Появление нового продукта от Microsoft всегда вызывало повышенный интерес. И релиз серверной операционной системы Windows Server 2008 «Longhorn» не является исключением. Длиннорог анонсировался еще задолго до его официального выхода, а в обзорах и пресс-релизах обещалось большое количество нововведений. Давай познакомимся с ними.

Содержание:

• Горячие новости
• Установка Win2k8
• Инструменты админа
• Диспетчер сервера Server Manager
• Межсетевой экран
• Смотритель журналов
• Заключение
• Боковые выносы

Горячие новости

Разработка новой версии серверной операционной системы велась несколько лет (Beta 1 была представлена еще в 2005 году), параллельно с Win2k3, которую она и призвана заменить. Построена на том же ядре, что и Vista SP1, имеет с последней сходную архитектуру и функции. Кстати, некоторые возможности по безопасности, управлению и администрированию, заложенные в Vista (групповые политики, управление учетными записями, работа с NAP), будут полностью доступны только при наличии контроллера домена на новом сервере. Изменений по сравнению с Win2k3 очень много.
Начнем с того, что ядро (ntoskrnl.exe) изначально заточено под многопроцессорные системы. Диспетчер памяти также претерпел несколько усовершенствований, позволивших повысить производительность. Отмечается ускорение работы с файлами большого объема. Происходит это за счет того, что новая система избавилась от ограничения в 64 Кб на объем операций ввода-вывода, доставшегося в наследство еще от первой NT, и при упреждающем чтении диспетчером кэша считывается вдвое больший объем данных. Изменен алгоритм работы с файлом подкачки. В Vista и 2k8 появилась новая версия протокола SMB 2.0 — теперь символические ссылки обрабатываются правильно, а пакетная обработка данных позволяет передавать больший объем информации за раз. Произведен полный редизайн сетевого стека.
Утилита DCPROMO переработана и стала на порядок проще в использовании. При установке можно выбрать контроллер домена, с которого будет произведена репликация, не нагружая основной контроллер. На порядок удобнее и понятнее выглядит процедура перевода контроллера в другой домен или лес. Нельзя не отметить, что на последнем этапе настройки появилась кнопка «Export Setting», нажатие на которую позволит сохранить все установки в файл ответов, который можно использовать на других компьютерах. Плюс ко всему теперь все параметры DCPROMO можно ввести прямо в командной строке. Но это косметика. Главная новинка — появление контроллеров доменов только для чтения (Read-Only Domain Controller — RODC). Этот тип DC предназначен, в первую очередь, для использования в филиалах, где крайне сложно обеспечить физическую безопасность контроллера домена. RODC содержит незаписываемую и доступную только для чтения копию базы данных Active Directory со всеми объектами и атрибутами.
Не менее интересным нововведением является появление новой службы сетевой политики и доступа (Network Policy and Access Service), пришедшей на смену IAS (Internet Authentication Server). И, надо сказать, она гораздо функциональнее, чем RADIUS сервер. Одним из основных компонентов является Защита доступа к сети (Network Access Protection — NAP), применение которого позволяет гарантировать, что узел, подключающийся к сети, удовлетворяет требованиям безопасности и установленным политикам. Агент NAP, работающий на клиентском компьютере, передает маркеры System Health Validators (SHV), содержащие информацию о соблюдении установленных требований серверу сетевых политик (NPS). Последний не входит в установку по умолчанию, поэтому его необходимо предварительно развернуть. Требования к подключаемому компьютеру прописываются в политиках запроса соединения (Connection Request Policies). Сервер может получить один из нескольких маркеров в зависимости от события: работает ли антивирус и антишпионское ПО, обновлены ли базы, установлены ли последние заплатки, включен ли межсетевой экран. На основании этого компьютер получает полный или ограниченный доступ в Сеть.
Единственный недостаток такой системы состоит в том, что агента NAP для *nix и версий Windows до XP в природе не существует. А значит, компьютеры с такими операционками выйти в интернет не смогут. То есть в сетях со смешанным составом систем использование NPS затруднительно, а то и невозможно.
Полностью переработан IIS 7.0, который имеет модульную архитектуру, по умолчанию в его состав входит 40 модулей, которые разбиты на 8 категорий, администратор самостоятельно включает только то, что действительно необходимо. К сожалению, FTP-сервер изменения не затронули.

Установка Win2k8

Как и прежде, доступно несколько редакций сервера, ориентированных на определенное окружение или задачу. К редакциям Standard, Enterprise, Datacenter и Web (для 32х и 64х битных систем) добавилась редакция для серверов на платформе Itanium — Windows Server 2008 for Itanium-Based Systems. Сообщается, что это будет последняя версия данной ОС, имеющая 32х битный вариант. Плюс отдельно идут редакции, не включающие средство виртуализации — гипервизор Hyper-V. Их можно узнать по префиксу without Hyper-V, цена на такие системы будет ниже. Лицензируется длиннорог аналогично предыдущей версии, виртуальная среда требует отдельного лицензирования. Но работы по Hyper-V еще не закончены, пока доступна только тестовая версия, финальную нам обещают в августе месяце.
Минимальными требованиями являются: процессор 1 ГГц (x86) или 1.4 ГГц (x64), ОЗУ 512 Мб и 10 Гб свободного места на жестком диске. Как обычно, рекомендуемые можно смело умножать на 2.
Дистрибутив для тестирования можно свободно скачать с сайта корпорации. По умолчанию он будет полностью работоспособен в течение 60 дней, но прочитав на сайте Майкрософт статью под номером 948472, ты узнаешь, как продлить оценочный период до 240 дней. Этого вполне достаточно, чтобы полностью и вполне законно изучить новинку.
Проверить количество дней, оставшихся до окончания текущего 60-ти дневного периода, можно введя команду «slmgr.vbs –dli».
Разработчики крайне упростили процесс установки, удалив некоторые шаги, сделав его быстрым и максимально понятным даже для новичка. Если нет кода активации, мастер установки предложит автоматически активировать Windows.
Стоит отметить наличие удобного интерфейса, при помощи которого можно подготовить жесткий диск к установке. В версии 2k3 администратор мог лишь выбрать и отформатировать раздел. Теперь есть возможность разделить диск на несколько разделов, просто выбрав New и введя требуемый размер. При нажатии Format выбранный раздел отформатируется без лишних запросов о типе файловой системы.
И еще одна новинка – администратор может выбрать два варианта установки (не во всех редакциях): Full или Core Installation. Во втором случае устанавливаются лишь необходимые компоненты с ограниченным защищенным набором ролей, а графический интерфейс полностью отсутствует. Такая система априори имеет большую защищенность. Все управление будет осуществляться только при помощи командной строки. К сожалению, в случае необходимости переключиться затем на стандартный интерфейс нельзя, сервер придется переустановить.
Во время создания пароля администратора обрати внимание на небольшую ссылку «Create a password reset disk», нажатие на нее вызовет мастера, при помощи которого создается дискета (именно дискета) восстановления пароля.
По сравнению с Win2k3, рабочий стол системы не изменился, но при желании можно доустановить элементы интерфейса, сделав его идентичным Aero из Vista.

Рис. 1. Доступно несколько вариантов установки

Инструменты админа

Инструменты для администрирования сервера также претерпели изменения. При первой загрузке тебя встретит «Initial Configuration Tasks», назначение которого совпадает с «Управление данным сервером» из Win2k3. Последний был не очень полезен для повседневной деятельности, поэтому после установки удостаивался флажка «Не показывать эту страницу при входе в систему». Возможностей у «Initial Configuration Tasks» на порядок больше, чем управление ролями и созданными серверами. С его помощью можно установить часовой пояс, имя компьютера, настроить сеть и Windows Firewall, обновить сервер, добавить роль и установить компоненты (Features). При выборе большинства пунктов запускается простой мастер, который за несколько шагов поможет быстро развернуть нужную функциональность. В комплекте поставляется 16 ролей, то есть задач, на которые ориентирован конкретный сервер (AD, сертификация AD, Network Policy Server, файловый сервер и другие). Ожидается, что вскоре будут доступны для загрузки дополнительные роли, вроде службы потокового мультимедиа.
Все, что не является обязательным, отнесено к компонентам. Сюда относится шифрование диска BitLocker, балансировка сетевой нагрузки (Network Load Balancing), PowerShell, серверы и клиенты Telnet, SMTP, SNMP, управление групповой политикой, диспетчер съемных носителей и др. Выбор ролей и компонентов, вместо полной установки, позволяет увеличить безопасность и повысить стабильность.
В отличие от предыдущих версий Windows, имеющиеся мастера позволяют устанавливать и удалять сразу по нескольку ролей, служб и компонентов за один сеанс. При этом производятся проверки зависимостей, обеспечивающих установку всех необходимых ролей и служб ролей. Роли устанавливаются с рекомендованными параметрами безопасности, которые можно изменить, запустив мастер настройки безопасности (Security Configuration Wizard). Последний заменил secedit и позволяет без лишних усилий настроить или изменить политики безопасности.
Но практически, чтобы подготовить сервер к одной из ролей, достаточно запустить мастер установки. Большинство ролей состоит из нескольких элементов под названием Службы ролей (Role Services). Например, в роли Network Policy and Access Service доступно 6 Role Services, каждый из которых добавляет функциональности. В случае необходимости всегда можно, использовав данный мастер, установить или удалить Role Services из окна Server Manager. Хотя следует признать, что теперь настройка некоторых сервисов потребует чтения документации и соответствующей подготовки админа.
Если взглянуть на список свойств сетевого интерфейса в Network Connections, можно заметить, что кроме IPv4 по умолчанию поддерживается и IPv6. В серверной версии ОС от Microsoft это впервые. Выбрав настройку протокола, обнаружим еще одну вкладку — Alternate Configuration, где вводятся данные других сетей, к которым подключен этот сервер. Компонента Link-Layer Topology Discovery Mapper предназначена для поиска компьютеров и других устройств в сети, а включенный Responder позволяет видеть этот компьютер остальным узлам.
Существенно переработан Task Scheduler, который стал на порядок функциональнее, теперь задачи можно привязать к установленным на сервере приложениям.

Рис. 2. Менеджер первичных задач

Диспетчер сервера Server Manager

В Панели Управления также нововведения. Так мастер, появляющийся при нажатии Add Hardware, поможет установить драйвер для старых устройств, не поддерживающих P-n-P. В Network and Sharing Center определяется использование общего доступа к каталогам, файлам и принтерам, защита общих ресурсов паролем, видимость компьютера в сети.
Знакомые инструменты из Administrative Tools существенно переработаны. Самое главное новшество — появление диспетчера серверов (Server Manager), который заменил целую группу утилит из Computer Management в Win2k3. Все настройки теперь кучно собраны, и администратору не нужно их искать в разных местах. Практически большая часть инструментов, доступных в самом Administrative Tools, продублированы в Server Manager. Это полностью соответствует концепции ролей и компонентов, а также общему подходу к упрощению настроек. Диспетчер серверов способен управлять практически всеми компонентами сервера, влияющими на производительность и безопасность, а также просматривать информацию об их работе. Он является единым источником, отображающим состояние сервера и определяющим проблемы в настройке. Основное окно консоли Server Manager содержит 4 раздела: сводку по серверу (сведения о компьютере и безопасности), сводку по ролям, сводку по компонентам, а также материалы и поддержку. Здесь же доступны ссылки, позволяющие изменить состав ролей и компонентов или перейти к настройке параметров конкретного модуля.
После установки каждая роль получает и собственную страницу в диспетчере, где предлагается набор рекомендованных настроек для данной роли и справка, указывающая пользователю на задачи, которые необходимо выполнить для корректной настройки функций, присущих этой роли. Удобно, что всю важную информацию и команды диспетчер выводит в самом вверху — администратор всегда оказывается в курсе происходящего. Так как событий, относящихся к конкретной роли, — море, предусмотрены средства фильтрации. Наличие событий, которые должны заинтересовать админа, подсвечиваются значком в виде восклицательного знака, напротив роли или компонента.
При помощи ссылок, расположенных справа, администратор может получить доступ к другим системным настройкам (которые не относятся к ролям и компонентам), не вызывая их из Administrative Tools. Так отсюда можно настроить планировщик задач, сервисы, WMI, пользователи и группы, работу межсетевого экрана, получить доступ к диспетчеру устройств. В отдельной вкладке Storage находятся настройки, отвечающие за работу систем хранения информации: Windows Server Backup и Disk Management. Консоль последнего позволяет быстро перейти к настройкам (Shadow Copy, квоты и прочее) и проверкам дисков системы без необходимости вызова окна Мой Компьютер.

Рис. 3. Настройки в Network Connections

Межсетевой экран

Отдельно стоит отметить межсетевой экран, встроенный в Win2k8. Это совершенно новый продукт. Главное нововведение — теперь правила можно задавать как для входящего, так и исходящего трафика. В настройках по умолчанию входящие соединения запрещены, а исходящие разрешены.
Основные настройки Windows Firewall производятся из Server Manager или из одноименного пункта в Administrative Tools. Предварительные установки доступны и в Initial Configuration Task. Для редактирования доступно три профиля – доменный (Domain), пользовательский (Private) и общий (Public).

Рис. 4. Настройки межсетевого экрана

Мастер, запускающийся при создании нового правила, поможет задать приложение, порт, протокол, интерфейс, а также пользователей и компьютеры. Отдельно указывается профиль для защищенного соединения IPSec. Фильтры позволяют быстро отобрать правила, удовлетворяющие определенным условиям для просмотра и редактирования. При необходимости созданные рулесеты можно экспортировать.

Рис. 5. Network Policy Server не выпустит в сеть "неподготовленный" компьютер

Смотритель журналов

С просмотра журнальных записей начинают свой рабочий день все администраторы. Event Viewer, доступный в длиннороге, претерпел существенные изменения и позволяет получить статистику по событиям любого вида. Его можно вызвать как отдельное приложение, так и через Server Manager. Выполнен в едином для Win2k8 стиле и несколько напоминает систему мониторинга Microsoft Operations Manager. В окне Summary можно быстро просмотреть список источников, генерирующих события определенной критичности. Сразу же отображается количество подобных событий за час, сутки, неделю и всего. Количество журналов, представленных в Event Viewer, на порядок больше, чем в предыдущих версиях. Для удобства отбора событий администратор может самостоятельно создавать или импортировать из XML-файлов наборы фильтров. Еще одно новшество — появление Subscriptions. Активировав Windows Event Collector Service, можно указать, с каких компьютеров, и какие события нужно получать, а также место их хранения. Щелкнув по конкретному событию, можно просмотреть о нем более подробную информацию. В принципе, для сетей, где не используются другие средства мониторинга, возможностей Event Viewer должно хватить. Но есть еще одна особенность, привлекающая внимание, — настройка реакции на конкретное событие. Для этого достаточно отметить интересующее событие и в контекстном меню выбрать пункт «Attach Task To This Event», откроется окно мастера Create Basic Task Wizard, где в качестве реакции можно настроить: отправку на e-mail, вывод сообщения и запуск внешней программы.

Рис. 6. Отчеты стали более доступными

Заключение

Из данного обзора видно, что в Win2k8 основные акценты сделаны на увеличение безопасности, на упрощение установки как самой ОС, так и сервисов, предоставляемых ей, а также на удобство последующих настроек. Будем надеяться, что длиннорог не будет содержать такого большого количества ошибок, как предыдущие версии этой системы.