Jun 20, 2012
93 Views

Các dịch vụ miền của Windows Server 2008

Written by

Các dịch vụ miền của Active Directory (Active Directory Domain Services) – trước đây vẫn được biết đến là Active Directory – và Identity Management trong Windows Server 2008 hiện có một số dịch vụ khác:

  • Active Directory Domain Services (AD DS)
  • Active Directory Federation Services (AD FS)
  • Active Directory Lightweight Directory Services (AD LDS)
  • Active Directory Rights Management Services (AD RMS).
  • Active Directory Certificate Services (AD CS)

Mỗi dịch vụ trên lại có một Server Role, một khái niệm mới trong Windows Server 2008. 

Những điểm mới trong Windows Server 2008

Có rất nhiều tính năng và chức năng mới được bổ sung vào Active Directory trong Windows Server 2008.

Trong bài này chúng tôi sẽ tập trung vào Active Directory Domain Services (AD DS) trong Windows Server 2008, dịch vụ này có một số tính năng và nâng cao mới so với Windows Server 2003.

Đây là toàn bộ tóm tắt ngắn gọn về những thay đổi chính và các chức năng dịch vụ miền mới mà chúng tôi sẽ đề cập đến trong bài này:

  • Active Directory Domain Services – Read-Only Domain Controllers
  • Active Directory Domain Services – Restartable Active Directory Domain Services
  • Active Directory Domain Services – Fine-Grained Password Policies

Active Directory Domain Services

Chức năng Domain Services được đưa vào và nâng cấp trong Windows Server 2008, cùng với một tiện ích cài đặt đã được cải thiện (Server Manager). Dịch vụ này cung cấp một số tùy chọn mới cho các tính năng AD DS như Read-Only Domain Controller (RODC).

Read-Only Domain Controller (RODC) của Active Directory là một kiểu domain controller mới trong Windows Server 2008. Với mỗi RODC, các tổ chức có thể triển khai dễ dàng một domain controller trong các vị trí mà sự bảo mật về mặt vật lý không được bảo đảm.

Mục đích chính của RODC là cải thiện độ bảo mật tại các chi nhánh văn phòng. Tại các văn phòng chi nhánh thường gặp rất nhiều khó khăn trong việc bảo mật vật lý đối với cơ sở hạ tầng CNTT, đặc biệt cho Domain Controller có bên trong các dữ liệu nhạy cảm. Thông thường một DC có thể được tìm thấy ở đâu đó trong văn phòng (có thể dưới bàn làm việc). Nếu ai đó có được sự truy cập vật lý vào DC thì họ có thể dễ dàng thao túng hệ thống và có thể truy cập vào dữ liệu. RODC được giới thiệu để giải quyết vấn đề này.

Bản chất của RODC là:

  • Read-Only Domain Controller
  • Administrative Role Separation
  • Credential Caching
  • Read-Only DNS

Read-Only Domain Controller

RODC giữ một copy cơ sở dữ liệu Active Directory chỉ đọc, không cho phép ghi, gồm tất cả các đối tượng và thuộc tính. RODC chỉ hỗ trợ bản sao một hướng (uni-directional) đối với các thay đổi của Active Directory, điều đó có nghĩa rằng RODC luôn sao chép ngay lập tức với Domain Controllers trong HUB.

Hình A: Bản sao đối với RODC

RODC sẽ thực hiện sao chép gửi về từ HUB đối với các thay đổi của Active Directory và DFS. RODC sẽ nhận mọi thứ từ Active Directory nhưng các thông tin nhạy cảm, mặc định các tài khoản như Domain Admins, Enterprise Admins và Schema Admins đều bị loại trừ khỏi việc sao chép đối với RODC.

Nếu một ứng dụng cần phải ghi vào Active Directory thì RODC sẽ gửi một thông tin chỉ dẫn LDAP để tự động gửi chuyển tiếp ứng dụng đến Domain Controller có thể ghi, Domain Controller này nằm trên HUB chính. RODC cũng có khả năng chạy Global Catalog Role để có thể đăng nhập nhanh hơn nếu cần.

Đây thực sự là một ưu điểm tuyệt vời dành cho các văn phòng chi nhánh, vì nếu một ai đó có thể truy cập vật lý vào máy chủ hoặc thậm chí lấy cắp máy chủ thì người này có thể bẻ khóa mật khẩu của các tài khoản trong Active Directory, tuy nhiên không phải các tài khoản nhạy cảm – vì chúng không nằm trong RODC.

Điều này cũng có nghĩa rằng các tài khoản quản trị nhạy cảm đó là không thể đăng nhập vào RODC nếu liên kết WAN đến HUB chính không được thiết lập.

Để bổ sung RODC trong môi trường của bạn, bạn cần domain và forest ở chế độ Windows Server 2003 và DC đang chạy PDC emulator cần thiết để chạy Windows Server 2008.

Administrative Role Separation- Chia cắt vai trò quản trị

Bạn có thể ủy nhiệm các điều khoản quản trị viên cho một máy chu RODC nào đó đối với người dùng trong Active Directory. Tài khoản của người dùng được ủy nhiệm sẽ có thể đăng nhập vào máy chủ và thực hiện các nhiệm vụ bảo trì máy chủ mà không cần bất cứ điều khoản AD DS nào và người dùng không có quyền truy cập vào Domain Controllers khác trong Active Directory, đây là cách bảo mật không được thỏa hiệp đối với miền.

Credential Caching – Lưu trữ các thông tin quan trọng

Mặc định, RODC không lưu các thông tin máy tính hoặc của người dùng, ngoại trừ tài khoản máy tính của bản thân RODC và tài khoản đặc biệt nào đó mà mỗi RODC có.

Tuy vậy RODC có thể được cấu hình để lưu trữ mật khẩu, cấu hình này được quản lý bởi Password Replication Policy. Password Replication Policy xác định xem bản sao từ DC cho phép ghi vào RODC có được phép đối với các thông tin quan trọng của máy tính hoặc người dùng hay không. Nếu một người dùng nào đó được phép thì các thông tin quan trọng của họ sẽ được lưu trên RODC lúc đăng nhập.

Khi một tài khoản nào đó đã được chứng thực thành công với RODC thì RODC sẽ cố gắng liên lạc với Domain Controller có khả năng ghi tại HUB. Nếu một mật khẩu nào đó không được lưu trữ thì RODC sẽ chuyển tiếp yêu cầu chứng thực vào DC có thể ghi. DC nhận yêu cầu sẽ nhận ra rằng yêu cầu đang gửi đến từ RODC và các check với Password Replication Policy.

Ưu điểm của việc lưu trữ các thông tin quan trọng này sẽ bảo vệ được mật khẩu của bạn tại các văn phòng chi nhánh và tối thiểu hóa nguy cơ lộ thông tin quan trọng này trong trường hợp RODC bị thỏa hiệp. Khi sử dụng Credential Caching và trong trường hợp nếu có một RODC bị đánh cắp thì tài khoản người dùng và tài khoản máy tính có thể thiết lập lại mật khẩu của chính chúng, việc thiết lập này dựa vào RODC mà chúng thuộc về.

Credential Caching có thể bị vô hiệu hóa, tính năng này sẽ hạn chế việc bị lộ thông tin, tuy nhiên nó cũng sẽ tăng lưu lượng WAN vì tất cả các yêu cầu chứng thực sẽ được chuyển tiếp đến DC có khả năng ghi trong HUB chính.

Read-Only DNS

Bổ sung thêm vào RODC, chức năng này cũng có thể cài đặt dịch vụ DNS. Máy chủ DNS đang chạy trên RODC không hỗ trợ các nâng cấp động. Tuy nhiên các máy khách lại có thể sử dụng máy chủ DNS để truy vấn về tên.

Do DNS ở chế độ chỉ đọc (Read-Only) nên các máy khách (client) không thể nâng cấp các bản ghi trên nó. Tuy nhiên nếu một máy khách nào đó muốn cập nhật bản thân các bản ghi DNS của chính nó thì RODC sẽ gửi một thông tin chuyển tiếp đến DNS cho phép ghi. Bản ghi cập nhật này sẽ được sao chép từ máy chủ DNS này vào máy chủ DNS trên RODC. Đây là một bản sao đối tượng đặc biệt (DNS record), để giữ các máy chủ RODC DNS được cập nhật một cách kịp thời và mang đến các máy khách tại văn phòng chi nhánh một giải pháp tên thích hợp hơn.

Các dịch vụ miền Active Directory có khả năng khởi động lại

Với Windows Server 2008, Active Directory Domain Services (AD DS) lúc này có khả năng stop và start trở lại. Điều này có nghĩa rằng bạn có thể stop ADDS để thực hiện các nhiệm vụ và bảo trì, việc mà trong các phiên bản trước đây của Windows Server cần phải khởi động lại trong Directory Services Restore Mode (DSRM). Đây quả là một tính năng tuyệt vời cho việc viết mã và tự động hóa các nhiệm vụ đó.

Các trạng thái có thể cho ADDS là:

  • AD DS – (đã được khởi động)
  • AD DS – (đã được tạm dừng)
  • AD DS Restore Mode (DSRM) (chế độ khôi phục)

Có một lợi ích ở đây đó là các nhiệm vụ đã sử dụng để yêu cầu khởi động lại cần đến ADDS offline hiện được cung cấp một cách trực tiếp từ giao diện điều khiển. Điều này cho phép các quản trị viên có thể linh động trong việc bảo trì và thực hiện các hoạt động ADDS offline được nhanh hơn.

Các chính sách mật khẩu chi tiết

Trước Windows Server 2008, bạn chỉ có một mật khẩu và một chính sách khóa tài khoản trên mỗi miền, mật khẩu này được áp dụng đối với tất cả người dùng trong miền. Trong AD DS của Windows Server 2008 có một điểm mới đó là nó có thể điều chỉnh một cách chi tiết hơn các chính sách mật khẩu để định nghĩa các tập mật khẩu khác hoặc chính sách khóa cho nhóm người dùng khác trong cùng một miền.

Các chính sách mật khẩu chi tiết này có các thiết lập dưới đây:

Chính sách mật khẩu:

  • Áp đặt history của mật khẩu
  • Tuổi thọ tối đa của mật khẩu
  • Tuổi thọ tối thiểu
  • Chiều dài tối thiểu
  • Mật khẩu phải có các yêu cầu cần thiết về độ phức tạp
  • Lưu các mật khẩu bằng sử dụng mã hóa đảo ngược

Chính sách khóa

  • Khoảng thời gian khóa tài khoản
  • Ngưỡng khóa
  • Thiết lập lại tài khoản sau khi khóa

Chính sách mật khẩu chi tiết hơn có thể được áp dụng cho các đối tượng người dùng và các nhóm bảo mật toàn cục. Nó không thể áp dụng cho OU.

Để sử dụng chức năng này, mức chức năng miền phải ở Windows Server 2008.

Kết luận

Windows Server 2008 Active Directory Domain Services (AD DS) có một số tính năng và chức năng tuyệt vời như vừa được giới thiệu ở trên, các tính năng này có thể tối ưu rất nhiều trong vấn đề quản lý miền.

Với các văn phòng chi nhánh, Read-Only Domain Controller (RODC) cho thấy là một tính năng tuyệt vời của Windows Server 2008, nó là một nâng cao về góc độ bảo mật cho các tổ chức đang sử dụng Domain Controllers trong ở các địa điểm từ xa.

Chính sách mật khẩu chi tiết cũng là một tính năng mới tạo khả năng linh động trong mọi miền với khả năng cho phép nhiều chính sách mật khẩu và khóa.

Cùng với đó còn có nhiều tính năng mới, tất cả chúng đều làm tăng tính bảo mật và độ linh động trong Active Directory.

Trong phần này của loạt bài về Domain Service của Windows Server 2008, chúng tôi sẽ tập trung vào Active Directory Federation Services (AD FS) và giới thiệu tóm tắt về Active Directory Lightweight Directory Services (AD LDS). AD FS và AD LDS đã được giới thiệu đến trong Windows Server 2003 (R2) và luôn được phát triển và cải thiện cùng với Windows Server 2008.

Active Directory Federation Services là gì?

Active Directory Federation Services (AD FS) là tính năng đã được giới thiệu đến trong Windows Server 2003 R2, tính năng này cung cấp giải pháp nhận dạng truy cập. Nó cho phép các trình duyệt trên client, bên trong hoặc bên ngoài mạng của bạn có khả năng truy cập một lần (Single-Sign-On (SSO)) vào các ứng dụng dựa trên Web. Tuy nhiên bạn cũng cần lưu ý rằng AD FS chỉ làm việc cho các ứng dụng nền tảng Web. AD FS có thể được sử dụng trong việc cấu hình Web hoặc các môi trường SharePoint. Nó cũng rất hữu dụng khi một công ty nào đó có các máy chủ web nằm trong một DNZ hoặc trên một hãng hosting từ xa hoặc đối tác kinh doanh và muốn kiểm soát các thông tin quan trọng đối với các ứng dụng web của họ từ Active Directory bên trong.

Những điểm mới trong AD FS của Windows Server 2008

Vậy những gì là mới của AD FS trong Windows Server 2008 khi mang so sánh với Windows Server 2003 R2?

AD FS vẫn là một công nghệ tương đối mới của Microsoft và đây là thế hệ thứ hai của sản phẩm này. Windows Server 2008 có một số tính năng mới cho AD FS, các tính năng này không có sẵn trong Windows Server 2003 R2. Các tính năng mới này sẽ tạo điều kiện dễ dàng trong quản trị và mở rộng sự hỗ trợ cho các ứng dụng chính của Microsoft.

Tổng quan về một số tính năng mới:

  • Cải thiện về vấn đề cài đặt:

    Wizard cài đặt của AD FS gồm một role máy chủ trong Windows Server 2008 và các kiểm tra hợp lệ hóa máy chủ. Server Manager trong Windows Server 2008 sẽ tự động liệt kê và cài đặt tất cả các dịch vụ mà AD FS yêu cầu trong quá trình cài đặt AD FS role (ASP.NET, IIS,..).

  • Cải thiện về sự hỗ trợ:

    Phiên bản mới của AD FS đã được tích hợp chặt chẽ hơn với Active Directory Rights Management Services (AD RMS) và Microsoft Office SharePoint Server 2007 (MOSS). MOSS 2007 hiện hỗ trợ khả năng đăng nhập một lần đã được tích hợp trong AD FS. AD FS hỗ trợ thành viên MOSS 2007 và các nhà cung cấp role, điều đó có nghĩa rằng bạn có thể cấu hình MOSS 2007 với tư cách là một ứng dụng thân thuộc bên trong AD FS và sau đó quản trị bất kỳ site này của SharePoint bằng điều khiển truy cập dựa trên role và thành viên.

  • Quản trị tốt hơn:

    AD FS đã được cải thiện bằng một chức năng import và export chính sách mới, giúp giảm tối thiểu những vấn đề cấu hình trên đối tác.

AD FS làm việc như thế nào?

Active Directory Federation Services (AD FS) cung cấp các dịch vụ quản lý nhận dạng rộng rãi, cho phép các công ty lớn mở rộng được cơ sở hạ tầng của họ cho các đối tác tin cậy và khách hàng. AD FS có 3 khả năng chính dưới đây:

  • Thẩm định mạng nội bộ mở rộng (Extranet)
  • Cơ chế đăng nhập một lần dựa trên Web
  • Các dịch vụ nhận dạng rộng cho các ứng dụng web dựa trên IIS.

AD FS được thiết kết để có thể được triển khai trong các tổ chức lớn và trung bình có những điều kiện sau:

  • Ít nhất một dịch vụ thư mục (directory): Active Directory Domain Services (AD DS) hoặc Active Directory Lightweight Directory Services (AD LDS)
  • Các máy tính nằm trong miền
  • Các máy tính đang chạy trên nhiều nền tảng hệ điều hành khác nhau
  • Các máy tính được kết nối Internet
  • Một vài ứng dụng dựa trên Web

Tất cả việc truyền thông từ Active Directory đến AD FS đều được mã hóa và tất cả các truyền thông từ các client đến AD FS cũng đều được mã hóa SSL.

Những lợi ích đem lại trong môi trường rộng đó là mỗi công ty liên tục có thể quản lý được sự phân biệt với chính nó, nhưng mỗi công ty cũng có thể đặt dự án một cách bảo đảm và chấp nhận sự phân biệt với các tổ chức khác.

Các Role trong AD FS

AD FS trong Windows Server 2008 có một số role khác, phụ thuộc vào các yêu cầu của tổ chức mà bạn có thể triển khai máy chủ đang chạy một hoặc nhiều role AD FS.

Tổng quan về các role này:

  • Dịch vụ Federation:

    Dịch vụ Federation có thể được sử dụng bởi một hoặc nhiều máy chủ federation để chia sẻ một chính sách nhất quán nào đó. Các máy chủ này được sử dụng để định tuyến các yêu cầu thẩm định từ các tài khoản người dùng trong những tổ chức khác hoặc trừ các client được đặt trên Internet.

  • Federation Service Proxy:

    Federation Service Proxy là một proxy cho dịch vụ Federation trong mạng vành đai (DMZ). Federation Service Proxy sử dụng các giao thức WS-Federation Passive Requestor Profile (WS-F PRP) để chọn thông tin của người dùng từ các trình duyệt máy khách và gửi thông tin này đến dịch vụ Federation.

  • Claims-aware agent:

    Claims-aware agent được cài đặt trên máy chủ Web để cấu hình ứng dụng claims-aware. Nó cũng cần thiết để cho phép truy vấn các ưu sách thẻ bảo mật AD FS. Ứng dụng claims-aware là một ứng dụng ASP.NET của Microsoft hoặc một ứng dụng chuẩn giống như MOSS 2007.

  • Tác nhân dựa trên thẻ

    Tác nhân thẻ có thể đựợc cài đặt trên một máy chủ Web cấu hình ứng dụng thẻ của Windows NT. Nó cần thiết để hỗ trợ cho việc chuyển đổi từ thể bảo mật AD FS sang mức nhân cách hóa. Ứng dụng thẻ của Windows NT là ứng dụng sử dụng các cơ chế thẩm định dựa trên Windows.

AD FS và Server Core

Active Directory Federation Services roles không nằm trong Server Core. Nó phần nào phụ thuộc vào ASP.NET, một nền tảng không có trong Server Core.

AD FS và sự phát triển

AD FS là một tính năng có thể giúp các chuyên gia phát triển tạo các ứng dụng web. AD FS cũng có thể là chìa khóa trong việc cung cấp truy cập bên ngoài an toàn đối với các ứng dụng Web của bạn. Nó cũng có thể được sử dụng với Active Directory Lightweight Directory Services (AD LDS) với tư cách là một bộ cung cấp nhận dạng cho việc chứng thực và Windows Authorization Manager cho việc kiểm soát chính sách truy cập, cung cấp giải pháp hoàn tất để mở rộng các ứng dụng Web cho các tổ chức tin cậy.

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) trước đây được biết đến với tên Active Directory Application Mode (ADAM), là một chế độ đặt biệt của AD trong đó, các dịch vụ thư mục được cấu hình chỉ một cho các ứng dụng. Chế độ này cung cấp khả năng lưu trữ và truy cập cho các ứng dụng, sử dụng cùng các giao diện quản trị viên và các chuyên gia phát triển đã thân thuộc.

AD LDS là một tính năng lưu trữ và truy vấn dữ liệu dịch vụ thư mục của LDAP cho các ứng dụng đã thư mục, không phụ thuộc vào những yêu cầu cho AD DS. Nó cũng không lưu trữ các nguyên lý bảo mật vẫn có trong AD DS.

Các chuyên gia phát triển có thể sử dụng AD LDS để làm việc với các thông tin của Active Directory trong các ứng dụng của họ. AD FS là một trong những ứng dụng sử dụng AD LDS để lưu các thông tin quan trọng này.

Kết luận

Active Directory Federation Services (AD FS) là một tính năng mạnh của Windows Server 2008, nó cho phép các tổ chức có được khả năng linh hoạt trong việc kết nối các ứng dụng Web và quản lý các thông tin về tài khoản.

Article Categories:
IT & Network
    http://linholiver.com

    https://linholiver.com/diary/about/