Windows Server 2008 R2 содержит в себе очень много новшеств — гораздо больше, чем можно ожидать от приставки R2, которой обычно отмечают середину дистанции на пути к выпуску нового продукта. Основными направлениями развития здесь стали виртуализация, управление, веб и работа на крупных предприятиях.
Виртуализация
Безусловно, одна из ключевых новинок — новая версия гипервизора Hyper-V. Впервые появившийся в Windows Server 2008, микроядерный гипервизор Hyper-V сразу показал себя сильным игроком на рынке серверной виртуализации, однако в нем отсутствовали некоторые инструменты, использование которых облегчит жизнь ИТ-отделу любой компании. Гипервизор, входящий в состав Windows Server 2008 R2, получил долгожданную возможность Live Migration, которой так не хватало раньше. Она позволяет переносить виртуальные машины с одного узла на другой без простоев в работе службы, функционирующей на виртуальной машине. Подобный перенос проходит прозрачно для конечного пользователя. Сама идея этой технологии не нова, например в решении VMware она существует уже несколько лет и носит имя VMotion. Если рассматривать “живую миграцию” с точки зрения первоначальной затеи о переносе виртуальной машины без потери TCP-соединения, то разницы между решениями Microsoft и VMware нет. Для использования Live Migration не обязательно подбирать полностью идентичные модели серверов — главное, чтобы семейство процессоров не отличалось на узлах кластера. При пилотном тестировании Live Migration в нашей компании были использованы два довольно старых сервера IBM System x3650, соединенных между собой 100-мегабитными сетевыми каналами как для публичной, так и для частной сетей кластера. Подключение кластерных дисков по iSCSI до системы хранения данных также происходило по 100-мегабитному каналу.
Поддержка разделяемого хранилища кластера позволила отказаться от создания множества логических узлов хранилища (LUN) для каждого кластерного узла. Непрерывность подключения решено было проверять копированием большого файла, ping'ом и подключением к серверу telnet, расположенному на виртуальной машине. Такую проверку выбрали для того, чтобы в тесте были задействованы три сетевых протокола — SMB/TCP (копирование файлов), Telnet/TCP (telnet-сеанс) и ICMP (ping).
При запуске Live Migration первые 30 секунд абсолютно ничего не менялось, затем к концу первой минуты в окне с работающей утилитой ping увеличилось время отклика от виртуальной машины, а потом и вовсе “потерялись” два ICMP-пакета; однако после этого связь восстановилась. Процесс копирования и подключение к серверу telnet не прерывались. Всего перенос занял около двух минут и прошёл без разрыва TCP-сессий. Если на процедуру смотреть глазами пользователя, то миграция проходит прозрачно. Live Migration — это не единственное улучшение гипервизора. Теперь Hyper-V поддерживает работу до 64 логических процессоров. Это позволяет запускать одновременно до 384 виртуальных машин и использовать до 512 виртуальных процессоров. Улучшена поддержка оборудования с технологией Non-Uniform Memory Access (NUMA), что дает до 30% прироста производительности в сравнении с Windows Server 2008. Добавлена возможность “горячего” подключения и отключения виртуальных жестких дисков к шине SCSI. Значительно улучшена работа с электропитанием: теперь при незначительной загрузке сервера вычислительными операциями занято одно ядро процессора, а остальные переходят в состояние энергосбережения (правда, эта возможность будет интересна скорее большим дата-центрам).
Этим не исчерпываются нововведения в плане виртуализации. Логическим продолжением виртуализации представлений стала новая версия терминальных служб, которые отныне называются Remote Desktop Services (RDS). Виртуализация представлений позволяет приложение запускать в одной среде, а результат его выполнения отображать в другой. В дополнение к RDS развивается и концепция Virtual Desktop Infrastructure — технология, которая позволяет использовать виртуальные машины на сервере виртуализации для замены физических рабочих станций. При таком сценарии конечный пользователь при помощи тонкого клиента или с любой рабочей станции подключается к виртуальной рабочей станции — фиксированной или динамически выделяемой. Естественно, при использовании этого сценария административные усилия, затрачиваемые на обслуживание рабочих станций, снижаются на порядки. Например, администратор может настроить хранение пользовательских данных за пределами виртуальной рабочей станции пользователя и в случае его жалоб на функционирование этой машины просто удалить ее и создать новую из шаблона.
Сценарий удаленной работы при использовании связки Remote Desktop Services — Virtual Desktop Infrastructu
Управление
Любой администратор, который занимается поддержкой Windows Server и работающих на нем служб, ежедневно проводит несколько часов рабочего (а иногда и нерабочего) времени в оснастках управления. Появившаяся в Windows Server 2008 консоль управления сервером Server Manager заработала популярность как удобный инструмент управления сервером. Изучив пожелания своих клиентов, Microsoft сделала Server Manager в Windows Server 2008 R2 ещё удобнее. Теперь администратор с его помощью может подключаться к другим серверам, а это значит, что теперь для управления всеми службами всех серверов Windows Server 2008 R2 достаточно одной консоли Server Manager. Но этим дело не ограничилось. В состав дистрибутива Windows Server 2008 R2 входит Powershell версии 2.0 — средство автоматизации в виде оболочки командной строки. Powershell позволяет максимально автоматизировать административные операции. А в новой реализации этой программы её возможности значительно расширены: теперь можно выполнять сценарии на удаленных компьютерах. Это в свою очередь означает, что сценарии powershell могут выполнять практически те же функции, что и групповая политика.
Вопреки первоначальной задумке Powershell теперь опционально может быть использован вместе с графическим интерфейсом — такой подход существенно упрощает написание сценариев. С момента выхода Powershell версии 1.0 появилось довольно много сторонних утилит, реализующих графический интерфейс для командной строки. Но сторонние разработчики на то и сторонние, чтобы в случае сбоя в работе можно было отойти в сторону, — другое дело, когда всё реализует один вендор. Теперь все операции из центра администрирования Active Directory (AD) выполняются поверх powershell. Изменения коснулись и самой Active Directory. Появилась возможность восстанавливать удаленные объекты AD из корзины (Recycle Bin): хотя такая функция была и ранее — ею обладает могучая утилита ldp.exe, — но вариант с AD Recycle Bin однозначно проще. Сервер или рабочая станция, развёртываемая за пределами домена, может быть заочно в него введена при помощи функции Offline Domain Join. При подключении такого компьютера к сети предприятия сервер и клиент начнут штатную работу, как если бы компьютер был введен в домен в обычном режиме. Предварительно потребуется создать подготовленную учетную запись компьютера в AD и запустить специальный скрипт на клиенте. С выходом Windows Server 2008 R2 устранена огромная проблема с поддержкой учетных записей служб. Любому администратору знакомы сложности со сменой паролей учетных записей для служб в Active Directory. Забытая служба, запускаемая из-под служебной учетной записи, после смены пароля перестанет работать. Однако при использовании технологии Service Account вы можете настроить служебные учетные записи так, чтобы при смене их паролей аналогичная смена происходила во всех службах, использующих эту учетную запись. В Windows Server 2008 R2 добавлено более трёхсот новых шаблонов групповой политики (Group Policy Templates). Убедиться, что службы Windows Server 2008 R2 работают в идеальных условиях, позволит входящая в дистрибутив Best Practices Analyzer — утилита для проверки инфраструктуры на соответствие конкретным задачам.
Веб
В состав Windows Server 2008 R2 входит самая совершенная на сегодняшний день платформа Microsoft для веб-сервера — Internet Information Services (IIS) версии 7.5. В новой версии IIS улучшена надежность и безопасность системы. Так, например, увеличены глубина и детализация журналов событий, повышена скорость динамического кэширования и компрессии. Разбор любой ошибки или аномальной активности лучше всего начинать (и заканчивать) в логах. И, согласитесь, всегда приятнее увидеть конкретную ошибку системы, чем “an unknown error has occurred”. Веб-сервером теперь можно управлять при помощи Powershell. На практике это означает, что администратор может запускать сценарий powershell в качестве реакции на какое-либо событие, например на ошибку IIS с определенным EventID. Долгожданное нововведение — поддержка технологии .NET в режиме установки Server Core, которая позволяет организовать веб-сервер со всем возможным функционалом в операционной системе, лишенной графической оболочки, следовательно, площадь для атаки злоумышленника будет меньше. Добавление .NET в Server Core означает много других возможностей помимо IIS, к примеру, запуск стороннего приложения на Server Core становится более вероятным. Изменения коснулись и протокола FTP, теперь он может работать поверх SSL; ведь ни для кого не секрет, что протокол FTP принимает учетные записи в виде простого текста, а в случае FTP на Windows Server это скорее всего будет доменная учетная запись. Использование Secure Socket Layer устраняет этот “маленький” недостаток. Повысить уровень безопасности веб-сервера на базе Windows Server 2008 R2 можно, используя технологию изоляции веб-приложений: ограничив вычислительные процессы веб-приложений, вы защитите веб-сервер в случае компрометации одной из запущенных на нем служб.
Оснастка Internet Information Services 7.5
Работа на крупных предприятиях
Одновременный выход Windows 7 и Windows Server 2008 R2 — не совпадение. Ставка сделана на возможность предоставления и использования современных служб, повышающих эффективность работы на крупных предприятиях. Технология DirectAccess, которая приходит на смену технологически устаревшему VPN, позволяет пользователю мобильного компьютера, находящемуся за пределами корпоративной сети, подключаться к ней абсолютно прозрачно. В отличие от VPN и SSTP использование DirectAccess позволяет устанавливать два тоннеля: для рабочей станции и для пользователя. А это значит, что если рабочая станция подключена к Интернету, то уже в момент ее включения, ещё до входа пользователя в систему, администратор может управлять ею из центрального офиса, а сам пользователь авторизуется через контроллер домена, а не через кэш своей учетной записи. При этом конечный пользователь не выполняет никаких дополнительных административных действий: всё, что ему требуется, — это подключить свой компьютер к Интернету. Если пользователь сменил способ подключения к Интернету (например, с 3G-модема на Wi-Fi), то его подключение к корпоративной сети с помощью DirectAccess также сменится, и за все время работы за пределами корпоративной сети пользователь не ощутит этого. DirectAccess не снижает уровень безопасности предприятия, заданный VPN, так как все удаленные подключения шифруются с помощью стойких криптографических алгоритмов IPSec; в дополнение к этому можно использовать технологию Network Access Protection для оценки соответствия пользовательской станции корпоративной политике безопасности. Если сказать вкратце, то DirectAccess — великолепный пример того, какой должна быть реинкарнация устаревшей технологии.
Сценарий использования технологии DirectAccess для удаленной работы
Другая интересная новая технология — BranchCache. Хотя пропускная способность и устойчивость каналов связи с Интернетом возрастает, ситуации, когда удаленные филиалы подключаются к головному офису по медленному, дорогому и неустойчивому каналу, все ещё не редкость, особенно на просторах нашей необъятной родины. Неизбежны случаи, когда удаленные филиалы пользуются ресурсами, расположенными в центральном офисе. Включение функционала BranchCache позволяет кэшировать подобные запросы на компьютере, расположенном в филиале. При первом обращении запрошенное содержимое сохраняется на компьютере филиала, после чего повторные запросы на данную информацию перенаправляются на этот локальный компьютер; тем самым исключается необходимость WAN-подключения. BranchCache может работать в двух режимах — Hosted Cache и Distributed Cache. Разница заключается в том, что при использовании Hosted Cache для хранения кэшированного содержимого вам потребуется выделенный сервер Windows Server 2008 R2, а при использовании Distributed Cache эту роль будет выполнять рабочая станция под управлением Windows 7, которая первой запросила содержимое. Использование Hosted Cache целесообразно, на мой взгляд, только в случае особой значимости удаленного содержимого или при наличии “лишних” лицензий на Windows Server. В Windows Server 2008 R2 и Windows 7 усовершенствована технология BitLocker: теперь можно зашифровать содержимое переносных устройств, таких как внешние жесткие диски и USB-накопители. Есть и ещё одна приятная неожиданность: зашифрованные BitLocker'ом переносные устройства можно расшифровать не только в Windows 7, но и в некоторых более старых версиях Windows.
Windows Server 2008 R2 напоминает скорее новую версию ОС, чем обычное дополнение функционала. В нем есть возможности, которые найдут применение в компании любого размера, а стремительно набирающая популярность технология виртуализации, предлагаемая Microsoft, смещает приоритет серверного обеспечения с аппаратного на программное.
Автор статьи — архитектор ИТ-систем компании “Вебзавод” (Самара). Источник: http://www.pcweek.ru/themes/detail.php?ID=121767