Как многие знают, недавно MS выпустила новую серверную ОС — Windows Server 2008. В России Launch был 18го марта (это в Москве, в Питере — 19го), в Штатах — 27 февраля. Новый продукт — новые возможности, однако хотелось бы знать заранее, что нам предлагают, не покупать кота в мешке. Что нового в WS 2008, в чем его преимущества перед WS 2003? Какие нововведения оценит пользователь, а что будет на руку администратору? Наконец, стоит ли покупать новую систему, если все прекрасно работает на старой и, если да, как убедить руководство оплатить счет?
Знай я ответы на все эти вопросы, давно жил бы в Сочи. Однако кое-какие соображения по теме у меня есть.
Пункт 2-й: Server Core (SC) и Read Only Domain Controller (RODC).
В WS2008 появился новый вариант установки системы — Server Core. В MS его называют не иначе как «очень интересная штука». У меня несколько иное мнение, но постараюсь описать все безлично.
Что такое Server Core?
SC — вариант установки WS2008 с ограниченной функциональностью. Отсутствует графическая оболочка, доступны только следующие роли сервера:
Знай я ответы на все эти вопросы, давно жил бы в Сочи. Однако кое-какие соображения по теме у меня есть.
Пункт 2-й: Server Core (SC) и Read Only Domain Controller (RODC).
В WS2008 появился новый вариант установки системы — Server Core. В MS его называют не иначе как «очень интересная штука». У меня несколько иное мнение, но постараюсь описать все безлично.
Что такое Server Core?
SC — вариант установки WS2008 с ограниченной функциональностью. Отсутствует графическая оболочка, доступны только следующие роли сервера:
- AD (включая RODC, который я упомяну ниже)
DHCP Server
DNS Server
File Services
Print Services
Web Server (IIS)
Не так мало, для административных целей вполне достаточно. Напомню, что стандартная установка WS2008 насчитывает 16 базовых ролей — заметно больше.
Управление осуществляется с помощью командной строки, скриптами или из удаленной MMC-консоли.
Концепция Server Core.
Не знаю, как вам, но лично мне с наскока не было понятно, каким образом использовать сервер с урезанным функционалом. По версии MS, формула применения выглядит так: SC+RODC+BitLocker = сервер для филиала.
Представим себе типичную ситуацию: компания открывает филиал или просто удаленную точку на несколько (число и даже его порядок не имеют значения) рабочих мест. Вас просят организовать работу локальной сети. Чудо Интернета и пара волшебных шаров Cisco создали единую сеть из головного и филиального офисов. Вам, однако, не надо провидческого дара, чтобы понять: никакой, даже самый надежный интернет-канал не вечен — рано или поздно филиал выпадет из карты вашей сети. Нет связи с головным офисом — нет AD, нет контроля, нет DNS. Страшная картина промелькнула перед глазами; вы выдохнули и решили: в филиал отправим контроллер домена. Что-нибудь попроще, подешевле — еще вопрос, будет ли сервер надежнее канала. Будет поддерживать базовые сервисы на случай обрыва связи. Может быть, этот же сервер будет выполнять роль маршрутизатора или файлового сервера.
Я намеренно утрировал ситуацию, однако, подозреваю, что в России она достаточно распространена. Ясно, что при непостоянном или очень медленном канале между офисами вам почти всегда нужно отправить в филиал DC для поддержания доменной структуры. Если, подчеркиваю, в ней есть потребность.
Избавившись от одной проблемы, вы тут же нажили себе множество других. Во-первых, у вас почти не хватает времени на обслуживание — до Бога высоко, до сервера далеко. Во-вторых, вы не имеете к серверу физического доступа. В-третьих, вероятность кражи далека от нулевой — чем может обернуться кража контроллера домена, думаю, всем понятно. И это не считая анекдотичных случаев.
Вот в этом бы месте вставить красивый ролик о том, как именно MS предлагает защитить наши бедные филиалы. К сожалению, за неимением материалов явно рекламного характера, опишу сам.- Как ни странно, ключевыми словами здесь будут не Server Core, а Read Only Domain Controller — RODC. Это новая роль, появившаяся в WS2008. RO-контроллеры содержат те же объекты и записи, что и обычные контроллеры, кроме паролей учетных записей. Они не предназначены для внесения изменений, и обычные контроллеры не реплицируют данные с RODC. Кроме того, в WS2008 на контроллере домена пользователь может иметь права локального администратора, чего не было в WS2003. Вы можете предоставить администратору филиала исчерпывающие права на обслуживание сервера, при этом запретив ему вносить какие-либо изменения в домен. Еще раз упомяну тот факт, что на RODC не хранятся пароли учетных записей — аутентификация происходит с участием DC головного офиса (writable).
Здесь меня несколько удивляет ситуация с использованием кэша. Ясно, что при обрыве связи writable DC не может предоставить пароль по запросу RODC, поэтому пароли приходится кэшировать — на такой случай или для минимизации передаваемого через WAN трафика. Согласитесь, нелогично отказываться от хранения параметров учетной записи, а потом их кэшировать. Не говоря уже о передаче паролей через глобальную сеть.
SC в данной схеме позиционируется как носитель RODC. Server Core, по мнению разработчиков, будучи единожды настроенным, не потребует вмешательства администратора в будущем. Кроме того, аппаратные требования минимальной установки значительно ниже требований стандартной установки. Также минимизировано количество необходимых обновлений — на 60% меньше по сравнению с обновлениями не-SC сервера. Наконец, минимальная установка предполагает минимальные ошибки и недочеты.
BitLocker, как и всегда, шифрует данные. Присутствие этого компонента в волшебной формуле SC+RODC+BitLocker не вызывает вопросов.
Выводы.
Пожалуй, этот кусок стоило бы назвать «личные возражения».
О непонятной (или непонятой?) роли RODC я уже написал. Остаются претензии к самому SC.
Во-первых, сам термин «минимальная установка» вызывает ощущение, что над тобой посмеялись, как только прочитаешь аппаратные требования: 1GHz CPU + 512MB ОЗУ + 3GB на диске. И это притом, что нет графической оболочки. Когда я вспоминаю маршрутизатор с DHCP под Linux, умещающийся на дискете, у меня слезы на глаза наворачиваются.
С другой стороны, обычная установка WS заняла примерно 15 GB на жестком диске после добавления роли Terminal Services. После таких цифр 3 GB (1 GB для установки + 2 GB свободного места) уже не кажутся серьезным требованием. Вдобавок MS оправдывается, что минимальные требования предъявляются установщком WS — сервер же работоспособен и на худшем железе.
Следующий пункт — управление. И здесь меня пугает вовсе не shell-less интерфейс, а его неоднородность. Ладно бы все администрирование сводилось к CMD. Но нет, часть операций можно выполнить только скриптами, например конфигурирование автоматических обновлений. Или вот еще — развертывание контроллера: dcpromo будет работать только с файлом ответов, который предлагается создать на writable DC, где есть полноценный графический интерфейс. Вы уж определитесь, отказываемся мы от графической оболочки или нет.
Да, конечно, я понимаю, что скрипты надо воспринимать как продолжение командной строки, а не ее противопоставление. Я также понимаю, что можно создать файл ответов для dcpromo и без использования графической оболочки. Но все равно остается ощущение какой-то нестыковки. Опять же, вырастают требования к квалификации филиального администратора.
Далее, роли сервера. Их не только мало, но и функционал их урезан. Например, нет .NET. Вы не сможете использовать его в WebServer. Также вам будет недоступен PowerShell. Разработчики говорят, что .NET имеет зависимости, которые не могут быть удовлетворены в Server Core. Однако в будущем возможно издание core-редакции .NET.
Установка SC. Доступна только чистая установка — нельзя перейти на SC с любой версии WS (включая WS2008). Верно и обратное — вы не можете переключиться из установки Server Core в стандартную. Теперь внимание: установив SC, ваша компания затратила столько же денег, сколько стоила бы установка стандартная. В этой ситуации у меня только один вопрос: почему нельзя было издать отельную редакцию WS2008 (с пониженной стоимостью) и назвать ее Windows Server 2008: Server Core Edition?
Литература.- Блог разработчиков.
Запись веб-конференции о SC. Есть ответы на часто задаваемые вопросы.
Техническая библиотека по WS2008.
Пошаговое руководство по установке SC.
http://blogs.dirteam.com/blogs/sanderberkouwer/ — руководство к действию.
Кратко о RODC.
PS_1. Заметка написана не для того, чтобы агитировать кого-то за или против WS2008 вообще или SC в частности. Цель – описать новые функции, особенности работы. Личное отношение автора присутствует, его никуда не денешь. Спорные моменты воспринимайте как ИМХО.
PS_2. Я очень прошу не превращать обсуждение нововведений в сравнение Windows и Linux.
PS_3. Если данная заметка показалсь вам интересной, напишите, описание какой новой функции вы хотели бы прочитать в будущем. На примете NAP, изменения в установке драйверов и программ, новое в схеме безопасности.
- Блог разработчиков.
- Как ни странно, ключевыми словами здесь будут не Server Core, а Read Only Domain Controller — RODC. Это новая роль, появившаяся в WS2008. RO-контроллеры содержат те же объекты и записи, что и обычные контроллеры, кроме паролей учетных записей. Они не предназначены для внесения изменений, и обычные контроллеры не реплицируют данные с RODC. Кроме того, в WS2008 на контроллере домена пользователь может иметь права локального администратора, чего не было в WS2003. Вы можете предоставить администратору филиала исчерпывающие права на обслуживание сервера, при этом запретив ему вносить какие-либо изменения в домен. Еще раз упомяну тот факт, что на RODC не хранятся пароли учетных записей — аутентификация происходит с участием DC головного офиса (writable).
