hệ điều hành được cài đặt trực tiếp bên trên phần cứng vật lý. Trên OS là một Virtual Machine Monitor (VMM) có vai trò là tạo và quản lý các máy ảo, phân phối các tài nguyên cho những máy đó và tách biệt những máy ảo đó với nhau. Nói cách khác VMM là lớp ảo hóa trong tình huống này. Sau đó VMM bạn có những máy khách đang chạy trong trường hợp này là Java hoặc .Net.

Ví dụ đơn giản về mối liên lạc giữa phần cứng và trình điều khiển thiết bị trên hệ điều hành như sau:

1. Bước đầu tiên mô phỏng phần cứng ảo được quản lý bởi VMM này.

2. Xây dựng mối liên lạc giữa VMM với hệ điều hành.

3. Hệ điều hành liện lạc với trình điều khiển thiết bị phần cứng.

4. Các trình điều khiển thiết bị phần cứng liện lạc đến các phần cứng trên máy thực.

Quá trình này sẽ xảy ra ngược lại khi có các trả lời từ các phần cứng đến OS.

2.Hybrid

Kiến trúc ảo hóa mới hơn là Hybrid , trong đó các máy chủ ảo (VMM), chạy song song với hệ điều hành máy chủ (OS). Tuy nhiên trong cấu hình này VMM vẫn phải đi qua OS host để truy cập phần cứng nhưng khác biệt ở chỗ cả OS host và VMM đều chạy trong chế độ kernel. Khi một trong OS hoặc VMM cần xử lý tác vụ thì CPU sẽ phục vụ nhu cầu cho OS hoặc VMM tương ứng. Lý do khiến Hyrbird nhanh hơn là VMM chạy trong trong chế độ kernel trái với Type 2 nơi VMM chạy trong trong chế độ User.

Phương pháp Hybird VMM được sử dụng ngày nay trong hai giải pháp ảo hóa phổ biến từ Microsoft là Microsoft Virtual PC 2007 và Microsoft Virtual Server 2005 R2

3.Hypervisor

Một loại công nghệ ảo hóa thứ 3 có sẵn ngày nay là VMM Type 1 hoặc công nghệ hypervisor. Hypervisor là một lớp phần mềm nằm ngay trên phần cứng hoặc bên dưới một hoặc nhiều hệ điều hành. Mục đích chính của nó là cung cấp các môi trường thực thi tách biệt được gọi là các partition (phân vùng) trong đó các máy ảo chứa các OS guest có thể chạy. Mỗi partition được cung cấp tập hợp các tài nguyên phần cứng riêng của nó chẳng hạn như bộ nhớ, các chu kỳ CPU và thiết bị. Hypervisor có trách nhiệm điều khiển và phân kênh truy cập đến các nền tảng phần cứng

Khi một hệ điều hành khách (VMM) liên lạc với phần cứng trên OS:

1. VMM mô phỏng phần cứng.

2.VMM liên lạc với các trình điều khiển thiết bị.

3. Các trình điều khiển thiết bị phần cứng liên lạc trực tiếp đến phần cứng vật lý.

a. Mololithic Hypervisor

Khái niệm này còn được gọi là mololithic hypervisor, bao gồm trình điều khiển phần cứng trong hypervisor. Ví dụ về mololithic hypervisor là VMware ESX Server. Trong mô hình monolithic, hypervisor có những driver riêng của nó để truy cập phần cứng bên dưới. Các OS guest (VMM) khi truy cập phần cứng thì sẽ thông qua hypervisor và mô hình driver của hypervisor.

Mô hình mololithic hypervisor mang lại hiệu suất hoàn hảo, nhưng nó có những điểm yếu trong lĩnh vực an ninh và tính ổn định, Đây là do mô hình này có một bề mặt tấn công cao hơn và tiềm năng về những mối quan tâm an ninh lớn hơn nhiều do việc các driver chạy trong hypervisor, lớp tiếp xúc với phần cứng. Ví dụ khi hệ thống đã bị malware cài đặt một keylogger thì nó có thể giả dạng một driver thiết bị trong hypervisor. Nếu điều đó xảy ra thì mọi VMM trên hệ thống sẽ bị tổn hại.

Vấn đề khác là tính ổn định nếu một driver đã được cập nhật trong hypervisor và driver mới có lỗi thì toàn bộ hệ thống có thể bị ảnh hưởng kế cả tất cả máy ảo của nó.

b. Microkernelized Hypervisor

Trong Windows Server s008 Hyper-V sử dụng Microkernelized Hypervisor. Trong Microkernelized Hypervisor, các driver được chạy trong mỗi partition sao mỗi OS guest (VMM) có thể truy cập phần cứng thông qua hypervisor. Cách sắp xếp này làm cho mỗi máy ảo trở thành một partition hoàn toàn riêng biệt để đạt được sự an ninh và độ tin cậy cao hơn.

Một VM là partition cha và các VM khác là partition con. Partition cha có chức năng tạo và quản lý các partition con, nó chứa một ngăn xếp ảo hóa (virtualization stack) để điều khiển các partition con.
Ưu điểm của mô hình Microkernelized so với Monolithic là các drivers cần giữa partition cha và server vật lý không đòi hỏi bất kỳ sự thay đổi đối với mô hình driver. Điều này là tốt bởi vì việc đòi hỏi các driver mới là khó khăn.

So sánh Virtual Server và Hyper-V

Đơn giản hoá quản lý với các công cụ

Microsoft đã bổ sung thêm các chức năng cho Hyper-V, tăng cường khả năng quản lý:

• Đơn giản hoá quản lý bằng cách thay thế thay thế màn hình quản lý bằng giao diện bằng công cụ quản lý bằng lệnh (MMC).

• Tự động hoá các tác vụ.

• Giám sát các sự kiện hệ thống (log).

Hyper-V có thể quản lý thông qua 3 cách:

1) Giao diện MMC

2) Microsoft System Center

3) Công cụ quản lý của hãng thứ ba

Yêu cầu hệ thống

Hệ điều hành chính

Hyper-V là một tính năng có sẵn của Windows Server 2008 Standard x64, Windows Server 2008 Enterprise x64, hoặc Windows Server 2008 x64 phiên bản Datacenter. Các tùy chọn cài đặt Server Core cho các phiên bản của Windows Server 2008 cũng có thể cài đặt vai trò Hyper-V.

Tính năng Clustering, bao gồm cả di trú nhanh, yêu cầu phiên bản Windows Server 2008 Enterprise hoặc Windows Server 2008 Datacenter x64 trong phân vùng chính.

Hệ điều hành khách

Hyper-V hỗ trợ Windows Server 2008, Windows Server 2003 và Linux hoạt động như hệ điều hành khách .

Vi xử lý

Hyper-V đòi hỏi chức năng hỗ trợ ảo hóa trên vi xứ lý phải được kích hoạt: AMD-V hoặc vi xử lý Intel VT .

Ngoài ra Data Execution Protection (DEP) cũng phải được kích hoạt.

Lưu trữ chia sẻ dành cho Quick Migration

Quick Migration yêu cấu một hệ thống lưu trữ chia sẻ ví dụ như SAN (Internet Small Computer System Interface [iSCSI] hoặc Fibre Channel) hoặc Serial Attached SCSI.

Mục đích sử dụng

Lợi ích của việc áp dụng các công nghệ ảo hóa trong doanh nghiệp:

Hợp nhất server: Tận dụng một cách tối ưu nguồn tài nguyên hệ thống máy chủ, tăng khả năng hiệu suất sử dụng của hệ thống.

Thử nghiệm và triển khai: Ảo hóa cung cấp môi trường cho thử nghiệm, phát triển và ứng dụng các công nghệ mới.

Tính liên tục trong kinh doanh: Ảo hóa góp phần tăng cường tính liên tục trong hoạt động và bảo mật của hệ thống các ứng dụng.

Ảo hóa trong datacenter : Ảo hóa giúp giảm chi phí đầu tư, vận hành, tiết kiệm không gian, chi phí năng lượng, chi phí bản quyền.

Kết luận

Hyper-V là một máy chủ công nghệ ảo hóa đáng tin cậy và hiệu quả cho nền tảng Windows Server 2008.

Các công cụ quản lý tiêu chuẩn công nghiệp trong Hyper-V cho phép các quản trị viên hệ thống để quản lý máy chủ ảo và máy chủ vật lý trong cùng một giao diện quen thuộc, hỗ trợ rộng rãi.

Bộ phận CNTT sử dụng Hyper-V :

· Củng cố cơ sở hạ tầng, ứng dụng, và quản lý dễ dàng máy chủ từ xa. Hyper-V lý tưởng cho việc hợp nhất máy chủ ở trung tâm dữ liệu (datacenter) , cho phép các tổ chức sử dụng hiệu quả hơn các nguồn tài nguyên phần cứng của họ. Nó cũng giúp các tổ chức CNTT để nâng cao năng suất hành chính của họ và để nhanh chóng triển khai các máy chủ mới để giải quyết nhu cầu kinh doanh đang thay đổi.

· Tự động hóa, thử nghiệm và triển khai hệ thống dễ dàng.

· Cung cấp cho kinh doanh liên tục và khắc phục thảm họa. Hyper-V có thể được sử dụng như là một phần của một kế hoạch khắc phục thảm họa mà yêu cầu tính di động ứng dụng và tính linh hoạt trên nền tảng phần cứng.

· Hỗ trợ khả năng tự quản lý. Hyper-V giúp cho các trung tâm dữ liệu linh hoạt để đáp ứng nhu cầu thay đổi  và tính linh hoạt của hệ thống trong tương lai.

Active Directory

Active Directory đem tới các phương tiện quản lý thông tin nhận dạng và các mối quan hệ cấu thành nên hệ thống mạng trong tổ chức của bạn. Được tích hợp với Windows Server 2008, Active Directory thuộc thế hệ kế tiếp cung cấp cho bạn tính năng sẵn có cần thiết để cấu hình và quản trị hệ thống, người dùng và các thiết lập ứng dụng một cách tập trung. Với Active Directory, bạn có thể đơn giản hóa việc quản lý người dùng và máy tính, cho phép truy cập SSO (Single sign-on) tới các tài nguyên mạng, và giúp cải thiện tính riêng tư cũng như mức độ bảo mật của thông tin đã lưu cũng như của các quá trình truyền thông.
Active Directory đã tự chứng minh là một dịch vụ thư mục mạnh mẽ, ổn định trong Windows Server 2003 R2. Windows Server 2008 tiếp nối những thành công trước đây của Active Directory với những tính năng mới, được cải thiện như sau:

Active Directory Domain Services
Active Directory Domain Services (AD DS), trước đây được biết tới với tên gọi Active Directory Services, là một khu vực để tập trung thông tin cấu hình, các yêu cầu xác thực và thông tin về tất cả những đối tượng được lưu trữ trong phạm vi hệ thống của bạn. Dùng Active Directory, bạn có thể quản lý một cách hiệu quả các người dùng, máy tính, nhóm làm việc, máy in, ứng dụng và các đối tượng khác theo thư mục từ một khu vực tập trung và bảo mật. Những tính năng nâng cao đối với AD DS trong Windows Server 2008 bao gồm:

• Auditing.Những thay đổi được thực hiện đối với các đối tượng trong Active Directory có thể được lưu lại để bạn biết được những thay đổi diễn ra đối với đối tượng đó, cũng như các giá trị mới và giá trị cũ của những thuộc tính đã thay đổi.

• Fine-Grained Passwords. Có thể cấu hình các chính sách về mật khẩu cho các nhóm phân biệt nằm trong domain. Mỗi tài khoản trong phạm vi domain sẽ không còn phải sử dụng cùng một chính sách về mật khẩu nữa.

• Read-Only Domain Controller. Có thể triển khai bộ điều khiển domain với phiên bản chỉ đọc của cơ sở dữ liệu Active Directory trong các môi trường mà tính bảo mật của domain controller không được đảm bảo, chẳng hạn: các văn phòng chi nhánh nơi mức độ an ninh về mặt vật lý của domain controller là vấn đề đáng quan tâm; hoặc những domain controller đang host các vai trò bổ sung, yêu cầu những người dùng khác phải đăng nhập và duy trì máy chủ. Sử dụng Read-Only Domain Controllers (RODCs) không cho những thay đổi diễn ra tại khu vực chi nhánh có thể gây hại hoặc đánh sập AD forest của bạn thông qua quá trình sao chép. Nhờ có RODC, cũng không cần thiết phải sử dụng một site trung gian cho các domain controller tại văn phòng chi nhánh, hoặc không cần gửi đĩa cài đặt và người quản trị domain tới khu vực văn phòng chi nhánh.

• Restartable Active Directory Domain Services. Có thể dừng và duy trì Active Directory Domain Services. Không cần tái khởi động lại domain controler và đặt lại ở chế độ Directory Services Restore Mode cho hầu hết các chức năng bảo trì. Các dịch vụ khác trên domain controler có thể tiếp tục hoạt động khi Active Directory Domain Services ở trạng thái offline.

• Database Mounting Tool. Một snapshot trong cơ sở dữ liệu Active Directory có thể được đưa vào bằng công cụ này. Điều này cho phép người quản trị domain quan sát các đối tượng nằm trong snapshot để xác định những yêu cầu liên quan tới việc khôi phục khi cần thiết.

Active Directory Lightweight Directory Services
Active Directory Lightweight Directory Service (AD LDS), trước đây được biết đến với tên gọi Active Directory Application Mode, có thể được sử dụng để đem tới các dịch vụ thư mục hoặc các ứng dụng theo thư mục. Thay vì sử dụng cơ sở dữ liệu AD DA của tổ chức, bạn có thể sử dụng AD LDS để lưu trữ dữ liệu. AD LDS có thể sử dụng kết hợp với AD DS để mang tới cho bạn một khu vực tập trung dành cho các tài khoản bảo mật (AD DS) và một khu vực khác để hỗ trợ cấu hình ứng dụng và dữ liệu thư mục (AD LDS). Sử dụng AD  LDS, bạn có thể: giảm bớt các chi phí liên quan tới việc sao chép Active Directory; không cần mở rộng lược đồ Active Directory để hỗ trợ ứng dụng; và có thể phân vùng cấu trúc thư mục sao cho dịch vụ AD LDS chỉ được triển khai tới những máy chủ cần hỗ trợ các ứng dụng theo thư mục. Những đặc tính nâng cao đối với AD LDS trong Windows Server 2008 bao gồm:  

• Cài đặt từ Media Generation. Khả năng tạo các phương tiện cài đặt cho AD LDS bằng Ntdsutil.exe hoặc Dsdbutil.exe.

• Kiểm toán. Kiểm tra những giá trị đã thay đổi trong phạm vị dịch vụ thư mục.

• Database Mounting Tool. Cho phép bạn xem dữ liệu trong phạm vi các snapshot của file cơ sở dữ liệu.

• Active Directory Sites and Services Support. Cho phép bạn sử dụng các Active Directory Sites and Services để quản lý việc sao lưu lại những thay đổi dữ liệu của AD LDS.

• Dynamic List of LDIF files. Với đặc tính này, bạn có thể liên kết các file LDIF tùy biến với các file LDIF mặc định hiện có được dùng để thiết lập AD LDS trên một máy chủ.

• Recursive Linked-Attribute Queries. Các truy vấn LDAP có thể theo những đường dẫn có cấu trúc mạng lưới của thuộc tính để xác định các tính chất bổ xung của thuộc tính, như là thành viên nhóm

Active Directory Rights Management Services
Đa số các tổ chức sử dụng chứng chỉ để chứng minh thông tin nhận dạng của người dùng hoặc máy tính, cũng như để mã hóa dữ liệu trong quá trình truyền dữ liệu trên khắp các liên kết không được bảo mật trên mạng (network). Active Directory Certificate Services (AD CS) tăng cường tính năng bảo mật bằng cách gắn thông tin nhận dạng của một người, một thiết bị hay một dịch vụ với mã riêng tương ứng. Việc lưu chứng nhận và khóa mã riêng trong phạm vi Active Directory giúp bảo vệ thông tin nhận dạng một cách bảo mật, và Active Directory trở thành một khu vực tập trung để gọi ra các thông tin phù hợp khi một ứng dụng đưa ra yêu cầu. Những tính năng nâng cao đối với AD CS trong Windows Server 2008 bao gồm:

• Enrollment Agent Templates. Có thể gán các delegated enrollment agent theo mỗi template

• Integrated Simple Certificate Enrollment Protocol (SCEP). Các chứng nhận có thể được cấp tới thiết bị mạng, chẳng hạn các bộ định tuyến.

• Online Responder.Có thể gửi lại các mục Certificate Revocation List (CRL) tới người yêu cầu như một đáp ứng chứng nhận đơn nhất thay vì toàn bộ CLR. Điều này giúp giảm bớt tổng lưu lượng mạng được sử dụng khi các máy trạm thẩm định các chứng chỉ.

• Enterprise PKI (PKI View). Một công cụ quản lý mới cho AD CS, công cụ này cho phép người quản trị Certificate Services quản lý các phân cấp Certification Authority (CA) để xác định tình trạng tổng thể của các CA và dễ dàng khắc phục lỗi.

Các tính năng cải tiến bổ sung của Active Directory
Installation Wizard trong Active Directory chứa một số tính năng cải tiến so với các phiên bản trước đó. Những cải tiến này giúp quản trị viên dễ dàng kiểm soát việc cài đặt các domain controller trong phạm vi domain. Các tính năng nâng cao bao gồm:

• Khả năng quản lý tốt hơn với Server Manager. Server Manager, công cụ quản lý máy chủ mới trong Windows Server 2008, cho phép quản trị viên pre-stage các domain controller. Khi vai trò domain controller được bổ sung từ console Server Manager, các file cần thiết để thực hiện quá trình cài đặt dịch vụ thư mục sẽ được copy vào máy chủ. Khi quản trị viên bắt đầu chạy Installation Wizard, dcpromo.exe, thì các file này đã được lưu vào bộ nhớ đệm rồi và đã sẵn sàng.

  • Cài đặt DNS.
  • Tạo một máy chủ Global Catalog.
  • Tạo một Read-Only Domain Controller.
  • Chọn domain cho domain controller (bao gồm chọn domain từ một danh sách có cấu trúc cây).
  • Chọn site Active Directory của domain controller.
  • Cài đặt cấp chức năng của domain.
  • Ủy quyền việc cài đặt Read-Only Domain Controller và người dùng quản trị.
  • Cấu hình chính sách sao chép mật khẩu của Read-Only Domain Controller.

• Tạo File Trả lời. Nếu một vài domain controller sử dụng các thiết lập giống nhau khi được cài đặt thì trang Summary cho phép bạn xuất các thiết lập đó từ quá trình cài đặt hiện tại vào một file trả lời. Mật khẩu được sử dụng cho tài khoản quản trị Directory Services Restore Mode của bạn không được xuất bằng file trả lời và bạn chỉ nêu rõ rằng người dùng mà đang cài đặt domain controller luôn bị hỏi mật khẩu. Theo cách này, mật khẩu sẽ không thể truy cập được bởi những người dùng nào có thể truy cập tới khu vực lưu trữ các file trả lời đó.

• Cài đặt Read-Only Domain Controller. Có thể cài đặt vai trò mới của Read-Only Domain Controller bằng Installation Wizard. Khi cài đặt một Read-Only Domain Controller mới, bạn có thể xác định người được quyền cài đặt và quản lý domain controller đó. Trong giai đoạn cài đặt đầu tiên, một người quản trị domain có thể xác định tài khoản nào được phép cài đặt Read-Only Domain Controller. Sau khi được xác định, người dùng gắn với Read-Only Domain Controller này sẽ có quyền cài đặt dịch vụ thư mục.

Nguồn Microsoft Việt Nam

Tổng quan về các phiên bản Windows Server 2008

Windows Server 2008 Datacenter đem tới một nền tảng cấp doanh nghiệp để triển khai các ứng dụng quan trọng đối với hoạt động kinh doanh và ảo hóa ở quy mô lớn trên các máy chủ lớn và nhỏ. Phiên bản này cải thiện tính sẵn có nhờ các khả năng clustering và phân vùng phần cứng động, giảm bớt chi phí cho cơ sở hạ tầng hệ thống bằng cách hợp nhất các ứng dụng với các quyền cấp phép ảo hóa không hạn chế, và mở rộng từ 2 tới 64 bộ xử lý. Windows Server 2008 Datacenter mang lại một nền tảng để từ đó xây dựng các giải pháp mở rộng và ảo hóa cấp doanh nghiệp.

Windows Server 2008 Enterprise đem tới một nền tảng cấp doanh nghiệp để triển khai các ứng dụng quan trọng đối với hoạt động kinh doanh. Phiên bản này giúp cải thiện tính sẵn có nhờ các khả năng clustering và cắm nóng bộ xử lý, giúp cải thiện tính bảo mật với các đặc tính được củng cố để quản lý nhận dạng, và giảm bớt chi phí cho cơ sở hạ tầng hệ thống bằng cách hợp nhất ứng dụng với các quyền cấp phép ảo hóa. Windows Server 2008 Enterprise mang lại nền tảng cho một cơ sở hạ tầng CNTT có độ năng động và khả năng mở rộng cao.

Windows Server 2008 Standard là hệ điều hành Windows Server mạnh nhất hiện nay. Với các khả năng ảo hóa và Web dựng sẵn và tăng cường, phiên bản này được thiết kế để tăng độ tin cậy và linh hoạt của cơ sở hạ tầng máy chủ của bạn đồng thời giúp tiết kiệm thời gian và giảm chi phí. Các công cụ mạnh mẽ giúp bạn kiểm soát máy chủ tốt hơn, và sắp xếp hợp lý các tác vụ cấu hình và quản lý. Thêm vào đó, các tính năng bảo mật được cải tiến làm tăng sức mạnh cho hệ điều hành để giúp bạn bảo vệ dữ liệu và mạng, và tạo ra một nền tảng vững chắc và đáng tin cậy cho doanh nghiệp của bạn.

Windows Web Server 2008 dành cho các hệ thống dựa trên bộ xử lý Itanium được tối ưu hóa cho các trung tâm dữ liệu lớn, các ứng dụng nghiệp vụ riêng, ứng dụng tùy biến mang lại độ sẵn sàng và khả năng mở rộng cao cho tới 64 bộ xử lý để đáp ứng nhu cầu cho các giải pháp khắt khe và quan trọng.

Windows HPC Server 2008,được xây dựng trên nền Windows Server 2008, công nghệ 64 bit và có thể mở rộng một cách hiệu quả tới hàng nghìn lõi xử lý với tính năng có sẵn để cải thiện hiệu suất, và giảm tính phức tạp của môi trường HPC. Windows HPC Server 2008 cho phép áp dụng rộng rãi hơn nhờ cung cấp một trải nghiệm người dùng phong phú và tích hợp, từ ứng dụng dành cho máy để bàn tới các cụm máy, và chứa một bộ toàn diện các công cụ triển khai, quản trị, và giám sát. Các công cụ này dễ triển khai, quản lý và tích hợp với hạ tầng CNTT hiện có của bạn. Windows HPC Server 2008, thế hệ kế tiếp của tính toán hiệu năng cao (HPC), cung cấp các công cụ cấp doanh nghiệp cho một môi trường HPC hiệu suất cao. Được xây dựng dựa trên Windows Server 2008, công nghệ 64-bit, Windows HPC Server 2008 có thể mở rộng tới hàng nghìn lõi xử lý và chứa các console quản lý giúp bạn chủ động theo dõi và duy trì tình trạng an toàn và tính ổn định của hệ thống. Khả năng tương kết và linh hoạt trong điều khiển công việc cho phép tích hợp giữa các nền tảng HPC trên nền Windows và Linux, hỗ trợ các tải làm việc theo mẻ và các tải làm việc theo ứng dụng hướng dịch vụ (SOA). Năng suất được cải thiện, hiệu năng có thể tùy biến, và dễ sử dụng là một số đặc trưng khiến Windows HPC Server 2008 trở thành sản phẩm tốt nhất  cho các môi trường Windows.

Xem thêm:  Windows HPC Server

Windows Server 2008 for Itanium-Based Systems dành cho các hệ thống dựa trên bộ xử lý Itanium được tối ưu hóa cho các trung tâm dữ liệu lớn, các ứng dụng nghiệp vụ riêng, ứng dụng tùy biến mang lại độ sẵn sàng và khả năng mở rộng cao cho tới 64 bộ xử lý để đáp ứng nhu cầu cho các giải pháp khắt khe và quan trọng.

Windows Server 2008 Standard không có Hyper-V.

Windows Server 2008 Enterprise không có Hyper-V.

Windows Server 2008 Datacenter không có Hyper-V.

Nguồn Microsoft Việt Nam

Lý do nâng cấp Windows Server 2008?

Windows Server 2008 là một hệ điều hành máy chủ thế hệ kế tiếp, nó giúp các chuyên gia công nghệ thông tin (CNTT) kiểm soát tối đa cơ sở hạ tầng của họ, đồng thời đem lại mức độ sẵn có và khả năng quản lý chưa từng có, khiến cho môi trường máy chủ vững chắc hơn, đáng tin cậy hơn và an toàn hơn đáng kể. Windows Server 2008 được xây dựng dựa trên sự thành công và những thế mạnh của hệ điều hành đã từng được giải thưởng Windows Server 2003 cũng như những đổi mới công nghệ trong Service Pack 1 của Windows Server 2003 và Windows Server 2003 R2. Tuy vậy, Windows Server 2008 không chỉ dừng lại là bản tinh chỉnh của các hệ điều hành nói trên. Windows Server 2008 còn cung cấp những tính năng mới có giá trị và những cải tiến mạnh mẽ cho hệ điều hành lõi, nhờ đó, các tổ chức với những quy mô khác nhau có thể tăng khả năng quản lý và kiểm soát, nâng cao tính sẵn có và sự linh hoạt để đáp ứng được những nhu cầu kinh doanh ngày một thay đổi của họ.

Giới thiệu các đặc tính mới của Windows Server 2008
Windows Server 2008 cung cấp rất nhiều tính năng mới, điển hình là Công nghệ ảo hóa, Khả năng quản lý, Bảo mật, Nền tảng web, và Tính tin cậy cao, v.v. Bạn có thể nhấn chuột vào bất kỳ tiêu đề nào dưới đây để đọc thêm về các đặc tính mới này và tìm hiểu xem chúng có thể hỗ trợ cho tổ chức của bạn như thế nào.

Ảo hóa với Hyper-V

• Cung cấp công nghệ ảo hóa và quản lý mạng mạnh mẽ cho phép doanh nghiệp tận dụng được những lợi ích của công nghệ ảo hóa mà không cần mua phần mềm của bên thứ ba.

• Giảm chi phí cho CNTT, tập trung hóa việc quản lý mạng, tăng độ bảo mật và độ tin cậy cho mạng, cung cấp khả năng mở rộng để giúp kiểm soát được các nguồn ngân sách dành cho phần cứng.

• Cung cấp khả năng chưa từng có để tận dụng tối đa phần cứng máy chủ, cho phép ảo hóa khối lượng công việc vô cùng lớn:

  • Lên tới 4 lõi vi xử lý cho mỗi máy ảo
  • Lên tới 32 GB Ram cho mỗi máy ảo

• Sử dụng một cấu trúc dựa trên hypervisor 64 bit hỗ trợ ảo hóa có sự trợ giúp của phần cứng.
• Hỗ trợ các máy ảo 32 và 64 bit cùng chạy song song.

• Hỗ trợ các hệ điều hành Windows Server 2008, Windows Server 2003 R2 SP2, Windows Vista SP1, Windows XP SP3, và SUSE Linux Enterprise Server 10 trên các máy ảo. Tương thích với nhiều hệ điều hành khách khác.

• Tận dụng một kiến trúc chia sẻ phần cứng mới VMBus để máy ảo có thể host sự tương tác của ổ đĩa, nối mạng, thiết bị vào/ ra và phần cứng video.

• Sử dụng một cấu trúc microkernel hóa, đem tới một nền tảng an toàn hơn cho việc ảo hóa.

• Cung cấp sẵn các thiết bị tổng hợp hiệu suất cao cho các máy ảo chạy các hệ điều hành khách mà không bị hạn chế do mô phỏng.

• Các tính năng lưu trữ mới, ví dụ truy cập đĩa theo kiểu pass-through, phương thức này cho phép các máy ảo có thể truy cập dữ liệu dễ dàng hơn, các chương trình và dịch vụ bên ngoài cũng có thể truy cập dữ liệu trên máy ảo dễ hơn.

• Sự bảo mật linh hoạt, dựa trên vai trò cho phép uỷ quyền máy ảo.

• Cho phép thực hiện các kịch bản có tính sẵn có cao, trong đó các host chạy Hyper-V hoặc các máy ảo chạy trên host Hyper-V có thể được cluster.

• Các công cụ quản lý mới và các bộ đếm hiệu năng giúp việc quản lý và theo dõi môi trường ảo dễ dàng hơn.

• Cho phép sao lưu máy ảo trong khi đang chạy.

• Cung cấp giải pháp cho các kịch bản ảo chủ chốt dưới đây

  • Hợp nhất máy chủ
  • Tự động hóa các môi trường kiểm tra và phát triển
  • Duy trì tính liên tục của hoạt động nghiệp vụ và khôi phục sau thảm họa
  • Trung tâm dữ liệu động

Tăng cường hỗ trợ Web với Internet Information Services (IIS) 7.0

• Cung cấp một thiết kế và cách cài đặt kiểu module, nhờ đó tăng khả năng bảo mật và giảm bớt bề mặt tấn công.

• Cho phép những mô hình có khả năng mở rộng linh hoạt để tùy biến mạnh mẽ

• Cải thiện công tác quản trị bằng công cụ đồ họa IIS Manager mới và công cụ mới kiểu dòng lệnh appcmd.exe

• Cung cấp các công cụ chẩn đoán và xử lý sự cố toàn diện, cho phép dễ dàng quan sát và theo dõi các yêu cầu đang diễn ra trên máy chủ Web.
• Cho phép uỷ quyền quản trị các website.

• Cả khung ứng dụng ASP.NET và IIS 7.0 đều dùng các file web.config giống nhau, do đó chỉ cần lưu trữ một cấu hình duy nhất cho mọi thiết lập cấu hình của Web.

• Sử dụng một cấu hình phân tán, do vậy quản trị viên có thể đặc tả các thiết lập về cấu hình IIS trong các file được lưu trữ bằng mã và nội dung.

• Cho phép tạo ra nhiều bản copy của các Website.

• Cung cấp cách truy cập được lập trình hóa tới các khu vực lưu trữ cấu hình thông qua WMI hoặc Microsoft Web Administration.

• Cho phép quản lý ứng dụng và quản lý mức độ an toàn đối với các dịch vụ Windows Communication Foundation (WCF).

• Khả năng hỗ trợ FastCGI cho phép các tổ chức host ứng dụng PHP trên IIS 7.0

Giới thiệu Server Core trong Windows Server 2008

• Cho phép quản trị viên cài đặt phiên bản tối thiểu của Windows Server với tính năng cụ thể và loại bỏ những đặc tính năng không cần thiết; các vai trò máy chủ sẵn có bao gồm:

  • Hyper-V
  • IIS 7.0
  • Dynamic Host Configuration Protocol (DHCP) server
  • Domain Name System (DNS) server
  • File server
  • Active Directory Domain Service (AD DS)
  • Active Directory Lightweight Directory Services (AD LDS)
  • Windows Media Services
  • Print Server

• Giảm chi phí bảo trì phần mềm
• Giảm bề mặt tấn công của máy chủ

• Giảm bớt công tác quản lý

• Đòi hỏi không gian ổ đĩa ít hơn

Quản lý hiệu quả hơn với công cụ quản lý mới - Server Manager

• Được xây dựng trên nền tảng SML (Service Modeling Language), đây là ngôn ngữ được dùng để mô hình hóa các dịch vụ và hệ thống CNTT phức hợp trong các phần mềm, bao gồm cấu trúc, các ràng buộc, cấu hình và các thông lệ tốt nhất.

• Đơn giản hóa và tập trung hóa công việc quản lý máy chủ thông qua một console MMC duy nhất, cho phép quản trị viên xem và quản lý mọi công cụ tác động đến hiệu suất của máy chủ.

• Cho phép bổ sung hoặc gỡ bỏ dễ dàng các vai trò máy chủ, chẳng hạn Active Directory Domain Service hoặc File Server, và các tính năng, chẳng hạn mã hóa bằng Windows BitLocker.

• Cho phép bổ sung nhiều vai trò và tính năng trong phiên Server Manager duy nhất, tức là theo dõi việc thiếu hụt các vai trò và dịch vụ của từng vai trò, do đó, các thành phần được đòi hỏi có thể được bổ sung hoặc gỡ bỏ một cách linh hoạt.
• Cung cấp các wizard Server Manager để hợp lý hóa các tác vụ quản lý máy chủ thông thường.

• Cung cấp một cửa sổ Initial Configuration Tasks, cửa sổ này sẽ tự động mở sau khi quy trình cài đặt hệ điều hành hoàn tất. Initial Configuration Tasks sẽ chuyển các thành phần cài đặt tương tác sang chế độ Post-installation, do đó quản trị viên không cần phải tương tác với quá trình cài đặt hệ điều hành.

• Cung cấp khả năng quản trị từ xa thông qua các cổng thân thiện với filewall.

Tăng cường bảo mật và quản trị ID với Read Only Domain Controllers (RODC)

• Host một bản sao chỉ đọc của cơ sở dữ liệu trong Active Directory Domain Services (AD DS) cho một domain nhất định.

• Được thiết kế để cài đặt cho các vị trí nơi mà bảo mật vật lý của domain controller không thể bảo đảm được, chẳng hạn ở các văn phòng chi nhánh.

• Cho phép xác thực tại chỗ đối với người dùng ở xa và ở các văn phòng chi nhánh.

• Cung cấp các dịch vụ DNS tích hợp và Global Catalog (GC) trong Active Directory.
• Nhân bản định hướng đơn để tiết kiệm băng thông (các hub site không còn phải lấy thông tin về các thay đổi từ RODC).

• Bảo vệ dữ liệu của tài khoản người dùng trong domain trong trường hợp bảo mật vật lý của RODC bị xâm hại.

• Cung cấp khả năng nhớ đệm các ủy nhiệm có thể cấu hình được trên RODC.

• Cho phép phân quyền quản trị cho người dùng tại chỗ để quản lý RODC mà không cần phải trao cho họ thêm bất kỳ quyền nào đối với domain.

Bảo mật mạng tốt hơn cho tất cả máy chủ và máy trạm với Network Access Protection (NAP)

• Cung cấp một bộ các thành phần và dịch vụ phía máy chủ và máy trạm để không cho các máy tính không đạt yêu cầu truy cập và gây hại cho mạng của tổ chức.

• Cho phép quản trị viên xây dựng các chính sách an toàn cho các máy trạm, ví dụ cài đặt và cập nhật các phần mềm chống virus được firewall cho phép.

• Xác định tính hợp lệ của các máy trạm khi kết nối mạng và liên tục kiểm tra trong khi các máy trạm vẫn đang kết nối.

• Thực thi các chính sách thông qua DHCP, VPN, IPSec, 802.1x (máy trạm được đánh giá khi đang kết nối hoặc đang sử dụng dịch vụ).
• Hạn chế hoặc không cho truy cập mạng máy trạm đối với những máy tính không tuân thủ các quy tắc.

• Tự động khắc phục đưa các máy trạm không hợp lệ trở về trạng thái tuân thủ

• Đảm bảo cho mạng và các hệ thống không bị xâm hại bởi những máy tính không hợp lệ do bị nhiễm vi rút hoặc chưa được khắc phục lỗi

Các tính năng mã hóa mạnh mẽ thế hệ kế tiếp (CNG)

• Cho phép khách hàng sử dụng thuật toán mã hóa của riêng họ hoặc triển khai các thuật toán mã hóa tiêu chuẩn.

• Thực hiện các hoạt động mã hóa cơ bản, ví dụ tạo ra các hash, mã hóa và giải mã dữ liệu,cũng như tạo, lưu trữ và phục hồi các khóa mật mã.

• Hỗ trợ bộ thuật toán CryptoAPI 1.0 hiện tại

• Hỗ trợ các thuật toán mã hóa đường elip (ECC).

• Cho phép sử dụng các thuật toán mã hóa tùy biến trong các ứng dụng liên quan đến mã hóa

Triển khai dễ dàng hơn với Windows Deployment Services (WDS)

• Thay thế Remote Installation Services (RIS) từ các phiên bản trước

• Cung cấp một phương tiện đơn giản và an toàn để triển khai nhanh chóng các hệ điều hành Windows cho máy tính bằng cách cài đặt qua mạng, quản trị viên không cần làm việc trực tiếp với mỗi máy tính, hoặc cài đặt các thành phần của Windows từ đĩa CD hoặc DVD.

• Dùng định dạng hình ảnh mới (WIM) và dịch vụ triển khai (WDS) giúp đơn giản hóa việc quản lý ảnh, nhờ đó có thể triển khai hệ điều hành trên cả máy chủ và máy trạm một cách nhanh chóng và đáng tin cậy hơn

Tăng cường khả năng quản lý và kiểm soát với Group Policy Preferences

• Cho phép tổ chức triển khai các thiết lập được quản lý mà người dùng có thể sửa đổi, nhờ đó, tổ chức có thể tạo ra các cấu hình tương thích hơn với môi trường CNTT của họ và đặc thù với tổ chức cũng như với cách thức sử dụng máy tính của những người trong tổ chức.

• Cải thiện hiệu suất sử dụng công nghệ thông tin bằng cách cung cấp hơn 20 máy nhánh.

• Giảm nhu cầu sử dụng logon script.

• Hạn chế các lỗi cấu hình thông qua việc định hướng chính xác và các giao diện dễ sử dụng.
• Giảm thiểu việc bảo trì ảnh bằng cách triển khai các ảnh generic và sử dụng Group Policy Preference để cập nhật chúng.

• Giảm tổng số ảnh bằng cách triển khai các ảnh generic và sử dụng các thiết lập Group Policy Preference có định hướng cho một nhóm người dùng và máy tính

Những tính năng tăng cường đối với các đặc tính hiện tại
Windows Server 2008 cũng cung cấp hàng loạt những tính năng tăng cường đối với các đặc năng đã có trong các phiên bản Windows Server trước đây. Những cải tiến này sẽ nâng cao và mở rộng nhiều đặc tính bạn có thể đang sử dụng.

Tính năng tăng cường cho Active Directory Domain Services (AD DS)

• Cung cấp một ADDS Installation Wizard để hợp lý hóa và đơn giản hóa cấu hình và việc cài đặt ADDS.

• Bao gồm một lệnh Find (Tìm) mới trong snap-in Active Directory Sites and Services, nhờ đó việc định vị các domain controller trong toàn doanh nghiệp trở nên dễ dàng hơn.

• Cung cấp sẵn các tuỳ chọn kiểm tra để quản trị viên có thể theo dõi những thay đổi trong Directory Service, bao gồm việc chỉnh sửa, tạo mới, khôi phục và di chuyển các đối tượng cũng như các giá trị thuộc tính mới và trước đây.

• Kết hợp Restartable Active Directory, nhờ đó quản trị viên có thể tắt và khởi động lại AD DS mà không cần khởi động lại domain controler, thực hiện các thao tác ADDS ngoại tuyến nhanh hơn.

• Cho phép xem các thiết lập Group Policy với công cụ kiểu dòng lệnh Auditpol.exe.

Các tính năng tăng cường đối với Active Directory Rights Management Services (AD RMS):

• Cung cấp các dịch vụ giúp tạo ra các giải pháp bảo vệ thông tin cho ứng dụng được AD RMS cho phép nhằm xây dựng các chính sách sử dụng lâu dài đối với thông tin nhạy cảm.

• Cho phép quản trị thông qua Microsoft Management Console (MMC).

• Được tích hợp với Active Directory Federation Services (AD FS).

• Hỗ trợ sự tự đăng nhập của máy chủ AD RMS.
• Cung cấp sự uỷ thác trách nhiệm bằng các vai trò quản trị mới trong AD RMS.

• Cho phép tạo ra các file và template được bảo vệ bằng các quyền Và cho phép cấp phát thông tin được bảo vệ bằng quyền tới các thực thể tin cậy.

Các tính năng tăng cường đối với Active Directory Federation Services:

• ADFS cho phép các tổ chức tạo dựng mối quan hệ tin cậy giữa các đối tác federation.

• Vai trò AD FS chỉ cần được cấu hình trên một trong số các đối tác.

• Cho phép quản trị viên tạo ra các tài khoản uỷ thác để sau đó có thể truy cập đến tài nguyên trên các mạng đối tác được cho phép.

• Hỗ trợ đăng nhập đơn bằng cách cho phép các đối tác truy cập một lần bằng cách sử dụng tài khoản domain của họ.
• Xóa bỏ nhu cầu người dùng phải có tài khoản riêng trong mỗi domain, khiến cho việc truy cập được bảo mật tốt hơn và giảm khối lượng công việc của đội ngũ cán bộ CNTT.

• Tích hợp với AD RMS; các quyền RMS có thể được truy cập và thực hiện thông qua federated trust

Tính năng tăng cường cho DNS Server:

• Cung cấp giải pháp tên cho cả mạng dựa trên giao thức TCP/IP IPv4 và IPv6.

• Cho phép vùng nền tải dữ liệu vùng từ AD DS trong quá trình khởi động lại dịch vụ DNS, do đó, máy chủ DNS có thể đáp ứng nhanh hơn các yêu cầu về dữ liệu vùng khác.

• Hỗ trợ Read-only Domain Controller (RODC)

• DNS Server hiện có như một vai trò của Server Core.
• Cho phép các vùng GlobalNames có các bản ghi tĩnh, toàn cầu với các tên nhãn riêng, dịch vụ này vốn được WINS cung cấp, DNS sẽ dần dần thay thế WINS.

• Đem lại cho các máy trạm DNS những thay đổi để dễ dàng xác định vị trí của các domain controller ở gần.

Tính năng tăng cường cho Failover Clustering:

• Các trình wizard setup mới đã loại bỏ hết những lỗi cấu hình và setup có khả năng xảy ra.

• Sử dụng IPv6, được tích hợp hoàn toàn vào các failover clusters, hỗ trợ cho cả truyền thông node và heartbeat.

• Dùng DNS không có các dependency NetBIOS kế thừa, không cần WINS và broadcast giải pháp tên NetBIOS.

• Cho phép kết hợp giữa tài nguyên tên của mạng và nhiều địa chỉ IP đi kèm, nhờ đó, tên mạng sẽ có nếu có bất kỳ một địa chỉ IP nào.
• Sử dụng giao thức Transmission Control Protocol (TCP) đáng tin cậy hơn giao thức User Datagram Protocol (UDP) cho các cluster heartbeat.

• Tăng cường bảo mật trong các failover cluster, bao gồm:
  • Mô hình bảo mật mới- Giờ đây, Cluster Service chạy trong điều kiện tài khoản có sẵn LocalSystem.
  • Kiểm tra - Quản trị viên có thể sử dụng chức năng kiểm tra để biết ai đang truy cập cluster nào và vào lúc nào.
  • Mã hóa- Windows Server 2008 cho phép quản trị viên mã hóa truyền thông giữa các node.
• Cho phép các cluster thuộc nhiều site, nghĩa là các node của cluster không còn phải nằm cùng một mạng cấp dưới (subnet) IP hoặc không cần phải được cấu hình bằng các mạng VLAN phức tạp nữa.

Tính năng tăng cường cho Network Load Balancing:

• Ngoài các giao thức khác còn hỗ trợ IPv6 cho mọi dạng truyền thông.

• Hỗ trợ NDIS 6.0 trong khi vẫn tương thích ngược với các phiên bản NDIS cũ hơn.

• Cung cấp những tính năng tăng cường về WMI cho IPv6 và hỗ trợ nhiều địa chỉ IP chuyên dụng.

• Cải thiện để chống lại dạng tấn công từ chối dịch vụ và timer starvation, NLB có thể phát hiện và thông báo cho các ứng dụng biết khi cuộc tấn công được thực hiện hoặc khi một node bị tải quá mức.
• Hỗ trợ cho nhiều địa chỉ IP chuyên dụng trên mỗi node, cho phép nhiều ứng dụng cùng được host trên cùng một cluster NLB trong các tình huống nhiều ứng dụng khác nhau cùng đòi hỏi địa chỉ IP riêng của chúng.

Tính năng tăng cường đối với Windows Server Backup :

• Kết hợp một công nghệ sao lưu mới, nhanh hơn

• Đơn giản hóa quá trình khôi phục

• Đơn giản hóa việc khôi phục hệ điều hành

• Cải tiến chức năng lập lịch
• Hỗ trợ phương tiện lưu trữ DVD

Những tính năng nâng cao cho Windows Reliability và Performance Monitor :

• Kết hợp chức năng của một số công cụ độc lập trước đây (Performance Log and Alerts, Server Performance Advisor và System Monitor) vào snap-in MMC Windows Reliability và Performance Monitor .

• Cho phép dùng Data Collector Sets để nhóm các bộ thu thập dữ liệu vào thành các phần tử có thể tái sử dụng để dùng trong các tình huống giám sát hiệu năng khác nhau.

• Cung cấp các wizard và template để tiết kiệm thời gian thực hiện các tác vụ giám sát hiệu năng phổ biến.

• Cung cấp Resource View hiển thị dưới dạng đồ họa các thông tin khái quát thời gian thực về tình hình sử dụng CPU, ổ đĩa, mạng, và bộ nhớ.
• Tính toán System Stability Index (chỉ số ổn định của hệ thống) phản ánh liệu các sự cố không mong muốn có làm giảm độ tin cậy của hệ thống hay không, và cung cấp các chi tiết giúp xử lý tận gốc nguyên nhân gây ra sự cố trong Reliability Monitor.

• Cung cấp cấu hình đặc tính thống nhất của mọi tập hợp dữ liệu, bao gồm chức năng lập lịch và khả năng lưu các bộ thu thập dưới dạng các template.

• Cải tiến chức năng báo cáo bằng cách cho phép quản trị viên dễ dàng nhân bản các báo cáo và đánh giá xem những thay đổi của máy chủ tác động như thế nào đến hiệu năng hoặc xem lại các đề xuất của báo cáo.

Tính năng nâng cao cho TCP/IP Stack:

• Window Auto-Tuning và Compound TCP sẽ tận dụng tốt hơn băng thông mạng sẵn có.

• Cung cấp khả năng kết nối tốt hơn trong các môi trường dễ mất thông tin, giúp kết nối ổn định và đáng tin cậy hơn.

• Neighbor Unreachability Detection dùng cho IPv4 cung cấp khả năng phát hiện và khôi phục tốt hơn khi các node mạng trở nên không sẵn sàng.

• Những thay đổi trong Dead Gateway Detection cho phép các máy tính xác định xem liệu một cổng giao tiếp bị “chết” trước đó có hoạt động trở lại hay không, điều này có thể làm tăng tốc độ thông lượng mạng.
• Những thay đổi của PMTU Black Hole Detection có thể giúp bảo vệ kết nối khỏi bị đứt.

• Tính năng hỗ trợ Network Diagnostic Framework cung cấp một kiến trúc có thể mở rộng, giúp người dùng xử lý sự cố và khôi phục kết nối mạng.

• Windows Filtering Platform là một cấu trúc mới, cung cấp các API, nhờ đó các hãng phần mềm độc lập (ISV) có thể lọc ở một vài lớp trong gói giao thức TCP/IP và xuyên suốt hệ điều hành, cho phép chúng tạo ra các firewall, phần mềm diệt virus, phần mềm chẩn đoán và các dạng ứng dụng và dịch vụ khác.

• Explicit Congestion Notification có thể giải quyết những vấn đề liên quan tới bộ định tuyến bị nghẽn và cung cấp thông lượng tốt hơn, toàn diện hơn.

Tính năng tăng cường cho Windows Firewall với Advanced Security:

• Hỗ trợ việc lọc cả lưu lượng vào và ra, giúp ngăn không cho một máy tính bị nhiễm virus gây hại toàn mạng.

• Tích hợp khả năng quản lý bằng firewall và IPSec vào một console MMC mới và duy nhất, tránh hiện tượng chính sách bị chống chéo và cho phép cấu hình firewall tại chỗ và từ xa (việc cấu hình từ xa không thể thực hiện được với phiên bản Windows Firewall hiện tại nếu không kết nối với desktop từ xa).

• Cung cấp nhiều cách thức mới để cấu hình những tình huống ngoại lệ của firewall, tuy nhiên, các trường hợp ngoại lệ này có thể được cấu hình cho:

  • Số giao thức IP
  • Nguồn và đích
  • Tất cả hoặc nhiều cổng
  • Các dạng giao diện cụ thể
  • Lưu lượng ICMP và ICMPv6 (lệnh ping) bởi Type và Code
  • Giới hạn các quy tắc firewall đối với người dùng, nhóm hay máy tính
  • Các dịch vi

Ảo hóa trình diễn với các tính năng TS RemoteApp:

• Cung cấp khả năng truy cập tới ứng dụng từ xa được khởi động và chạy trong cửa sổ của chính nó trên desktop của máy tính trạm.

• Giảm bớt công việc quản trị chỉ bằng cách duy trì một ứng dụng trung tâm trên máy chủ, thay vì phải cài đặt nó trên nhiều máy bàn trong toàn tổ chức.

• Cải thiện những trải nghiệm của người dùng, cho phép ứng dụng từ xa tích hợp một cách uyển chuyển vào các desktop trên máy trạm.

• Cho phép bất kỳ chương trình nào có thể chạy trong phiên Terminal Service hoặc trong một phiên Remote Desktop thì cũng có thể chạy như một chương trình từ xa.

Tính năng nâng cao đối với Terminal Services::

• Cung cấp Remote Desktop Connection 6.0 hoặc phiên bản mới hơn.

• Cung cấp những cải tiến về mặt hiển thị của Remote Desktop Connection, bao gồm:

  • o Độ phân giải hiển thị tuỳ chỉnh, và hiển thị 16:9
  • o Độ rộng của màn hình
  • o Cảm quan và thao tác với desktop
  • o Độ mịn của font
  • o Ưu tiên dữ liệu hiển thị đối với các thiết bị đầu vào.

• Định hướng lại Windows Portable Devices, đặc biệt là các trình đa phương tiện dựa trên giao thức MTP (Media Transfer Protocol) và các camera số dựa trên giao thức PTP (Picture Transfer Protocol).

• Định hướng lại Windows Embedded cho các thiết bị Point of Service

• Cung cấp Single Sign-On (SSO) (khả năng đăng nhập một lần) cho các phiên Terminal Services

• Phân phối các phiên trong TS Farm với TS Session Broker

• Cho phép TS Easy Print có thể in từ TS RemoteApp hay một phiên đầy đủ của desktop ra một máy tại chỗ hoặc máy in chung của mạng được đặt tại một máy tính trạm.

• Đưa vào những cải tiến trong việc cấp phép:

  • Giấy phép truy cập của máy trạm Terminal Services Per-Device cho phép một thiết bị (do một người dùng bất kỳ sử dụng) thực hiện các phiên làm việc Windows trên bất kỳ một máy chủ nào của tổ chức.
  • Giấy phép truy cập của máy trạm Terminal Services Per-User cho phép một người dùng (sử dụng bất kỳ thiết bị nào) thực hiện các phiên làm việc Windows trên bất kỳ một máy chủ nào của tổ chức.

Tính năng nâng cao đối với Services Gateway (TS Gateway)

• Cho phép người dùng ở xa kết nối một cách bảo mật tới các máy chủ đầu cuối workstation ở xa qua firewall và bộ dịch địa chỉ mạng (NAT)

• Cung cấp một mô hình bảo mật hơn, cho phép người dùng chỉ có thể truy cập đến những máy chủ và workstation lựa chọn thay vì kết nối toàn mạng công ty thông qua VPN.

• Tận dụng tối đa tính bảo mật và sẵn có của giao thức HTTP để cấp phát Terminal Service mà không cần cấu hình máy trạm.

• Cung cấp một mô hình cấu hình bảo mật toàn diện, cho phép quản trị viên kiểm soát việc truy cập tới các tài nguyên nhất định trên mạng.
• Dùng HTTPS truyền tất cả các lưu lượng RDP trước đây thường được gửi qua cổng 3389 sang cổng 443.

Tính năng nâng cao đối với Terminal Services Web Access:

• Cho phép quản trị viên cung cấp các chương trình Terminal Services RemoteApp cho người dùng thông qua trình duyệt Web mà người dùng không cần cài đặt bất kỳ một phần mềm nào.

• Cho phép người dùng truy cập Remote Program hoặc toàn bộ các desktop từ một Website qua Internet hoặc từ mạng intranet.

• Chứa một Web Part có thể tuỳ biến, được đưa vào một trang Web tuỳ chỉnh hoặc một trang Windows SharePoint Service của Microsoft.

• Cho phép tùy biến các chương trình có sẵn nhờ tích hợp Group Policy.

Tính năng nâng cao đối với Terminal Services Licensing:

• Cho phép quản trị tập trung các giấy phép TS CAL và các token tương ứng.

• Cho phép phân quyền trách nhiệm, theo dõi, báo cáo giấy phép đối với cả hai phương thức cấp phép Per-device (theo thiết bị ) và Per-user (theo người dùng).

• Đơn giản hóa việc hỗ trợ cho các kênh truyền thông và các chương trình mua khác nhau.

• Giảm thiểu tác động đối với mạng và máy chủ.

Terminal Services và Windows System Resource Manager đem tới những tính năng tăng cường sau

• Cho phép kiểm soát các tài nguyên CPU và bộ nhớ được cấp phát cho các ứng dụng, dịch vụ và quy trình trên máy tính như thế nào.

• Cải thiện hiệu năng của hệ thống

• Giảm cơ hội chiếm dụng riêng tài nguyên CPU hoặc bộ nhớ của các ứng dụng, dịch vụ và quy trình.

• Tạo ra một trải nghiệm người dùng ổn định hơn và có thể đoán trước được trong các ứng dụng và dịch vụ.

Tính năng tăng cường cho Public Key Infrastructure (PKI):

• Cung cấp công cụ PKIView để quản lý và giám sát tính hợp lệ và khả năng truy cập của các vị trí có quyền truy cập thông tin (AIA), danh sách thu hồi giấy phép (CRL), các điểm phân phối (CDP) trong doanh nghiệp.

• Nâng cao khả năng tham gia Certificate Web

• Cung cấp Network Device Enrollment Service (NDES) thông qua Microsoft Simple Certificate Protocol (MSCEP), cho phép xác thực các thiết bị mạng như switch và bộ định tuyến.

• Cung cấp sự cấp phát thông qua Group Policy tất cả các loại chứng nhận sau:

  • Chứng nhận CA gốc được uỷ quyền
  • Chứng nhận uỷ quyền của doanh nghiệp
  • Chứng nhận CA trung gian
  • Chứng nhận nhà xuất bản được uỷ quyền
  • Chứng nhận không được uỷ quyền
  • Người được uỷ quyền

• Cung cấp hỗ trợ Online Certificate Status Protocol (OCSP) như một tùy chọn để xác định tính hợp thức và thu hồi chứng nhận

• Cho phép quản lý Certificate bằng Group Policy

Tính năng nâng cao cho Windows Media Services:

• Tính năng plug-in WMS Cache/Proxy sẵn có có thể được dùng để cấu hình một máy chủ Windows Media như một máy chủ cache/proxy hoặc như một máy chủ proxy ngược đối với các máy chủ WMS khác

• Advanced Fast Start cho phép Windows Media Player bắt đầu chơi nội dung ngay khi bộ đệm (buffer) của nó nhận được một lượng dữ liệu tối thiểu, do vậy, rút ngắn thời gian chờ đợi.

• Play While Archiving cho phép lưu trữ nội dung của chương trình phát, nhờ đó có thể phát lại hoặc sử dụng cho các yêu cầu theo hướng on-demand.

• Chức năng chạy nhanh và tua lại nội dung video được cải tiến sẽ giúp ổn định băng thông sẵn có.

• Điểm bắt đầu phát có thể được cấu hình để bắt đầu phát nội dung sau khi mất điện nhằm giúp người xem không bị gián đoạn khi xem các nội dung phát trực tuyến.

• Đồng hồ Absolute Playlist Time tự động hoá lịch phát chương trình bằng cách gán giá trị đồng hồ thời gian thực trong Coordinated Universal Time (UTC) cho các thuộc tính trong danh sách (playlist) bên máy chủ.

• Hỗ trợ lấy nội dung từ các encoder thay thế hoặc từ các nguồn nội dung khác trong trường hợp encoder chính bị hỏng hoặc ngừng hoạt động.

Nguồn Microsoft Việt Nam

Microsoft Releases "Touch Pack" Games & Apps for Windows 7

Microsoft's Touch Pack for Windows 7 is a collection of Six games and applications optimized for multi-touch enabled displays running Windows 7.

Touch Pack for Windows 7 includes:

Microsoft Blackboard, an intricate game of physics in which you solve a puzzle by creating a fanciful machine on a blackboard.

Microsoft Garden Pond, a tranquil game that takes place in serene Japanese water gardens.

Microsoft Rebound, a game in which you use your fingertips to control Tesla spheres with an electrical field between them to catapult a metal game ball into your opponent's goal.

Microsoft Surface Globe, a program that you can use to explore the earth as a flat 2-D map or as an immersive 3-D experience.

Microsoft Surface Collage, a program that you can use to explore and interact with your photos and arrange them as a desktop background.

Microsoft Surface Lagoon, a screen saver and interactive water simulation, complete with a meditative rock arrangement and playful, shy fish.

Download Link

Certification Paths

Windows Server 2008 Certification Paths

Exchange Server Certification Paths

SQL Server 2008 Certification Paths

Visual Studio Certification Paths

Full Download

CodePlex của Microsoft phát hành "XP-More" công cụ quản lý mảy ảo trong Windows 7

XP-More - Công cụ giúp bạn quản lý trong Windows 7(XP Mode).

Đối với những máy tính Windows 7 sau khi cài đặt máy ảo (XP Mode ) sẽ được tích hợp sẵn Windows XP SP3 khi sử dụng. Các máy ảo này khi cài đặt sẽ được lưu trữ trong một thư muc đặc biệt để bạn có thể tạo, cấu hình và chạy chúng.

Tuy nhiên khi bạn có nhu cầu muốn nhân bản (duplicate) thêm một máy ảo nữa từ máy ảo đang sử dụng thì cần phải thực hiện nhiều thao tác gây khó khăn cho người dùng.

Việc nhân bản có tác dụng tạo nhanh 1 máy ảo mới từ máy ảo đang sử dụng hoặc khi bạn có nhu cầu lưu giữ một bản sao lưu trước khi thực hiện các tiến trình cài đặt khác trên máy ảo của mình.

Để giúp việc nhân bản máy ảo (XP Mode) trong Windows 7 có thể dễ dàng hơn bạn có thể sử dụng XP-More, một công cụ miễn phí, portable giúp quản lý và nhân bản máy ảo một cách nhanh chóng.

Tải--> XP-More

Giao diện gồm 4 phần:

Launch : Chạy máy ảo

Duplicate : Nhân bản máy ảo

Create New : Tạo mới một máy ảo

Tạo mới một máy ảo (Create New) Đặt tên máy ảo và thư mục lưu trữ

Dung lượng Ram sử dụng cho máy ảo

Các tùy chọn ổ cứng cho máy ảo 

Nhân bản một máy ảo (Duplicate)

Network Access Protection trong Windows Server 2008

I. Giới thiệu NAP

1. Nhu cầu về Network Access Protection?

Bảo vệ mạng là thách thức số 1 của hầu hết các tổ chức ngày nay. Điều này trở nên khó đối với nhiều tổ chức là nhiều loại người dùng khác nhau truy cập mạng của họ, bao gồm các nhân viên toàn thời gian làm việc trên các máy tính desktop, các chuyên viên di động cần VPN vào corpnet bằng cách sử dụng các laptop của mình, các nhân viên làm việc từ xa sử dụng máy tính laptop của mình để làm việc từ nhà, các cố vấn và những “vị khách” khác đến địa điểm và cần kết nối laptop của họ với các drop LAN extranet... Nhiều máy tính này cần được nối kết domain nhưng những máy tính khác thì không và do đó không áp dụng Group Policy khi người dùng đăng nhập. Và không phải tất cả máy tính này đều chạy phiên bản mới nhất của Microsoft Windows.

Một số máy tính này sẽ có một Firewall cá nhân được mở và được cấu hình, đây có thể là Windows Firewall hoặc một nhóm sản phẩm thứ ba nào đó. Những máy tính khác có thể không có Firewall, hầu hết sẽ được cài đặt phần mềm chống virus, nhưng những máy tính này có lẽ đã download các file chữ ký (signature) Anti Virus (AV) mới nhất từ nhà cung cấp. Các máy tính client được kết nối thường xuyên với corpnet sẽ có thể có các service pack, hotfix và bản patch an ninh mới nhất được cài đặt, nhưng các máy tính và máy guest không được kết nối domain có thể thiếu một số bản patch.

Toàn bộ hiệu ứng của tất cả điều này là mạng doanh nghiệp ngày nay là nơi nguy hiểm. Nếu bạn là một nhà quản trị mạng và một máy muốn kết nối với mạng của bạn, qua một drop hoặc access point hoăc nối kết RAS hoặc VPN, làm thến nào cho bạn biết cho nó làm như vậy có an toàn không? Phải làm gì nếu bạn cho phép một máy “ốm yếu” – một máy thiếu các bản cập nhật an ninh mới nhất hoặt firewall của nó được tắt hoặc có một file chữ ký AV quá hạn - kết nối với mạng của bạn? Bạn có thể gây nguy hiểm cho tính toàn vẹn của mạng. Làm thế nào bạn có thể ngăn điều này xảy ra? Làm thế nào bạn có thể bảo đảm chỉ có các máy “khoẻ mạnh” được phép truy cập mạng của bạn? Và điều gì xảy ra khi một máy không khoẻ mạnh cố kết nối? Bạn có nên loại bỏ nó ngay tức thì hoặc “cách ly” máy và giúp nó trở nên đủ khoẻ mạnh để được phép kết nối hay không?

2. Network Access Protection là gì?

Network Access Protection là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008, Windows Vista và Windows XP Services Park 3 là một giải pháp được thiết kế để khắc phục các vấn đề trên. Mục đích của NAP là bảo đảm các máy tính tuân theo yêu cầu bảo mật trong tổ chức của bạn. Khi một người dùng nào đó kết nối vào mạng, máy tính của người dùng có thể được mang ra so sánh với một chính sách “sức khỏe” mà bạn đã thiết lập Các nội dung bên trong của chính sách này sẽ khác nhau tùy theo mỗi tổ chức, bạn có thể yêu cầu hệ điều hành của người dùng phải có đầy đủ các bản vá bảo mật mới nhất và máy tính phải đang chạy phần mềm chông virus được cập nhật một cách kịp thời,…và nhiều vấn đề tương tự như vậy. Nếu một máy tính có hội tụ đủ các tiêu chuẩn cần thiết mà bạn đã thiết lập trong chính sách thì máy tính này hoàn toàn có thể kết nối vào mạng theo cách thông thường. Nếu máy tính này không hội tụ đủ các yếu tố cần thiết thì bạn có thể chọn để từ chối sự truy cập mạng cho người dùng, sửa vấn đề lập tức hoặc tiếp tục và cho người dùng sự truy cập nhưng lưu ý về trạng thái của máy tính của người dùng.

NAP không phải là một sản phẩm mà là một nền được hỗ trợ bởi 100 ISV (Independent Software Vendors – đối tác độc lập trong việc sản xuất và phân phối phần mềm) và IHV (Independent Hardware Vendor - các đối tác độc lập trong việc sản xuất và phân phối phần cứng) khác nhau, kể cả các nhà cung cấp AV như McAfee và Symantec, các công ty quản lý bản patch như Altiris và PatchLink, những nhà cung cấp phần mềm an ninh như RSA Security, những nhà sản xuất các thiết bị an ninh bao gồm Citrix, những nhà sản xuất thiết bị mạng bao gồm Enterasys và F5 và những nhà tích hợp hệ thống trong ngành công nghiệp và một số nhà cung cấp hỗ trợ NAP tăng lên hàng ngày.

Thêm vào đó, NAP còn cung cấp bộ thư viện API (Application Programming Interface) cho phép bạn lập trình nhằm tăng cường tính bảo mật cho hệ thống của mình. Hiện nay NAP hỗ trợ triển khai trên những loại hình sau:

a. Dynamic Host Configuration Protocol (DHCP)

Giúp ngăn chặn các máy bị nhiễm Blaster, Slammer hay worm có thể làm tổn hại đến mạng của bạn. Trước tiên server DHCP của bạn phải được cài đặt role service Network Policy Server (NPS) dưới dạng một server RADIUS hoặc được cài đặt dưới dạng một proxy RADIUS. Sau đó client được cấu hình nhận địa chỉ IP bắng cách sử dụng DHCP cố kết nối với server DHCP trên mạng để nhận địa chỉ và truy cập mạng. Server DHCP (NAP) kiểm tra sức khoả client.

Nếu client khoẻ mạnh, nó cho client thuê cấu hình địa chỉ IP đầy đủ và client đi vào mạng. Mặt khác nếu client không tuân theo các yêu cầu chính sách sức khoẻ của NAP, server DHCP cho client vốn chỉ có những thứ sau đây thuê mốt cấu hình giới hạn (địa chỉ ip, subnet mask. Default gateway) đồng thời cho client truy cập chỉ các server đã xác định trên mạng cục bộ. Những server này gọi là server sửa chữa có thể áp dụng các bản vá lỗi, cung cập những bản cập nhật vả thực hiện những hành động khác nhằm giúp cho client phục tùng.

Sau cùng một khi client đã được làm cho cho khoẻ mạnh server DHCP sẽ cho nó thuê một cấu hình địa chỉ IP đầy đủ và bây giờ nó có thể kết nối với intranet.

b. Ipsec with Health Registration Authority (HRA)

Sự thi hành IPSec cho NAP không cách ly một client không phục tùng bằng việc cô lập nó trên một mạng hoặc VLAN giới hạn. Thay vào đó một client không phục tùng đơn giản không nhận một chứng nhận sức khoẻ vì những chứng nhận này chỉ được cung cấp cho cho các máy vốn kết nối với một Health Registration Athority(HRA), gởi một Statement of Health (SoH), vượt qua cuộc kiểm tra sức khoẻ và sau đó nhận trở lại chứng nhận đó. Sau đó những máy khác có policy IPSec bắt buộc chúng chỉ nhận các nối kết đến từ các máy vốn có những chứng nhận sức khoẻ sẽ bỏ qua các kết nối đến từ những máy tính không phục tùng vì chúng không có một chứng nhận sức khoẻ.

Để cấu hình sự thi hành IPSec , bạn cấu hình policy IPSec cho các máy client để yêu cầu một chứng nhận sức khoẻ. Sau đó bạn thiết lập một HRA trên mạng và HRA làm việc cùng với Network Policy Server (NPS) để cấp các chứng nhận sức khoẻ cho những client đáp ứng chính sách sức khoẻ NAP cho mạng. Những chứng nhận này sau đó được sử dụng để xác thực các client khi chúng cố khởi tạo những kết nối được bảo vệ bằng IPSec với những máy khác trên mạng.

HRA là một thành phần chính sử dụng IPSec cho sự thi hành NAP và nó phải là một máy chạy Windows Server 2008 và được cài đặt thành phần IIS7. HRA nhận các chứng nhận sức khoẻ từ các client NAP phục tùng từ một Certification Athority (CA) và CA có thể được cài đặt trên máy Windows Server 2008 hoặc trên một hế thống khác. HRA nhận các chứng nhận sức khoẻ.

c. IEEE 802.1X (Wired và Wireless)

Sự thi hành 802.1X tiền hành như sau

Một thiết bị client có tính năng EAP cố kết nối với Switch có tính năng 802.1x trên mạng. Hầu hết các Switch Ethernet được quản lý hiện đại hỗ trợ 802.1x và để hỗ trợ NAP, Switch phải hỗ trợ sự xác thực 802.1x và việc chuyển mạch V-LAN dựa vào các kết quả xác thực được gởi đến server RADIUS (trong trường hợp này, server RADIUS là NPS cũng sẽ thực thi NAP)

Switch chuyển tiếp tình trạng sức khoẻ khoẻ của client đến NPS để quyết định xem nó có tuân theo chính sách hay không. Nếu client khoẻ mạnh, NPS yêu cầu switch mở cồng và client được cho vào mạng. Nếu việc kiểm tra tính phục tùng thất bại, switch có thể đóng cổng và từ chối cho client đi vào hoặc nó có thể VLAN với client để đặt nó vào trên một mạng cô lập, nơi nó chỉ có thể giao tiếp với các server sửa chữa. Sau khi client được sửa chữa, switch sẽ cho nó đi vào corpnet.

d. Virtual Private Network (VPN)

Để sử dụng VPN làm một cơ chế thi hành NAP, server VPN cần chạy Windows Server 2008 và được cài đặt role service Routing And Remote Access Services trên nó. Về cơ bản việc thi hành VPN được tiến hành như sau:

Client VPN từ xa cố kết nối với server VPN trên mạng vòng ngoài

Server VPN kiểm tra sức khoẻ của client bằng cách liên lạc với server NAP. Nếu client khoẻ mạnh nó thiết lập kết nối VPN và client từ xa hoạt động trên mạng. Nếu client không khoẻ mạnh, server VPN áp dụng một tập hợp bộ lọc gói (packet flters) nhằm cách ly client bằng cách cho nó kết nối chỉ với mạng giới hạn nơi các server sửa chữa được tìm thấy.

Một khi client được sửa chữa, server VPN loại bỏ các bộ lọc gói ra khỏi client và sau đó client có thể kết nối dự do với corpnet.

e. Terminal Services Gateway (TS Gateway)

User nhấp vào biểu tượng Remote Desktop Connection và TS Gateway Client trên máy tính sẽ cố kết nối qua các phương tiện vận chuyển TCP và HTTP đồng thời và xác thực user.

Trong tiến trình xác thực user và sau khi thiết lập quan hệ SSL thì TS Gateway Server yếu cầu một Statement of Health (SoH) ở client cùng một chứng nhận có dạng PKCS#7 với giá trị nonce được tạo ra ngẫu nhiên.

Vì yêu cầu về một SoH đã được thực hiện thay mặt cho một TS Gateway không tin cậy nên TSG - Quarantine Enforcement Client (TSG-QEC) sẽ ngăn chặn yêu cầu. Đầu tiên user Terminal Services phải thêm vào TSG URL trong danh sách server gateway đáng tin cậy trong registry .

Quarantine Enforcement Client sẽ giao tiếp Quarantine Agent (QA) để nhận các Statement of Health (SoH) từ các System Health Agent (SHA). Sau đó TSG-QEC sẽ tạo một yêu cầu SoH bắng cách biên dịch các SoH từ các QA, nonce từ TSGS một khoá đối xứng ngẫu nhiên và tên máy của client. TSG QEC sẽ mã hoá yêu cầu SoH này bằng cách sử dụng khoá chung (puplic key) của TSGW và đưa nó cho TSGC.

TSGC chuyển lớp đã được mã hoá này đến server TSG vốn giải mã và trích xuất SoH, nonce TSGS và khoá đối xứng TSG-QEC. Sau đó, TSGS xác nhận rằng nonce mà nó đã nhận từ TSG-QEC giống với nonce mà nó đã gởi đi trước đó và nếu nó y như vậy, TSGS gởi SoH được giải mã đến server NPS(RADIUS) để hiệu lực hoá.

Server NPS gọi các SHV để hiệu lực các SoH và phát lại với một phản hồi trờ về server NPS và dựa vào sự phản hồi vượt qua hay thất bại (pass/fail) của SHV, server NPS sẽ tạo một phản hồi SoH và sau đó gởi nó đến TSGS.

TSGS chuyển thông tin này đến proxy TSG RADIUS để xác thực GAP (Gateway Authorization Policy) và nếu điền này thành công, proxy TSGS trả về sự thành công với cấp độ thông tin truy cập gateway của nó dựa vào kết quả này, sau đó TSGS cho phép client TS kết nối với server TS.

3. Khía cạnh của NAP

NAP có 3 khía cạnh riêng biệt và quan trọng
- Health state validation (Sự phê duyệt về tình trạng sức khỏe): Khi một máy tính bất kì cố gắng kết nối vào mạng thì tình trạng sức khỏe của máy tính sẽ được đánh giá dựa trên các yêu cầu về sức khỏe do administrator đặt ra.Administrator có thể xác định những việc mà một máy tính cần làm nếu như không đáp ứng được những nhu cầu trên.Trong môi trường Monitoring-only tất cả các máy tính đều cần được đánh giá về tình trạng sức khỏe và tình trạng đáp ứng các nhu cầu về sức khỏe thì nó sẽ được log vào để cho việc phân tích. Trong môi trường kết nối có giới hạn (limited access) thì các máy tính mà nó không đáp ứng được các nhu cầu về sức khỏe thì nó chỉ được kết nối limited access vào mạng ngược lại thì nó sẽ được kết nối không giới hạn vào mạng
- Health policy compliance (Sự đáp ứng các chính sách sức khỏe): Administrator có thể đưa ra các chính sách (policy) đối với các máy tính không đáp ứng được nhu cầu về sức khỏe trước khi cho phép kết nối vào mạng. Administrator có thể chọn các chính sách tự động update cho các phần mềm hoặc những thay đổi về cấu hình trong các phần mềm quản lý như : Microsoft Systems Management Server. Trong môi trường Monitoring-Only thì các máy tính sẽ kết nối vào mạng trước khi nó được update các chương trình cần thiết hoặc các thay đổi về cấu hình. Trong môi trường Limited Access thì các máy tính không đáp ứng được các nhu cầu về sức khỏe sẽ bị giới hạn cho đến khi những chương trình update cần thiết và các thay đổi đổi về cấu hình đã được hoàn tất. Trong cả 2 môi trường trên thì các máy tính tương thích với NAP sẽ tự động đáp ứng các nhu cầu về sức khỏe và Administrator có thể xác định những ngoại lệ đối với những máy tính ko tương thích đối với NAP
- Limit access (Sự kết nối có giới hạn): Administrator có thể bảo vệ mạng bằng cách đề ra các giới hạn kết nối đối với các máy tính không đáp ứng được các yêu cầu về sức khỏe do administrator đề ra. Limit access ở đây có thể là kết nối trong một thời gian nhất định hoặc chỉ cho kết nối đối với một số cái cho phép. Administrator có thể đưa ra một mạng Limit access chứa những nguồn update cần về sức khỏe và các máy tính trong mạng này chỉ được phép kết nối vào mạng khi đã hoàn thành các việc update yêu cầu. Tuy nhiên administrator vẫn có thể đưa ra các ngoại lện cho các máy ko tương thích đối với NAP.
Note : Nền tảng NAP thì không giống với Network Access Quarantine Control khả năng được cung cấp trong w2k3 cho việc bảo vệ mạng từ các kết nối từ xa.

4. Kịch bản cho NAP

NAP cung cấp các giải pháp cho các tình huống thường gặp.
- Xác định tình trạng của các laptop ở ngoài(roaming laptops):
Khả năng linh hoạt tiện lợi dễ dàng xách đi là ưu điểm của laptop nhưng chính các ưu điểm này lại chứa đựng những nguy cơ về sức khỏe cho máy. Những laptop của nhân viên thường được kết nối vào công ty nhưng chúng thường ko được nhận được sự update và những thay đổi về cấu hình,chúng có thể bị nhiễm virus,trojan,.. khi kết nối vào các mạng ko được bảo vệ như internet. Bằng cách sử dụng NAP ,administrator có thể kiểm tra tình trạng của bất kì laptop bào kết nối vào mạng dù là kết nối bằng VPN hay là kết nối trực tiếp vào mạng
- Kiểm tra tình trạng các máy tính để bàn
Mặc dù các máy tính để bàn thì nó không di chuyển nhưng nó vẫn mang mối nguy hiểm đối với mạng , chúng có thể bị nhiễm virus từ internet,email,web, file trong share folder và các kết nối công cộng khác. Để giảm thiểu tối đa nguy cơ này administrator phải duy trì các máy tính này trong tình trjang có được những chương trình update mới nhất.Bằng cách sử dụng NAP administrator có thể kiểm tra toàn bộ mạng coi còn những máy tính nào không đáp ứng được nhu cầu về sức khỏe.Administrator có thể kiểm tra những file log hoặc là thêm vào những chương trình quản lý thì các administrator có thể đưa ra các báo cáo tự động về những máy tính không đáp ứng được nhu cầu về sức khỏe.Khi administrator thay đổi các chính sách về đáp ứng nhu cầu sức khỏe thì máy tính có thể được cung cấp tự động những chương trình update gần đây nhất.
- Kiểm tra tình trạng của các laptop viếng thăm(visting laptops)
Những tổ chức thường cần phải cho phép các nhà tư vấn,bạn kinh doanh và khách hàng kết nối vào mạng riêng của họ. Những laptop này thường không đáp ứng được các nhu cầu về sức khỏe. Bằng cách sử dụng NAP thì administrator có thể quyết định xem laptop visting này có thể đáp ứng được hay không và đưa vào mạng “Limited access”. Thông thường administrator sẽ không yêu cầu hoặc cung cấp bất kì chương trình update hoặc những thay đổi về cấu hình cho những latops này.
- Kiểm tra tình trạng của những máy tính không được quản lý
Những máy tính không nằm trong Active Directory có thể kết nối vào mạng thông qua VPN. Các máy tính này thường sẽ tạo ra những thách thức khó khăn đối với các administrator vì nó không kết nối vật lý đến mạng . Việc thiếu những kết nối vật lý này tạo ra sự tuân theo các yêu cầu về sức khỏe một cách gượng ép như là việc sử dụng phần mềm chống virus hoặc những vấn đề phức tạp hơn. Tuy nhiên đối với NAP thì administrator có thể kiểm tra tình trạng sức khỏe của các máy tính này mỗi lần nó tạo kết nối VPN đến công ty và giới hạn đường truyền (limited access)đối với các máy không đáp ứng được các nhu cầu về sức khỏe.
Tùy thuộc vào các nhu cầu sử dụng của hệ thống mạng mà các administrator có thể xây dựng một hoặc tất cả các kịch bản trên.

II. Những chức năng của NAP

1. Hiệu lực hoá chính sách sức khoẻ

NAP có thể quyết định việc mốt máy tính nào đó có tuân theo một tập hợp yêu cấu chính sách sức khoẻ mà bạn, nhà quản trị có thể định nghĩa cho mạng của bạn hay không. Ví dụ, một trong các yêu cầu sức khoẻ có thể là tất cả máy tính trên mạng phải được cài đặt mốt Firewall dựa vào host và nó phải được mở. Một yêu cầu khác có thể lá tât cả máy tính trên mạng phải được cài đặt bản cập nhật phần mềm mới nhất.

2. Hiệu lực sự truy cấp mạng

NAP có thể giới hạn sự truy cập đến các tài nguyên mạng cho những máy tính vốn không tuân theo những yêu cầu chính sách sức khoẻ. Việc giới hạn truy cập này bắt đầu từ việc ngăn máy tính không tuân theo khỏi kết nối với bất kỳ máy tính khác trên mạng của bạn cho đến việc cách ly chúng trên một subnet và hạn chế sự truy cập của chúng chỉ chúng chỉ trong một tập hợp máy giới hạn. Hoặc bạn có thể chọn không giới hạn sự truy cập gì cả cho các máy tính không phục tùng và đơn giản ghi chép sự hiện diện của chúng trên mạng cho những mục đích báo cáo; đó là sự lựa chọn của bạn – NAP cho bạn, nhà quản trị kiểm soát cách bạn giới hạn sự truy cập mạng dựa vào sự phục tùng.

3. Sửa chữa tự động

NAP có thể tự động sửa chữa các máy tính không phục tùng đang cố truy cập mạng. Ví dụ, bạn có một laptop không có cài đặt các bạn cập nhật an ninh mới nhất. Bạn cố kết nối với corpnet và NAP nhận dạng máy của bạn là không tuân theo các sức khoẻ corpnet, do đó nó cách ly máy của bạn trên một subnet giới hạn nơi nó có thể tương tác chỉ với các server Windows Server Update Services (WSUS). Sau đó NAP hướng máy bạn sang các server WSUS và yêu cầu nó đi tìm các bản cập nhật từ những server này. Máy của bạn download các bản cập nhật. NAP xác nhận rằng bây giờ máy của bạn khoẻ mạnh và bạn được phép truy cập vào corpnet. Sự sửa chữa tự động như vậy không chỉ cho phép NAP ngăn các máy không khoẻ mạnh kết nối với mạng của bạn mà nó còn giúp những máy đó trở nên khoẻ mạnh để có thể truy cập vào tài nguyên mạng cần thiết.. Dĩ nhiên NAP cho bạn, nhà quản trị mạng quyền điều khiển, do đó bạn có thể tắt chức năng sửa chữa nếu bạn muốn và yêu cầu NAP hướng máy không phục tùng sang một website nội bộ.

4. Sự phục tùng đang tiến triển

Sau cùng NAP không chỉ kiểm tra sự phục tùng khi máy tính nối kết với mạng. Nó tiếp tục kiểm chứng sự phục tùng trên cơ sở đang tiến triển để bảo đảm rằng máy vẫn khoẻ mạnh trong toàn bộ thời gian nó được kết nối với mạng.

III. Cấu trúc của NAP:

Toàn bộ cấu trúc của NAP thể hiện những thành phần

Ở bên trái hình là các client cố đi vào mạng và các server sửa chữa vốn có thê cung cấp các cập nhật cho chúng để di chuyển tình trạng sức khoẻ của những client này từ không khoẻ mạnh đến khoẻ mạnh. Những server sửa chữa này có thể là những sản phẩm Microsoft chẳng hạn như System Center Configuration Manager 2007 hoặc Windows Server Update Services (WSUS) hoặc chúng có thể là các sản phẩm nhóm thứ ba từ các nhà cung cấp AV, nhà cung cấp quản lý patch.

Bây giờ để một máy client gia nhập vào một hạ tầng NAP, máy này phải có 1 client NAP. Client NAP có một số lớp sau đây:

1. Enforcement Client

Đôi khi được viết tắt là EC. Một  Enforcement Client là một máy khách đang thực hiện kết nối vào mạng của bạn. Cần phải lưu ý rằng không phải tất cả các máy trạm đều tương thích với Network Access Protection. Để được xem xét là Enforcement Client, máy trạm phải có thể chạy thành phần System Health Agent. Chỉ Windows Vista và Windows XP SP3 mới có khả năng chạy System Health Agent và chính vì vậy chỉ có các hệ điều hành máy trạm này tương thích với Network Access Protection.

2. System Health Agent (SHA)

System Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm và kiểm tra Windows Security Center. Tác nhân này chịu trách nhiệm cho việc báo cáo các thông tin về trạng thái sức khỏe của hệ thống đối với máy chủ Enforcement Server nhờ sự kết nối.

3. Quarantine Agent (QA)

Còn được gọi là NAP Agent, về cơ bản đây là một lớp môi giới lấy thông tin tình trạng sức khoẻ được thu nhập bởi SHA và đóng góp chúng thành một danh sách và sau đó chuyển đến các Enforcement Client để xử lý một cách phù hợp.

Ở giữa hình là các thiết bị kiểm soát truy cập mạng mạng. Những thiết bị này cấn có khả năng liên vận hành với hạ tầng NAP để chuyển các báo cáo sức khoẻ đến những server NPS để đánh giá sức khoẻ

Sau cùng bên phải hình là Network Policy Server (NPS) và các server sức khoẻ hệ thống hay còn gọi là policy server.

NPS là 1 Remote Authentication Dial-In Service (RADIUS) server và proxy trong W2K8. Là một RADIUS server ,NPS cung cấp các dịch vụ authentication,authorization và accounting(AAA) cho nhiều loại đường truyền khác nhau. Đối với Authentication và Authorization,NPS sử dụng Active Directory (AD) để xác minh người sử dụng hoặc sự ủy nhiệm và có được user và account khi cố gắng kết nối vào 802.1X-authentication hoặc kết nối bằng VPN.
NPS cũng đóng vai trò như là 1 Healthy policy server. Administrator xác định các yêu cầu về sức khỏe theo dạng của chính sách về sức khỏe trên NPS server. NPS server đánh giá các thông tin về sức khỏe được cung cấp bởi NAP client để quyết định sự tuân thủ hay không tuân thủ các yêu cầu sức khỏe,tập hợp những việc cần làm cho NAP client để tuân theo các yêu cầu về sức khỏe.
NPS có cấu trúc xếp lớp như sau :

4. Enforcement Server (ES)

Enforcement Server là một máy chủ dùng để thi hành các chính sách đã được định nghĩa bởi NAP.

5. System Health Validator (SHV)

System Health Validator sử dụng các thông tin mà nó thu lượm được từ System Health Agent và so sánh với các thông tin về trạng thái “sức khỏe” như định nghĩa.

6. Quarantine Server(QS)

Là đối tượng môi giới giữa các SHV chạy trên NPS và các ES chạy trên server NAP

7. Remediation Server

Một remediation server là một máy chủ để tạo khả năng truy cập cho các máy khách không có đủ các tiêu chuẩn truy cập mạng như đã được thiết lập. Một máy chủ remediation server (tạm dịch là máy chủ dùng để điều đình lại) sẽ chứa tất cả các cơ chế cần thiết cho việc tạo một sự đồng thuận của  máy khách với các chính sách. Cho ví dụ, máy chủ này có thể sử dụng các bản vá bảo mật cho máy khác thực thi.

IV. Các hạn chế của NAP

Có một thứ mà chúng tôi muốn đề cập về NAP là nó cung cấp cho bạn một cách nâng cao sự bảo mật cho các tổ chức, tuy nhiên lại không thay thế được các cơ chế bảo mật khác mà bạn đang sử dụng. Network Access Protection không thỏa mãn được sự hài lòng trong trường hợp bảo đảm các máy khách từ xa tuân theo chính sách an ninh mạng. Trong thực tế, nó sẽ có thể thực hiện một công việc tốt hơn đối với việc thực thi chính sách này theo thời gian vì nó này được dựa trên các chuẩn mở. Điều này có nghĩa rằng các hãng phần mềm thứ ba sẽ có thể viết các module chính sách cho riêng bạn, chính sách này sẽ cho phép bạn tạo các chính sách bảo mật để sử dụng cho phần mềm của các nhóm thứ ba đang chạy trên enforcement client.

Những gì Network Access Protection không thể thực hiện được là ở chỗ, nó không thể tránh được các kẻ xâm phạm bừa bãi vào mạng. Network Access Protection chỉ bảo đảm rằng các máy trạm đang được sử dụng cho việc truy cập từ xa có đủ các tiêu chuẩn. Chính vì vậy, Network Access Protection sẽ chỉ ngăn được hacker nếu máy tính không thỏa mãn chính sách an ninh mạng của bạn còn trong trường hợp máy tính của hacker đồng thuận theo chính sách này thì sẽ rất khó để có thể thiết lập truy cập của hacker là truy cập bị từ chối.

V. Cơ chế làm việc của NAP

NAP được thiết kế để administrator có thể định cấu hình của nó để đáp ứng các nhu cầu cá nhân trong mạng của họ. Do đó cấu hình thật sự của NAP sẽ thay đổi tùy vào sở thích và yêu cầu của những nhà quản trị. Tuy nhiên thì cách hoạt động cơ bản của NAP thì vẫn giống nhau.

Khi có được 1 sự chứng nhận về sức khỏe , việc thực hiện một 802.1X-authenticated hoặc kết nối VPN đối với mạng nội bộ hoặc lấy hoặc nhận mới 1 IP từ DHCP server thì các NAP client sẽ được phân loại theo 1 trong các cách sau:
Những NAP client đáp ứng được các nhu cầu về sức khỏe sẽ được phân vào nhớm đủ tiêu chuẩn và có đường truyền không giới hạn hoặc giao tiếp thông thường với mạng nội bộ.
Những NAP client không đáp ứng được nhu cầu về sức khỏe được phân vào nhóm không đủ tiêu chuẩn và bị giới hạn về đường truyền trong những khu vực có giới hạn cho đến khi nào đủ tiêu chuẩn. Một NAP không đủ tiêu chuẩn khi nó chứ những mã nguồn nguy hiểm,virus,..hoặc không có những phần mềm update cần thiết,những cài đặt cấu hình yêu cầu bởi những yêu cầu về sức khỏe. Do đó những NAP client không đủ tiêu chuẩn sức khỏe sẽ mang đến những nguy cơ về sức khỏe đối với mạng nội bộ. SHAs trong NAP client có thể tự động cập nhật cho những máy tính có đường truyền giới hạn bằng những phần mềm hoặc cài đặt cấu hình yêu cầu không giới hạn đường truyền.

Hình A: Thực thi NAP yêu cầu tới một vài máy chủ

Sau đây là mô tả đơn giản hoạt động của NAP khi một laptop không phục tùng chạy Windows Vista cố VPN vào corpnet bằng cách kết nối với một server VPN chạy Windows Server 2008 khi một hạ tầng NAP đã được triển khai:

Windows Vista client đang được kết nối với máy chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access (RRAS)). Máy chủ này đóng vai trò như một VPN server cho mạng. Windows Vista client thiết lập một kết nối với máy chủ VPN này theo cách thức thông thường.

Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ phải hợp lệ bằng RADIUS protocol. Máy chủ chính sách mạng (NPS) sẽ xác định chính sách “sức khỏe” nào đang bị gây ảnh hưởng và điều gì sẽ xảy ra nếu máy khách từ xa không thỏa mãn chính sách này. Chỉ khi client thoả mãn yêu cầu chính sách của NPS thì lúc này client mới được phép truy cập vào các tài nguyên trên mạng.

Terminal Services (Phần 3)

Bảo mật Terminal Services của Windows Server 2008

Một số nâng cao choTerminal Services trong Windows Server 2008

Sử dụng chứng thực Smart Cards

Sử dụng Smart Cards, người dùng không chỉ phải cung cấp các tiêu chuẩn đăng nhập hợp lệ mà còn phải có thể kết nối vật lý với thẻ thông minh đến thiết bị mà họ đang sử dụng như một thiết bị đầu cuối ở xa.

Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy Object để sử dụng cho Terminal Server. Trong GPO, duyệt đến Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options và kích hoạt thiết lập Interactive Logon: Require Smart Card. Thêm vào đó bạn cũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đến Terminal Server bằng cách tích vào hộp kiểm Smart Cards trên tab Local Resources của Remote Desktop Connection trên các máy trạm của người dùng.

Hình 1

Thực thi thẩm định mức mạng đối với tất cả máy khách

Network Level Authentication (NLA) là một tính năng được giới thiệu trong phiên bản 6.0 của Remote Desktop Connection Client, tính năng này cho phép người dùng nhập vào trước các tiêu chuẩn đăng nhập của họ để sẽ được hiển thị tại cửa sổ đăng nhập của Windows Server. Windows Server 2008 cho phép chúng ta sử dụng tiện ích này và yêu cầu tất cả các máy khách đang kết nối để sử dụng nó.

Hình 2

Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy khách đang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows 7) cũng như đang chạy Remote Desktop Connection 6.0 hoặc cao hơn. Bạn có thể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sử dụng NLA bằng các cách sau:

• Trong suốt quá trình cài đặt Terminal Services role ban đầu, khi bạn thấy màn hình Specify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.

• Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải vào kết nối terminal server đang được sử dụng bởi các máy khách và chọn properties, sau đó chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.

• Tạo một Group Policy Object, duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Security, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting và sử dụng nó cho một OU gồm có terminal server.

Thay đổi cổng RDP mặc định

Mặc định, Terminal Server thường sử dụng cổng 3389 cho lưu lượng RDP. Và một số hacker thành thạo trên thế giới đều biết được điều đó. Chính vì vậy một trong những thay đổi nhanh nhất mà bạn có thể thực hiện đối với môi trường Terminal Server của mình để tránh những kẻ xâm nhập và thay đổi thỏa thuận cổng mặc định.

Để thay đổi cổng RDP mặc định cho Terminal Server, bạn hãy mở regedit và duyệt đến HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Tìm key PortNumber và thay thế giá trị hex 00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sử dụng.

Cách khác, bạn có thể thay đổi số cổng được sử dụng bởi Terminal Server của mình trên một kết nối cơ bản. Vẫn sử dụng regedit, duyệt đến HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection name. Tiếp đó, tìm đến key PortNumber và thay thế giá trị hex bởi một giá trị khác mà bạn muốn.

Cần phải lưu ý rằng khi thay đổi thiết lập trên máy chủ này, tất cả các máy khách kết nối cần phải được bảo đảm rằng chúng đang kết nối đến Terminal Server với cổng mới đã được gắn thẻ trên địa chỉ IP của các máy chủ. Cho ví dụ, việc kết nối đến Terminal Server với một địa chỉ IP trong là 192.168.0.1 có nghĩa hiện đang sử dụng cổng non-standard 8888 sẽ yêu cầu người dùng nhập 192.168.0.1:8888 vào Remote Desktop Connection.

Hình 3

In ấn dễ dàng và hạn chế máy in được chuyển hướng

Việc in ấn từ các thiết bị được kết nối nội bộ với các máy trạm client luôn là một yếu điểm của Terminal Services trước Windows Server 2008. Để thực hiện điều đó, bạn phải bảo đảm giống chính xác phiên bản của driver máy in đã được cài đặt trên cả máy chủ và máy khách, mặc dù vậy đôi khi sau đó vẫn không có sự làm việc. Từ quan điểm bảo mật, chúng ta không bao giờ muốn cài đặt thêm nhiều driver vào hệ thống của mình ngoài những gì bắt buộc. Mỗi một driver được cài đặt vào máy chủ đều có tiền ẩn khả năng mở rộng bề mặt tấn công của nó.

Windows Server 2008 đã giới thiệu một tính năng có tên Easy Print, tính năng này sẽ thay đổi triệt để cách kết nối nội bộ các máy in được quản lý. Về bản chất, TS Easy Print là một driver phục vụ như một proxy để tất cả dữ liệu máy in được chuyển hướng qua. Khi một máy khách in đến một thiết bị bằng driver Easy Print, các thiết lập dữ liệu và máy in sẽ được chuyển đổi thành định dạng phổ biến rồi gửi đến Terminal Server xử lý. Thực hiện điều này, sau khi kích in, hộp thoại máy in sẽ được khởi chạy từ máy khách, không trong terminal session. Điều này có nghĩa rằng không driver nào đã được cài đặt cho Terminal Server để xử lý các công việc in từ các thiết bị in kết nối nội bộ.

Để cấu hình Easy Print, bạn cần phải bảo đảm tất cả các thiết bị in được gắn nội bộ phải có các máy in logic được cấu hình trên các máy khách đã thiết lập để sử dụng driver của Easy Print. Tính năng Easy Print được hỗ trợ bởi tất cả các máy khách Windows XP SP3, Windows Vista và Windows 7 đang chạy Remote Desktop Connection 6.1 hoặc mới hơn và .NET Framework 3 SP1.

Hình 4

Khi đã cấu hình các thiết bị gắn nội bộ ở mức máy trạm, bạn cần bảo đảm rằng máy in duy nhất được chuyển hướng đến Terminal Server là máy in đang sử dụng TS Easy Print, thành phần được thiết lập như một máy in mặc định. Bạn có thể thực hiện điều này bằng cách tạo một Group Policy Object và duyệt đến Computer Configuration\ Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection, sau đó kích hoạt tùy chọn Redirect only the default client printer.

Hạn chế các tài khoản người dùng

Chúng ta cần phải biết rằng, khi một người dùng nào đó đang kết nối hay đang làm việc trực tiếp từ một máy chủ vốn đã có sự truy cập đến một vài thứ mà họ không cần đến, và để tạo một môi trường an toàn hơn, chúng ta cần phải hạn chế điều đó. Đây không chỉ là biện pháp để bảo vệ các tiêu chuẩn của người dùng đang được thỏa hiệp mà còn bảo vệ người dùng  chính đáng với những ý định không chính đáng. Một số thứ mà chúng ta có thể thực hiện ở đây là:

Sử dụng các tài khoản cụ thể cho người dùng

Người dùng có thể làm việc nội bộ với các ứng dụng nào đó, sau đó truy cập vào Terminal Server để truy cập đến các ứng dụng khác. Việc sử dụng cùng một tài khoản cho truy cập nội bộ và truy cập từ xa sẽ đơn giản hơn trong vấn đề quản lý, tuy nhiên nó cũng dễ bị thỏa hiệp hơn bởi các kẻ tấn công có thể thỏa hiệp một loạt các tiêu chuẩn để truy cập vào các ứng dụng. Việc tạo một tài khoảng người dùng riêng biệt cho sự truy cập Terminal Server và hạn chế quyền của nó cho những ứng dụng cần thiết sẽ giảm nhẹ được sự ảnh hưởng của kiểu thỏa hiệp này.

Sử dụng các chính sách hạn chế phần mềm

Các chính sách hạn chế phần mềm có thể được cấu hình để cho phép hoặc từ chối sự sử dụng đối với một số ứng dụng nào đó và vẫn được sử dụng trong các máy tính công cộng, mặc dù vậy chúng cũng rất tuyệt trong các môi trường Terminal Server.

Kiểm tra sự truy cập người dùng vào máy chủ Terminal bằng Group

Mặc định, chỉ có các thành viên của nhóm Terminal Servers Remote Desktop Users (và Domain/Local Administrators) mới có thể đăng nhập vào Terminal Server đó. Tuy nhiên bạn cần minh chứng và thẩm định các thành viên nhóm một cách thường xuyên. Nếu người dùng không cần đăng nhập vào một Terminal Server, hãy remove họ khỏi nhóm người dùng ở xa.

Cấu hình bảo mật bổ sung bằng Group Policy

Nhiều cải tiến bảo mật cho các môi trường Terminal Server được cung cấp thông qua Group Policy. Đây là một số ví dụ điển hình mà chúng tôi muốn giới thiệu cho các bạn.

1.  Hạn chế người dùng Terminal Services vào một Session từ xa

Trong hầu hết các trường hợp, một người dùng không cần khởi tạo nhiều session trên một Terminal Server. Việc cho phép người dùng khởi tạo nhiều session sẽ làm cho môi trường của bạn có nhiều lỗ hổng cho tấn công từ chối dịch vụ (DoS), do các tiêu chuẩn của người dùng bị thỏa hiệp. Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Connections bên trong GPO của bạn.

2. Không cho phép sự chuyển hướng drive

Trừ khi bạn có một nhu cầu nào đó thật cần thiết, khi đó mới cho phép người dùng truy cập vào các ổ đĩa nội bộ từ một Terminal Server session vì hành động này có thể tạo một kênh truyền thông không an toàn. Với khả năng này, người dùng không chỉ copy dữ liệu vào một Terminal Server mà dữ liệu có thể chứa mã độc và có thể được thực thi trên máy chủ.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên trong GPO.

3. Thiết lập hạn chế thời gian cho các Session bị hủy kết nối

Nhìn chung, chúng ta nên cho phép người dùng thoát khoải một session mà không cần đăng xuất hoàn toàn. Vì khi ai đó có thể tăng điều khiển trên session này thì họ có thể sẽ truy cập vào phần dữ liệu nhạy cảm hoặc biết được răng họ đã được xác thực cho ứng dụng mạng khác. Cách tốt nhất để khắc phục tình trạng này là thiết lập sự hạn chế về thời gian ở mức thấp để hủy kết nối các session. Khi đến giới hạn thời gian, session sẽ bị đóng lại.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên trong GPO.

4. Vô hiệu hóa bộ cài Windows

Chỉ các quản trị viên mới có quyền cài đặt các ứng dụng vào Terminal Server. Trong hầu hết các trường hợp, không cho người dùng được phép cài đặt các ứng dụng nếu họ không đăng nhập với quyền quản trị viên. Mặc dù vậy, nếu một số người dùng nào đó được cho là cần phải có hành động nâng đặc quyền thì bạn có thể hạn chế khả năng cài đặt một số chương trình bằng cách vô hiệu hóa Microsoft Windows Installer.

Có thể cấu hình thiết lập này bằng cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Windows Installer bên trong GPO. Cần lưu ý rằng bạn phải cấu hình thiết lập này là Enabled thay cho Always. Như vậy sẽ bảo đảm rằng bạn vẫn có thể publish các ứng dụng cho Terminal Server thông qua Group Policy.  Còn sử dụng tùy chọn Always sẽ không cho phép bạn thực hiện điều đó.

5. Hạn chế thư mục

Mặc dù chúng ta (các quản trị viên) có cung cấp nhiều location riêng và công cho việc lưu trữ bảo mật dữ liệu nhưng một số người dùng của chúng ta vẫn tùy tiện lưu dữ liệu trên desktop của họ. Tuy nhiên có một cách để tạo một bức tường bảo vệ dữ liệu cho họ đó là chúng ta có thể chuyển hướng (redirect) desktop của họ đến một location lưu trữ thích hợp trên một file server.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User Configuration\Windows Settings\Folder Redirection bên trong GPO. Desktop của người dùng là thư mục mà chúng ta có thể chuyển hướng.

6. Chặn truy cập vào Control Panel

Cũng như với Microsoft Installer, người thông thường không nên truy cập vào Control Panel nói chung. Mặc dù vậy, nếu những người nào đó cần phải có các đặc quyền quản trị viên để thực hiện một số thao tác thì bạn cũng có thể hạn chế sự truy cập của họ vào control panel bằng cách cấu hình thiết lập này.

Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User Configuration\Administrative Templates\Control Panel bên trong GPO.

Kích hoạt log

Các thiết lập log Microsoft khuyên dùng dưới đây:

• Audit Account Logon Events - No Auditing
• Audit Account Management - Audit Success and Failure
• Audit Directory Services Access - No Auditing
• Audit Logon Events - Audit Success and Failure
• Audit Object Access - Audit Failure
• Audit Policy Change - Audit Success and Failure
• Audit Privilege Use - Audit Failure
• Audit Process Tracking - Audit Failure
• Audit System Events - Audit Success and Failure

Cùng với các thiết lập đó, bạn cũng có thể sử dụng log kết nối Connection Auditing bên trong Terminal Services. Cách thức này sẽ cho phép bạn ghi lại một vài mục cụ thể của Terminal Server. Để xem và cấu hình các thiết lập này, bạn hãy mở Terminal Services Configuration snap-in, kích chuột phải vào kết nối mà bạn muốn kích hoạt thẩm định, sau đó kích Properties. Vào tab Security, kích Advanced, đánh tên người dùng của tài khoản muốn kích hoạt ghi log. Ở đây bạn có thể chọn một trong các tùy chọn được liệt kê sẵn.

Hình 5

Source Quantrimang(Theo Windowsecurity)

Terminal Services (Phần 2)

Cài đặt và cấu hình Terminal Service

Chuẩn bị: Hệ thống gồm:

- Server: Windows Server 2008

+ Tạo local user: sv1/123 , sv2/ 123 và add vào group remote desktop users

+ Bật chế độ remote desktop trên máy server.

+ Change password Adminstrator là 123

- Client: Windows XP.

Thực hiện:

1. Cài đặt Terminal Services:

Start –> Programs –> Administrative Tools –> Server Manager

Chuột phải Roles –> Add Roles

Before you begin –> Next

Chọn Terminal Services –> Next

Hộp thoại Instruction to Terminal Services –> Next

Chọn Terminal Server –>  Next

Application Compatibility để mặc định –>Next

Authentication Method –> Chọn Do Not Require Network Level Authentication –> Next

Licensing Mode –> Configure later –> Next

Add 2 user sv1 và sv2 vào để có thể access the terminal server

Confirmation Installation –> chọn Install. Sau khi cài đặt xong thì chọn Restart –> OK

Kiểm tra Remote Connection đã được enable

Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote

2. Thêm các chương trình ứng dụng RemoteApp:

- Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager.

- Menu Action –> Add RemoteApp Programs.

Menu Action –> Add RemoteApp Programs

Màn hình Wellcome –> Next

Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng cho Client –> Next

Review Setting –> Finish

Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuột vào application và chọn Create Windows Installer Package

Màn hình Welcome –> Next

Để mặc định các thông số cấu hình –> Next

Chọn Finish

3. Chia sẻ folder chứa file ứng dụng:

C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share Folder –> Everyone Allow-Read –> OK

4. Kiểm tra trên máy client:

Start –> Run –> Nhập địa chỉ ip Remote Server

Vd: \\192.168.1.38 àOK

Hộp thoại yêu cầu khai báo username/password đăng nhập –>  Nhập sv1/123 –> OK

Chọn ứng dụng cần dùng

Chọn Connect

Nhập vào user chứng thực –> OK

Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra

Triển khai các ứng dụng RemoteApp thông qua TS Web Access:

1. Cài đặt TS Web Access trên Terminal Server:

- Server Manager –> Terminal Services –> Add Role Services.

Chọn TS Web Acess –> Next

Chọn Add Require Role Services

Để các thông số mặc địnhàNextàChọn Install

Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager

Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access

Kiểm tra trên Terminal Client

Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server

http:// 192.168.1.38/ts –> Enter

Hộp thoại khai báo username và password xuất hiện. Nhập sv1/123

Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng

Terminal Services (Phần 1)

Giới thiệu

Terminal Service Remote Application là một tính năng mới trên Windows Server 2008. Các chương trình ứng dụng sẽ được cài đặt sẵn trên Windows Server 2008, các máy trạm tuy không cài đặt chương trình ứng dụng, nhưng vẫn có thể khai thác các chương trình ứng dụng đó trên máy chủ thông qua Terminal Service.

1. Đặc điểm:

-Sự truy cập liền mạch . Người dùng truy cập vào các ứng dụng hosting từ xa một cách liền mach như các ứng dụng đang được cài đặt cục bộ. Các ứng dụng hosting có thể cư trú trên các ứng dụng được cài đặt cục bộ.

- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản.

-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty không có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh.

-Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống

- Các máy trạm không cần phải có cấu hình phần cứng mạnh và doanh nghiệp không phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này. Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (Client Access License), và chi phí này vẫn thấp, có thể chấp nhận được
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên. Có thể download RDC 6.0 cho Windows 2003 SP1 và Windows XP Professional SP2 tại http://support.microsoft.com/default.aspx/kb/925876.

2. Các hình thức máy trạm kết nối đến máy chủ:

- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng dụng trên máy chủ:

Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1. RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP Professional Service Pack 3.

Sử dụng Network Access: Máy chủ tạo sẵn file .rdp (mỗi chương trình ứng dụng tương ứng 1 file .rdp) và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máy chủ.

Sử dụng Network Access: Máy chủ tạo sẵn file .msi (mỗi chương trình ứng dụng tương ứng 1 file .msi)và được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trình ứng dụng trên máy chủ. Các shortcut này được cài đặt trong Start menu của máy trạm, cụ thể là mục Remote Application. Máy trạm chạy các shortcut đó để khai thác chương trình ứng dụng trên máy chủ.

Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy trạm.

Internet Explorer 8 – Add Ons Account for 70% Problems

According to Microsoft in a whitepaper released today most add-ons to IE8 are the cause of the browsers problems, from speedy performance issues to crashes. Microsoft has detailed several problems associated with browser add-ons. These include toolbars, malware, and restricted sites. They also discuss other topics such as User Agent String and concurrent download settings. The white paper by itself is a useful tool and performance guide for IE8 users who have trouble with their browser’s speed, or performance, or operation.

List of Add Ons

According to Microsoft ” Although browser add-ons can add great new features to your browser, they can also introduce performance issues if written poorly. Add-ons cause most browser crashes, accounting for over 70 percent of Internet Explorer 8’s crashes. Slowdowns in Internet Explorer 8 are very often caused by add-ons—especially when you open a new browser window or tab.”

Where other Browsers Stand on Add Ons

While Microsoft is warning about using add-ons, their two biggest competitors in the browser market, Firefox and Chrome, want add-ons on their browsers. Because the Chrome and Firefox browsers are easier to write add-ons for, developers will find it easier develop add-ons for them. Both browssers take pains to use the browser system in ways that Microsoft doesn’t

Both Chrome and IE ensure that a problem page does not bring down the whole browser; they isolate tabs. They also isolate plugins in order to minimize the damage that can be done when they crash. Microsoft could do well, therefore, to take the same approach to add-ons, they should be taken into a separate process so that their bad performance cannot take down the browser. Also, add-ons should update themselves from within the browser. Now users have to perform updates and maybe log off to get the upgrade to take. Users should not have to watch and monitor every add-on they have; but that begs the question on automatic updating. With a poorly written update this will affect more users; they have to be well written for starters.

Microsoft claims that IE add-ons are easy to develop and to prove that the developer tools are not on a separate download. But IE still isn’t a good platform as other browsers: plugins have a harder time intercepting Web traffic, so this makes add-ons like NoScript harder to port.

Source: Internet Explorer 8 Performance Whitepaper

Cấu hình và cài đặt cơ bản dịch vụ FTP trên Windows Server 2008

I. Giới thiệu:

- FTP là chữ viết tắc của File Transfer Protocol - Giao thức truyền file. FTP là một giao thức truyền file trên mạng dựa trên chuẩn TCP nên đáng tin cậy!

- Giao thức truyền tải file - FTP là công cụ quản lý files giữa các máy. FTP cho phép truyền và tải files, quản lý thư mục, và lấy mail. FTP không được thiết kế để truy nhập và thi hành files, nhưng nó là công cụ tuyệt vời để truyền tải files.

- Windows Server 2008 hỗ trợ 2 version FTP servers là FTP 6.0 và FTP 7.5 . Ở version FTP 7.5 được hỗ tăng cường tính bảo mật và công cụ cho nhà quản trị dễ quản lý.

Những điểm mới
FTP Publishing Server mới gồm có rất nhiều tính năng và các cải thiện. Dưới đây chúng tôi sẽ chỉ ra một số chủ đề mới chính và mô tả một trong số các nâng cao mới này.

• Sự tích hợp với IIS 7.0
  FTP service mới này được tích hợp mạnh với giao diện quản trị hoàn toàn mới và kho lưu trữ cấu hình của IIS 7.0

• Hỗ trợ cho các chuẩn Internet mới
  FTP service mới hỗ trợ FTP trên SSL, cũng được biết đến như FTPS hoặc FTP/SSL và sử dụng chứng chỉ khóa công (SSL/TLS). Bạn không nên nhầm lẫn nó với SFTP hoặc FTP trên SSH, đây hoàn toàn là một chuẩn khác hiện không hỗ trợ bởi Microsoft FTP Publishing Service. Nó cũng hỗ trợ các cải thiện khác như UTF8 và IPv6.

• Chia sẻ hosting
  FTP service mới được cải thiện và được tích hợp hoàn toàn vào IIS 7.0, nó có thể cấu hình FTP và các nội dung web từ cùng một site bằng cách add một FTP binding (kết nối FTP) vào một website đang tồn tại. Dịch vụ FTP cũng có sự hỗ trợ cho hostname ảo, dịch vụ này làm cho nó có thể hosting nhiều site FTP trên cùng một địa chỉ IP. Nó cũng cải thiện cả sự cách ly người dùng dùng thông qua các thư mục ảo.

• Khả năng mở rộng
  Dịch vụ FTP mới này có hỗ trợ khả năng mở rộng (API), tính năng này làm cho nó trở nên dễ dàng hơn đối với các hãng phần mềm trong việc viết các tùy chỉnh cho việc chứng thực FTP.

• Logging
  Việc logging của FTP đã được cải thiện và nâng cao để gộp tất cả lưu lượng FTP vào các file bản ghi

• Các tính năng khắc phục sự cố
  IIS 7.0 có một số tính năng khắc phục sự cố mới, như Event Tracing cho Windows (ETW), dịch vụ FTP hỗ trợ tính năng này cùng với việc cung cấp các thông báo xử lý lỗi chi tiết và các thông báo đến người dùng cục bộ, cũng là một tùy chọn mới cho IIS 7.0.

II. Cài đặt và cấu hình:

1. Cài đặt:

* Để cài đặt FTP trên hệ điều hành windows 2008 yêu cầu server đã cài đặt IIS 7.0 (Internet Information Services).

- Vào “Server Manager” chọn “Roles” – “Web Server(IIS)” – phải chuột chọn “Add Role Services”:

- Tick chọn “FTP Publishing Service”:

- Khi tick vào “FTP Publishing Service” sẽ có 1 thông báo xuất hiện , thông báo việc cài đặt các dịch vụ phụ kèm theo:

- Cài đặt hoàn tất:

2. Cấu hình: tạo một FTP site

- Trước tiên , ta tạo thư mục cần public:

- Vào “Start” – “Administrator Tools” - “Internet Information Services (IIS) 6.0 Manager”. Bấm phải chuột vào “FTP Sites” hoặc “Default FTP Site” chọn “New” – “FTP Site..”

- Điền tên gợi nhớ:

- Nhập IP máy server và dùng port mặc định FTP là 21:

- Chọn các mức bảo vệ file và ngăn chặn truy cập:

· Do not isolate users : cho phép tất cả user đăng nhập vào FTP site

· Isolate users : mỗi user sẽ tự được đưa vào thư mục chỉ định

· Isolate users using Active Directory : Cho phep user đăng nhập vào FTP site nhưng phải có account ở Active Directory.

- Nhập đường dẫn thư mục cần publish:

- Thiết lập quyền hạn cho người truy cập đối với file:

- Cấu hình hoàn tất :

- Khởi động dịch vụ:

- Kiểm tra dịch vụ đã hoạt động bằng cách vào browser gõ

ftp://localhost

III. Cài đặt và cấu hình hình FTP 7.5:

1. Cài đặt:

Lưu ý : Tránh cài đặt cả FTP 6 và FTP 7 trên cùng 1 server để tránh tình trạng đụng site và port , nên romove FTP 6 trước khi cài đặt FTP 7.

- Vào trang web http:/iis.net/downloads/ để down phiên bản FTP 7.5 về và cài đặt:

- Bắt đầu cài đặt:

- Chọn những thông số cần thiết để hoàn tất quá trình cài đặt:

2. Tạo FTP Site:

- Vào “Start” – “Adminisitrator tools” – “Internet Information Services(IIS) Manager”. Chọn “Add FTP Site” :

- Điền tên và đường dẫn của FTP site:

- Nhập thông số cần thiết:

· Enable Virtual Host Names : tick này cho phép ta tạo nhiều site trên cùng 1 địa chỉ IP

· Start FTP Site automaticaly : tự kích hoạt FTP server sau khi hoàn tất

· SSL : Thêm tính năng bảo mật .

- Chọn thêm phương thức chứng thực và nhấn “Finish” để hoàn tất:

- FTP site đã được tạo , với nhiều tính năng mới:

Cài đặt và cấu hình cơ bản IIS 7.0 trên Windows Server 2008

I. Giới thiệu:

- IIS 7.0 là phiên bản mới nhất cho web server của Microsoft. IIS có trong Windows Server từ khi Windows 2000 Server với tư cách là một thành phần của Windows và từ Windows NT thì là một tùy chọn. IIS 7.0 hiện được cung cấp trong Windows Vista và Windows Server 2008, hệ điều hành máy chủ được dự định sẽ phát hành vào đầu năm 2008. IIS 7.0 là một phiên bản được xem xét một cách tỉ mỉ trong thiết kế từ kinh nghiệm của các phiên bản trước. Phiên bản 7.0 ra đời tạo một nền tảng linh hoạt và an toàn nhất cho việc cấu hình web và các ứng dụng.

- IIS 7.0 được thiết kế để trở thành một nền tảng Web và ứng dụng linh động và an toàn nhất cho Microsoft. Microsoft đã thiết kế lại IIS từ những nền tảng đã có trước đó và trong suốt quá trình phát triển, nhóm thiết kế IIS đã tập trung vào 5 lĩnh vực lớn:

· Bảo mật

· Khả năng mở rộng

· Cấu hình và triển khai

· Quản trị và chuẩn đoán

· Hiệu suất

II. Cài đặt và cấu hình IIS:

1. Cài đặt:

- Chọn Server Manager tại đường dẫn : Start Menu è Server Manager (hoặc có thể chọn ở : Start Menu – Administrative Tools – Server Manager).
- Trong “Roles” chọn “Add Roles” . Tick chọn “Web Server (IIS)” ở mục Roles. Chọn “Next”.

- Ở phần giới thiệu này ta nhấn “Next” để tiếp tục:

- IIS services để cài đặt các dịch vụ cần thiết cho ứng dụng của bạn (ASP.NET đã được tick chọn thêm):

- Khi chọn thêm dịch vụ có thể bạn sẽ gặp thông báo nhắc nhở cần cài đặt 1 số dịch vụ phụ kèm theo.

- Nhấn install để bắt đầu quá trình cài đặt.

- Cài đặt hoàn tất.

- Kiểm tra dịch vụ web vừa cài đặt đã làm việc, ta vào trình duyệt gõ http://localhost.

2. Thêm một website:

- Đầu tiên ta tạo thư mục để chứa trang web mới.

- Vào “Server Manager” chọn “Roles” - “Web Server (IIS)” - “Internet Information Server”

- Phía bảng “Connections” , chọn “sites” - “Add Web Site”.

- Điền thông tin cần thiết về trang web (tên, đường dẫn, v.v..).

- Khi chọn ok sẽ xuất hiện 1 thông báo rằng “binding *:80 đã được đăng kí bởi 1 site khác…”.

- Lúc này ta cần stop trang “Default Web Site” mặc định lại và start trang web vừa tạo lên.

- Kiểm tra trang web vừa tạo hoạt động, ta cũng vào browser gõ http://localhost.

3. Cài đặt dịch vụ quản trị từ xa của IIS:

a. Cài đặt:

- Vào “Server Manager” – Trong “Roles” mục “Role Services” chọn “Add Role Service”.

- Tick chọn “Management Service”.

- Cài đặt hoàn tất.

b. Kích hoạt dịch vụ:

- Vào “Start” - “All Programs” – “Administrative Tools” - “Internet Information Services (IIS) Manager”.

- Chọn “Managerment Service”.

- Tick chọn “Enable remote connections” – và start dịch vụ.

- Click Yes để save và chính thức start dịch vụ.

- Lúc này người quản trị có thể đăng nhập vào hệ thống từ xa thông qua dịch vụ trên .