В начале 2008 г. компания Microsoft выпустит Windows NT Server 6.0 — версию, когда-то известную как Longhorn Server, а теперь получившую наименование Windows Server 2008. Понравится ли она потребителям? Это зависит от личных предпочтений: кто-то является сторонником революционных преобразований, а кто-то склоняется к плавной эволюции.
Windows 2008 ассоциируется скорее с Дарвином и Уоллесом, чем с Марксом и Лениным. Как и две предшествующие версии, Windows Server 2003 и Windows Server 2003 R2, Windows 2008 дополнена первоклассными новыми инструментами и свободна от ряда известных недостатков. Однако в Windows 2008 нет радикальных новаций, как в Windows 2000 Server, поэтому новую операционную систему будет довольно легко ввести в существующую серверную среду Windows. К сожалению, в Windows 2008 не устранены некоторые наиболее важные изъяны прошлых версий (как и в Windows 2003 и Windows 2003 R2). В Windows 2008 применяется много новых технологий, но в данной статье есть место для рассмотрения лишь нескольких компонентов.
Преимущества Vista
Каким бы ни было отношение к Vista, нельзя не признать, что это самая надежно защищенная версия Windows. Windows 2008 построена на основе исходного текста Vista и наследует ее преимущества в отношении обеспечения безопасности. Кроме того, Windows 2008 выигрывает от усовершенствованной функциональности Vista.
64-разрядный порог преодолен!
Вероятно, самое глубокое изменение в Windows 2008 — архитектурное: 64 разряда. 64-разрядная архитектура становится стандартной для процессоров; 32-разрядные решения превращаются в наследие прошлого. По сведениям из Microsoft, Windows 2008 — последняя операционная система, которая будет совместима с 32-разрядными процессорами.
Хорошо это или плохо? На мой взгляд, это чудесно. Конечно, объем 64-разрядного исходного кода больше, чем соответствующего 32-разрядного, но благодаря архитектуре AMD64/EM64T упрощается низкоуровневое программирование, и разработчикам легче подготовить добротный программный код. Еще важнее, что в 64-разрядной архитектуре снимается ограничение в 4 Гбайт на адресное пространство, и Windows может расти до 16 Тбайт. При загрузке 64-разрядной Vista Ultimate (фактически настольной версии Windows 2008) диспетчер задач Windows сообщает, что операционная система использует 1,08 Гбайт оперативной памяти еще до запуска прикладных программ. Поэтому преодоление барьера в 4 Гбайт — очень своевременный шаг. Для Exchange Server 2007 уже требуется 64-разрядная архитектура, и, вероятно, это новшество Windows 2008 не должно вызвать потрясения у пользователей.
Server Core
Несомненно, главный козырь Windows 2008 — версия Server Core. В результате работы с различными версиями Unix и Linux в течение нескольких лет у меня появилось желание, чтобы связь ядра Windows с графическим интерфейсом была ослаблена. На сервере Unix или Linux можно запустить графический интерфейс лишь на короткое время, достаточное для того, чтобы воспользоваться графическим административным инструментом, настроить сервер, а затем отключить графический интерфейс. Благодаря такому подходу сервер использует небольшой объем оперативной памяти, требует меньше ресурсов процессора и лучше защищен (просто потому, что в меньшем числе программных компонентов меньше уязвимых мест).
С появлением Windows 2008 мое желание отчасти осуществилось. При установке бета-версии Windows 2008 можно выбрать полный вариант или только Server Core. Процедура установки Server Core выполняется молниеносно. Я установил Server Core как виртуальную машину (VM) на довольно загруженном компьютере и был поражен: на всю установку от начала до конца потребовалось лишь 11 минут, причем было использовано всего 200 Мбайт оперативной памяти.
Кроме того, Server Core выполняется на очень скромном оборудовании. Не думаю, что кто-нибудь установит производственную версию Server Core на компьютере с объемом оперативной памяти 256 Мбайт, но это возможно. Учитывая, что Vista даже не устанавливается на компьютере с оперативной памятью менее 512 Мбайт и функционирует очень вяло с памятью менее 1,5 Гбайт, для меня стало откровением, сколь значительной вычислительной мощностью приходится жертвовать ради графического интерфейса.
При виде рабочего стола Server Core у кого-то может возникнуть желание вернуть вычислительную мощность в обмен на графический интерфейс: рабочий стол Server Core представляет собой лишь окно командной строки. В Server Core отсутствует примерно 80% графического интерфейса Windows и не существует инфраструктуры .NET. Кроме того, в Server Core нельзя воспользоваться Windows PowerShell, хотя некоторые команды доступны.
Не дожидаясь, когда читатель отложит статью в сторону, отметим, что работать с Server Core не так трудно, как кажется на первый взгляд. Для администрирования Server Core можно использовать несколько методов. Например, можно ограничиться командной строкой. На протяжении ряда лет компания Microsoft постепенно расширяла административные возможности командной строки Windows. Server Core располагает несколькими новыми инструментами Call Level Interface (CLI), и администрирование на основе CLI весьма сносное.
Преданные сторонники графического интерфейса могут по-прежнему щелкать мышью в свое удовольствие. Достаточно запустить оснастку удаленного управления консоли Microsoft Management Console (MMC) в полнофункциональной системе Windows 2008, чтобы удаленно управлять компьютером Server Core.
Возможности Server Core более узкие, чем у полноценной версии Windows 2008; например, она непригодна для размещения сервера Exchange или SQL Server. Однако такой компьютер может быть сервером DHCP, WINS, DNS или Microsoft IIS (но без поддержки ASP.NET); контроллером домена (DC); сервером файлов или печати.
Для использования Server Core существует две причины. Во-первых, Server Core не так требовательна к оборудованию, как полнофункциональная версия Windows 2008. Поэтому применять Server Core как производственную VM гораздо выгоднее, чем полную версию. А недорогой компьютер с Server Core в качестве сервера в офисе филиала гораздо доступнее, чем сервер, для которого требуется мощный компьютер. Во-вторых, в компактных программах меньше ошибок и уязвимых мест, которыми могут воспользоваться злоумышленники. Представители Microsoft утверждают, что устанавливать исправления для Server Core потребуется гораздо реже, чем для полнофункциональной системы. При прочих равных условиях компактное программное обеспечение надежнее защищено (вероятно, поэтому в составе Server Core отсутствует .NET). Решение Microsoft удалить .NET из Server Core было небесспорным, но в итоге верным. Платформа .NET — громоздкий программный продукт с собственной подсистемой безопасности, и добавление .NET в «минимальную» версию Windows 2008, спроектированную для надежности, противоречит назначению Server Core. Важный вопрос: будут ли потребители покупать Server Core? Ответ зависит от единственного обстоятельства — цены. Компания Microsoft сообщает, что покупателям экземпляра Windows Server 2008 Standard Edition, Enterprise Edition или Datacenter Edition предоставляется выбор: установить полную версию или Server Core. Если это так, то версия Server Core обречена. Зачем платить тысячи долларов за серверную операционную систему, а устанавливать продукт с урезанной функциональностью? Мой прогноз: Server Core нежизнеспособна, и это очень досадно. Разработчикам Microsoft следует всерьез подумать о том, чтобы предложить Server Core как недорогую альтернативу Windows 2008.
Изменения в Active Directory
Первое изменение, затронувшее Active Directory (AD) в Windows 2008, — новое имя, Active Directory Domain Services. В доменах Windows появился ряд изменений, связанных со службами ADDS: контроллеры домена только для чтения (read-only DC, RODC), детализированные политики пароля и моментальные снимки AD.
Прежде чем приступить к описанию новшеств AD Windows 2008, отмечу, что остались без изменений инструменты реструктуризации леса. В Windows 2008 по-прежнему нет простого способа объединить леса, изъять домен из леса и сделать его новым лесом, объединить два домена или выполнить другие задачи, возникающие при объединении, поглощении или реорганизации компаний.
Контроллеры домена только для чтения. В Windows 2008 появилась новая разновидность DC, именуемая RODC. Это второе по значимости изменение после Server Core. До появления Windows 2000 в доменах был лишь один сервер с экземпляром учетных записей домена, доступных для чтения и записи. Этот сервер назывался первичным контроллером домена (PDC). На всех остальных DC размещались копии учетных записей домена, открытые только для чтения; эти серверы назывались резервными контроллерами домена (BDC). В Windows 2000 все контроллеры домена стали равными, и каждый DC доступен для чтения и записи.
Наконец, специалисты Microsoft решили, что ни один из этих подходов не оптимален. Поэтому в Windows 2008 можно составить любую комбинацию DC, доступных для чтения и записи, и RODC. DC, доступные для чтения и записи, удобны, так как в отличие от RODC, допускают изменения в учетных записях домена. RODC нельзя использовать, чтобы создать новую учетную запись пользователя или изменить пароль.
Каково назначение RODC? Во-первых, уменьшается трафик репликации. Во-вторых, контроллеры RODC располагают функцией, которой нет у BDC в Windows NT 4.0: возможностью точно определить, какие данные домена будут переданы в конкретный RODC. Например, можно разместить RODC в малом офисе филиала с восемью сотрудниками и передать на RODC пароли только этих восьми лиц. Если затем компьютер RODC будет украден и экземпляр AD взломан, то опасности подвергаются пароли только восьми, но не всех учетных записей в домене. Можно проявить еще большую осторожность и не передавать пароли в RODC; в результате взлом DC не принесет злоумышленнику почти никакой выгоды.
RODC может быть полезен в офисе филиала даже без паролей, так как, несмотря на невозможность обслуживать начальную регистрацию пользователей, он пригоден для последующих сеансов регистрации. При включении рабочей станции утром пользователю потребуется канал WAN, но RODC будет обслуживать все последующие операции регистрации (соединение Sysvol для чтения групповых политик, регистрацию на локальном сервере печати, соединение с сервером Exchange). А если из офиса филиала будет украден DC, то служба AD Windows 2008 позволяет запустить мастер и изменить украденные пароли или блокировать учетные записи пользователей. С помощью этого же мастера удалить бездействующий DC из AD гораздо проще, чем с помощью утилиты Ntdsutil.
Детализированные политики паролей. Единственная причина для организации двух или нескольких доменов в лесу AD, которая по-прежнему имеет технический смысл, — необходимость менять пароли части пользователей через каждые X дней, а пароли других пользователей — через каждые Y дней. Со времени выпуска Windows 2000 на всех членов домена AD распространялась одна политика паролей.
Это правило изменено в AD Windows 2008. AD можно настроить на показ различных политик паролей (объектов Password Settings Objects, PSO) для различных групп и отдельных лиц. Процедура создания PSO весьма сложна, и наиболее удобный инструмент для этой задачи — adsiedit.msc. Однако внутренние механизмы процесса хорошо продуманы. Например, если не удается применить новый объект групповой политики (GPO), так как он блокирован разрешением или противоречит другой политике, очевидное решение — использовать инструмент, который формирует результирующий набор политик (Resultant Set of Policy, RSoP), окончательную картину иерархии политик. В Windows 2008 имеется простой встроенный инструмент RSoP, который автоматически запускается каждый раз при создании объекта PSO.
Моментальные снимки AD. Очень удобно взглянуть на моментальный снимок активного, функционирующего экземпляра AD. Почти такая же возможность есть в Windows 2008. Моментальный снимок AD представляет собой образ рабочего экземпляра AD на контроллере домена, аналогичный резервной копии. Но моментальный снимок AD больше, чем просто резервная копия; можно использовать инструмент dsamain.exe, чтобы монтировать моментальный снимок AD и получить функциональный, но неактивный экземпляр AD. Затем можно исследовать объекты, атрибуты объектов и другие особенности скопированного экземпляра AD с помощью редактора LDAP.
Преимущество моментальных снимков AD — в возможности сравнить AD двух различных DC или определить изменения, произошедшие в состоянии службы AD контроллера домена за определенный период времени, сравнивая его с копией. Благодаря моментальным снимкам AD также упрощается просмотр резервных копий AD. Альтернативный метод изучения резервных копий AD — отключить DC от сети компании и восстановить на нем резервную копию, что отнимет немало времени.
Досадный недостаток моментальных снимков AD — отсутствие средств просмотра LDAP. Нельзя запустить оснастку Active Directory Users and Computers консоли Microsoft Management Console (MMC) для анализа моментального снимка; приходится пользоваться программами adsiedit.msc или ldp.exe. Возможно, в следующей версии Windows Server появится инструмент, упрощающий процесс исследования контекстов именования AD. Например, инструмент анализа глобального каталога (GC) наверняка облегчил бы диагностику Exchange.
Групповые политики
Большинство многочисленных улучшений групповой политики Windows 2008 уже знакомы пользователям Vista. Это естественно, так как основной носитель групповых политик — не DC, на котором размещаются объекты GPO, а клиентская программа групповой политики, запускаемая на настольных компьютерах и серверах. Тем не менее компания Microsoft приберегла несколько усовершенствований в групповой политике для «большого брата», Windows 2008.
Первое и давно назревшее улучшение — команда Find консоли управления групповой политикой (GPMC). Объекты GPO могут содержать некоторые (или все) из более 2400 параметров, но в настоящее время не существует удобной команды поиска нужного параметра. Например, с помощью редактора Group Policy Object Editor нельзя увидеть все параметры, относящиеся к WPA.
Кроме того, из консоли GPMC в Windows 2008 можно добавлять комментарии в объекты GPO. Проработав с корпоративными AD более семи лет, должен признаться, что иногда я не помню, чем руководствовался, формируя тот или иной объект GPO. Удобный способ добавить пояснения в GPO может пригодиться.
И наконец, в консоли GPMC системы Windows 2008 реализована концепция «начальных объектов GPO». С помощью групповой политики можно решить много задач, но некоторые из них представляют собой головоломки. Например, в Windows всегда существовало своеобразное уязвимое место, именуемое анонимным входом или нулевым сеансом. Через него пользователи корпоративной сети могут получить доступ к информации о компьютере без регистрации. Чтобы ограничить возможности анонимных пользователей в Windows, необходимо активировать несколько параметров групповой политики. Каждый, кто изучал многочисленные руководства по укреплению безопасности Windows, знает, что для поиска этих параметров и способов их активизации требуется немало времени. В Windows 2008 предусмотрена небольшая помощь в форме начального документа GPO, который может быть создан любым пользователем для сбора параметров в одном месте с их последующей передачей другим пользователям. Компания Microsoft обещает предоставить ряд встроенных параметров, в том числе начальные GPO для укрепления защиты настольного компьютера, но пользователи наверняка подготовят собственные.
Службы терминала
В Windows 2008 вновь усовершенствованы службы терминала. Например, превосходна новая служба Terminal Services Gateway (TSG), с помощью которой пользователи могут подключиться к серверу терминалов или удаленному настольному компьютеру за брандмауэром, зарегистрировавшись сначала в TSG, а затем выбрав нужный сервер терминала или удаленный настольный компьютер. Привлекательность решения в том, что пользователю TSG не нужно подключаться к медленной VPN, чтобы зарегистрироваться на целевом компьютере. При этом соединения TSG безопасны, так как в них используется новая разновидность протокола RDP over Secure Sockets Layer (SSL). В результате повышаются скорость и безопасность. Насколько мне известно, для его использования необязательно иметь Windows 2008 (или даже Vista); новый клиент RDP для Windows XP, выпущенный компанией Microsoft в начале 2007 г., расширяет область применения RDP over SSL на XP и Windows 2003.
Кроме того, в службах терминалов появилась функция Remote Programs (аналогичная компоненту Seamless Windows в продуктах Citrix). Благодаря Remote Programs можно использовать службы терминалов для развертывания приложения на настольном компьютере Windows. В этом случае пользователь увидит на рабочем столе новую пиктограмму и может щелкнуть на ней, чтобы запустить связанное приложение. При этом на локальном жестком диске может не быть ни одного фрагмента программного кода приложения. Приложение будет представлено лишь в окне службы терминалов, но с обычной рамкой Windows.
Экспериментируйте!
В готовящейся к выходу версии Windows Server немало новых интересных возможностей. Всем, у кого есть доступ к бета-версии Windows 2008, настоятельно рекомендуется установить ее и начать знакомство с новой операционной системой. Windows 2008 должна быть запущена в производство в начале ноября, а в феврале 2008 г. операционная система станет общедоступной.
Марк Минаси - Редактор Windows IT Pro, MCSE и автор книги Mastering Windows Server 2003 (издательство Sybex). mark@minasi.com
Сводка характеристик
Новая операционная система Microsoft с условным названием Longhorn Server, ныне официально именуемая Windows Server 2008, имеет ряд преимуществ по сравнению с Microsoft Windows Server 2003. В Microsoft Windows Server 2008 появились: 64-разрядная архитектура; вариант сокращенной установки Server Core; усовершенствования в Active Directory, групповой политике и службах терминалов.