Операционные системы -> Windows -> Делать ли ставку на Windows Server 2003

Введение

На рынке серверных операционных систем Microsoft занимает господствующее положение и стремится сохранить его. В корпорации полагают, что новое изделие Microsoft Windows Server 2003, обновленная версия системы Windows 2000 Server, позволит сохранить достаточный отрыв от конкурентов, чтобы не испытывать особого беспокойства.

Новый продукт был заявлен как платформа, а не просто операционная система, и представители Microsoft поспешили заверить потребителей, что по безопасности, стабильности и быстродействию Server 2003 превосходит все предшествующие версии. Если верить рекламе, новое изделие - это как раз то, что нужно потребителю. Microsoft решительно утверждает, что новинка, которая должна поступить в продажу к концу I квартала 2003 г., спроектирована с учетом всех рекомендаций от пользователей Windows Server.

Компания широко рекламирует новую платформу, обращая внимание потребителей на ее тесную интеграцию со всеми аспектами функционирования сетей и серверов, более высокую степень совместимости со службой Microsoft Active Directory, значительно усовершенствованные средства безопасности и управления защитой данных, повышенные уровни надежности и готовности, не забывая упомянуть также о повышении быстродействия, модернизированной службе Windows Media Services и новой версии службы Internet Information Services (IIS). Все это потребовало существенной переработки программного кода, а некоторые модули пришлось составлять заново. Платформа Server 2003 спроектирована таким образом, чтобы максимально использовать возможности Интернета, поэтому ее создатели позаботились о добротной интеграции изделия с инфраструктурой приложений и разработки Microsoft .NET.

Будут ли выполнены все эти обещания? Официальные испытания в лаборатории PC Magazine Labs мы сможем провести лишь после выхода в свет окончательной версии продукта, однако первые впечатления от работы с ним убеждают нас в том, что оправдаются - и даже с лихвой. Несомненно, компаниям, которые решат модернизировать свои системы до уровня Server 2003 или развернуть платформу в существующих работающих сетях, предстоит решить уникальные проблемы. И все же корпорации Microsoft, судя по всему, удастся сохранить господствующее положение на рынке благодаря богатому набору функциональных возможностей платформы и обновленным средствам административного управления, в числе которых усовершенствованные функции командной строки и графические <мастера>.

Рассмотреть возможность модернизации стоит всем, кто эксплуатирует системы Windows 2000 Server или Advanced Server либо Windows NT Server 4.0. Это особенно целесообразно, если на период выпуска Server 2003 запланированы другие серьезные меры по модернизации сетевой инфраструктуры (наиболее существенные из них будут рассмотрены ниже).

Разработано три версии системы Server 2003: Standard Edition, Enterprise Edition и Datacenter Edition. Как подчеркивают представители Microsoft, все варианты предназначены для управляемых сетей, т. е. для сетей с выделенными ИТ-ресурсами и специалистами, но ни один из них не ориентирован на компанию определенного размера. Тем не менее можно предположить, что Standard Edition, скорее всего, придется ко двору в фирмах с числом служащих до 1000 человек, тогда как Enterprise Edition лучше подойдет для более крупных компаний, а Datacenter Edition в наибольшей степени удовлетворит потребности Интернет-провайдеров и крупных предприятий с распределенными на обширных территориях сетями, например из списка 500 крупнейших фирм мира, публикуемого в журнале Fortune. Для неуправляемых сетей, развернутых на предприятиях с числом сотрудников до 50, будет разработан специальный вариант рассматриваемого продукта - новая версия системы Microsoft Small Business Server. В период подготовки этого обзора сообщения о дате ее выпуска еще не поступали.

По-видимому, самым серьезным конкурентом Server 2003 следует считать операционную систему Linux. По данным исследовательской фирмы IDC, корпорация Microsoft в 2001 г. реализовала примерно половину проданных по всему миру копий серверных ОС, а рыночная доля альтернативных решений на базе Linux составила около 25%. (Остальные места распределились так: третью позицию поделили системы NetWare и UNIX с 11%-ной долей рынка каждая, а на все остальные изделия пришлось в общей сложности 2% от общей суммы продаж).

Как показало недавнее исследование, проведенное сотрудниками компании Gartner Research, всего имеется более 250 дистрибутивных комплектов системы Linux. Но все они в конечном итоге сводятся к четырем коммерческим комплектам: Red Hat, SCO (прежнее название Caldera), SuSE и Turbolinux. Для малых и средних предприятий идеально подходят Red Hat и SuSE, а для компаний среднего и крупного масштаба - SCO и Turbolinux.

Сообщество разработчиков программ с открытыми исходными текстами, не имеющее единого руководящего центра и все же неплохо организованное, как это ни парадоксально, проявляет завидную расторопность, предлагая новые серверные ОС как раз в то время, когда в них возникает нужда. За последнее десятилетие значительные вложения в поддержку и разработку системы Linux сделали такие мощные поставщики, как фирма IBM, и крупные государственные организации, например почтовое ведомство Китая. С самого начала потребители усматривали потенциальные достоинства этой ОС в ее простоте, надежности, высоком быстродействии при функционировании на устаревшем оборудовании и в низких первоначальных затратах. С тех пор система претерпела множество изменений: неоднократным переработкам подвергалось ее ядро, появлялись многочисленные коммерческие и бесплатно распространяемые дистрибутивные комплекты, но все перечисленные особенности свойственны ей по сей день.

Разумеется, это не значит, что ОС Linux - само совершенство. Она по-прежнему остается системой для опытных пользователей, знающих толк в регулировках и настройках. И хотя все вышеназванные дистрибутивные комплекты наделены простыми интерфейсами управления, при решении нетривиальных задач все еще не обойтись без специалиста с довольно большим опытом в обслуживании сетевого хозяйства и самой системы Linux.

Более широкому распространению этой операционной системы, и прежде всего среди коммерческих структур, препятствуют другие факторы. Согласно расхожему мнению, не существует единого центра, ответственного за разработку ОС Linux. Однако это не совсем так. Разумеется, изменять код системы Linux или дополнять его новыми фрагментами может каждый, но изменения, вносимые в версии ядра Linux (базовой структуры, лежащей в основе ОС), должны получить <добро> самого Линуса Торвалдса или других представителей сообщества разработчиков программ с открытыми исходными текстами. Кроме того, охладить энтузиазм предпринимателей, желающих зарабатывать на создании уникальных версий Linux, может и свойственная этой системе открытость. Все дело в том, что в соответствии с условиями лицензирования продуктов с открытым исходным текстом, распространяемых в рамках проекта GNU, реселлеры пакетов на базе Linux должны делать вносимые в ОС изменения общедоступными, а это, разумеется, не самый лучший стимул для предпринимателя.

У тех же, кто определяет стратегию развития корпоративных сетей, свои опасения. И главное из них в том, что, если сделать ставку на Linux, могут возникнуть сложности с обслуживанием сетевой инфраструктуры. Дипломированных администраторов Microsoft гораздо больше, чем специалистов по системам Linux или UNIX. Такое же соотношение наблюдается и в среде коммерческих дистрибьюторов и реселлеров. Конечно, если в штате фирмы имеется специалист по Linux, проблема технического сопровождения этой ОС снимается. В противном же случае приходится прибегать к помощи местного реселлера или консультанта. Поставщики дистрибутивных комплектов, такие, как Red Hat и SuSE, предлагают клиентам всеобъемлющие программы технического сопровождения, однако и стоят эти услуги немало.

Для сравнения продуктов Microsoft и Linux в обзоре подробно рассмотрены характеристики пакета Server 2003 Standard Edition (исследовалась бета-версия системы - RC1) и одного из вариантов ОС Linux, а именно версии SuSE.

Для того чтобы та или иная организация сделала обоснованный выбор между операционными системами Server 2003 и Linux, необходимо предварительно оценить множество факторов. Впрочем, надо отметить, что в новом пакете серверная ОС Microsoft подверглась полной переработке. Опираясь на итоги наших предварительных исследований, мы утверждаем, что все полученные результаты позитивны - и это по самым скромным оценкам. Между тем продолжает совершенствоваться система Linux. И хотя по сей день она остается серверной ОС для специалистов, мы полагаем, что через несколько лет появятся различные дистрибутивные комплекты, способные составить Microsoft серьезную конкуренцию по гораздо более привлекательной цене.

Windows Server 2003

На первый взгляд может показаться, что Server 2003 отличается от системы Windows 2000 Server только усовершенствованным пользовательским интерфейсом, но это далеко не так. Специалисты Microsoft внесли радикальные изменения во многие элементы операционной системы. Ее программный код подвергся функциональным изменениям, а частично был составлен заново, в результате чего были устранены ошибки и повысилась стабильность и производительность системы.

Система Windows Server 2003 Standard Edition приходит на смену ОС Windows 2000 Server, являющейся в настоящее время платформой начального уровня для большинства организаций средних размеров (и в то же время будет вариантом модернизации для этой системы).

Новая платформа займет нишу между системами Server 2003 Enterprise Edition и Microsoft Small Business Server 2000 (последняя из перечисленных будет заменена на новую версию до конца 2003 г.).

При подготовке обзора мы ставили перед собой задачу рассмотреть потенциальные достоинства новой серверной ОС с точки зрения двух групп потребителей: во-первых, клиентов Microsoft, чьи сети строятся на базе серверов Windows NT или Windows 2000, и, во-вторых, организаций, создающих свои ИТ-инфраструктуры с нуля.

Чтобы понять, какую пользу дают усовершенствования, внесенные в систему Server 2003, мы построили простую сеть и установили в ней почти все стандартные службы и приложения, с которыми работают коммерческие структуры. Для сравнения была сформирована аналогичная сетевая среда под управлением ОС SuSE Linux Enterprise Server и SuSE Linux eMail Server 3.

В обеих сетях были установлены серверы DHCP, DNS, серверы службы совместного использования файлов, серверы FTP, SMTP, а также серверы Web-служб. Кроме того, в соответствии с нашим замыслом обе сети должны были располагать централизованными хранилищами служб каталогов (Central Directory Services Repositories), с помощью которых решались бы такие задачи, как проверка прав пользователей, организация защиты данных и управление правилами. Для нас было важно испытать реализованные в каждой ОС средства дистанционного доступа и управления, ибо без этих компонентов не могут обойтись ни ИТ-администраторы, ни сотрудники, работающие за пределами офиса.

Active Directory
<Сердце> любой сети, функционирующей под управлением ОС Server 2003, - это служба каталогов Microsoft Active Directory (AD). В прошлом, особенно в то время, когда службы каталогов еще не получили широкого распространения, управление централизованным хранилищем всех сведений, касающихся сетевых ресурсов, - таких, как данные о файлах, файловых системах, подключенных к сети устройствах, сетевых приложениях и сотрудниках, имеющих право работать в сети, - было настоящим кошмаром. Как правило, за подобные задачи, для решения которых требовались высококвалифицированные ИТ-администраторы, брались лишь крупнейшие компании (и то лишь потому, что не могли обходиться без централизованных хранилищ данных). С выпуском системы Windows 2000 Server, а теперь и Server 2003 появилось множество приложений, предполагающих хранение данных в репозитарии AD, который часто функционирует в фоновом режиме и не требует вмешательства со стороны пользователей.

Правда, с тех пор как в продажу поступила ОС Windows 2000 Server, были отмечены некоторые сложности, связанные с применением службы AD. Например, при регистрации пользователя в системе обычно требуется, чтобы контроллер домена обратился к серверу глобального каталога (Global Catalog, GC) и подтвердил обоснованность запроса, выполнив поиск в доменном разделе каталога. Этот процесс часто создает интенсивную нагрузку на сетевые ресурсы, и в среде Windows 2000 Server он может привести к сбою в тех ситуациях, когда сервер глобального каталога недоступен.

В системе Server 2003 эта проблема решается так: при первой регистрации пользователя все данные о его принадлежности к той или иной группе кэшируются контроллером домена. Поэтому при последующих регистрациях система может подтвердить правильность запроса, сверившись с кэшем контроллера домена; соединение с сервером глобального каталога уже не требуется, а это очень важно для филиалов или подразделений компаний, которым ранее приходилось содержать выделенный сервер глобального каталога.

Другое усовершенствование: когда от нового контроллера домена поступает первоначальный запрос на тиражирование, необходимые для выполнения запроса данные можно получать не с сервера глобального каталога, а из резервного файла. Такая возможность придется весьма кстати, если пропускная способность канала связи с сервером глобального каталога оставляет желать лучшего.

Для запуска этой функции после первоначальной инсталляции не требуется ничего, кроме тиражирования внесенных изменений. Таким образом, в случае необходимости восстановления после аварийного сбоя можно сэкономить массу времени.

В наше время ситуация в корпоративной среде постоянно меняется: одни компании приобретают другие, фирмы объединяются или переходят в собственность новых владельцев. Поэтому можно только приветствовать еще одно усовершенствование новой ОС - появившуюся у администраторов возможность переименования доменов. Раньше об этом не было и речи; чтобы получить новое имя для домена, приходилось переустанавливать контроллер домена. Теперь же можно переименовывать любой домен в лесу или корневой каталог леса (forest root). Нужно только, чтобы выполнялось одно условие: роль сервера корневого каталога должна оставаться неизменной. Среди прочих полезных нововведений назовем средства для установления доверительных отношений между лесами и более эффективный механизм тиражирования принимающих несколько значений атрибутов AD в виде однозначных переменных. Не остались обойденными вниманием и разработчики приложений. Стандарты облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol, LDAP) были расширены, а в каталоге появились специальные разделы для приложений.

Заслуживает одобрения и включение в пакет полного набора инструментальных средств, запускаемых из командной строки (подобные средства теперь применяются для администрирования почти всех компонентов новейшей серверной ОС Microsoft). Это весьма удачное нововведение. Правда, оно вызывает любопытные ассоциации. Дело в том, что реализованные в службе AD средства для формирования запросов и обновления каталога, такие, как dsadd и dsquery, имеют разительное сходство со своими аналогами из системы Linux - ldapadd и ldapquery, применяемыми с протоколом OpenLDAP.

Средства управления из командной строки упрощают эксплуатацию серверов в ограниченной конфигурации, т. е. без локального дисплея и устройства ввода, а также дистанционный доступ. Кроме того, похоже, что корпорация Microsoft вняла призывам администраторов, которые испытывают потребность в более универсальной среде, оснащенной развитыми средствами обработки сценариев.

Короче говоря, администраторы хотели бы иметь как графические средства конфигурации, так и интерфейс командной строки. Эту потребность стремятся удовлетворить и специалисты Microsoft, и представители лагеря Linux/UNIX, поэтому базовые операционные структуры конкурирующих платформ имеют больше общего, чем кажется на первый взгляд.

Модернизация сети
Теперь, после ознакомления со множеством замечательных средств, реализованных в новой платформе, у вас, возможно, возникло желание взять на вооружение систему Server 2003 и воспользоваться теми преимуществами, которые сулит служба AD. Увы, перспективы не будут казаться столь безоблачными, если для этого потребуется модернизировать существующую сеть Windows NT Server 4.0 или Windows 2000 Server до уровня Windows Server 2003. Чтобы облегчить решение возникающих в ходе этой операции проблем, специалисты Microsoft разработали для каждой из модернизируемых систем процесс перехода на новую версию. Для ОС Windows NT Server 4.0 этот процесс сводится к полной переустановке системы с нуля. Администраторам сетей Windows 2000 Server или Advanced Server предлагается на выбор модернизация или повторная инсталляция. Модернизация сетей на базе более современной ОС Windows 2000 Server сопряжена с меньшими трудностями, чем переход на новую платформу с уровня Windows NT Server 4.0. Причина проста: в первом случае между исходной и целевой системами меньше различий. К тому же из системы Windows 2000 в ходе одной операции можно перенести в новую среду больше настроек реестра и системных параметров.

При выполнении этой задачи, а также при подготовке сети к введению новой и расширенной схемы AD (теперь в нее входит класс INetOrgPerson, который уже применяется в спецификации LDAP) администраторы используют такие вызываемые из командной строки инструменты, как adprep, forestprep и domainprep. Данные средства исключительно полезны, особенно в фирмах, где эксплуатируются серверы Exchange 2000. Правда, при их использовании процедура оказывается чуть более сложной, чем администрирование с помощью мыши. Проблемы могут возникнуть в процессе модернизации (особенно при модернизации существующего сервера Exchange 2000 в лесу Windows 2000 Server или Advanced Server) на том этапе, когда переопределяются атрибуты схемы. Впрочем воспользовавшись неплохой документацией, размещенной на Web-узле корпорации Microsoft, мы смогли провести модернизацию без особых затруднений.

Защита данных
Обеспечение защиты данных - одна из главных забот администратора. Если говорить о платформе UNIX, проблемы безопасности чаще всего бывают связаны не с ошибками в программном коде, а с недостатком бдительности и опыта у администратора, так что сравнивать эффективность решений Microsoft и систем на базе ОС UNIX довольно сложно. Что же касается корпорации Microsoft, то ее репутация в сфере обеспечения безопасности, несомненно, была подорвана несколькими имевшими место в недавнем прошлом инцидентами (например, Code Red).

Поэтому при подготовке новой платформы Server 2003 усовершенствование средств безопасности было в числе самых насущных задач специалистов Microsoft. Это справедливо как для собственно операционной системы, так и для многих связанных с нею служб, подобных IIS. Если в предыдущих версиях серверной платформы служба IIS автоматически активизировалась после инсталляции системы, то теперь IIS и более 20 дополнительных служб по умолчанию отключены.

Везде, где это возможно, были модернизированы привилегии сетевых и локальных служб, а аутентификация учетных записей без применения паролей, несущая в себе угрозу безопасности, запрещена. Чтобы обеспечить еще более высокий уровень защиты в процессе регистрации пользователей, в Server 2003 предусмотрен вариант двухступенчатой регистрации с применением графических смарт-карт. Это стало возможным благодаря использованию интегрированной инфраструктуры с открытыми ключами, которая является новым элементом серверной ОС Microsoft Windows.

Стремление Microsoft устранить бреши в системе безопасности проявляется и в новых правилах, ограничивающих использование программного обеспечения, и в реализованных в новой системе настраиваемых средствах управления средой исполнения, которые контролируют такие процессы, как загрузка библиотек и исполнимых файлов оболочек. Средства управления доступом на базе объектов теперь могут оперировать правилами, построенными не только на самих объектах, но и на их атрибутах.

Однако у медали есть и оборотная сторона, кстати сказать до боли знакомая администраторам систем UNIX. Параметры безопасности отличаются высокой степенью детализации, а значит, весьма гибкими возможностями настройки. Поэтому разобраться в них отнюдь не просто. Только администраторы, обладающие солидным опытом и знаниями, могут должным образом конфигурировать средства управления правилами, доступом на основе ролей, настраивать списки управления доступом (Аccess Сontrol List, ACL), а также различные механизмы и службы, такие, как IPsec, Kerberos и RADIUS.

Для того чтобы облегчить выполнение упомянутых операций, специалисты Microsoft уделили дополнительное внимание инфраструктуре открытых ключей, представляющей собой сочетание цифровых сертификатов, служб регистрации и сертификации. Совместная работа этих компонентов обеспечивает проверку индивидуальных имен пользователей, участвующих в осуществлении сетевых транзакций любых типов.

Но прежде всего имена пользователей должны быть внесены в списки регистрации, а эта процедура всегда требовала значительных усилий со стороны работников службы технической поддержки. Чтобы автоматизировать эту операцию, разработчики системы Server 2003 предусмотрели базирующуюся на установках групповых правил функцию автоматического внесения пользователей в список регистрации. В предыдущих версиях серверных ОС Microsoft подобная функция была реализована лишь для сетевых компьютеров, но не для пользователей. Теперь же в консоли Microsoft Management Console имеется графический интерфейс, дающий возможность пользователям управлять своими сертификатами и настраивать процедуру автоматического внесения в списки регистрации.

Улучшение эксплуатационных характеристик
Многие из внесенных в ОС Server 2003 усовершенствований обеспечивают повышение стабильности функционирования и коэффициента готовности системы. С точки зрения администраторов фирм средних масштабов, наиболее важные изменения касаются средств обеспечения отказоустойчивости новой платформы. Предусмотрена возможность <горячей> модернизации системной памяти, если аппаратные средства позволяют выполнять подобную операцию. Теперь производится зеркальное копирование банков памяти, так что в случае отказа стеков памяти соответствующие функции передаются другому устройству. Гнезда PCI тоже рассчитаны на <горячую> замену компонентов, поэтому администраторы могут устанавливать и удалять платы без отключения системы.

Еще одно усовершенствование - это организация разветвленного доступа к подсистеме массовой памяти со стороны средств ввода-вывода. Термин <разветвленный ввод-вывод> (Multipath I/O) обозначает способность сети обеспечивать доступ к устройству хранения данных не по одному, а по нескольким физическим маршрутам. Эту функцию можно использовать для повышения отказоустойчивости либо для балансировки нагрузки по трафику. В результате будет повышаться коэффициент готовности сети или ее доступность.

Конфигурирование, управление и обслуживание
С выпуском ОС Windows NT Server 4.0 стало ясно, что разработчики Microsoft уделяют очень серьезное внимание простоте использования своих изделий. В то время как почти во все остальные серверные ОС входили лишь отдельные графические компоненты настройки, главное средство конфигурирования Microsoft фактически представляло собой графический интерфейс пользователя (ГИП). И этот ГИП постоянно совершенствуется. Так, недавно он пополнился новыми <мастерами> и другими вспомогательными приложениями. В процессе разработки Server 2003 специалисты Microsoft также уделили большое внимание удобству эксплуатации. Но сейчас они практикуют любопытное сочетание разных подходов: с одной стороны, оснащают свои изделия максимально упрощающими задачу конфигурирования <мастерами>, а с другой - комплектуют их инструментами конфигурирования на базе командной строки, оснащенными средствами обработки сценариев.

В число прочих графических инструментов управления - самых заметных элементов новой платформы - входят два замечательных приложения, заслуживающие особого упоминания: это программы Manage Your Server и Configure Your Server. По завершении инсталляции системы на серверах, которую мы проводили с использованием принимаемых по умолчанию настроек, почти все службы были отключены. Назовем лишь некоторые из них: средства совместного использования файлов и принтеров, службы DHCP, DNS, электронной почты, дистанционного доступа, а также управления доменами (включая Active Directory).

Любую из этих служб можно активизировать в качестве роли с помощью <мастера> Configure Your Server. Этот <мастер> - составная часть экрана конфигурации программы Manage Your Server, который появляется на мониторе после первой перезагрузки системы. А когда роль активизирована, администратор получает доступ к соответствующим приложениям и может заняться их подстройкой, для чего нужно выбрать соответствующую роль в меню Manage Your Server. Программу Configure Your Server можно запускать и как автономный инструмент, непосредственно из меню Administrative Tools.

После установки всех настроек конфигурации в соответствии с особенностями вычислительной сети нужно поддерживать средства сетевой защиты на должном уровне, а для этого требуется, чтобы на серверах своевременно устанавливались важнейшие программные модули коррекции и <заплаты>, имеющие отношение к защите данных. В помощь администраторам в Server 2003 разработаны службы Software Update Services и Auto Update. Обновленные версии модулей коррекции загружаются непосредственно с серверов Microsoft по каналам Интернета. Кроме того, администраторы могут развертывать в своих интрасетях серверы локальной дистрибуции, откуда новые версии будут передаваться на локальные системы. Серверы локальной дистрибуции особенно полезны в тех случаях, когда пропускная способность внешнего канала связи ограниченна.

Администраторы могут конфигурировать локальные клиенты таким образом, чтобы при наличии новых <заплат> их файлы автоматически, т. е. без какого-либо участия со стороны пользователей, обновлялись в соответствии с групповыми правилами Group Policies (GPs). Групповые правила определяют параметры безопасности, параметры установки программного обеспечения (где указывается, кто в вашей организации уполномочен работать с тем или иным набором прикладных программ, применять сценарии запуска и закрытия систем), а также параметры перенаправления папок; все это позволяет ускорять сетевую регистрацию сотрудников, находящихся вдали от офиса. Настройки групповых правил могут применяться ко всем сотрудникам и группам в сети. В сущности, групповые правила представляют собой средства управления <рабочими столами>, с помощью которых контролируется рабочая среда каждого пользователя.

Консоль управления групповыми правилами Group Policy Management Console (GPMC) - это новое средство административного управления, состоящее из набора пригодных для применения в сценариях интерфейсов, подготовленных в Visual Basic. Консоль GPMC - дополнительный программный модуль консоли Microsoft Management Console, предназначенный для управления групповыми правилами. GPMC будет выпущена отдельно вскоре после того, как в продажу поступит Server 2003. Она позволит значительно упростить реализацию групповых правил.

Специалисты Microsoft выяснили, что администраторы не могли в полной мере использовать преимущества групповых правил, поскольку не было удобных интуитивно понятных интерфейсов для работы с этими правилами. Нередко администраторы не могли определить, какие установки ассоциированы с тем или иным правилом и какие последствия влечет за собой его применение. Особенно остро эта проблема стояла при манипуляциях с вложенными объектами групповых правил Group Policy Objects (GPOs) с наследуемыми установками. Ввиду отсутствия интерфейсов прикладного программирования (API), обеспечивающих доступ к GPO, импорт и экспорт таких объектов становились очень сложным и утомительным делом, а если речь шла о перемещении GPO через границы доменов - попросту невозможным.

Консоль GPMC как раз и предназначена для решения всех перечисленных проблем. Этот дополнительный модуль обеспечит возможности импорта, экспорта и редактирования GPO. Кроме того, он будет оснащен средством генерирования отчетов, которое позволит администраторам проследить, каков эффект от применения новых правил. Наряду с этим в новой консоли будут реализованы функции резервного копирования и восстановления. И что еще более важно - она позволит значительно упростить процедуры копирования объектов GPO из одних доменов в другие. В решении этой проблемы будут задействованы два механизма: соответствие на основе правил (rule-based mapping), когда группы сопоставляются согласно своим точным именам, и соответствие по заданным критериям (custom mappings), которые могут быть предложены администраторами.

Службы
Такие службы и встроенные приложения новой платформы, как Terminal Services и служба дистанционного доступа, подверглись многочисленным переработкам, но самые существенные изменения были внесены в две основополагающие службы - службу совместного доступа к файлам и IIS 6.0.

Реализованная в Windows базовая концепция совместной работы с файлами остается неизменной. Но разработчики предусмотрели важную дополнительную функцию, способную облегчить жизнь администраторов и конечных пользователей. Речь идет о функции Volume Shadow Copy, позволяющей создавать предназначенные только для чтения <моментальные снимки> целых томов. С точки зрения конечного пользователя, это означает, что утерянные файлы можно восстанавливать, не обращаясь к системному администратору и не запрашивая магнитные ленты с резервными копиями, на что обычно тратится немало времени и нервов. Впрочем, надо иметь в виду, что Volume Shadow Copy - это не механизм контроля за версиями документов. Система не копирует текущие версии пользовательских файлов. В указанное администратором время она делает моментальные снимки целого тома, так что для каждого тома может быть выполнено до 64 вариантов таких копий.

Эта функция будет по достоинству оценена системными администраторами. Ведь в отличие от функционирующей файловой системы, содержащей открытые приложения и файлы пользователей, <снимки> Volume Shadow Copies не изменяют своего состояния. А поскольку такие <снимки> могут содержать также базы данных и сообщения электронной почты, резервные копии можно снимать непосредственно с Volume Shadow Copies. В результате, с одной стороны, повышается надежность резервных копий, а с другой - отпадает необходимость укладываться во временны_е рамки так называемого окна резервного копирования (периода времени, когда почти все приложения и пользовательские файлы закрыты).

Еще одно дополнение к службе совместного доступа к файлам - это полный набор оснащенных средствами обработки сценариев утилит, вызываемых из командной строки. Теперь администратор может, помимо прочего, вручную создавать тома и разделы или формировать и расформировывать зеркально отображаемые наборы дисков.

Впрочем, нововведения в службе совместного доступа к файлам не так радикальны, как те изменения, которые были внесены в службу IIS 6.0. По умолчанию IIS не инсталлируется, но когда она установлена, то обслуживает лишь статический контент, если в настройках конфигурации не указывается иное. Управление всеми языками возлагается теперь на один двоичный элемент, а возможность переполнения буферов предотвращается за счет того, что данные обрабатываются построчно.

Самая заметная перемена - это разделение службы IIS на три различных процесса. В версии IIS 5.1 для распределения запросов по внешним приложениям использовался файл inetinfo.exe. В сущности, это означало, что базовый Web-сервер и обработка приложений объединяются в один процесс. То есть, если хотя бы один элемент этой конструкции давал сбой, Web-сервер выходил из строя.

В системе IIS 6.0 применяется другой подход. Она оснащена новым функционирующим на уровне ядра драйвером HTTP.sys. В общих чертах принцип действия системы таков. Драйвер HTTP.sys отслеживает запросы и направляет их в соответствующие очереди. Кроме того, теперь имеются пулы приложений, которые отвечают на назначаемые и распределяемые по очередям запросы, а также на один или несколько рабочих процессов (Worker Processes). Рабочий процесс, в свою очередь, содержит загружаемый модуль DLL под названием WWWservice.dll. Последний обеспечивает выполнение всех операций по обработке приложений, в том числе аутентификацию и загрузку фильтров и расширений Internet Server API (ISAPI).

В чем преимущества такой архитектуры? Поскольку рабочие процессы протекают в изолированной среде, те из них, что выполняются без осложнений, не подвергаются негативным воздействиям, когда другие процессы дают сбой. Это особенно важно при администрировании пулов приложений и ассоциированных приложений или узлов. Теперь администраторы могут осуществлять мониторинг процессов изолированных приложений и, не отключая сервер, даже восстанавливать приложения или узлы по таким критериям, как максимальное время безотказной работы, запрос или объем используемой памяти. Сервер при этом остается доступным и готовым к работе. Он продолжает кэшировать запросы до тех пор, пока не будет восстановлено отказавшее приложение или узел.

Еще одно существенное изменение, которое, вероятно, вызовет какие-то ассоциации у специалистов, работающих с сервером Apache или с другими Web-серверами на базе ОС UNIX, - это появление редактируемого файла конфигурации. В отличие от прежних версий IIS, где данные по конфигурации сервера хранились в двоичных файлах фирменных форматов, версия IIS 6.0 предусматривает использование простых текстовых файлов XML. Преимущества такого подхода вполне очевидны. Теперь при необходимости внесения изменений в настройки конфигурации администраторы могут редактировать текстовые файлы и распространять их для развертывания, а также для резервного копирования и восстановления. Пользователям прежних версий IIS будет приятно узнать, что их бинарные файлы будут автоматически преобразованы в формат новой метабазы XML.

Веха в истории Microsoft
Во многих отношениях систему Windows Server 2003 Standard Edition можно считать заметной вехой в развитии семейства изделий Microsoft. Даже если оставить за скобками расширение функциональных возможностей системы, нужно признать, что почти весь программный код подвергся коренной переработке, а средства защиты данных усовершенствованы. Изготовитель приложил немало усилий для того, чтобы клиенты Microsoft, эксплуатирующие сети Windows 2000 Server и Advanced Server или Windows NT Server 4.0, могли без осложнений перейти к использованию нового продукта.

На нас произвели благоприятное впечатление реализованные в Server 2003 усовершенствования, облегчающие эксплуатацию системы, и новые средства управления. Кроме того, активация и конфигурирование различных типов имеющихся серверов осуществляются легче, чем в более ранних выпусках серверных ОС Microsoft. Впрочем, реализовав многие из новых функциональных возможностей (пусть даже оснащенных <мастерами> управления), Microsoft значительно усложнила операционную систему, так что теперь для ее обслуживания от администратора потребуется гораздо более серьезная подготовка.

Новая система обладает внушительным набором функциональных возможностей. И если после выхода Server 2003 на рынок оправдается хотя бы часть обещаний представителей Microsoft относительно рабочих характеристик, надежности и масштабируемости новой платформы, то у организаций, эксплуатирующих сети Windows 2000 Server, Advanced Server или Windows NT Server 4.0, появится стимул для модернизации имеющихся систем до уровня этого изделия. Но, перед тем как приступить к решительным действиям, мы советуем выждать несколько месяцев. За это время будут выявлены и устранены неизбежные в таких случаях ошибки и бреши в системе безопасности.

Linux как альтернативная серверная ОС

Стойкие ИТ-администраторы, предпочитающие не связываться с серверными ОС корпорации Microsoft, заявляют, что причиной тому - высокая стоимость этих изделий, сложная система лицензионных соглашений, в которой не всегда легко разобраться, и не совсем безупречная репутация. Утверждается, что серверные ОС Microsoft отличаются нестабильностью, плохой масштабируемостью и недостаточной универсальностью. Справедливы ли эти утверждения - вопрос особый. Но даже при том, что с выпуском Windows Server 2003 фирма Microsoft, несомненно, решила множество проблем, продолжается поиск альтернативных вариантов, одним из которых может стать операционная система Linux. С этой операционной системой ассоциируются такие понятия, как экономия средств, новаторский дух, возможность проявить творческие способности. Поэтому все больше администраторов отдают предпочтение Linux.

Когда мы анализировали потребности гипотетической компании с числом сотрудников от 50 до 350, то пришли к выводу, что Linux может стать лучшей альтернативой платформе Server 2003, нежели ОС NetWare компании Novell или Solaris фирмы Sun. Каждая из этих систем вполне приемлема, а может быть, и предпочтительна, если речь идет о более крупных предприятиях. Но для средних организаций цены этих продуктов и требования к квалификации администраторов и аппаратным ресурсам, пожалуй, слишком высоки.

Дистрибутивные комплекты
В наше время трудно найти администратора, который не слышал бы о дистрибутивных комплектах Linux (или более коротко - дистрибутивах). Но многие не имеют точного представления о том, что стоит за этими словами. В общем случае каждый дистрибутивный комплект состоит из набора - часто весьма обширного - кодов с открытыми исходными текстами и приложений для ОС Linux. Буквально сотни таких комплектов можно загрузить по каналам Интернета. Многие из них распространяются бесплатно, но и рассчитывать на какую-либо техническую поддержку соответственно не приходится.

В нашем обзоре рассматриваются коммерческие дистрибутивные комплекты Linux. Поставщики таких комплектов отбирают нужные коды и приложения (часто с заранее установленными базовыми настройками), записывают все это на компакт-диски или на диски DVD и продают как единые пакеты. Среди наиболее известных компаний, занятых в этом бизнесе, можно назвать Mandrake, Red Hat, SCO Group (прежнее название Caldera), SuSE и Turbolinux. Эти фирмы продают свои дистрибутивы с предоставлением дополнительных услуг: оперативного технического обслуживания при развертывании и конфигурировании систем.

Еще одно, правда не столь существенное, преимущество коммерческих дистрибутивов заключается в том, что файлы инсталляции и конфигурации, а также программные инструментальные средства располагаются в стандартных каталогах. Почти все входящие в состав пакета приложения уже скомпилированы и сконфигурированы с учетом расположения каталогов библиотек и системных настроек, уникальных для данного дистрибутивного комплекта. Значительная часть этой подготовительной работы выполняется с помощью универсального средства инсталляции RPM (Red Hat Package Manager). Впрочем, все это лишь основные сведения о дистрибутивных комплектах. Выбор конкретного дистрибутива будет зависеть от технических характеристик сети и от того, какого рода поддержка вам потребуется.

Для нашего обзора мы отобрали ОС SuSE Linux Enterprise Server 8 (www.suse.com). Существует множество версий SuSE Linux, оптимизированных и скомпилированных для целого ряда платформ, в том числе для 64-разрядной версии IBM zSeries, систем Sun SPARC и даже для серверов на базе процессоров Intel Itanium. Кроме того, в качестве платформы электронной почты мы выбрали SuSE Linux eMail Server 3.1. Конечно, это решение означало, что стоимость нашей сети на базе Linux возрастает примерно на 1000 долл., тогда как можно было бы обойтись бесплатно распространяемыми, но проверенными временем и достаточно мощными почтовыми агентами MTA (Мail Тransfer Аgents), например Qmail или Courier. Однако мы хотели получить более комплексный результат, особенно в отношении предлагаемого технического сопровождения системы.

Заметим, что дистрибутивный комплект SuSE Linux подготовлен в рамках более широкого проекта UnitedLinux (www.unitedlinux.com). Эта новая группа, куда входит несколько работающих в сфере коммерческой дистрибуции компаний, таких, как Connectiva, SCO, SuSE и Turbolinux, занимается разработкой ОС Linux, основанной на единых стандартах. Эти компании могут оказывать платные услуги. Группа UnitedLinux надеется, что широкому распространению платформы будет способствовать обеспечение совместимости на уровне приложений с другими популярными изделиями бизнес-класса от независимых поставщиков, например от компаний Borland, IBM, Intel и SAP. В настоящее время организуются и такие услуги, как обеспечение совместимости с локальными языками, подготовка кадров и оказание дополнительных услуг клиентам.

Развертывание
Еще года три назад, когда содержание дистрибутивных комплектов Linux и уровень технического сопровождения были совсем другими, симпатии большинства администраторов, несомненно, были на стороне Microsoft. Почти все администраторы, кроме разве что ярых приверженцев Linux да тех, кому уже доводилось работать с сетями UNIX, спасовали бы перед простейшей инсталляционной программой.

Но времена изменились. <Мастера> инсталляции, такие, как YaST (Yet another Setup Tool) из комплекта SuSE - один из самых универсальных ассистентов инсталляции и конфигурирования в среде Linux, - по глубине и проработанности, а также по простоте использования не уступают аналогичным средствам платформы Windows. Даже не обладающий нужным опытом администратор-новичок сможет без посторонней помощи выполнить первоначальное конфигурирование накопителей, матрицы RAID и даже управлять дисковыми томами, а также осуществлять настройки сети и графических подсистем. Кроме того, в процессе инсталляции администратор может указать, какие пакеты (а значит, и какие службы) будут в конечном итоге установлены в системе. Но дальше начинаются уже не столь приятные вещи.

Конечно, <мастер> YaST оснащен богатым набором графических средств конфигурирования, однако стоит запустить систему, и администратор обнаруживает, что эта программа отнюдь не лучшим образом справляется с управлением базовыми аппаратными компонентами и настройками конфигурации. Ее создатели просто не ставили перед собой задачи организовать управление дополнительными службами, такими, как DNS или совместного доступа к файлам, не говоря уже о протоколах LDAP, RADIUS или Kerberos.

Конфигурация
Приятно сознавать, что операционные системы на базе Linux предоставляют администраторам почти неограниченные возможности. А если вы обладаете к тому же определенным багажом знаний и опыта, то сможете решить практически любую задачу, с которой вам доведется столкнуться в процессе управления сетью (или по крайней мере сможете найти в Интернете человека, уже ее решившего). Но, к сожалению, в системах на базе Linux настройка и активизация многих функций и служб нередко реализуются сложнее, чем на платформах корпорации Microsoft.

Сказанное справедливо, к примеру, применительно к таким, казалось бы, довольно безобидным и легкоконфигурируемым службам, как службы DNS или совместного доступа к файлам. Для запуска и отключения служб в системе Linux часто используется модуль SysVinit. С помощью команды init, подаваемой на заданных уровнях исполнения (runlevels - стадии в процессе инициализации системы), это средство предлагает системе загрузить или выгрузить определенные службы.

Но для того чтобы успешно запустить эти службы при помощи входящего в состав YaST графического редактора уровней исполнения SysV, администратор должен предварительно внести необходимые изменения в файл конфигурации соответствующего приложения или службы. В средах Linux и UNIX настройки приложений и служб хранятся не в реестрах. Обычно в процессе конфигурирования система извлекает их из неструктурированных текстовых файлов. Такая схема дает огромное преимущество: файлы конфигурации легко редактируются в окне командной строки. Все настройки можно сосредоточить в одном файле и затем переносить его на любую систему. Все это настолько удобно, что корпорация Microsoft решила использовать описанную схему в файле конфигурации службы IIS.

Но у неструктурированных текстовых файлов есть и свои недостатки. Для того чтобы правильно настроить файл конфигурации приложения, администратор должен хорошо разбираться во всех тонкостях процессов, составляющих это приложение. Кроме того, важно, чтобы все содержащиеся в файле данные были правильно отформатированы, так же как инструкции командной строки. К примеру, если вы не знакомы с процедурой создания зонных файлов (zone files) для службы DNS или не знаете о том, что в файле конфигурации DNS должны содержаться операторы зоны для каждого домена, служба разрешения имен в вашей сети не сможет функционировать. И внимательный просмотр файла конфигурации делу не поможет.

В защиту системы Linux можно сослаться на то обстоятельство, что ко многим файлам конфигурации прилагаются наборы простейших примеров, призванных помочь администраторам в освоении принципов работы с конфигурационными файлами. Но все же начинающим администраторам удобнее работать с <мастерами>. Кто-то скажет, что администраторов, не способных вручную сконфигурировать зонный файл для DNS, не нужно допускать к обслуживанию DNS, однако это уже другая тема.

И все-таки Linux не оставляет пользователя совсем без помощи; почти для всех служб и приложений в этой операционной системе предусмотрены графические средства конфигурации. Некоторые из них, например средство Web-администрирования SWAT для службы Samba, - часть конкретной службы. Другие были построены пользователями, которым хотелось работать с удобным графическим интерфейсом. Богатый набор модульных инструментов Web-администрирования имеется на узле www.webmin.com.

В комплект Webmin, который обеспечивает возможность конфигурирования с помощью протокола HTTP, включены автономный Web-сервер, а также набор модульных CGI-программ, предназначенных для непосредственной модификации соответствующих файлов конфигурации. В наборе имеются модули для самых разнообразных приложений, в числе которых Web-сервер Apache, Samba, средства конфигурирования дисков и управления работой пользователей. Комплект Webmin позволяет конфигурировать даже службу каталогов OpenLDAP. И все же, несмотря на наличие графического интерфейса, для работы со многими модулями от администратора пока еще требуется знание базовых структур файлов конфигурации.

В общем и целом у нас не вызвала особых проблем настройка серверов SuSE Linux с установленными на них службами DNS, DHCP и Web, службой совместного доступа к файлам и принтерам, а также защищенной службой каталогов OpenLDAP. Настроить разработанную фирмой SuSE систему Linux eMail Server 3.1 оказалось и того проще. Все этапы установки этой полнофункциональной системы обработки электронной почты, построенной на базе Postfix и совместимой с протоколами IMAP и POP3, выполняются с помощью <мастеров>.

При установке на наших машинах UNIX системы аутентификации Kerberos проблем было больше. Kerberos - это механизм шифрования на базе цифровых квитанций (tickets). Он полностью исключает возможность пересылки по сетевым каналам незашифрованных паролей, применяемых для аутентификации. В сервере электронной почты активизация средств Kerberos предусматривается по умолчанию, что же касается других серверов, нам приходилось добавлять эти средства вручную. Между тем система Kerberos - лучшее средство обороны против хакеров, которые нередко прибегают к помощи анализаторов пакетов, чтобы получить доступ к сети, отфильтровывая аутентификационный трафик.

Применение механизма Kerberos в системе Linux сопряжено с двумя недостатками. Во-первых, чрезвычайно сложна инсталляция системы, а во-вторых, включать существующих пользователей в систему на базе Kerberos тоже непросто. Вся процедура развертывания заняла у нас намного больше времени, чем в случае с изделиями Microsoft; зато по ее завершении вы почувствуете, что полностью разобрались в процессе настройки конфигурации.

Сеть с нулевой отметки
Когда среда для решения задач особой важности (так же как и любая другая среда) формируется, что называется, с нуля, в итоге нередко получаются совершенно уникальные системы. Что это означает для отдельно взятой конкретной сети? Если ваши системные администраторы вручную компилируют код ядра и приложений, это значит, что только они могут со знанием дела ответить на вопросы о том, где в системе размещаются все приложения и важнейшие компоненты операционной системы и как эти программные средства взаимодействуют друг с другом. Кроме того, многие администраторы часто формируют средства управления и конфигурирования с учетом собственных потребностей. Так что инсталляция таких программ часто происходит с отступлениями от общепринятых стандартов.

В переводе на обычный язык все вышесказанное означает, что, если в вашей организации создается совершенно нестандартная сеть, вам нужно с особым вниманием холить и лелеять своих администраторов. Ибо, если вы не сумеете их удержать, вам придется нанимать новых администраторов или сторонних консультантов и ждать, пока они освоятся в незнакомой среде и разберутся в том, что <наваяли> их предшественники. А это огромные затраты денег и времени.

Система не для всех
Взять на вооружение инфраструктуру, полностью построенную на компонентах Linux, и по сей день могут лишь немногие организации. Пойдя по этому пути, вы не получите ни полной интеграции элементов системы, ни унифицированных средств управления, зато сможете сэкономить финансовые средства и избавиться от ориентации на одного изготовителя. Наконец, немаловажно и то, что техническое сопровождение, осуществляемое коммерческими дистрибьюторами ОС Linux, хотя и не вышло еще на уровень Microsoft, наконец-то начинает набирать обороты.