Le Ngoc Ky Phong - We're partners on the road ahead

Lab demo Raise domain controller trên Windows Server 2008 core

Đây là một đoạn video mình đã quay lại và đã demo trong buổi Tech Passion 1, nay up lên để anh em cùng nhau tham khảo, trao đổi

MSDN Việt Nam và Technet Việt Nam Launch

Ngày 25/03 vừa rồi tại đại học khoa học tự nhiên, đã diễn ra sự kiện ra mắt 2 portals là MSDN việt nam và technet việt nam, đây là một sự kiện rất lớn và thú vị đối với cộng đồng IT nhà ta. Anh em MSP nhà mình đã có 1 buổi họp mặt rất vui vẻ, các bạn có thể vào link sau để xem 1 số hình ảnh trong sự kiện vừa qua

http://cid-22c57d24031fb915.skydrive.live.com/play.aspx/MSDN%20VIETNAM%20-%20TECHNETVIETNAM%20LAUNCH?ref=1

KIẾN TRÚC ACTIVE DIRECTORY

Trong bài viết này, mình sẽ tập trung tìm hiểusâu hơn và giải thích 1 số vấn đề về kiến trúc của Active Directory, các bạn sẽ hiểu được các vấn đề sau:

• Kiến trúc database của Active Directory
• Kiến trúc tổ chức của Active Directory

ACTIVE DIRECTORY OBJECTS

Dữ liệu trong Active Directory như là thông tin users, máy in, server, database, groups, computers và security policies được tổ chức như các objects (đối tượng). Mỗi object có những thuộc tính riêng đặc trưng cho object đó, ví dụ như object user có các thuộc tính liên quan như First Name, Last Name, Logon Name, … và Computer Object có các thuộc tính như computer name cùng description. Một số object đặc biệt bao gồm nhiều object khác bên trong được gọi là các “container”, ví dụ như domain là một container bao gồm nhiều user và computer account.

ACTIVE DIRECTORY SCHEMA

Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa các đối tượng được lưu trữ trong Active Directory. Nhưng Schema lưu trữ các đối tượng thế nào? Thực chất, schema là một danh sách các định nghĩa xác định các loại đối tượng và các loại thông tin về đối tượng lưu trữ trong Active Directory. Về bản chất, schema cũng được lưu trữ như 1 object.

Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và schema Attribute objects.

Schema Class có chức năng như một template cho việc tạo mới các đối tượng trong AD. Mỗi Schema Class là một tập hợp các thuộc tính của đối tượng(Schema Attribute Objects). Khi bạn tạo một đối tượng thuộc về một loại Schema Class thì Schema Attribute sẽ lưu trữ các thuộc tính của đối tượng đó tương ứng với loại Schema Class của đối tượng.

Schema Attribute định nghĩa các Schema Class tương ứng với nó. Mỗi thuộc tính chỉ được định nghĩa một lần trong Active Directory và có thể thuộc  nhiều Schema Class theo quan hệ một nhiều (1-m).

Mặc định thì một tập hợp các Schema Class và Schema Attribute được đóng gói sẵn chung với Active Directory. Tuy nhiên Schema của Active Directory mở ra một khả năng phát triển mở rộng Schema Class trên các Attribute có sẵn hay là tạo mới các Attribute SChema.Tuy nhiên cái nào cũng có cái lợi và cái hại, để có thể mở rộng phát triển với schema, bạn cần chuẩn bị kỹ lưỡng thông qua các bản thiết kế rõ ràng và xem xét là có cần thiết hay không, vì độ rủi ro trong việc này khá cao đối với các hệ thống đang hoạt động ổn định, còn về vấn đề làm Virtual Lab thì anh em mình cứ thỏai mái thôi, không có vấn đề gì cả, ^^.

ACTIVE DIRECTORY COMPONENTS

Trong mô hình mạng doanh nghiệp, các components của Active Directory được sử dụng, áp dụng để xây dựng nên các mô hình phù hợp với nhu cầu các doanh nghiệp. Xét về khía cạnh mô hình kiến trúc của AD thì ta phân làm 2 loại là Physical và Logical.

Logical Structure:

Trong AD, việc tổ chức tài nguyên theo cơ chế Logical Structure, được ánh xạ thông qua mô hình domains, OUs, trees và forest. Nhóm các tài nguyên được tổ chức một cách luận lí cho phép bạn dễ dàng truy xuất đến tài nguyên hơn là phải nhớ cụ thể vị trí vật lí của nó.

Domain:

Cốt lõi của kiến trúc tổ chức luận lí trong AD chính là Domain, nơi lưu trữ hàng triệu đối tượng (objects). Tất cả các đối tượng trong hệ thống mạng trong một domain thì do chính domain đó lưu trữ thông tin của các đối tượng. Active Directory được kiến tạo bởi một hay nhiều domain và một domain có thể triển khai trên nhiều physical structure. Việc access vào domain được quản trị thông qua Access Control Lists (ACLs), quyền truy xuất trên domain tương ứng với từng đối tượng.

OUs:

OU là một container được dùng để tổ chức các đối tượng trong một domain thành các nhóm quản trị luận lí (logical). OUs cung cấp phương tiện thực hiện các tác vụ quản trị trong hệ thống như là quản trị user và resources, đó là những scope đối tượng nhỏ nhất mà bạn có thể ủy quyền xác thực quản trị. OUs bao gồm nhiều đối tượng khác như là user accounts, groups, computers và các OUs khác tạo nên các cây OUs trong cùng một domain. Các cây OUs trong một domain độc lập với kiến trúc các cây OUs thuộc các domain khác.

Trees:

Trees là một nhóm các domain được tổ chức theo cấu trúc hình cây với mô hình parent-child ánh xạ từ thực tế tổ chức của doanh nghiệp, tổ chức. Một domain có 1 họăc nhiều child domain nhưng 1 child domain chỉ có 1 parent-domain mà thôi.

Forests:

Forest là một thuật ngữ được đặt ra nhằm định nghĩa 1 mô hình tổ chức của AD, 1 forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest là độc lập với nhau về tổ chức, nghe ra có vẻ mâu thuẫn trong mối quan hệ nhưng ta sẽ dễ hiểu hơn khi mối quan hệ giữa các domain trees là quan hệ Trust 2 chiều như các partners với nhau. Một forest phải đảm bảo thoả các đặc tính sau

• Toàn bộ domain trong forest phải có 1 schema chia sẻ chung
• Các domain trong forest phải có 1 global catalog chia sẻ chung
• Các domain trong forest phải có mối quan hệ trust 2 chiều với nhau
• Các tree trong 1 forest phải có cấu trúc tên(domain name) khác nhau
• Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.

Physical Structure:

Xét về khía cạnh physical component của AD thì gồm 2 phần là Sites và Domain Controllers. Với vị trí là một administrator, bạn sẽ phải dùng các components này để thiết kế và triển khai các mô hình kiến trúc phù hợp với nhu cầu doanh nghiệp tổ chức.

Sites:

Site là một thuật ngữ được dùng đến khi nói về vị trí địa lý của các domain trong hệ thống. Khi hệ thống các domain được phân tán ở những vị trí địa lý, những nơi khác nhau và có quan hệ với nhau thì những nơi đặt các domain này chính là các Site.

Trong hình trên, ta có thể thấy được với mổi site có thể có một hoặc nhiều domain khác nhau hay mỗi domain thuộc nhiều site khác nhau.

Ví dụ nhưng công ty A có 2 chi nhánh là Hà Nội và Thành Phố Hồ Chí Minh, tại các chi nhánh, nhân viên thường xuyên phải đăng nhập vào domain để làm việc. Tuy nhiên hạ tầng mạng và đường truyền rất hạn chế, vậy giải pháp nào là hợp lí cho công ty A? Với nhu cầu của công ty A, ta có thể triển khai một domain tại Hà Nội, 1 domain tại Thành Phố Hồ Chí Minh và 2 domain này có quan hệ với nhau, các domain sẽ tiến hành replicate dữ liệu, thông tin theo 1 schedule xác định, các nhân viên tại Hà Nội và Tp Hồ Chí MInh chỉ cần đăng nhập vào hệ thống phù hợp với vị trí của mình.

Domain Controllers:

Domain Controller là 1 máy tính hay server chuyên dụng được setup Windows Server và lưu trữ bản sao của Domain Directory (local domain database). Một domain có thể có 1 hay nhiều domain controller, mỗi domain controller đều có bản sao dữ liệu của Domain Directory. Domain Controller chịu trách nhiệm chứng thực cho users và chịu trách nhiệm đãm bảo các chính sách bảo mật được thực thi.

Các chức năng chính của domain controller:

• Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory cho chính domain đó, chịu trách nhiệm quản lí thông tin và tiến hành đồng bộ dữ liệu với các domain controller khác trong củng một domain.
• Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệu với các domain controller khác trong cùng một domain. Khi bạn thực hiện một tác vụ đối với thông tin lưu trữ trên domain controller, thì thông tin này sẽ tự động được đồng bộ hóa đến các domain controller khác. Tuy nhiên để đảm bảo sự ổn định cho hệ thống mạng, chúng ta cần phải có một chính sách hợp lí cho các domain trong việc đồng bộ hóa thông tin dữ liệu với một thời điểm phù hợp.
• Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọng đối với cả Domain như disable một user account.
• Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế multimaster, nghĩa là không có domain controller nào đóng vai trò là master cả, mà thay vào đó thì tất cả domain controller đểu ngang hàng với nhau, mỗi domain controller lưu trữ một bản sao của database hệ thống. Các domain controller lưu trữ các thông tin dữ liệu khác nhau trong một khỏang thời gian ngắn cho đến khi thông tin các domain controller trong hệ thống đều được đồng bộ với nhau, hay nói cách khác là thống nhất dữ liệu cho toàn domain.
• Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo cơ chế multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ chế này (việc thực thi không được cho phép ở nhiều nơi trong hệ thống mạng trong cùng một thời điểm). Operations master roles là các roles đặc biệt được assigned với 1 hoặc nhiều domain controllers khác để thực hiện đồng bộ theo cơ chế single-master, ta có thể dễ dàng nhận thấy việc thực thi operations của multimaster là sự thực thi của nhiều single-master đồng thời.
• Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng backup domain controller, khi một domain controller có vấn đề xảy ra thì các domain sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn được ổn định.
• Domain Controller quản lí các vấn đề trong việc tương tác với domain của users, ví dụ xác định đối tượng trong Active Directory hay xác thực việc logon của user.

Là một người quản trị hệ thống, bạn phải đặt các domain controller trên các sites để đạt hiệu quả cao nhất cho việc đồng bộ dữ liệu và đăng nhập hệ thống của user.

Cài đặt và cấu hình DHCP trong Windows 2008 Server Core

Bước 1: Tại Server Console gõ command oclist để kiểm tra đã cài đặt DHCP chưa, nếu chưa thì dùng command Start /w ocsetup DHCPServerCore để cài đặt DHCP

Bước 2: Dùng command Sc config dhcpserver start=auto và Net start dhcpserver để start DHCP

Bước 3: Để đăng kí DHCP vào Active Directory bằng command sau:

netsh dhcp add server <tên máy DHCP> <IP của DHCP Server>

Bứơc 4: Để tạo 1 scope tên TESTING bằng lệnh sau:

netsh dhcp server <IP của DHCP Server> add scope <NetID của Scope> <Subnet mask> <Tên của Scope>

Bước 5: Cấu hình cấp phát 1 dãy IP cho client bằng command sau:

netsh dhcp server <IP của DHCP Server> scope <NetID của Scope> add iprange <IP đầu> <IP Cuối>

Bước 6: Cấu hình 2 tùy chọn Router và DNS cho Scope, bằng command sau:

- netsh dhcp server <IP của DHCP Server> scope <NetID của Scope> set optionvalue 003 IPADDRESS <IP của Router>

- netsh dhcp server <IP của DHCP Server> scope <NetID của Scope> set optionvalue 006 IPADDRESS <IP của DNS>

Bước 5: Bật scope bằng command: netsh dhcp server <IP của DHCP> scope <NetID của Scope> set state 1

Để xem scope đã cấu hình bằng command: netsh dhcp server show scope

Hoàn tất quá trình cài đặt và cấu hình DHCP Server trên Windows 2008 Server Core

Cấu hình nâng cấp DC trong Windows 2008 Server Core

Bước 1: Cấu hình địa chỉ IP cho Server AD

- DNS trỏ về địa chỉ IP của chính mình

- Default Gateway trỏ về IP của Gateway

- Lưu ý tắt Firewall của Server.

Bước 2: Đổi tên máy bằng lệnh sau:

Netdom renamecomputer %ComputerName% /NewName:SRVCore /Force

và gõ command shutdown /r để restart máy

Bước 3: Tạo file văn bản TaoDC.txt để tiến hành nâng cấp DC tự động như sau

- Command: copy con TaoDC.txt

- Nội dung của TaoDC.txt theo mẫu sau:

[DCINSTALL]

ReplicaOrNewDomain=Domain

TreeOrChild=Tree

CreateOrJoin=Create

NewDomainDNSName= msopenlab.com

DNSOnNetwork=yes

DomainNetbiosName=MVPpartner

AutoConfigDNS=yes

SiteName= Default_First_Site_Name

AllowAnonymousAccess=no

DatabasePath=%systemroot%\ntds

LogPath=%systemroot%\ntds

SYSVOLPath=%systemroot%\sysvol

SafeModeAdminPassword=P@ssword

CriticalReplicationOnly=No

RebootOnSuccess=Yes

Bước 4: Nâng cấp DC bằng lệnh sau

dcpromo /Unattend:C:\TaoDC.txt (với file TaoDC.txt lưu ở ổ đĩa C:\)

Sau khi quá trình nâng cấp hoàn tất, server tự động restart, quá trình join domain không có gì thay đổi so với Windows Server 2003.

Cài đặt và sử dụng Remote Server Administration Tools (RSAT) cho Vista

Microsoft có thể coi là một công ty luôn có nhiều quyết định và cung cấp nhiều giải pháp làm hài lòng người dùng và khách hàng của họ. Nếu bạn chạy Windows Vista, bạn sẽ rất hài lòng trong việc thực hiện công việc quản trị so với các hệ điều hành khác như Windows Server 2003 hoặc chức năng mạng của Windows Server 2008 và môi trường Active Directory.

Một trong những giải pháp được phát hành gần đây cho Windows Vista của Microsoft đó là Remote Server Administrative Tools (RSAT). Đây là một công cụ mới, chính vì vậy trong bài này chúng tôi sẽ giới thiệu một số đặc tính, các bước cài đặt và các công cụ có sẵn trong RSAT mới cho Windows Vista.

Tại sao phải cần đến RSAT?

Nếu bạn đang sử dụng Windows Vista với tư cách là một “administrative desktop”, khi đó bạn sẽ cần đến RSAT để chạy các công cụ quản trị Active Directory, các dịch vụ mạng, Group Policy và,… Lý do cho điều này là do ban đầu không có các công cụ nào như vậy khi cài đặt hệ điều hành Windows Vista.
Điều này hoàn toàn chính xác. Microsoft đã thực hiện một quyết định để đưa Group Policy Management Console (GPMC) vào trong Windows Vista. Bạn có thể phân vân rằng tại sao bạn không thấy GPMC trên Windows Vista SP1! Lý do cho điều đó là GPMC bị remove khi bạn cài đặt Windows Vista SP1. Quyết định này lại được thực hiện bởi nhóm Group Policy, nhằm mục đích làm cho tất cả các máy tính Vista được đưa vào một trường riêng chính vì vậy NEW GPMC có thể được cài đặt, cài đặt mới này đi kèm cả RSAT.
Các công cụ khác cũng có khi bạn cài đặt RSAT là:

• Active Directory Domain Services (AD DS) Tools

• Active Directory Lightweight Directory Services (AD LDS) Tools

• Active Directory Certification Authority Tools

• DHCP Server Tools

• DNS Server Tools

• Terminal Services

• Universal Description, Discovery, và Integration (UDDI) Services Tools

• Group Policy Management Tools

• Network Load Balancing Tools

Như những gì bạn thấy, nếu muốn quản trị miền Windows của mình bằng một client thì bạn cần phải cài đặt RSAT trên Windows Vista.

Download và cài đặt RSAT

Đầu tiên bạn cần phải download RSAT từ trung tâm download của Microsoft.

Lưu ý:
Do có phiên bản cài đặt 32-bit và 64-bit, chính vì vậy bạn phải thận trọng khi download để có được bản thích hợp dành cho phiên bản Vista mà bạn đang sử dụng.

Khi bạn download RSAT, trước tiên hãy bảo đảm rằng bạn đã cài đặt Windows Vista SP1. Bạn có thể download và cài đặt SP1

Quá trình cài đặt RSAT diễn ra mất một chút thời gian, chính vì vậy bạn cần phải chuẩn bị trước. Hình 1 thể hiện cho bạn những gì bạn có thể thấy trong khi cài đặt.

Hình 1: RSAT đang được cài đặt trên Windows Vista

Nếu đang sử dụng Windows XP thì bạn sẽ không thể cài đặt RSAT trên hệ điều hành đó. RSAT chỉ dành riêng cho Vista, vì chỉ Vista mới có thể lợi dụng được một số công cụ mới và các tính năng của chúng. Nếu muốn quản trị miền với Windows XP, bạn cần phải cài đặt Admin Pack, đây là gói phần mềm mà bạn có thể download được từ đây.

Bạn cũng cần lưu ý thêm rằng, RSAT sẽ cài đặt và thực hiện chức năng trên các phiên bản Windows Vista dưới đây, tất cả các phiên bản đều phải được nâng cấp lên SP1:

• Windows Vista Business

• Windows Vista Enterprise

• Windows Vista Ultimate

• Windows Vista Business 64-bit Edition

• Windows Vista Enterprise 64-bit Edition

• Windows Vista Ultimate 64-bit Edition

Các công cụ của RSAT

Sau khi RSAT được cài đặt, bạn sẽ phải đi tìm hiểu các công cụ của nó. Việc truy cập vào các công cụ không có sự hiểu biết có thể gây ra các hỏng hóc, Microsoft đã ẩn một số công cụ trong quan sát của bạn một cách mặc định. Hãy thực hiện theo các bước dưới đây để truy cập vào các công cụ bên trong RSAT:

1. Mở Control Panel, sau đó kích vào tùy chọn Programs, trong vùng Programs and Features, kích Turn Windows features on or off, xem thể hiện trong hình 2.
   
   Hình 2: Bật hoặc tắt các tính năng của Windows

2. Trong hộp thoại Windows Features, hãy chọn snap-in quản trị từ xa và các công cụ mà bạn muốn cài đặt.

3. Sau khi đã chọn tất cả các công cụ mà bạn muốn thấy, lúc này chỉ cần kích vào nút OK.

Cần lưu ý rằng, bạn có hai phần khác nhau trong Remote Server Administrative Tools để có thể lựa chọn. Tập đầu tiên được có tên Feature Administration Tools và gồm có các công cụ dưới đây, hình 3 thể hiện cho bạn thấy điều này:

• BitLocker Drive Encryption Toools

• Failover Clustering Tools

• Group Policy Management Tools

• Network Load Balancing Tools

• Network Load Balancing Tools

• SMTP Server Tools

• Storage Manager for SANs Tools

• Windows System Resource Manager Tools

Hình 3: Feature Administration Tools có sẵn sau khi cài đặt RSAT

Phần thứ hai được có tên Role Administration Tools và gồm có các tùy chọn dưới đây, xem thể hiện trong hình 4.

• Active Directory Certificate Services Tools

• (Certificate Authority Tools and Online Responder Tools)

• Active Directory Domain Services Tools

• (Active Directory Domain Controller Tools and Server for NIS Tools)

• Active Directory Lightweight Directory Services Tools

• DHCP Server Tools

• DNS Server Tools

• File Services Tools

• (Distributed File System Tools, File Server Resource Manager Tools, and Share and Storage Management Tools)

• Terminal Services Tools

• UDDI Services Tools

Hình 4: Role Administration Tools có sẵn sau khi cài đặt RSAT

Lưu ý:
Có thể sẽ khá tốn thời gian để chọn các tính năng nhằm cấu hình cho hệ thống của mình. Chính vì vậy bạn cần phải lập kế hoạch ngay từ trước khi cài đặt.

Nếu muốn có nhiều shortcut của Administrative Tools xuất hiện trong menu Start, bạn cần phải thực hiện một loạt các bước dưới đây:

1. Kích chuột phải vào Start, sau đó chọn Properties

2. Trên tab Start Menu, kích Customize.

3. Trong hộp thoại Customize Start Menu, tìm đến phần các công cụ quản trị hệ thống và chọn Display on the All Programs menu and the Start menu.

4. Kích OK.

Lúc này, bạn sẽ có tất cả các các công cụ quản trị đã được kích hoạt hiện hữu trong Start Menu, giống như những gì thể hiện trong hình 5.

Hình 5: Administrative Tools có thể được kích hoạt để hiển thị trên Start Menu

Theo QTM

WINDOWS SERVERS 2008 ACTIVE DIRECTORY FEATURE COMPONENTS

Đây là kiến trúc các feature chính của Active Directory tên Windows Servers 2008. Anh em có thể Download version PDF tại đây. Download

Cơ bản nhất về Windows 2008 Server Core

1. Active bản quyền Windows
Bước 1: Logon vào Server Console của Windows Server Core.
Bước 2: Tiến hành Active bản quyền của Windows bằng command sau:
"cscript C:\Windows\system32\slmgr.vbs -ato" và Enter để tiến hành Active.

2. Bật tính năng Remote Desktop trên Windows 2008 Server Core
Bước 1: Logon vào Server Console
Bước 2: Bật tính năng Remote Desktop trên Windows Vista hay Windows 2008 bằng command sau "Cscript %windir%\system32\SCRegEdit.wsf /ar 0" và nhấn Enter để hoàn tất.

Note: Để bật tính năng Remote Desktop trên Windows XP hay Windows 2003 hoặc những hệ điều hành cũ hơn, ta dùng command sau

"Cscript %windir%\system32\SCRegEdit.wsf /ar 0" và nhấn Enter để hoàn tất.

hoặc

"Cscript %windir%\system32\SCRegEdit.wsf /cs 0" và nhấn Enter để hoàn tất.

 3. Kiểm tra các interface ipv4 trên máy Server Core, bằng lệnh sau

Netsh interface ipv4 show interfaces

4. Thiết lập TCP/IP bằng lệnh sau cho interface có ID bằng 2

Netsh interface ipv4 set address name=2 source=static address=192.168.1.100 mask=255.255.255.0 gateway=192.168.1.1

Thiết lập Preferred DNS bằng lệnh sau: Netsh interface ip set dns "2" static 210.245.24.20 primary

5. Tắt Firewall

Netsh firewall set opmode mode=disable

6. Bật feature Remote Admin

Remote Management -netsh firewall set service remoteadmin enable

Windows Server 2008 SKUs, Hyper-V

• Đọc thêm về những thông cáo này, vừa mới phát hành tại hội nghị về Diễn đàn CNTT TechEd ở Barcelona, Spain.
• Tải một phiên bản đánh giá về Windows Server 2008 RC1 Enterprise with Hyper-V Beta.
• Tìm hiểu thêm về Windows Server 2008 SKUs hiện đang có sẵn.
• HeroesHappenHere là site chính thức phát hành Windows Server 2008, Visual Studio 2008, SQL Server 2008, và cũng đang có sẵn. Quý vị có thể tìm thêm thông tin về các sự kiện phát hành gần với mình, tìm hiểu thêm về sản phẩm, tham gia các hoạt động cộng đồng và các nguồn lực nối mạng xã hội, và chính quý vị cũng dự phần vào việc phát hành!

Microsoft Windows Server 2008 là hệ điều hành Windows Server tiên tiến nhất cho đến giờ phút này; nó được thiết kế là để trợ lực cho các mạng, ứng dụng, dịch vụ Web thuộc thế hệ kế tiếp. Với Windows Server 2008, quý vị có thể phát triển, chuyển giao, quản lý các ứng dụng và giao diện tương tác phong phú, bảo đảm một cơ sở hạ tầng mạng vững chắc, tăng cường hiệu quả và giá trị công nghệ trong tổ chức của quý vị.

Windows Server 2008 dựa vào thành quả và ưu điểm của các phiên bản Windows Server trước đây, nhưng vẫn cung cấp nhiều chức năng mới, thật sự có giá trị, cùng nhiều cải tiến hữu hiệu cho hệ điều hành cơ sở. Các công cụ mới về Web, công nghệ ảo hoá, cải tiến về mức độ bảo mật cùng với các tiện ích về quản lý không những góp phần tiết kiệm thời gian, giảm bớt chi phí, mà còn đặt nền móng vững chắc cho cơ sở hạ tầng CNTT của quý vị:

• Xây dựng để phục vụ Web

Windows Server 2008 đi chung với Internet Information Services 7.0 (IIS7), một máy phục vụ Web và cũng là một nền tảng có độ bảo mật cao, dễ quản lý, mà mục đích là phát triển và host chính xác các ứng dụng & dịch vụ Web. Một cải tiến đáng kể cho nền tảng Windows Web, IIS7 có cấu trúc từng phần, nhờ vậy mà linh hoạt hơn và dễ điều khiển hơn. IIS7 cũng góp phần đơn giản hoá công tác quản lý,  chẩn đoán và giải quyết sự cố vừa nhanh vừa hữu hiệu,  bảo đảm khả năng mở rộng toàn diện.

Internet Information Server IIS7 và .NET Framework 3.0 là nền tảng toàn diện để xây dựng những ứng dụng liên kết người dùng và dữ liệu, cho phép họ hiển thị, chia sẻ và tác động đến thông tin. Ngoài ra, IIS7 cũng đóng vai trò trung tâm trong việc hợp nhất các công nghệ nền tảng Web của Microsoft, cụ thể là ASP.NET, Windows Communication Foundation Web Services và Windows SharePoint Services.

• Tính năng ảo hoá có sẵn

Microsoft Windows Server Hyper-V, công nghệ ảo hoá máy phục vụ thế hệ kế tiếp dựa trên công nghệ ảo hoá cơ bản, cho phép khai thác tối đa các khoản đầu tư về phần cứng của máy phục vụ bằng cách hợp nhất vai trò của các máy phục vụ dưới dạng các máy ảo riêng biệt chạy trên một máy đơn lẻ theo nghĩa vật lý. Cũng có thể chạy nhiều hệ điều hành—Windows, Linux và nhiều hệ điều hành khác—song song trên một máy phục vụ đơn lẻ mà vẫn có hiệu quả. Nhờ tính năng ảo hoá có sẵn trong hệ điều hành Windows Server 2008 và chính sách cấp phép đơn giản, việc tận dụng các khoản tiết kiệm chi phí về ảo hoá sẽ dễ dàng hơn bao giờ cả.

Cũng có thể ảo hoá các ứng dụng một cách hiệu quả nếu dùng công nghệ khai thác ứng dụng tập trung Windows Server 2008. Terminal Services Gateway và Terminal Services RemoteApp cho phép truy cập từ xa dễ dàng đối với các chương trình chạy trên nền Windows chuẩn. Cụ thể là chạy các chương trình này trên một máy phục vụ thiết bị đầu cuối, chứ không chạy trực tiếp trên một máy khách—không cần một VPN phức tạp.

• Bảo mật

Windows Server 2008 là Windows Server vững chắc nhất cho đến giờ phút này. Hệ điều hành đã được vững chắc hoá để đề phòng sự cố và nhiều công nghệ mới cũng góp phần ngăn ngừa trường hợp kết nối bất hợp lệ vào mạng, máy phục vụ, dữ liệu và tài khoản người dùng. Network Access Protection (NAP) bảo đảm những máy tính cố gắng kết nối vào mạng của quý vị đều theo đúng chính sách bảo mật trong tổ chức của quý vị. Tích hợp công nghệ và một số cải tiến sẽ làm cho dịch vụ Active Directory trở thành một giải pháp Identify and Access (IDA) tích hợp và hợp nhất có hiệu quả. Read-Only Domain Controller (RODC) và BitLocker Drive Encryption cho phép triển khai cơ sở dữ liệu AD của quý vị ngay tại các chi nhánh.

• Nền móng vững chắc cho khối lượng công việc của quý vị

Windows Server 2008 đặt nền móng vững chắc cho toàn bộ công việc của máy phục vụ và các yêu cầu về ứng dụng, nhưng vẫn dễ triển khai và dễ quản lý. Server Manager mới tinh sẽ cung cấp một điều khiển quản lý thống nhất để đơn giản hoá và hợp lý hoá công việc cài đặt, xác lập cấu hình và quản lý máy phục vụ. Windows PowerShell, một trình thông dịch dòng lệnh mới, cho phép người quản trị tự động hoá các công việc quản trị hệ thống thường ngày trên nhiều máy phục vụ. Windows Deployment Services là một phương tiện đơn giản, an toàn để nhanh chóng triển khai hệ điều hành qua những lần cài đặt qua mạng. Các thuật sĩ Failover Clustering (kết nối chuyển dịch máy phục vụ khi xảy ra sự cố) trong Windows Server 2008 và tính năng hỗ trợ đầy đủ Ipv6, kết hợp với tính năng thống nhất quản lý Cân bằng Tải Mạng,  thiết thực đến nỗi những người không chuyên về CNTT vẫn đạt được hiệu quả sử dụng đáng kể.

Cuối cùng, tuỳ chọn mới về cài đặt Server Core của Windows Server 2008 cho phép cài riêng những thành phần và phân hệ cần thiết cho một vai trò nào đó của máy phục vụ mà thôi, chứ không có giao diện người dùng đồ hoạ. Giảm bớt vai trò và tính năng nghĩa là giảm thiểu các ghi vết đĩa và dịch vụ mà vẫn ít bị tấn công bề mặt. Nó cũng giúp cho nhân viên CNTT của quý vị chuyên sâu về vai trò nào đó của máy phục vụ cần được hỗ trợ.

TỔNG QUAN VỀ ACTIVE DIRECTORY

Trong bài viết này mình sẽ tập trung phân tích, giải thích một cách tổng quan về Active Directory trên nền tảng Windows Server 2003 để các bạn có thể hiểu rõ được các vấn đề sau:

• Chức năng của Directory Service
• Mục đích của Active Directory
• Các tính năng của Active Directory

UNDERSTANDING DIRECTORY SERVICES

Directory là một mô hình tổ chức thông tin, dữ liệu mà trong đó các thông tin dữ liệu có mối quan hệ chặc chẽ với nhau, ta có thể dễ dàng nắm được thông qua ví dụ Danh bạ điện thoại, với Tên trên danh bạ, ta có thể dễ dàng tra ra được số điện thoại tương ứng.

Trong các hệ thống máy tính phân tán hoặc trong mạng máy tính, có rất nhiều đối tượng được tổ chức, lưu trữ theo cấu trúc Directory như users, máy tính, file, server, máy in, máy fax … Và khi người dùng cuối tức là user, muốn sử dụng những đối tượng trên thì sao, ví dụ như user muốn dùng máy in thì sao? Do đó cần có một dịch vụ hỗ trợ user có thể xác định được đối tượng và cho phép user sử dụng nó, vì thế mà ta có định nghĩa Directory Service. Directory Service được áp dụng trong việc lưu trữ các thông tin, dữ liệu theo kiến trúc tổ chức Directory và quản lí tập trung các đối tượng, đơn giản hóa quá trình xác định và quản lí resources.

Directory Service là một dịch vụ hoạt động như một switchboard chính trong các hệ điều hành máy chủ, nó hỗ trợ các nguồn Resources độc lập và phân tán có thể làm việc với nhau, có thể kết nối với nhau. Directory Service cung cấp một nền tảng cho các chức năng của một hệ điều hành máy chủ, đảm bảo tính bảo mật, nâng cao hiệu năng khi thiết kế và triển khai các hệ thống mạng, đồng thời giúp người quản trị có thể dễ dàng quản trị được hệ thống.

WHY HAVE A DIRECTORY SERVICE?

Directory Service cung cấp một phương tiện hỗ trợ việc tổ chức và đơn giản hóa việc truy xuất Resources. Người dùng và ngay cả người quản trị không cần biết chính xác về đối tượng mà họ đang cần. Họ chỉ cần biết 1 số yêu tố về đối tượng đó .

Trong hình trên, ta dễ dàng thấy được Directory Service truy vấn trên Directory để lấy ra thông tin của các Object thông qua một số yếu tố của Object. Directory Service vừa là một dịch vụ hỗ quản trị hệ thống, cũng là công cụ hỗ cho người dùng cuối (User) trong việc quản trị hệ thống.

HOW ABOUT ACTIVE DIRECTORY?

Active Directory là một sự ứng dụng của Directory Service, được tích hợp vào trong họ các phiên bản Windows Server, được xem như trái tim của cả hệ thống mạng và cũng góp phần mang đến sự thành công của Windows Server. Active Directory lưu trữ thông tin và tài nguyên trong hệ thống mạng dưới mô hình tổ chức Directory và họat động với cơ chế là 1 dịch vụ, đó chính là nguyên tắc hoạt động cơ bản của Active Directory, tóm lại Active Directory hoạt động với cơ chế của Directory Service, tuy nhiên bên trong Active Directory còn rất nhiều điều huyền bí cho anh em IT Pro tụi mình nghiên cứu, tìm hiểu và ứng dụng nó.

WHAT CAN ACTIVE DIRECTORY DO?

Là một dịch vụ được tích hợp sẵn trong họ các sản phẩm Windows Server của Microsoft, Active Directory cung cấp cho tụi mình một số tính năng quan trọng, phải nói là rất nhiều giúp công việc thiết kế, triển khai và quản trị hệ thống của anh em mình được dễ dàng hơn, chặt chẽ hơn. Vậy các tính năng, dịch vụ đó là gì?

• Centralized Data Store – Lưu trữ dữ liệu tập trung: Toàn bộ dữ liệu, thông tin trong hệ thống được lưu trữ một cách tập trung, cho phép người dùng có thể truy cập dữ liệu từ bất cứ nơi đâu, bất cứ lúc nào đồng thời nâng cao hiệu năng quản trị của hệ thống, giảm thiếu độ rủi ro cho tài nguyên.
• Scalability – khả năng linh hoạt với nhu cầu: Active Directory cung ứng một cách linh hoạt các giải pháp quản trị khác nhau cho từng nhu cầu cụ thế trên nền tảng hạ tầng xác định của các doanh nghiệp.
• Extensibility – Cơ sở dữ liệu của Active Directory cho phép nhà quản trị có thể customize và phát triển, ngoài ra ta còn có thể phát triển các ứng dụng sử dụng cơ sở dữ liệu này, giúp tận dụng hết khả năng, hiệu năng của Active Directory
• Manageability – khả năng quản trị linh hoạt dễ dàng: Active Directory được tổ chức theo cơ chế của Directory Service dưới mô hình tổ chức Directory giúp các nhà quản trị có cái nhìn tổng quan nhất đối với cả hệ thống, đồng thời giúp user có thể dễ dàng truy xuất và sử dụng tài nguyên hệ thống.
• Integration with Domain Name System (DNS) DNS là một partner rất cần thiết đối với Active Directory, trong một hệ thống mạng, các dịch vụ của Active Directory chỉ hoạt động được khi dịch vụ DNS được cài đặt. DNS có trách nhiệm dẫn đường, phân giải các Active Directory Domain Controller trong hệ thống mạng, và càng quan trọng hơn trong môi trường Multi Domain. DNS được dễ dàng tích hợp vào Active Directory để nâng cao độ bảo mật và khả năng đồng bộ hóa giữa các Domain Controller với nhau trong môi trường nhiều Domain.
• Client Configuration Management: Active Directory cung cấp cho chúng ta một khả năng quản trị các cấu hình phía client, giúp quản trị hệ thống dễ dàng hơn và nâng cao khả năng di động của user.
• Policy – based administration: Trong Active Directory, việc quản trị hệ thống mạng được đảm bảo một cách chắn chắc thông qua các chính sách quản trị tài nguyên, các quyền truy xuất trên các site, domain và các organization unit. Đây là một trong những tính năng quan trọng nhất được tích hợp vào Active Directory.
• Replication of information: Active Directory cung cấp khả năng đồng bộ dữ liệu thông tin giữa các domain, trên nền tảng, môi trường nhiều domain nhằm mục đích giảm thiếu đến mức tối đa rủi ro và nâng cao khả năng họat động của hệ thống mạng.
• Flexible, secure authentication and authorization: Active Directory cung cấp nhiều cơ chế authentication như Kerberos, Secure Socket Layer và Transport Layer Security giúp cho việc bảo mật thông tin của user khi xác thực thông tin truy xuất tài nguyên.
• Security integration: Active Directory được tích hợp mặc địnhtrong các phiên bản Windows Server, do đó Active Directory làm việc rất dễ dàng và linh hoạt, truy xuất điều khiển trên hệ thống được định nghĩa trên từng đối tượng, từng thuộc tính của đối tượng. Không những thế, các chính sách bảo mật được áp dụng không phải đơn thuần trên local mà còn được áp dụng trên các site, domain hay ou xác định.
• Directory – enable applications and infrastructure: Active Directory là một môi trường tuyệt hảo cho các nhà quản trị thiết lập các cấu hình và quản trị các ứng dụng trên hệ thống. Đồng thời Active Directory cung cấp một hướng mở cho các nhà phát triển ứng dụng (developer) xây dựng các ứng dụng trên nền tảng Active Directory thông qua Active Directory Service Interfaces
• Interoperability with other directory services: Active Directory được xây dựng trên giao thức directory service chuẩn gồm 2 giao thức là Lightweight Directory Access Protocol (LDAP) và Name Service Provider Interface (NSPI), do đó Active Directory có khả năng tương thích với các dịch vụ khác được xây dựng trên nền tảng directory service thông qua các giao thức này. Vì LDAP là một giao thức directoy chuẩn, do đó ta có thể phát triển, tích hợp các sản phẩm ứng dụng trao đổi, chia sẻ thông tin với Active Directory thông qua giao thức LDAP. Còn giao thức NSPI được hỗ trợ bởi Active Directory nằm mục đích đảm bảo và nâng cao khả năng tương thích với directoy của Exchange.
• Signed and encrypted LDAP traffic: Mặc định là công cụ Active Directoy trong windows server sẽ tự động xác thực và mã hóa thông tin, dữ liệu truyền tải trên giao thức LDAP. Việc xác thực giao thức nhằm đảm bảo thông tin được gửi đến từ 1 nguồn chính thức và không bị giả mạo.