Статья только в электронной версии журнала
Windows Server 2003 стала безопаснее и проще в управлении, но переход на эту ОС потребует определенных усилий
Главная цель Microsoft всегда была одна: продать как можно больше копий своей операционной системы. В полной мере это относится и к новой Windows Server 2003. Вот только заставить потребителя перейти на что-то новое - задача сегодня далеко не простая.
Проведенное в eWeek Labs тестирование показало, что Microsoft сумела оснастить новинку рядом самых передовых технологий, упаковав их в весьма привлекательный интерфейс. В результате серверная ОС стала безопаснее, дружелюбнее к разработчикам и производительнее прежних версий. Улучшилась и ее интеграция с разнородными средами. Для тех же, кому такие преимущества покажутся не слишком убедительными, корпорация приготовила еще один весомый аргумент - пообещала в следующем году прекратить поддержку Windows NT 4.0. Такой шаг, как рассчитывают его инициаторы, должен подтолкнуть сообщество Windows к переходу на новую ОС.
Новая закладка Effective Permission (окно вверху) открывает системному
менеджеру быстрый доступ ко всем предоставленным привилегиям. Улучшена в
Windows Server 2003 и поддержка таких технологий, как смарт-карты (окно внизу)
Наиболее явным отличием Windows Server 2003 от Windows 2000 Server - самого популярного серверного продукта Microsoft - стал графический интерфейс пользователя, который теперь практически идентичен интерфейсу Windows XP.
На первый взгляд Windows Server 2003, выпуск которой начался в апреле, может показаться той же самой Windows 2000, но с более приятной наружностью. К счастью, обновив интерфейс, Microsoft не забыла включить в новую ОС и ряд мастеров, которые помогают управлять буквально всем, начиная с перехода на Active Directory и заканчивая созданием доверительных компонентов .Net.
Серьезные изменения претерпела новая система и изнутри.
Во-первых, интеграция с .Net Framework, дополненная мастерами конфигурации .Net, делает Windows Server 2003 идеальной платформой разработки (правда, лишь для тех программистов, которые выбрали .Net). Расширила Microsoft и возможности ОС в области Web-сервисов, благодаря чему разработчики получили возможность упаковывать Windows-приложения в объекты Web-сервисов, делая их пригодными для среды .Net.
Как и прежние версии Windows, новый продукт содержит сервер обработки сообщений, координатор транзакций и другие технические компоненты, более-менее сопоставимые по функциональности с серверами приложений для платформы Unix.
В целом же причин для перехода на Windows Server 2003 с Windows 2000 Server намного меньше, чем для обновления Windows NT 4.0. Главным стимулом для владельцев Windows 2000 Server может стать разве что повышенная безопасность Windows Server 2003. Впрочем, администраторы затратили столько времени на усиление Windows 2000 Server, что едва ли захотят начинать все заново и возиться с совершенно новой ОС.
Гораздо более важные изменения внесены в Active Directory. Этой службой каталога стало проще управлять, хотя ее усовершенствования могут привести к некоторым проблемам с совместимостью. Windows Server 2003, например, поддерживает аутентификацию и авторизацию между лесами (cross-forest), в результате чего пользователи получают доступ к ресурсам из доменов, в которых они не зарегистрировались. По оценке eWeek Labs, это очень удобно в средах с совместными ресурсами, но чтобы обеспечить такие же возможности в смешанных средах, администраторам придется приложить немало сил.
Еще одно важное отличие Windows Server 2003 от предшественниц в том, что на смену Internet Information Services 5.0 здесь пришел совершенно новый IIS 6.0 - более быстрый, надежный и безопасный Web-сервер Microsoft. Кроме того, IIS 6.0 гораздо лучше, чем прежняя версия, подходит на роль платформы разработки приложений.
И наконец, Microsoft включила в новую ОС отличный мультимедийный сервер Windows Media Server 9. Широкий спектр мультимедийных сервисов в сочетании с возможностями сервера приложений делает Windows Server 2003 очень удачным выбором - если только организация готова установить у себя все компоненты этой ОС.
Windows 2003 Server выпускается в трех модификациях. Стандартный вариант Standard Edition предлагает многие функции старших редакций, но поддерживает не более четырех процессоров и 4 Гб оперативной памяти. В корпоративном варианте Enterprise Edition предусмотрена поддержка 64-разрядных технологий и возможность использования до восьми ЦПУ и 32 Гб памяти. Наибольшим потенциалом располагает вариант для вычислительных центров Datacenter Edition, который масштабируется до 64 центральных процессоров и полностью совместим с приложениями Datacenter.
Кроме того, Microsoft выпускает Web-вариант новой ОС , который по существу представляет собой сервер файлов, печати и Web-сервисов для одно- и двухпроцессорных систем.
Более подробно Windows Server 2003 рассматривается в материалах аналитиков eWeek Labs, опубликованных ниже.
Джон Ташек
Безопасность
Наивысшим достижением Windows Server 2003 в области безопасности стала улучшенная модель защиты IIS (Internet Information Services - информационные сервисы Интернета), Web-сервера, прежняя версия которого была источником большинства брешей в Windows 2000 Server (экспертная оценка новой версии IIS 6.0 приводится далее). Нельзя не отметить и того, что ряд внесенных в Windows Server 2003 доработок не только повышает безопасность самого сервера, но и упрощает защиту других сетевых ресурсов.
По утверждению представителей Microsoft, крупнейшие изменения в области безопасности Windows Server связаны не просто с новыми функциями, но совершенно с иной философией. Windows Server 2003 - это первая платформа, увидевшая свет с момента провозглашения корпорацией инициативы доверительных вычислений Trustworthy Computing. В результате, как уверяет Microsoft, в Windows Server 2003 будет намного меньше ошибок и проблем безопасности, чем в прежних ОС.
Насколько это верно, покажет время (ждать придется не больше года).
Пока же, судя по проведенному нами тестированию, одним из наиболее мощных элементов безопасности следует признать реализованную в Windows Server 2003 политику ограничений на запуск ПО (Software Restriction Policies). Заложенные в ее основу правила не только предотвращают несанкционированное исполнение кода. Опираясь на них, мы легко блокировали запуск всех приложений, кроме тех немногих доверительных, без которых было невозможно обойтись. Такая особенность крайне важна, когда дело касается выполнения специальных функций.
| Новинки Windows придают мощный импульс 64-разрядным вычислениям |
Концепция 64-разрядных вычислительных систем Wintel получила весной нынешнего года сильную поддержку. Причиной тому стало заявление Microsoft, согласно которому 64-разрядные версии ее ОС Windows Server 2003 и Windows XP будут поддерживать не только процессоры Itanium 2 корпорации Intel, но и 64-разрядные кристаллы Opteron фирмы Advanced Micro Devices и ее же перспективную разработку - 64-разрядную версию Athlon (она должна появиться в ближайшее время). 64-разрядные версии Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition отличаются повышенной производительностью и масштабируемостью, что делает их особенно пригодными для полной загрузки баз данных в оперативную память, а также для ресурсоемких вычислительных и научных приложений с высокими требованиями к массовой памяти и процессорной мощи. В варианте для вычислительных центров Windows Server 2003 Datacenter Edition может обслуживать до 64 процессоров и иметь до 512 Гб оперативной памяти, а корпоративная версия этой ОС Windows Server 2003 Enterprise Edition масштабируется до восьми ЦПУ и 64 Гб ОЗУ. По всем другим показателям 64-разрядные ОС мало чем отличаются от своих 32-разрядных родственниц. На сегодняшний день Microsoft предлагает единственное 64-разрядное приложение - SQL Server, но ситуация должна вот-вот измениться. О работах над приложениями для Itanium 2 и Windows Server 2003 уже сообщили IBM, Oracle, Computer Associates, SAP и BEA Systems. Другая новая ОС Microsoft под названием Windows XP 64-bit Edition Version 2003 разрабатывается с прицелом на мощные 64-разрядные рабочие станции с процессорами Itanium 2 и Athlon 64. Сфера их применения - инженерия, видеорендеринг и видеомоделирование и другие приложения с повышенными требованиями к ресурсам ЦПУ. Что же касается настольных приложений, то никаких планов в отношении 64-разрядной версии пакета Office и других приложений для конечного пользователя корпорация Microsoft пока не объявила. Фрэнсис Чу |
Расширены в новой ОС также возможности редактирования групповой политики и шаблонов, благодаря чему стало легче управлять сложными параметрами межсистемной безопасности и создавать многочисленные профили для систем.
В своей тестовой системе с ограничением разрешений на доступ к ПО, например, мы смогли установить правила открытия приложений. Это очень удобно для обновления необходимых программ и устранения неполадок.
В Windows Server 2003 входит также компонент под названием Common Language Runtime (общий язык реального времени). Его задача - контроль над неавторизованными кодами путем проверки цифровых подписей, источника кодов и изменений в них.
Усовершенствован в новой ОС и процесс описания пользовательских и групповых разрешений на доступ к объектам и папкам. Администратор получил возможность задавать более сложные условия для работы с ними, а закладка Effective Permission (эффективные разрешения) позволяет быстро просматривать все разрешенные привилегии. Еще одна новинка - усовершенствованная версия брандмауэра Интернет-соединений, дебютировавшего в Windows XP.
В Windows Server 2003 значительно улучшена аутентификация пользователей. Благодаря Internet Authentication Server эта ОС может выполнять функции сервера RADIUS, что делает более гибким управление виртуальными частными сетями и доступом удаленных пользователей по коммутируемым каналам. В сочетании с поддержкой Extensible Authentication Protocol (расширяемый протокол аутентификации), также предусмотренной в Windows Server 2003, это позволяет намного эффективнее решать задачу аутентификации пользователей беспроводных устройств.
Нельзя не упомянуть и о расширенном выборе вариантов безопасной аутентификации. При работе с сервером теперь можно будет использовать инфраструктуру открытых ключей, сертификаты, равно как и технические средства наподобие смарт-карт.
Джим Рапоза
Internet Information Services
Web-сервер IIS 6.0 из состава Windows Server 2003 представляет собой коренную переработку IIS 5.0, знакомого по Windows 2000 Server. Его новая архитектура отличается большей модульностью, повышенной скоростью и расширенными возможностями конфигурирования, а улучшенный инструментарий управления делает настройку сервера намного понятнее. В результате администраторам будет легче отключить все ненужные функции IIS 6.0, оставив только действительно необходимые для работы.
Благодаря внесенным изменениям IIS 6.0 демонстрирует высокий уровень безопасности, который раньше можно было встретить разве что в мире Unix. А это - весьма убедительный аргумент в пользу перехода на Windows Server 2003.
Правда, многого из того, что предлагает в области безопасности IIS 6.0, администратор может добиться и от прежней версии сервера, хотя и ценой немалых усилий. Чтобы повысить защищенность IIS 5.0, приходится уделять особое внимание администрированию и вооружаться бесплатными инструментальными программами IIS Lockdown Tool и Urlscan. Теперь же первая из этих программ встроена в новую версию. Очень хотелось бы увидеть среди интегрированных компонентов и вторую, но этого пока не сделано.
Те, кто будет устанавливать Windows Server 2003 на новых машинах, смогут убедиться: IIS 6.0 стал намного безопаснее уже при стандартных настройках. По умолчанию в системе даже не инсталлируется Web-сервер, что знаменует серьезный отход от парадигмы Windows 2000.
Нам очень понравилось, что в стандартной конфигурации устанавливается только статический контент Web-сервера - никакие фильтры IIS и никакие расширения не включаются. С точки зрения безопасности это огромный шаг вперед, поскольку, как показала практика, во всех расширениях IIS 5.0 отмечались те или иные бреши. Именно это стало причиной массированных вирусных атак на серверы IIS в прошлом.
С помощью утилиты Shadow Copies (окно справа) пользователи смогут самостоятельно восстанавливать
свои файлы из резервных копий, а предусмотренная в Active Directory новая возможность множественного выбора
(окно внизу) упростит работу с большими каталогами
Как показали результаты тестирования, подключение выбранных расширений никакого труда не составляет - производить его помогает новая папка Web Services Extensions в модуле Application Server Management. Правда, некоторые расширения (к примеру, для FrontPage 2002 Server или Internet Printing) приходится включать и выключать вручную с помощью пиктограммы добавления/удаления программ на панели управления. На наш взгляд, намного удобнее, когда все параметры конфигурации IIS сведены воедино в инструментарий управления сервером приложений Application Server Management.
Расширения IIS теперь запускаются не на системном (учетная запись LocalSystem), а на пользовательском уровне.
Впрочем, если вы решите установить IIS 6.0 на прежней серверной версии Windows, многие из этих преимуществ окажутся недоступными, поскольку при обновлении система сохранит исходные параметры настройки IIS 5.0, которые безопасными никак не назовешь. Когда мы попытались заменить IIS 5.0 на версию 6.0, расширения, как и раньше, запускались из учетной записи LocalSystem, да и все дополнительные элементы и фильтры остались в системе.
Если инструментарий Lockdown Tool в IIS 5.0 не установлен, при переходе с Windows 2000 на Windows Server 2003 сервис IIS по умолчанию отключается. Это - своего рода вежливое напоминание невнимательному администратору: чтобы продолжить работу, надо сначала обеспечить безопасность Web-сервера с помощью инструментария Windows Server 2003.
Новые очереди запросов HTTP, а также кэш статического и динамического контента под названием http.sys теперь встроены в ядро системы, что повышает время непрерывной работы и производительность сервера. Такой подход уже доказал свою эффективность на других платформах. Кэширование НТТР-страниц реализовано на уровне ядра в ОС Red Hat Linux фирмы Red Hat, Solaris компании Sun Microsystems и AIX корпорации IBM.
Настройки IIS 6.0 хранятся в общем XML-файле metabase.xml. Включив параметр, разрешающий редактирование этого файла, мы открыли его с помощью блокнота, а затем изменили базовый каталог созданного Web-узла и сохранили файл. Все внесенные изменения вступили в силу автоматически. Столь простое автоматизированное конфигурирование сайтов посредством одного-единственного текстового файла - одна из сильных сторон HTTP-сервера Apache. Такое дополнение, безо всяких сомнений, понравится и пользователям Windows Server 2003.
Тимоти Дик
Active Directory
Служба каталога Active Directory стала одним из наиболее заметных новшеств сервера Windows 2000 Server. Однако, как и многие другие технические инновации, она наложила ряд ограничений, усложняющих работу менеджеров ИТ. В Windows Server 2003 появилось несколько интересных дополнений, призванных упростить управление каталогами Active Directory.
| Shadow Copies и сервис VDS упрощают хранение информации |
Windows Server 2003 предлагает ряд функций, способных в перспективе упростить управление хранением данных и сделать его более эффективным. Мгновенной отдачи от них ждать не приходится, однако примерно через год их достоинства должны проявиться. Одной из самых заметных новинок в этой области, вероятно, станет драйвер iSCSI для новой серверной ОС, который можно будет бесплатно скачать через Интернет в июне нынешнего года. Он откроет перед пользователями Windows целый мир IP-хранения данных. Драйверы iSCSI для систем на базе Windows уже имеются - их предлагают несколько производителей, в частности, Cisco Systems. Однако разработка Microsoft занимает особое место. В перспективе она должна обеспечить взаимодействие различных устройств хранения iSCSI, став стандартом драйвера iSCSI. Когда это произойдет, производители различных систем получат эталон, на совместимость с которым смогут проверять свои решения. Другая новинка Windows Server 2003 - сервис копирования Volume Shadow Copy Service - позволит менеджерам создавать мгновенные копии. При поступлении запроса на копию этот сервис в тесной координации с приложениями приостановит ввод-вывод на все время выполнения транзакции. Это избавит администраторов от долгого созерцания окна резервирования данных, поскольку обмен информацией с приложением резервного копирования возьмет на себя Shadow Copies. Поддержку этого сервиса уже реализовала в своем пакете BackupExec 9.0 корпорация Veritas Software, и мы надеемся, что другие производители последуют ее примеру. Еще одно дополнение, расчищающее путь между Windows Server 2003 и аппаратными средствами хранения, - сервис виртуальных дисков VDS. Его связь с дисковыми массивами RAID корпоративного класса осуществляется посредством нескольких интерфейсов API. Правда, администраторам придется отойти от практики, когда каждое устройство управлялось через собственный блок, и научиться использовать для этого единый модуль. Когда же VDS получит широкую поддержку производителей, менеджеры ИТ смогут контролировать все аппаратные средства хранения с помощью одного-единственного интерфейса управления. Генри Балтазар |
Что касается пользовательского интерфейса, то консоль управления Active Directory позволяет администраторам выбирать целый ряд объектов и редактировать сразу все. При тестировании, скажем, нам ничего не стоило, щелкнув на пиктограммы нескольких пользователях, одной быстрой командой изменить атрибуты каждого из них. Раньше такие операции приходилось выполнять поочередно.
Еще одно новшество в интерфейсе пользователя - возможность буксировки объектов внутри домена.
Одним из важнейших усовершенствований Active Directory в Windows Server 2003 является упрощенный порядок переименования доменов. Администратору больше не нужно повторять весьма утомительный процесс отключения контроллера домена и его последующего подключения под новым именем. Инструментальная программа переименования доменов (команда netdom) реализована в виде простой утилиты командной строки и довольно проста в работе.
К сожалению администраторов Exchange, домены, где присутствуют серверы Exchange 2000, переименовать невозможно.
Несколько интеллектуальнее стал в Active Directory процесс репликации. Прежде при внесении изменений в любой элемент группы ее приходилось тиражировать в полном объеме. В результате трафик, возникавший при репликации каталогов с множеством групп, становился настоящим бедствием для менеджеров ИТ. В Windows Server 2003 изменение индивидуальных данных больше не требует тиражирования всей группы.
Обновленная служба каталога, кроме всего прочего, "понимает" доверительные отношения между лесами Windows Server 2003 (односторонние, двусторонние и транзитные), что намного упрощает совместное использование данных в каталогах деловых партнеров и их сопровождение.
Генри Балтазар
Сервисы файлов и печати
Настраивать сервисы файлов и печати в Windows Server 2003 стало намного легче. Выполнять такие операции помогает инструментарий по типу мастеров, который проводит пользователя по всем этапам процесса.
Чемпионом новых возможностей можно по праву назвать утилиту Shadow Copies для общих папок. Достаточно администратору сервера включить ее, как через заданные интервалы времени система начинает сохранять копии всех документов, хранимых в общих папках сети. Доступ к этим материалам пользователи получают из новой закладки в диалоговом окне клиента Windows со свойствами файла.
"Теневые копии" конечно же не заменяют стандартной схемы резервного копирования данных, но эффективно дополняют ее, позволяя конечным пользователям самостоятельно загружать архивированные версии документов.
Клиентское ПО, через которое открывается доступ к Shadows Copies, может запускаться в средах Windows XP версий Home и Professional, Windows 2000 Server и Professional (Service Pack 3 и выше), Windows 98. Еще одна новинка Windows Server 2003 - редиректор WebDAV Web-based Distributed Authoring and Versioning), обеспечивающий обращение к файлам в репозиториях WebDAV посредством системных вызовов. Раньше такой путь был открыт только к серверным блокам сообщений и локальным файлам.
Расширена в Windows Server 2003 и функциональность распределенной файловой системы DFS. Она теперь совершенно незаметно для пользователя переадресует его запросы на ближайший сервер, где имеется реплика нужного файла (информация об этом поступает из Active Directory).
Когда дело доходит до обслуживания печати, спулер Windows Server 2003 обрабатывает файлы заметно быстрее, чем это было в Windows 2000 Server. Кроме того, в операционной системе предустановлены новые драйверы для 3800 принтеров, которые автоматически загружаются при подключении клиентских компьютеров к серверу печати. Такая схема значительно расширяет возможности подключения принтеров и упрощает процесс их установки на клиентах Windows 2003.
Джейсон Брукс
Разработка
Лидирующее положение Windows во многом объясняется вниманием Microsoft к разработчикам приложений: корпорация предлагает им удобно упакованные сервисы, поддерживаемые тщательно отлаженным и не слишком дорогим инструментарием. Разработчики же в свою очередь создают богатый выбор приложений, способствуя тем самым росту популярности Windows. Выход в свет Windows Server 2003 также сопровождается обновлением набора инструментальных программ Visual Studio .Net, что лишний раз доказывает стремление Microsoft еще более укрепить столь эффективную обратную связь.
С Visual Studio .Net 2003 уже познакомились абоненты сети Microsoft Development Network, а вскоре после Windows Server 2003 должна появиться и коммерческая версия пакета, которая сделает доступными все новые функции серверной ОС. И не стоит удивляться, что такой доступ прокладывает путь по линии наименьшего сопротивления, напрямую ведущей к интегрированным решениям для всех продуктов Microsoft.
Во все три варианта сервера - стандартный, корпоративный и для вычислительных центров - корпорация включила в собственную реализацию корпоративных сервисов UDDI (Universal Description, Discovery and Integration - универсальное описание, обнаружение и интеграция), обеспечивающую кооперативный обмен возможностями Web-сервисов. На нас произвело большое впечатление, что Web-сервисы XML и локальные (равно как и резидентные сетевые) объекты воспринимаются приложениями как единый пул ресурсов. Правда, аутентификация и авторизация здесь допускается только с применением службы каталога Active Directory, а для проверки удаленных пользователей через Интернет необходима служба Passport этой же корпорации.
Новый инструментарий IIS позволяет легко подключать и отключать модули расширения
Инструментарий разработки для Windows Server 2003 устраняет некоторые препятствия между доменами клиентских Windows-приложений и общими Web-средствами программирования. Так, в Visual Studio .Net 2003 пользователь найдет автоматизированных помощников. Они упростят ему упаковку Windows-приложений для распространения и инсталлирования через подключения к Интернету. Для выполнения такой операции программисту теперь не потребуется специальная подготовка, да и усилий на это уйдет гораздо меньше.
За последние годы разработка приложений приобрела несколько фрагментарный характер, сочетание же Visual Studio .Net 2003 с Windows Server 2003 унифицирует создание серверных и клиентских Windows-систем, Web-клиентов и клиентов для мобильных и карманных устройств. А достигается все это благодаря семейству инфраструктур программирования .Net 1.1.
Питер Коффи
