Windows Server 2003: погляд системного адміністратора :: Журнал СА 11.2003

ОЛЕКСІЙ ДОЛЯ, МИХАЙЛО МЕЛЬНИКОВ

Windows Server 2003: погляд системного адміністратора

Не так давно всесвітньо відомий гурт Gartner провела вельми цікаве дослідження ринку серверних операційних систем сімейства Windows, в результаті з'ясувалося, що переважна більшість компаній і адміністраторів вважають за краще базувати свої сервери на старій як світ Windows NT 4.0 (вона займає близько 60-70% ринку), і перехід на Windows 2000 Server, а тим більше на нещодавно вийшла Windows Server 2003 для них виглядає непривабливою ідеєю. Microsoft же, в свою чергу, незадовго до виходу Windows Server 2003 також провела статистичне дослідження, в якому ринку Windows NT 4.0 відводиться всього лише 35%. Більш того, було розгорнуто понад 10 000 серверів поза стінами Microsoft під управлінням Windows Server 2003 ще до офіційного дня презентації. Кому вірити - питання риторичне. Однак час на місці не стоїть, та й сама Microsoft дихає оптимізмом: з моменту появи NT 4.0 води утекло досить багато, а варіантів серверних Windows крім самої Windows NT 4.0 набралося вже два: Windows 2000 Server, і ось, зустрічайте, Windows Server 2003 ( як завжди в кількох редакціях і цінових категоріях: Enterprise, Web, Datacenter і, звичайно ж, Standard). Кожен з варіантів системи позиціонується компанією Microsoft для вирішення конкретних завдань в орієнтації на різну продуктивність, функціональність і гнучкість, і масштаб організаційної інфраструктури.

Windows Server 2003 Datacenter розроблена для критичних бізнес-додатків, вона дозволяє вирішувати завдання, що вимагають масштабованості та доступності високого рівня. Наприклад, рішення для баз даних, планування ресурсів на підприємстві, високошвидкісний інтерактивної обробки транзакцій і консолідації серверів. Windows Server 2003 Datacenter Edition підтримує 32-потокову мультипроцесорну обробку даних (SMP) і до 64 Гб оперативної пам'яті (мова йде про 32-розрядної версії, 64-розрядна підтримує відповідно 128 Гб ОЗУ), а також надає стандартні функції: восьміузловую кластеризацию і служби балансування навантаження.

Windows Server 2003 Web Edition буде застосовуватися для конкретних завдань, орієнтованих на використання веб-технологій. Ця версія призначена для розробки і підтримки хостингу веб-додатків, веб-сторінок і веб-служб XML. Web Edition розроблена для використання в основному в якості веб-сервера IIS версії 6.0 і надає платформу для успішної розробки і розгортання веб-служб XML, яка використовує технологію ASP.NET, що є однією з основних частин .NET Framework. До речі кажучи, передбачається, що Windows Server 2003 Web Edition придбати в роздрібному продажі буде не можна, оскільки вона буде поширюватися виключно через офіційних партнерів Microsoft.

У свою чергу Windows Server 2003 Standard Edition від Enterprise Edition надаються функціоналом багато в чому схожі, і за рекомендацією Microsoft можуть використовуватися в залежності від масштабу існуючої або передбачуваної інформаційної структури компанії.

«При розробці Windows Server 2003 ми ставили на чільне місце підвищення безпеки системи, - заявив Білл Вегте, віце-президент підрозділу Windows Server Division корпорації Microsoft. - Безпека є однією з головних турбот користувачів, і нові функції, реалізовані в цій версії, значно полегшують створення захищених систем. Windows Server 2003 є надійною безпечну платформу, збагачену цілим рядом новаторських рішень ».

І дійсно, вихід операційної системи відкладався (за заявами Microsoft для того, щоб максимально ефективно і якісно пройти етап тестування нового продукту), її назви (в порівнянні з бета-версіями) змінювалися. Ключовий аргумент розробників зводився до підвищення безпеки нової ОС. Що ж, будемо сподіватися, що цілі поставлені розробниками, реалізовані.

Повертаючись до цифр статистики, можна зробити висновок, що не раз навчені гірким досвідом адміністратори з принципу не переходять на нову версію Windows. А сама міграція їм видається переїздом на Гондурас без грошей і запасного білизни. Деякі чекають як мінімум двох офіційних патчів, які по ідеї повинні виправити практично всі недоліки розробників, інші ж закривають очі на все, і як і раніше кожен день в меню «Пуск» спостерігають напис Windows NT 4.0 або Windows 2000.

Малюнок 1. Приклад проектування системи безпеки сервера

Компанія Microsoft закликає адміністраторів переходити на Windows Server 2003, не чекаючи першого сервіс-пака. Проте вихід сервіс-пака вже офіційно призначений на грудень цього року.

Втім, варто зауважити, що при недоліки Windows 2000, в новій Windows 2003 таких (у всякому разі поки що) не виявлено, і після розмови з кількома адміністраторами великих компаній, які вже встигли перейти на Windows Server 2003, складається враження, що система дійсно вселяє довіру.

Для початку давайте розглянемо деякі передумови до міграції на нову ОС. В першу чергу це зручність в адмініструванні сервера: подібно новенької BMW, «водієві» не потрібно докладати зайвих рухів тіла для того, щоб натиснути якусь кнопку. Те ж саме і тут.

Найбільш цікавим додатком в новій ОС є майстер управління сервером (див. Малюнок), який буде зустрічати вас кожен раз при включенні комп'ютера, починаючи з самого першого запуску системи. Він введений замість колишнього майстра настройки сервера. З його допомогою виконуються базові операції адміністратора над сервером, які раніше вимагали значно більших витрат часу. Одна з головних цілей майстри управління сервером - надати системним адміністраторам зручну можливість налаштовувати сервер для виконання конкретних завдань, наприклад, створення DNS-серверів, контролера домену, DHCP-серверів і т. Д.

Малюнок 2. Майстер управління сервером в дії

Як і завжди, розробники роблять ставку на підвищення надійності і продуктивності нового продукту. З Windows Server 2003 всі ці обіцянки виглядають як не можна більш переконливо. Внесено удосконалення в такі технології, як балансування навантаження мережі, служба Active Directory (про це нижче), кластери серверів. Крім того, інтегрована нове середовище - так звана CLR (Common Language Runtime). Ключовою властивістю CLR з точки зору адміністратора є можливість забезпечення програмної ізоляції додатків, що виконуються в загальному адресному просторі. Це здійснюється за допомогою безпечного щодо типів (type safety) доступу до всіх областей пам'яті під час виконання безпечного керованого коду. Деякі компілятори можуть створювати MSIL-код, який не тільки безпечний щодо типів, але і піддається простій перевірці на безпеку виконання. Цей процес називається верифікацією і дозволяє серверам легко перевіряти написані на MSIL призначені для користувача програми, і запускати тільки ті, які не будуть виробляти небезпечних звернень до пам'яті. Така незалежна верифікація важлива для дійсно масштабованих серверів, які виконують призначені для користувача програми і скрипти.

Вельми цікавим і значним змінам піддався і весь процес управління системою. У Windows Server 2003 підвищена надійність і доступність засобів управління, введених раніше в Windows 2000, і удосконалено основні функції, такі як інструментарій управління Windows, групова політика і результуюча політика.

Завдяки службам управління IntelliMirror всі програми, дані і настройки доступні користувачам незалежно від точки входу в систему, що, безсумнівно, підвищує продуктивність. Як і в Windows 2000, установка, видалення і оновлення програм можуть виконуватися віддалено. В кінцевому рахунку адекватно завданням розгорнутої інфраструктури ефективне використання всіх сервісів передбачає для кінцевого користувача наявність гнучкої, керованої системи для роботи, крім необхідності налаштовувати робочі місця під сервер.

Малюнок 3. Визначення шляху міграції для сервера при переході на платформу Windows Server 2003

Міграція - процес нелегкий і недешевий. Його доцільність завжди стоїть під питанням. Проте Windows Server 2003 - відмінна заміна старих NT 4.0 і Windows 2000 Server.

Причин для міграції з колишніх серверних версій Windows на Windows Server 2003 багато, і для кожного підприємства вони можуть бути персональними. Хтось використовує в якості сервера Windows 2000 Server, а хтось досі базує свій сервер на основі Windows NT 4.0. Якщо у вас останній випадок, то варто зауважити, що Windows Server 2003 не просто перевершує Windows NT 4.0 за багатьма параметрами, але і є більш надійною ОС. До того ж використання всіх можливостей Windows Server 2003 дозволить вам значно підвищити не тільки продуктивність і надійність мережі, але і спростити саме її адміністрування. Наприклад, служба Microsoft Active Directory спрощує адміністрування великих і територіально розподілених мереж і дає можливість користувачам швидко знаходити необхідні дані незалежно від розмірів мережі і кількості серверів. Удосконалення, які внесені в цю технологію, за заявами розробників мають важливе стратегічне значення для мереж підприємств будь-яких розмірів. У число нововведень і удосконалень Active Directory входить перейменування домену, що дозволяє змінювати DNS- і NetBIOS-імена вже зареєстрованих доменних імен в складі логічної схеми ліс (forest) таким чином, що результуючий склад лісу залишається синтаксично коректним.

Малюнок 4. Вплив поновлення доменів на довірчі відносини

Також слід відзначити появу в Active Directory підтримки класу inetOrgPerson - тепер адміністратор може використовувати цю можливість для виконання міграції об'єктів inetOrgPerson з каталогу LDAP в Active Directory при необхідності порівняти вміст Active Directory з іншими каталогами LDAP або створити об'єкти inetOrgPerson в Active Directory.

Малюнок 5. Переваги міграції на платформу Windows Server 2003 очевидні, особливо якщо ви використовуєте Windows NT 4.0

Windows Server 2003 є гідною альтернативою Windows NT 4.0 і спонукає системних адміністраторів, позбутися від старого ПО і перейти до нового. В якості основного аргументу Microsoft наводить аргумент, формулюються приблизно так: пора викинути старе залізо під управлінням Windows NT 4.0 і замінити його новими високопродуктивними кластерами під керуванням Windows Server 2003 - це дозволить спростити топологію мережі підприємства, підвищити продуктивність і масштабованість, а також полегшити адміністрування мережі в загальному.

Ну і саме помітне удосконалення в Active Directory, звичайно ж, підвищення загальної продуктивності. У Windows Server 2003 організовано більш ефективне управління реплікацією і синхронізацією вмісту Active Directory. Завдяки цьому адміністраторам буде легше контролювати типи даних, які підлягають реплікації і синхронізації між контролерами одного або декількох доменів. Крім того, Active Directory пропонує більше можливостей в плані інтелектуального відбору даних, які підлягають реплікації. Наприклад, можна вибирати тільки змінилися дані, крім необхідності оновлювати повністю весь каталог.

Не можна не розповісти і про нововведення в плані Internet Information Server (IIS), який тепер наділений порядковим номером 6.0.

Тепер IIS надає ряд нових функцій і удосконалень, серед яких нові програмні засоби, функції безпеки, нова архітектура обробки запитів і нові функції забезпечення швидкодії і масштабованості.

Функція відстеження стану системи (WAP), інтегрована в IIS 6.0, допоможе вам стежити за станом робочих процесів за допомогою періодичної перевірки зв'язку з ними. Природно, мета подібних «процедур» полягає у виявленні блокування того чи іншого процесу. Якщо який-небудь процес блокований, служба WAP закриває його і натомість запускає інший, ідентичний йому процес.

Прив'язка до процесорів в IIS 6.0 також грає далеко не останню роль. Кожен робочий процес можна прив'язати до окремого процесору, і при цьому попадання в кеш процесора (L1 або L2) відбуваються частіше.

У плані безпеки в IIS 6.0 введені такі функції, як блокування сервера, удосконалення протоколу SSL, інтеграція так званого паспорта (Microsoft Passport), авторизація URL і багато іншого.

Windows Server 2003 містить значну кількість поправок і удосконалень Active Directory, і перераховані вище нововведення і поновлення AD - це всього лише маленька частка всього, що з'явилося нового в цій службі.

За допомогою спеціальних служб сертифікації та засобів управління сертифікатами організації можуть створювати власну інфраструктуру відкритих ключів (так звану Public Key Infrastructure, PKI). Інфраструктура PKI дозволяє адміністраторам впроваджувати технології забезпечення безпеки, засновані на стандартах, (наприклад, вхід в систему з використанням смарт-карт, перевірку справжності клієнтів за протоколами Secure Sockets Layer (SSL) і Transport Layer Security (TLS).

Служби сертифікації дозволяють адміністраторам створювати довірені центри сертифікації, які відповідають за видачу та відкликання сертифікатів X.509 V3. Завдяки цьому організації можуть і не залежати від комерційних систем перевірки автентичності, навіть якщо така система інтегрована в інфраструктуру відкритих ключів окремої організації.

Вельми цікавою можливістю, яку ви отримаєте при міграції на Windows Server 2003 також є консоль управління груповими політиками, яка була задумана як додатковий компонент Windows Server 2003. З її допомогою адміністратор може використовувати групову політику для настройки параметрів і визначення дій користувачів і комп'ютерів. На відміну від локальної, групову політику можна використовувати для настройки правил, що застосовуються на заданому вузлі, в домені або ж підрозділі Active Directory.

Найближчим часом Microsoft запропонує користувачам кілька додаткових програмних модулів для забезпечення безпеки. Одним з них є Secure Configuration Wizard (майстер створення захищених конфігурацій) - додатковий модуль для Windows Server 2003, що допомагає автоматизувати настроювання серверів з метою забезпечення максимальної безпеки (з використанням функціональних ролей).

Крім того, Microsoft розширить спектр пропонованих шаблонів і рекомендацій (Patterns and Practices), додавши до них практичні рекомендації з таких питань, як інфраструктура ідентифікації та інфраструктура мобільного доступу, що допоможе користувачам створювати і експлуатувати захищені системи на основі Windows Server 2003.

Windows Server 2003 має ряд нових і вдосконалених функцій для створення захищених серверних конфігурацій на платформі Windows. Завдяки цим нововведенням замовникам буде легше створювати безпечні конфігурації і управляти ними. Зокрема, можна буде безпечно надавати доступ в корпоративну мережу кінцевим користувачам, а також своїм партнерам, постачальникам і клієнтам. Нижче перераховані деякі функції, що забезпечують підвищену безпеку Windows Server 2003.

• Значно перероблені служби інфраструктури відкритих ключів (PKI) забезпечують користувачів простою системою керування сертифікатами, що підвищує безпеку заснованих на IPSec віртуальних приватних мереж (VPN) і мережевих комунікацій, систем аутентифікації, що використовують бездротові протоколи сімейства 802.1x, процесів входу в систему з використанням мікропроцесорних карток, шифрувальної файлової системи і інших служб.
• Відкритий захищений протокол аутентифікації (Protected Extensible Authentication Protocol - PEAP) пропонує засоби парольної аутентифікації, покликані підвищити безпеку мережевих з'єднань. PEAP ідеально підходить користувачам, яким необхідна можливість використання бездротового зв'язку, але які не володіють ресурсами, необхідними для побудови повноцінної інфраструктури відкритих ключів.
• Диспетчер авторизації (Authorization Manager) забезпечує можливість авторизації на основі принципу прикладних ролей, спрощуючи системним адміністраторам управління доступом кінцевих користувачів до веб-службам.

«А чи варто сподіватися на неперевірену надійність, в той час як вже полюбився і налаштована« під ключ »система працює без збоїв кілька років і ніяких сюрпризів не підносить?», - запитає пересічний адміністратор мережі, який не хоче мати зайві проблеми. Питання, звичайно, риторичне, і для кожного на нього знайдеться своя відповідь. Але все ж, якщо ви як адміністратор женіться за стабільністю, швидкодією і вкрай високою надійністю, а головне - виключно особистим комфортом, то перехід на Windows Server 2003 може стати святом.

Все ж обійдемося без іронії. Презентація системи, що пройшла кілька місяців тому по всіх великих містах Росії, пройшла більш ніж скромно. Обумовлено це було тим, що саме слово «Server» вже передбачає невелике коло потенційно зацікавлених осіб і не вимагає такої глобальної реклами, яка, наприклад, була перед виходом Windows XP восени 2001 року.

Такоже НЕ Варто тішіті собі ілюзіямі на предмет новой серверної ОС від Microsoft. Було б нерозумно заперечувати, що самі розробники не припускають випуск як мінімум двох-трьох патчів, які повинні «залатати дірки», непередбачені програмістами як у плані безпеки, так і по частині просто стабільної роботи системи.

Все ж є кілька дуже вражаючих доказів на користь Windows Server 2003, якщо порівнювати її з Windows 2000. Відразу відзначимо, що продуктивність системи в загальному плані підвищилася на 10-15%. Швидкість завантаження системи зросла на 20-30%. Кількість помилок стало значно нижче, однак все ж викликають деякі труднощі невеликі програми, до яких ми так звикли. Наприклад, ICQ в деяких випадках (знову ж визначити важко, в яких саме) підключається до сервера Mirabilis тільки в режимі адміністратора. Користувачі ж підключитися до ICQ не можуть. Ця проблема може вирішитися забезпеченням мережевого доступу до папки, де зберігається сама програма для всіх користувачів. Але все ж не факт, що це допоможе.

І такі проблеми зустрічаються далеко не з одного ICQ. Наводити повний список у вигляді «програма - помилка» сенсу не має.

По частині ігор, дорогі адміністратори, теж варто зауважити, що грати по мережі в Quake в робочий час не вийде - подібні ігри тепер просто не працюють під управлінням Windows 2003. Правда, після бродіння з мережних форумах, де «кращі уми російської кібернетики» намагаються «навчити» Windows запускати улюблені письменники і поети, стало зрозуміло, що Windows 2003 - операційна система не обов'язково серверна, а й домашня. У всякому разі при бажанні вона може стати такою.