Особенности Windows Server 2008

Определение Windows Server 2008

Версия Windows Server 2008, в сущности, представляет собой шестое поколение операционной системыWindows Server и на первый взгляд по своему внешнему виду и поведению очень похожа на нечто среднее между Windows Server 2003 и Windows Vista. При первой загрузке, как показано на рис. 1, Windows Server 2008 в плане пиктограмм, панелей инструментов и меню выглядит как Windows Vista.

Однако поскольку она является ориентированной больше на деловую сферу, чем на пользователей, операционной системой, вещи вроде привлекательного трехмерного интерфейса Windows Aero в ней не устанавливаются, и входящие в состав Windows Vista Home и Windows Vista Ultimate средства мультимедиа, с ней по умолчанию тоже не поставляются.

Однако внутри Windows Server 2008 скрывается множество новых встроенных технологий и возможностей.

Рис. 1. Экран рабочего стола Windows Server 2008

 

Внутренний мир Windows Server 2008

В Windows Server 2008 было добавлено множество новых возможностей и функций, которые будут рассматриваться в разных главах этой главы, но начать хотелось бы с тех невидимых глазу вещей в Windows  Vista, которые отвечают за предоставление ключевых возможностей этой новой операционной системы. Ими являются технологии, которые делают операционную систему более быстрой, более надежной и т.д., а не функциональные возможности, которые нужно устанавливать или конфигурировать.

Самовосстанавливающаяся  файловая система NTFS

Одной из наиболее примечательных встроенных технологий в Windows  Server 2008 является самовосстанавливающаяся файловая система NTFS. По сути, у операционной системы имеется рабочий поток, который выполняется в фоновом режиме и в случае обнаружения поврежденного файла или каталога вносит в файловую систему NTFS соответствующие исправления. Раньше при появлении проблемы в файловой системе обычно требовалось перезагружать сервер для того, чтобы утилита chkdsk могла запуститься и устранить ошибки, связанные с повреждением файла или каталога.

Увидеть эту функцию самовосстановления в действии невозможно, но она является одной из тех добавленных возможностей внутри Windows Server 2008, которые позволяют операционной системе работать более надежно с меньшим количеством сбоев.

Рис. 2. Доступные серверные роли в Windows Server 2008

 

Возможность замены  компонентов во время работы

В состав Windows Server 2008 входит возможность выполнения замены компонентов оборудования во время выполнения, т.е. выполнения на поддерживающем эту функцию сервере замены карт памяти, процессорных плат и адаптеров PCI. В IT-среде, где нулевое время простоя означает, что IT-администратору нельзя завершать работу системы даже для смены вышедших из строя компонентов, наличие такой возможности, встроенной прямо в саму операционную систему, может помочь организациям сводить время простоя системы к минимуму.

В Windows Server 2008 с как следует поддерживаемыми компонентами оборудования, давшая сбой карта памяти может выниматься прямо во время работы сервера. Вдобавок, процессорные платы могут заменяться, а адаптеры PCI, вроде сетевых и коммуникационных адаптеров - добавляться или удаляться из системы. Многие IT-специалисты уже пользовались некоторыми из этих возможностей, поскольку несколько производителей серверного оборудования поставляло необходимые для поддержки такой функции подключаемые модули для Windows Server 2003. Однако поскольку сейчас эта возможность встроена прямо в Windows Server 2008, IT-специалисты смогут выполнять замену компонентов так, что и операционная система, и работающие в ней приложения, будут знать об изменениях в оборудовании и без применения всяких специальных дополнительных программных средств.

 

Технология Server Message Block 2.0

Появившаяся в Windows Vista и теперь ставшая базовой в Windows Server 2008 технология Server Message Block 2.0 (Блок сообщений сервера), более часто называемая просто SMB2, представляет собой протокол и отвечает за передачу файлов между системами. SMB2, в сущности, объединяет файловые запросы и посредством имеющего больший размер буфера таких запросов умудряется сокращать количество походов "туда и обратно", необходимых при передаче данных между системами.

Большинство пользователей, работающих в высокоскоростных локальных сетях (LAN), не заметят никаких улучшений при открытии и сохранении на сервере Windows Server 2008 файлов, например, из Microsoft Office; однако пользователи, копирующие с системы на систему большие файлы изображений или крупные наборы данных, обязательно увидят, что информация копируется в 10-30 раз быстрее. Повышение производительности также будет очень заметно и в глобальных сетях (WAN) с высокой степенью латентности (т.е. большими задержками). Поскольку обычно передача файлов требует короткого считывания и записи сегментов данных, передача файла, занимающая несколько минут в глобальной сети, между подключенными через SMB2 системами будет занимать всего лишь несколько секунд из-за того, что в них для передачи данных требуется гораздо меньше походов "туда и обратно".

Чтобы технология SMB2 работала эффективно, системы, находящиеся на обоих концах, должны представлять собой либо системы Windows Server 2008, либо системы Windows Vista, либо комбинацию из этих двух систем. Клиент Windows ХР будет взаимодействовать с сервером Windows Server 2008 через протокол SMB 1.0 (для обеспечения обратной совместимости) и, соответственно, не будет извлекать пользу из этой новой технологии.

 

Параллельное создание сеансов

В Windows Server 2008 для инициализации каждого сеанса создается отдельный экземпляр smss.exe (Session Manager Subsystem - подсистема диспетчера сеансов) вплоть до количества имеющихся на сервере процессоров. Раньше, в Windows Server 2003 и предыдущих версиях, создавался только один единственный экземпляр smss.exe и поэтому системные запросы должны были обрабатываться последовательным образом. От поддерживаемой теперь в Windows Server 2008 параллельной обработки сеансов значительно выигрывают технологии вроде Windows Terminal Services (Терминальные службы Windows). Вместо создания на сервере с восьмиядерным процессором очереди из семи клиентов Terminal Services, ожидающих входа в систему и запуска сеансов тонкого клиента, теперь все эти семь клиентов могут одновременно входить в систему и запускать нужные приложения на скорости процессора.

Опять-таки, эту технологию не нужно ни отдельно устанавливать, ни отдельно конфигурировать, ни отдельно запускать. Она уже встроена в Windows Server 2008 и значительно улучшает обычные показатели производительности приложений и скорости выполнения задач, которые раньше помещались на сервере в очередь и обрабатывались последовательно, а теперь могут обрабатываться параллельно с помощью отдельных ядерных процессоров.

 

Технология User Profile  Hive Cleanup Service

Еще одной встроенной в Windows Server 2008 технологией является User Profile Hive Cleanup Service (Служба очистки параметров профилей пользователей). Эта служба помогает гарантировать полное завершение сеанса пользователя при выходе пользователя из системы. Она удаляет содержимое временных файлов, содержимое памяти кэша и прочую информацию, которая обычно генерируется во время сеанса пользователя, но считается ненужной для более длительного хранения.

Эта служба является особенно полезной для организаций, где применяется технология Windows Server 2008 Terminal Services, где сеансы пользователей создаются на сервере регулярно и где в целях безопасности данные профилей пользователей должны удаляться сразу же после завершения ими своего сеанса.

 

Технология Hyper-V

Технология Hyper-V встроена в ядро Windows Server 2008 и позволяет значительно улучшать производительность и возможности виртуализации сервера в среде Windows Server 2008. Раньше программное обеспечение виртуального сервера размещалось поверх сетевой операционной системы, и каждый гостевой сеанс зависел от множества совместно используемых компонентов этой операционной системы.

Hyper-V создает между абстрактным уровнем оборудования системы и уровнем операционной системы еще один очень тонкий уровень, который позволяет гостевым сеансам в виртуальной среде взаимодействовать с уровнем оборудования системы напрямую. Благодаря отсутствию на пути обслуживающей (хост) операционной системы, гостевые сеансы могут функционировать гораздо быстрее, чем раньше, и гораздо стабильнее, поскольку, работая независимо от операционной системы, им не доводится иметь дела с имеющимися в ней узкими местами.

 

Windows Server 2008 как  сервер приложений

Несмотря на все значительные внутренние улучшения, намного повышающие степень производительности, надежности и масштабируемости Windows Server 2008 в среде предприятия, серверы Windows всегда были исключительными серверами приложений, обслуживающими в организациях критически важные для бизнеса приложения. Windows Server 2008 продолжает эту традицию операционной системы как сервера приложений, предлагая несколько соответствующих серверных ролей. При установке Windows Server 2008 в консоли Server Manager (Диспетчер сервера) отображается список всех серверных ролей, которые могут добавляться в систему, как показано на рис. 2.

Рис. 3. Внешний вид Windows 2008 Server Core

Эти различные серверные роли в Windows Server 2008 обычно делятся на три следующих категории.

Службы файлов и печати. В роли сервера файлов и печати Windows Server 2008 предоставляет базовые службы, необходимые пользователям для сохранения данных и печати информации из сети. В Windows Server 2008 было внесено несколько улучшений для обеспечения безопасности и для повышения отказоустойчивости файлового сервера.

Службы домена. В средах предприятий, применяющих сетевые возможности Windows, обычно, для обеспечения централизованной регистрационной аутентификации, используется служба Active Directory. Поэтому Active Directory продолжает оставаться ключевым компонентом в Windows Server 2008 и теперь имеет несколько расширений в базовой концепции внутреннего леса организации, а именно - расширенные федеративные леса, которые позволяют службам Active Directory взаимодействовать друг с другом.

Службы приложений. Windows Server 2008 предоставляет базу для установки бизнес-приложений вроде Microsoft Exchange, Microsoft Office SharePoint Services, SQL Server и т.д. Эти приложения изначально разрабатывались как совместимые с Windows Server 2008, и будут продолжать совершенствоваться так, чтобы они могли пользоваться всеми преимуществами новых технологий, которые встроены в операционную систему Windows Server 2008. В частности, к числу поставляемых с Windows Server 2008 приложений относятся: приложение Windows Terminal Services (Терминальные службы Windows) для обеспечения доступа тонких клиентов, приложение Windows Media Server (Сервер медиасредств Windows) для обслуживания аудио, вспомогательные серверные службы вроде DNS и DHCP, технологии SharePoint для обмена документами и совместной работы и службы виртуального сервера.

 

Миграция

С появлением Windows Server 2008 в начале 2008 года перед многими организациями встал вопрос о том, когда же лучше осуществлять переход на эту новую операционную систему. Все привыкли к тому, что любой продукт Microsoft всегда советовалось устанавливать только уже после выхода первого пакета обновлений; однако даже при тестировании еще бета-версии Windows Server 2008 показала себя настолько надежной и заслуживающей доверия, что во многих компаниях ее начали внедрять еще даже перед выходом официальной окончательной версии продукта. Поэтому решение о том, когда лучше внедрять Windows Server 2008, следует принимать тем же методом, что и для любой другой новой технологии, т.е. путем определения преимуществ, которые принесет переход на Windows Server 2008, тестирования решения в какой-то ограниченной среде и его развертывания после того, как станет окончательно ясно, что продукт отвечает потребностям организации.

Здесь мы обсудим многие из тех встроенных в Windows Server 2008 технологий и функций, которые помогли другим организациям понять, что Windows Server 2008 имеет достаточно преимуществ для планирования миграции и внедрения нового сервера. Улучшения в сфере безопасности, производительности и управления особенно выгодны для тех организаций, которые хотят свести к минимуму расходы на администрирование и при этом предоставить больше функциональных возможностей пользователям.

Объем затрат и усилий, необходимый для осуществления перехода на Windows Server 2008, будет выглядеть по-разному, поскольку зависит от текущего состояния сетевой среды организации, а также от возможностей и функций Windows Server 2008, которые организация желает внедрить. Одни организации предпочитают начинать процесс перехода на Windows Server 2008 просто с добавления в существующую сеть Windows 2000/2003 нового рядового сервера Windows Server 2008, а другие - с переноса сначала на Windows Server 2008 используемой ими службы Active Directory.

 

Добавление системы Windows Server 2008 в существующую среду Windows 2000/2003

Многие организации хотят добавить какую-нибудь конкретную функцию Windows Server 2008, например, Windows Server 2008 Terminal Services (Терминальные службы Windows Server 2008), Windows SharePoint Services (Службы Windows SharePoint), Windows Media Services (Службы мультимедийных средств Windows) и т.д. Такие функции могут устанавливаться в существующих средах Windows 2000/2003 на рядовых серверах Windows Server 2008. Такой подход позволяет организациям довольно быстро и легко получать возможности приложений Windows Server 2008 без выполнения полного перехода на Windows Server 2008. Во многих случаях рядовой сервер Windows Server 2008 может добавляться в существующую среду без какого-либо влияния на существующую сеть. При таком добавлении сеть остается практически нетронутой, но у организации появляется возможность создавать прототип и тестировать новую технологию, предоставлять ее для пробного использования ряду пользователей и постепенно развертывать для базы клиентов в виде части обычного процесса замены или модернизации системы.

Некоторые организации заменяют свои рядовые серверы системами Windows Server 2008 на протяжении нескольких недель или месяцев в качестве подготовительного шага перед переходом на структуру Windows Server 2008 Active Directory.

 

Переход с Windows 2000/2003 Active Directory на Windows Server 2008  Active Directory

 

Организациям, в которых уже существует среда Windows 2000 Server Active Directory или Windows Server 2003 Active Directory, перенос на Windows Server 2008 службы Active Directory может предоставить доступ к нескольким дополнительным возможностям, требующим, чтобы сеть Windows обязательно функционировала уже под управлением Windows Server 2008. К числу некоторых из таких технологий Windows Server 2008, которые требуют реализации Windows Server 2008 Active Directory, относятся службы сетевых политик и доступа (Network Policy and Access Services), усовершенствованные групповые политики Windows 2008 (Windows Server 2008 Group Policy) и вся распределенная файловая система Windows Server 2008 (Windows 2008 Distributed File System).

К счастью, в организациях, где уже есть среда Windows 2000 Server Active Directory или Windows Server 2003 Active Directory, самая сложная часть процесса реализации Active Directory уже выполнена. В Windows Server 2008, по сути, используется точно такая же организационная структура Active Directory, какая создавалась для Windows 2000 и 2003, так что все элементы - леса, деревья доменов, домены, подразделения, сайты, группы и пользователи - могут переноситься в Windows Server 2008 Active Directory напрямую. Поэтому если имеющаяся организационная структура в Windows 2000/2003 отвечает требованиям организации, миграция на Windows Server 2008 может в принципе подразумевать просто вставку в существующий домен Windows Server 2000/2003 Active Directory сервера глобального каталога Windows Server 2008 и обновление глобального каталога до Windows Server 2008 Active Directory.

Конечно, процедуры планирования, резервного копирования и тестирования, помогают сводить к минимуму объем риска и количество ошибок и проводить процесс миграции более успешно. Однако процесс миграции с Windows 2000/2003 на Windows Server 2008 все-таки является более простым способом миграции для организаций.

 

Версии Windows Server 2008

Windows Server 2008 поставляется в тех же версиях, что и предыдущие версии этого продукта Microsoft, и плюс одной дополнительной версией, которая называется Server Core и представляет собой облегченную версию Windows Server 2008 без графического пользовательского интерфейса. В общем, основные версии Windows Server 2008 выглядят так: Windows Server 2008 Standard Edition; Windows Server 2008 Enterprise Edition; Windows Server 2008 Datacenter Edition; Windows Web Server 2008; Windows 2008 Server Core.

 

Версия Windows Server 2008  Standard Edition

Windows Server 2008 Standard Edition является самой распространенной серверной версией этой операционной системы. В отличие от предыдущих версий Windows Server, где возможность масштабирования и базовые функции, необходимые для поддержки памяти и процессоров, были доступны только в версии Enterprise Edition и Datacenter Edition, теперь именно эта версия считается стандартной для развертывания в организациях.

Она доступна как в 32-, так и х64-разрядном варианте. Базовая 64-разрядная система Windows Server 2008 Standard Edition поддерживает до четырехядерных процессоров и Гбайт памяти (а 32-разрядная - до четырехядерных процессоров и 4 Гбайт памяти) плюс все доступные в Windows Server 2008 серверные роли, кроме кластеризации и федеративных служб Active Directory (Active Directory Federation Services).

Версия Standard Edition прекрасно подходит для поддержки контроллеров домена, служебных серверов (наподобие DNS или DHCP), файловых серверов, серверов печати, серверов мультимедийных средств, серверов SharePoint и т.д. В большинстве организаций, как больших, так и маленьких, возможностей версии Standard Edition оказывается достаточно для предоставления большинства сетевых служб.

 

Версия Windows Server 2008  Enterprise Edition

Если версия Windows Server 2008 Standard Edition охватывает сетевые службы, то версия Windows Server 2008 Enterprise Edition больше ориентирована на серверные системы, требующие чрезвычайно масштабных возможностей по обработке и хранению данных, а также кластеризации или федеративных служб Active Directory (Active Directory Federation Services). От базовых возможностей для варьирования масштабов обработки и объемов памяти этой версии смогут выиграть такие приложения, как приложение виртуализации Windows и обслуживающие целые предприятия серверы Exchange 2007 или SQL 2008.

Во всех случаях, когда организация желает добавить в свою среду кластеризацию, тоже должна использоваться именно версия Enterprise Edition (или Datacenter Edition). Версия Enterprise Edition прекрасно подходит для удовлетворения потребности в высокой степени доступности и обработке больших объемов данных на ключевых серверах приложений, наподобие серверов SQL Server, или в больших серверных системах обработки транзакций электронной коммерции.

В организациях, где используются возможности приложения Windows Server 2008 Thin Client Terminal Services (Терминальные службы для тонких клиентов Windows Server 2008) и требуется доступ к большим объемам оперативной памяти и нескольким процессорам, версия Enterprise Edition может обслуживать сотни пользователей на одном единственном сервере.

Версия Enterprise Edition вместе с поддержкой для кластеризации серверов может обеспечивать в организациях 99,999% работоспособность сети 24 часа в сутки, 7 дней в неделю, что как раз и требуется в средах с высокой степенью доступности. Эта версия поддерживает огромное количество разнообразных популярных серверных систем, чем позволяет организациям самостоятельно выбирать системы того или иного поставщика оборудования в соответствии с           потребностями своих приложений Windows Server 2008.

Рис. 4. Оснастка Active Directory Users and Computers

 

Версия Windows Server 2008  Datacenter Edition

Версия Windows Server 2008 Datacenter Edition представляет собой высококлассную аппаратную версию операционной системы, которая поддерживает очень масштабные операции по сбору и хранению данных. Эта версия ориентирована на организации, нуждающиеся в более чем восьмиядерных процессорах и поддающейся масштабированию серверной технологии для создания и обслуживания крупного централизованного хранилища данных в одном или нескольких серверных кластерах.

При анализе возможностей повышения производительности и мощности, любая организация может делать свои серверные приложения экстенсивными (scale-out) и интенсивными (scale-up). Экстенсивными называют те приложения, которые работают лучше тогда, когда они распределяются между несколькими серверам, а интенсивными - те, которые работают лучше, когда в ту же систему добавляется больше процессоров. Типичными экстенсивными приложениями являются службы Web-сервера, системы обмена электронными сообщениями, файловые серверы и серверы печати. В случае таких приложений организациям лучше распределять функции сервера приложений между нескольким системами Windows Server 2008, Standard Edition либо Enterprise Edition, или даже Windows Web Server 2008. Однако в случае интенсивных приложений, вроде приложений электронной коммерции или хранения данных, им лучше размещать все данные и средства для их обработки внутри одного единственного серверного кластера. Для таких приложений Windows Server 2008 Datacenter Edition предоставляет более удобные централизованные и поддающиеся масштабированию возможности для работы, а также дополнительные возможности для повышения отказоустойчивости и перехода на резервные серверы в случае выхода из строя основных.

Примечание. Версия Windows Server 2008 Datacenter Edition продается только вместе со специальными аппаратными системами, так что приобрести программное обеспечение этой версии и создать или сконфигурировать свою собственную 32-разрядную многопроцессорную систему у организации не получится. Версия Windows Server 2008 Datacenter Edition разрабатывалась и тестировалась на соответствие строгим стандартам производительности, надежности и возможности обслуживания целым консорциумом поставщиков оборудования.

Рис. 5. Окно мастера Initial Configuration Tasks Wizard

 

Версия Windows Web Server 2008

Версия Windows Web Server 2008 представляет собой версию операционной системы интерфейсного Web-сервера и ориентирована на удовлетворение тех потребностей сервера приложений, которые касаются работы Web-служб. Многие организации устанавливают простые Web-серверы в качестве интерфейсов к серверам баз данных, серверам обмена сообщениями или серверным системам приложений обработки данных. Версия Windows Web Server 2008 может как использоваться в виде такого простого Web-сервера для обслуживания сред разработки приложений, так и интегрироваться в виде части более сложной среды Web-ферм и Web-служб, состоящей из нескольким систем со сбалансированной нагрузкой. По сравнению с предыдущими версиями операционной системы Windows, система Windows Server 2008 имеет значительно улучшенные возможности для масштабирования, что позволяет организациям приобретать лицензии на несколько систем Web-служб по более низкой цене за каждый сервер и обеспечивать такую степень масштабирования и резервирования, которая требуется в больших средах Web-ферм.

Windows Server 2003 редакции Web поддерживает до 2 Гбайт оперативной памяти для поддержки возможностей клиентского кэширования Web-информации.

Примечание. Организациям, желающим приобрести версию Windows Web Server 2008 с целью ее установки на каком-нибудь очень дешевом файловом сервере, сервере печати или служебном сервере (вроде DNS, DHCP или контроллера домена), следует знать, что эта версия не включает традиционных возможностей ни для обеспечения многопользовательского доступа к файлам и принтерам, ни для предоставления вспомогательных служб. При необходимости иметь не только Web-службы, но и другие возможности, следует приобретать версию Windows Server 2008 Standard Edition.

 

Версия Windows Server 2008  Server Core

Версия Windows Server 2008 Server Core является новинкой в семействе операционных систем Windows Server 2008. Как видно на рис. 3, она представляет собой не имеющую графического пользовательского интерфейса версию операционной системы Windows Server 2008. При загрузке системы с установленной на ней версией Server Core, никакой обычный графический пользовательский интерфейс Windows не загружается. Вместо этого появляется командная строка с приглашением выполнить вход, после прохождения которого система переходит в режим командной строки. Здесь нет ни кнопки Start (Пуск), ни меню, ни вообще какого-либо графического интерфейса.

Server Core не продается в виде отдельной версии, а вместо этого предлагается во всех версиях Windows Server 2008 (Standard Edition, Enterprise Edition, Datacenter Edition и Web Server) в виде варианта установки. Поэтому при приобретении лицензии, например, на Windows Server 2008 Standard Edition, на DVD-диске будет содержаться как код самой версии Standard Edition, так и код версии Windows 2008 Standard Edition Server Core.

Возможности операционной системы ограничиваются возможностями устанавливаемой версии Server Core, т.е. сервер Windows Server 2008 Enterprise Edition Server Core будет иметь те же ограничения по ресурсам памяти процессора, что и сервер с обычной версией Windows Server 2008 Enterprise Edition.

Версия Server Core прекрасно подходит для служебных серверов вроде контроллеров домена, серверов DHCP, серверов DNS, Web-серверов IIS и серверов виртуализации Windows, благодаря тому, что из-за меньшего количества накладных расходов функционирующие на сервере приложения получают больше ресурсов, а из-за отсутствия графического пользовательского интерфейса и ассоциируемых с ним приложений степень вероятности нарушения безопасности системы Server Core значительно ниже. И хотя большинство администраторов никогда не играют на контроллере домена в игры вроде Solitaire (Косынка) и не использует приложения вроде проигрывателя Windows Media, такие приложения в не имеющей графического пользовательского интерфейса версии Windows не нужно ни снабжать заплатами, ни обновлять, ни обслуживать. А чем меньше приложений, которые нужно снабжать заплатами, тем соответственно и меньше операций по обслуживанию и управлению, которые нужно выполнять для поддержания системы в работоспособном состоянии.

Рис. 6. Консоль Server Manager

 

Старое и новое в  Windows Server 2008

С точки зрения рекламной политики компании Microsoft система Windows Server 2008 могла бы быть охарактеризована как более быстрая, более безопасная, более надежная и более удобная в эксплуатации. И следует отметить, что операционная система Windows Server 2008 действительно обладает всеми этими характеристиками. Однако здесь мы обсудим, какие изменения являются лишь косметическими по сравнению с предыдущими операционными системами Windows, а какие - истинными усовершенствованиями и на самом деле улучшают работу администраторов и конечных пользователей.

 

Визуальные изменения в Windows Server 2008

Первое, что бросается в глаза после загрузки Windows Server 2008 - это новый, подобный Windows Vista графический интерфейс пользователя (Graphical User Interface - GUI). Очевидно, что данное изменение является чисто косметическим и необходимо просто для стандартизации внешнего вида операционных систем Windows. Как и в Windows Vista, у пользователя есть возможность переключать новый графический интерфейс в классический режим, а поскольку большинству администраторов довелось долго проработать с Windows 2000/2003, многие из них предпочитают именно так и делать, т.е. отключать графический интерфейс Vista и конфигурировать систему так, чтобы она выглядела как классическая версия.

Определение службы Windows Server 2008, которая должна устанавливатся или переносится первой

Улучшения в области управления объектами групповой политики

В Windows Server 2008 представлено свыше 800 новых объектов групповой политики, касающихся конкретно Windows Server 2008 и Windows Vista, а также несколько новых компонентов, расширяющих базовые возможности в области управления объектами групповой политики, которые являлись частью Windows 2000/2003 Active Directory. Основные функции объектов групповой политики не изменились, поэтому приложения Group Policy Object Editor (Редактор объектов групповой политики (gpedit)) и Group Policy Management Console (Консоль управления объектами групповой политики (GPMC)) остались прежними, но только теперь в них доступно больше опций и параметров.

Как уже упоминалось ранее, приложение Group Policy Management Console (Консоль управления объектами групповой политики), показанное на рис. 7, может запускаться как в виде отдельного инструмента ММС, так и из раздела Features (Компоненты) в дереве консоли Server Manager (Диспетчер сервера).

Групповые политики в Windows Server 2008 предусматривают возможность управления локальными машинами на более детальном уровне, поскольку позволяют применять к клиенту политики, являющиеся разными для обычных пользователей и пользователей-администраторов.

 

Рис. 7. Приложение Group Policy Management Console

 

Вдобавок, в рамках управления групповыми политиками, приложения теперь могут запрашивать или регистрироваться со службой определения местонахождения в сети, которая предоставляет идентификационные данные о том, где находится объект пользователя или компьютера. Например, администратор может создать политику, позволяющую пользователю получать доступ к приложениям и файлам, если они находятся в сегменте локальной сети, и запрещать к ним доступ, если они находятся в каком-нибудь удаленном сегменте, по причинам безопасности и конфиденциальности. Добавление такой возможности в групповые политики дает им третье измерение, благодаря чему администраторы теперь могут не только определять, кому и к чему разрешен доступ, но и также ограничивать их доступ на основании их местонахождения.

Примечание. Запуск приложения GPMC (Group Policy Management Console - консоль управления групповыми политиками) для управления средой Windows Server 2008 следует делать либо с сервера Windows 2008, либо с клиентской системы Windows Vista, дабы иметь доступ ко всем доступным для редактирования объектам. В случае запуска GPMC с сервера Windows 2003 или клиента Windows ХР будут видны не все функциональные возможности и не будет полного доступа для редактирования всех доступных объектов.

Это связано с тем, что Windows Server 2008 теперь поддерживает новые форматы файлов шаблонов (ADMX и ADMI), доступ к которым возможен только с систем Windows Server 2008 и Windows Vista.

Добавление средств для осуществления мониторинга  производительности и надежности

В Windows Server 2008 представлены новые и усовершенствованные средства мониторинга производительности и надежности, призванные помогать администраторам лучше следить за состоянием работоспособности и операциями систем Windows Server 2008. Новая утилита Reliability and Performance Monitor (Монитор надежности и производительности), точно так же как и приложение Group Policy Management Console (Консоль управления групповыми политиками), доступна в соответствующем разделе консоли Server Manager (Диспетчер сервера). При щелчке на узле Performance Diagnostic Console (Консоль диагностики производительности) она появляется в панели справа, как показано на рис. 8.

Рис. 8. Утилита Windows Reliability and Performance Monitor

Эта новая утилита следит за активностью системы и использованием ресурсов и отображает ключевые показатели и сведения о состоянии системы на экране. Reliability and Performance Monitor выявляет возможные причины нестабильной работы сервера, делая заметки о времени последней перезагрузки сервера, применении заплат и обновлений и выходе из строя служб в системе (в хронологическом порядке), чем позволяет отслеживать системные ошибки вплоть до момента внесения конкретных обновлений или изменений, после которых возникла проблема.

Благодаря объединению предлагавшихся ранее трех-четырех утилит в одной консоли, администраторы теперь могут просматривать показатели производительности системы, операционные задачи и хронологию событий прямо во время анализа причины возникновения на сервере проблемы или нестабильности системных операций.

Использование приложения  File Server Resource Manager

Приложение File Server Resource Manager (Диспетчер ресурсов файлового сервера), или, сокращенно, FSRM, предлагалось в пакете дополнительных средств для версии Windows Server 2003 R2 и было значительно улучшено с выходом версии Windows Server 2008. Оно представляет собой систему квотного управления файлами, находящимися на общедоступных сетевых дисках по всему предприятию. Вместо позволения сотрудникам копировать все содержимое их ноутбуков в сеть или размещать в сети резервную копию всех их MP3-файлов, FSRM предоставляет возможность не только ограничивать количество сохраняемого на сетевых дисках содержимого, но и также устанавливать квоты на определенные типы файлов (или вообще ограничивать их хранение). Например, пользователю может быть разрешено сохранять на сетевом диске до 200 Гбайт файлов, но использовать из них для хранения МР3-файлов - только 2 Гбайт.

В Windows Server 2008 приложение FSRM было улучшено (рис. 9) и теперь позволяет устанавливать квоты для применения наиболее жесткой политики. Однако действие квот может также распространяться и за пределы подпапок, благодаря чему в случае создания новых папок или применения политик на других уровнях в иерархии папок прежние политики все равно остаются действительными, а правила объединяются, обеспечивая для пользовательских данных варьирующиеся уровни выделения квот. Вдобавок в квотах теперь учитываются реальные объемы, так что, сжимая файлы при сохранении, пользователь сможет хранить в пределах выделенной для него квоты больше файлов.

Рис. 9. Приложение File Server Resource Manager

 

Добавление приложения Windows Deployment Services

В Windows Server 2008 появилась новая программа под названием Windows Deployment Services (Службы развертывания Windows), или, сокращенно, WDS, которая, в сущности, представляет собой обновленную версию доступной на протяжении последних нескольких лет программы RIS (Remote Installation Service - служба удаленной установки). В отличие от RIS, в которой все внимание в основном уделялось сценарным установками и клиентским образам, WDS умеет распространять образы клиентов Windows Vista или серверов Windows Server 2008 с помощью значительно более гибкого и поддающегося изменениям процесса развертывания.

Подобно RIS, программа WDS позволяет клиентской системе инициировать среду выполнения предварительной загрузки (Preboot Execution Environment - РХЕ), фактически "загружающуюся" на сервер WDS для просмотра списка доступных для развертывания на системе образов. В качестве альтернативного варианта организации могут создавать загрузочный диск Windows РЕ и делать так, чтобы образ инициировался с CD- или DVD-диска.

В Windows Server 2008 и Windows Vista образ может создаваться в формате WIM (Windows Imaging), который допускает добавление в WIM-файл заплат, обновлений и даже нового кода без загрузки файла образа. Это обеспечивает организации не только возможностью создавать обычные статические образы, подлежащие впоследствии рассылке, как и в RIS, но и возможностью вносить в файлы образов необходимые текущие и корректируемые обновления.

WDS также поддерживает создание образов серверов Windows 2003 и клиентских систем Windows ХР тем же образом, что поддерживался RID, т.е. с последующей рассылкой (push out) образов системам или использования для этого файла сценария unattend.

Улучшения в Windows Server 2008,  касающиеся безопасности

Значительно больше, чем просто косметическими обновлениями, несомненно, являются добавленные в Windows Server 2008 улучшения в области безопасности. Стремление организаций обезопасить свои среды и зависимость сотрудников от конфиденциальности информации и защиты содержимого из-за необходимости следования установленным в организации нормам делают наличие средств для обеспечения безопасности среды критически важной характеристикой операционной системы.

Усовершенствование подсистемы безопасности Windows Server 2008

Ключевые подсистемы безопасности Windows Server 2008 в отношении серверов подразумевают рассмотрение как базовых тем вроде стабилизации сервера и установки на нем заплат и обновлений, так и новых тем, появившихся из-за добавления в Windows Server 2008 новых возможностей, подобных обеспечению безопасности на уровне устройств, защите при беспроводном доступе и использованию программы RMS (Active Directory Rights Management Services - службы управления правами Active Directory). Компания Microsoft продолжила в Windows Server 2008 следовать своему принципу "обеспечения безопасности по умолчанию", из-за чего компоненты вроде IIS (Internet Information Services - информационные службы Internet) больше по умолчанию не устанавливаются. Хорошим в этом является то, что компоненты, не являющиеся обязательными для работы сервера, в системе не устанавливаются, а плохим - то, что при каждой установке программного обеспечения нужно вручную добавлять необходимые базовые компоненты и функциональные возможности. Запоминание подлежащих установке, настройке и включению компонентов играет важную роль при построении и добавлении серверов в среду Windows Active Directory.

 

Обеспечение безопасности на транспортном уровне с помощью IPSec и служб сертификатов

Протокол IPSec не является новым в Windows, но наконец-то был снабжен несколькими новыми компонентами в области управления объектами групповой политики, которые призваны облегчать реализацию и управление этим протоколом на предприятиях. Еще одним не новым, но значительно улучшенным средством, которое Microsoft предлагает в отношении инфраструктуры открытых ключей (Public Key Infrastructure - PKI), является компонент Certificate Services (Службы сертификатов). Похоже, что в области обеспечения безопасности все, так или иначе, связано с сертификатами, будь то шифрование файлов с помощью EFS (Encrypting File System - система шифрования файлов), шифрование электронной почты с помощью S/MIME, удаленная синхронизация мобильных устройств с помощью сертификатного доступа или обеспечение безопасности на транспортном уровне с помощью протокола IPSec. Сертификат нужен везде.

Политики безопасности, управление  ими и поддержка средств для их  принудительного соблюдения

Совершенно новыми в Windows Server 2008 и заслуживающими серьезного внимания организаций являются политики безопасности и способы управления ими. Раньше требовалось просто блокировать доступ к системам, удостоверяться в том, они являются безопасными по умолчанию, и применять наилучшие рекомендации и ресурсы для обеспечения безопасности сети. Однако с появлением специальных законов и указов по защите информации и даже вынуждения участия в этом отделов кадров, одной из главных задач сотрудников IT-отдела стало определение политик безопасности в соответствии с принятыми в организации нормами защиты информации и реализации отвечающих этими нормам технологий.

Средства вроде Network Policy Server (Сервер сетевых политик) в Windows Server 2008 позволяют определять политики, а также принуждать соблюдать их, например, при удаленном входе в систему, при получении доступа по беспроводным сетевым соединениям или интеграции точки доступа к сети (Network Access Protection - NAP) в систему опрашивания устройства (настольной системы, ноутбука или мобильного устройства) и проверки наличия у него обозначенных руководством новейших заплат, обновлений и антивирусного ПО для уверенности в его безопасности.

Новые возможности в Windows Server 2008 для поддержки филиалов

В состав Windows Server 2008 входят значительно улучшенные технологии для более качественного IT-обслуживания удаленных офисов и филиалов организаций. Обычно удаленные офисы или филиалы имеют ограниченную IT-поддержку или, по крайней мере, нуждаются в тех же функциональных возможностях и степени надежности, которыми обладает главный офис, но не предусматривают выделения бюджета на резервное оборудование и устройства для обеспечения полной операционной поддержки. С новыми ресурсами Windows 2008 для дочерних офисов удаленные филиалы теперь могут иметь высокую степень безопасности, высокую производительность, доступ к данным без значительных задержек и рабочие возможности даже в случае их отключения от сети из-за проблем с Internet- или WAN-соединением.

К числу новых и улучшенных средств и технологий для этой цели в Windows Server 2008 относятся системы RODC (Read-Only Domain Controller - контроллер домена с доступом только для чтения), технология BitLocker Drive Encryption (Шифрование дисков с помощью Bitlocker), служба Distributed File System Replication (Репликация распределенной   файловой  системы) и распределенное администрирование.

Использование для  филиалов систем R0DC

Как уже рассказывалось ранее, RODC предоставляет копию глобального каталога Active Directory для регистрационной аутентификации избранных пользователей и соединений с деревом Active Directory без подвергания угрозе нарушения безопасности сервера всего глобального каталога в удаленном месте. Многие организации из-за не уверенности в безопасности распределенных серверов глобального каталога предпочитали не размещать сервер в удаленном офисе и обслуживать глобальный каталог и контроллеры домена только в центральном офисе. Для удаленных и дочерних офисов это означало необходимость прохождения всей связанной с входом в систему аутентификации через WAN- или Internet-соединение, которое могло быть очень медленным. И в случае выхода WAN- или Internet-соединения из строя работа в удаленных и дочерних офисах останавливалась из-за того, что пользователи не могли подключаться к сети и пользоваться сетевыми ресурсами до самых тех пор, пока соединение не восстанавливалось.

Системы RODC предоставляют организациям возможность распределять аутентификацию и доступ к Active Directory без увеличения степени риска нарушения безопасности, связанного с распределением служб каталога.

Использование технологии  BitLocker для защиты сервера

Технология BitLocker, впервые представленная в Windows Vista, позволяет организациям выполнять шифрование целых разделов дисков со всеми хранящимися на них файлами, документами и данными. Когда она появилась в Windows Server 2008 в виде инструмента для сервера, было трудно понять, зачем может понадобиться шифровать том диска сервера. Очевидно, что такое шифрование имеет смысл для ноутбука на случай его кражи (поскольку делает невозможным получение доступа к хранящимся на его жестком диске данным). Однако если взять серверы, размещаемые в удаленных местах - и часто не в заблокированной серверной стойке в закрытой компьютерной комнате, а скорее в каком-нибудь кабинете или даже под кассовым аппаратом в случае магазинов, где серверы выступают в роли системы расчетных терминалов - то становится понятым, что в производственных средах полно серверов с подлежащими шифрованию секретными данными.

Следовательно, поскольку технология BitLocker позволяет выполнять шифрование всего тома сервера Windows Server 2003, для организаций, беспокоящихся о возможной физической краже данных с сервера, она является просто замечательным компонентом для реализации в серверной системе.

Репликация распределенной  файловой системы

Впервые появившаяся в Windows 2000 Server, усовершенствованная в Windows Server 2003 и теперь ставшая ключевым среди предлагаемых для дочерних офисов компонентов в Windows Server 2008, служба Distributed File System Replication (Репликация распределенной файловой системы), или, сокращенно, DFSR, позволяет осуществлять репликацию файлов между серверами и тем самым создавать дубликат необходимой информации в нескольких местах. Windows Server 2008 имеет намного более усовершенствованную распределенную файловую систему, чем была доступна в Windows 2000/2003. В большинстве организаций файлы распределяются среди множества серверов по всему предприятию. Пользователи могут получать доступ как к общедоступным файловым ресурсам, которые находятся на географически рассредоточенных серверах, так и к общедоступным файловым ресурсам, которые находятся на серверах только внутри определенного сайта организации. Во многих организациях, где общедоступными файловыми ресурсами пользуются давно, уже сложились определенные среды с определенными серверами, имеющими определенную производительность и емкость дисков, с определенным распределением файловых серверов и серверов печати по рабочим группам и определенными общедоступными файловыми ресурсами для каждого отдела и каждого сайта. Из-за этого получается, что файлы обычно распределяются по всей организации среди множества серверов.

Технология Windows 2008 DFSR, т.е. технология репликации распределенной файловой системы, позволяет организациям объединять общедоступные файловые ресурсы в меньшее количество серверов и создавать дерево каталогов файлов не по принципу "сервер-сервер" или "ресурс-ресурс", а в виде дерева каталогов уровня всего предприятия. То есть дает им возможность иметь один единственный каталог, охватывающий файлы со всех серверов предприятия.

Поскольку каталог DFSR представляет собой логический каталог, который охватывает всю организацию с помощью ссылок, указывающих обратно на физические данные, настоящие физические данные могут перемещаться без внесения изменений в способ просмотра этого каталога пользователями. Это позволяет организациям добавлять и удалять серверы, а также перемещать или объединять информацию любым, наиболее удобным для них образом.

Что касается дочерних офисов, то DFSR делает возможной перекачку данных с файлового сервера в удаленном офисе в главный офис для проведения еженощной процедуры резервного копирования. Вместо выполнения процедуры резервного копирования непосредственно в самом удаленном офисе или требования наличия лентопротяжных устройств в каждом из дочерних офисов организации, любые данные, сохраняемые в дочернем офисе, могут постепенно реплицироваться для резервного копирования и восстановления на какой-нибудь из общедоступных дисков в главном офисе.

Или же, если в главном офисе имеются какие-то данные, которые требуется распространить по всем удаленным офисам, будь то файлы шаблонов, документы с описанием политик компании, стандартные материалы компании или даже общая информация, которую нужно сделать доступной для группы пользователей, дабы они могли над ней совместно поработать, DFSR предоставляет возможность передавать данные на другие серверы в сети. Пользователям с правами на доступ больше не нужно пользоваться соединением глобальной сети (WAN), чтобы получать доступ к общим данным.

Информация передается на наиболее близкий к пользователю сервер (т.е. на его локальный сервер), что позволяет ему получать доступ к локальной копии информации. В случае внесения в удаленные или центральные копии данных каких-нибудь изменений, эти изменения автоматически распространяются по всем томам, на которых хранится копия этих данных.

Улучшения в распределенном  администрировании

И, наконец, что касается удаленных или дочерних офисов, в которых все-таки имеется IT-персонал, то для них раньше всегда было трудно назначать подходящие права на выполнение связанных с администрированием и управлением задач. IT-сотрудникам в удаленных офисах либо предоставлялись права администраторов всего домена тогда, как у них должны были быть права, касающиеся только конкретно их сайта, либо не предоставлялись вообще никакие административные права из-за того, что назначить им более узкую роль было слишком трудно.

В Windows Server 2008 теперь имеется набор прав, предназначенных специально для администраторов удаленных сайтов и дочерних офисов. Во многом подобно администраторам сайта в старой версии Exchange Server 5.5, где администраторам разрешалось добавлять пользователей и контакты и выполнять административные задачи на локальных серверах Exchange, сетевым администраторам в Active Directory права теперь могут делегироваться на основании роли дочернего или удаленного сайта. Это дает таким администраторам возможность вносить изменения, касающиеся только конкретно их дочернего офиса. Данная возможность, вместе со всеми остальными средствами Windows Server 2008 для дочерних и удаленных офисов, теперь позволяет обеспечивать более высококачественное IT-обслуживание в организациях с множеством офисов.

Улучшения для терминальных  служб тонких клиентов

В Windows Server 2008 были внесены значительные улучшения в возможности терминальных служб в плане доступа тонких клиентов для удаленных и управляемых пользователей предприятия. Если раньше для приведения базовой системы Windows 2000/2003 Terminal Services в рабочее состояние требовалось устанавливать дополнительные сторонние приложения, то теперь компания Microsoft включила все необходимые технологии прямо в состав Windows Server 2008. К числу этих технологий относятся возможность получать доступ к терминальным службам через стандартный порт Port 443 SSL, а не специальный порт Port 3389; возможность публиковать только какие-нибудь конкретные программы, а не весь рабочий стол; возможность позволять клиенту иметь более широкий экран удаленного доступа или несколько экранов, а также более просто выполнять печать на удаленных печатных устройствах.

Все эти касающиеся терминальных служб улучшения в Windows Server 2008 делают компонент Terminal Services одним из самых легких для добавления в существующую среду Windows 2003 Active Directory с целью тестирования новых возможностей Windows Server 2008, особенно из-за того, что установка системы Windows 2008 Terminal Services подразумевает всего лишь добавление в домен еще одного рядового сервера, который может быть запросто удален в любое время.

Улучшения в RDP v6.x для увеличения клиентских возможностей

Первая область значительных улучшений в Windows 2008 Terminal Services связана с обновлением клиента RDP v6.x (Remote Desktop Protocol - протокол для удаленных дисплеев), который показан на рис. 10.

Новый клиент RDP предоставляет перечисленные ниже средства.

-           Поддержку видео до 4096x2048. Пользователи теперь могут использовать очень широкие мониторы при подключении через соединение RDP для просмотра данных из системы Windows Server 2008 Terminal Services.

-           Поддержку нескольких мониторов. Пользователи теперь также могут использовать сразу несколько мониторов при работе с одним соединением RDP. В случае приложений автоматизированного проектирования, графического дизайна или публикации это означает, что пользователи в одно и то же время могут просматривать на одном экране графическую информацию, а на другом - текстовую.

-           Защищенные соединения. Новые клиент RDP теперь предусматривает возможность создания посредством системы безопасности Windows Server 2008 для подключения к системе Terminal Services удаленных соединений с очень сложным шифрованием данных. Организации, которым необходимо быть уверенными в защищенности данных и персональной информации сотрудников, могут реализовать между системой Windows Server 2008 Terminal Services и удаленным клиентом именно такие защищенные соединения.

Рис. 10. Клиент RDP для Terminal Services

 

Роль Terminal Services Web Access

Еще одной новинкой в Windows Server 2008 Terminal Services является новая роль под названием Terminal Services Web Access (Web-доступ к терминальным службам), или, сокращенно, TSWA. Роль TSWA позволяет удаленному клиенту получать доступ к сеансу Terminal Services не путем запуска клиента RDP. 6.x, а за счет подключения к Web-странице, с которой пользователю затем предоставляется возможность входить в систему и начинать свой сеанс работы. Это упрощает метод доступа для пользователей, поскольку позволяет им просто добавлять предоставляющий доступ к Terminal Services URL-адрес в избранные ссылки своего браузера.

Примечание. Для установки сеанса с Terminal Services, однако, TSWA все равно требует, чтобы в роли клиентской системы выступала либо система Windows Vista, либо система Windows Server 2003, либо система Windows Server 2008. Запускать браузер с системы Apple Macintosh или Linux и получать доступ к Terminal Services Web Access нельзя. В случае Web-клиентов, работающих не на базе Windows, следует использовать специальные поддерживающие устройства такого типа соединители сторонних производителей, например, Citrix Systems.

Роль Terminal Services Gateway

Роль Terminal Services Gateway (Шлюз терминальных служб), или, сокращенно, TS Gateway, является новым добавлением в Windows Server 2008 Terminal Services и предоставляет возможность подключаться к сеансу Terminal Services через стандартный порт 443 с SSL-шифрованием (Port 443 SSL). Раньше пользователи могли подключаться к Windows Terminal Services только через специальный порт Port 3389. К сожалению, во многих организациях из соображений безопасности соединения, устанавливаемые через нестандартные порты, блокируются, поэтому в случае использования Internet-соединения в отеле, аэропорту, Internet-кафе и других местах, где нестандартные порты блокировались, пользователь не мог получать доступ к Terminal Services.

Теперь, благодаря TS Gateway, удаленный пользователь может использовать соединение Terminal Services Gateway и подключаться к Terminal Services через порт 443 точно так же как при просмотре безопасных Web-страниц. Из-за применения при доступе к Web-страницам SSL-шифрования (т.е. получения доступа к Web-страницам, адрес которых начинается с https://), в сущности, пользователь теперь может подключаться к Windows Server 2008 Terminal Services из любого места.

Роль Terminal Services  Remote Programs

И, наконец, еще одна новая серверная роль, которая была добавлена в Windows Server 2008, называется Terminal Services Remote Programs (Удаленные программы терминальных служб), или, сокращенно, TS Remote Programs. Она позволяет администраторам "публиковать" конкретные приложения, которые должны быть доступны пользователям. Этими приложениями могут быть: Microsoft Outlook, Microsoft Word, программа ведения учета отработанного сотрудниками компании времени или программа управлении отношениями с клиентами (Customer relationship management - CRM). Вместо того чтобы предоставлять пользователям полный доступ ко всему рабочему столу вместе с кнопкой Start (Пуск) и всеми приложениями, организации теперь могут публиковать только несколько приложений, которые они хотят сделать доступными для пользователей.

Применяя вместе с TS Remote Programs групповые политики и роль Network Policy Server (Сервер сетевых политик), администраторы сети могут публиковать для разных пользователей разные наборы приложений, т.е., например, предоставлять одним пользователям доступ только к приложению Outlook и приложению Word, а другим - к приложению Outlook, приложению Word и еще и приложению CRM. А добавленная в компонент политик возможность определять местонахождение в сети позволяет администраторам сети делать различные приложения доступными для пользователей в зависимости от того, откуда он подключается - из локальной сети или из какого-то удаленного места.

Обслуживание и управление Windows Server 2008

http://www.pnto.ru/st/lan5.htm

Категории: