Операционные системы вычислительных машин

Операционная система корпорации Microsoft Windows Server 2008

Операционная система Microsoft Windows Server 2008 создана, чтобы обеспечить организации наиболее эффективной платформой для виртуализации рабочих нагрузок, поддержки приложений и защиты сетей. Она представляет собой защищенную и легко управляемую платформу для разработки и надежного размещения веб-приложений и служб. Новые полезные возможности и значительные усовершенствования в ОС Windows Server 2008 по сравнению с предыдущими версиями операционных систем будут востребованы как в небольших рабочих группах, так и в крупных вычислительных центрах.

Расширенные возможности управления

Операционная система Windows Server 2008 предоставляет ИТ-специалистам больше возможностей для управления серверами и сетевой инфраструктурой, что позволяет им сосредоточиться на важнейших потребностях организаций. Расширенные возможности создания сценариев и автоматизации задач, такие как среда Windows PowerShell, позволяют автоматизировать стандартные ИТ-задачи. Диспетчера сервера позволяет выполнять установку и управление на основе ролей, что облегчает задачи управления и обеспечения безопасности разных ролей серверов в рамках предприятия. В консоли диспетчера сервера объединено управление конфигурацией сервера и системной информацией. Возможна установка только необходимых ролей и возможностей, а многие рутинные задачи развертывания систем автоматизируются с помощью мастеров. Улучшенные инструменты управления системой, такие как монитор быстродействия и надежности, предоставляют информацию о системах и заранее оповещают ИТ-персонал о потенциальных проблемах.

Усиленная защищенность

В операционной системе Windows Server 2008 представлен ряд новых и улучшенных технологий обеспечения безопасности, которые усиливают защищенность операционной системы и обеспечивают надежную основу для организации работы предприятия. Новые возможности защиты, такие как технология PatchGuard, позволяют уменьшить контактную зону ядра и повысить защищенность и стабильность серверной среды. Ограниченный режим работы служб Windows позволяет предотвращать нарушение работы критически важных серверных служб аномальной активностью в файловой системе, реестре или сети, и способствует обеспечению безопасности систем. Такие технологии, как защита доступа к сети (NAP), контроллер домена только для чтения (RODC), улучшения в инфраструктуре открытого ключа (PKI), ограниченный режим работы служб Windows, новый двунаправленный брандмауэр Windows и поддержка криптографии нового поколения, также усиливают защищенность операционной системы Windows Server 2008.

Более высокая гибкость

Операционная система Windows Server 2008 разработана таким образом, чтобы администраторы могли легко модифицировать инфраструктуру для адаптации к изменяющимся потребностям организации и сохранять при этом гибкость инфраструктуры. Возможности работы мобильных пользователей также были расширены благодаря таким технологиям, как RemoteApp и шлюз служб терминалов, позволяющим запускать программы из любого удаленного местоположения. С помощью службы развертывания Windows (WDS) в ОС Windows Server 2008 ускоряется процесс развертывания и обслуживания ИТ-систем, а благодаря виртуализации серверов Windows (WSv) упрощается объединение серверов. Контроллер домена только для чтения (RODC) — это новая возможность в ОС Windows Server 2008 для установки контроллера домена в удаленном филиале, которая позволяет защитить учетные записи пользователей при компрометации контроллера домена.

Виртуализация

Введение

Семейство операционных систем Windows Server 2008 включает в себя мощную технологию виртуализации серверов Windows (WSv) с широкими возможностями управления и обеспечения безопасности. Платформа виртуализации серверов Windows позволяет использовать имеющийся опыт управления серверами Windows и воспользоваться такими преимуществами виртуализации, как гибкость и безопасность, без необходимости приобретения ПО сторонних производителей. Корпорацией Майкрософт и партнерскими организациями обеспечивается полная поддержка гостевых операционных систем Windows и поддерживаемых операционных систем семейства Linux. Платформа WSv — гибкая, высокопроизводительная, выгодная в использовании и широко поддерживаемая платформа виртуализации.

Безопасность

Обеспечение безопасности является основной трудностью при вводе в эксплуатацию любого сервера. Сервер, на котором размещено несколько виртуальных машин (VM) — объединенных серверов,— подвержен тем же угрозам безопасности, которым подвержены необъединенные серверы. Помимо этого возникает задача разделения административных ролей. Платформа виртуализации серверов Windows позволяет решить эти задачи с помощью перечисленных ниже возможностей.

• Четкое разделение. Каждая виртуальная машина (VM) является независимым контейнером для операционной системы. Она изолирована от других виртуальных машин, физически работающих на том же сервере.

• Защита на аппаратном уровне. В современном оборудовании доступны такие возможности, как предотвращение выполнения данных (DEP). Они помогают предотвратить запуск большинства распространенных вирусов и червей.

• Виртуализация серверов Windows. Благодаря платформе виртуализации серверов Windows осуществляется защита виртуальных машин, содержащих конфиденциальную информацию, а также защита управляющей операционной системы от компрометации со стороны гостевых операционных систем.

• Сетевая безопасность. Автоматическое преобразование сетевых адресов (NAT), брандмауэр и защита доступа к сети (NAP).

• Минимальная привилегия TCB. Уменьшение контактной зоны системы, облегченная и упрощенная архитектура виртуализации и повышенная надежность виртуальных машин на базе платформы WSv.

В некоторых случаях бывает трудно настроить объединенный сервер, обеспечивающий наилучшую среду операционной системы и профиль безопасности для всех объединяемых приложений. Поскольку платформа WSv позволяет подобрать наиболее подходящую среду операционной системы и профиль безопасности для каждого приложения, она решает проблему разделения ролей на объединенном сервере. Поскольку виртуальные машины в среде WSv могут работать под служебной учетной записью, обладающей только необходимыми привилегиями, платформа WSv защищает управляющую операционную систему и виртуальные машины друг от друга. Тем самым платформа WSv защищает управляющую ОС, и ограничивает возможный ущерб, который скомпрометированная виртуальная машина может нанести другим виртуальным машинам.

Четкое разделение

Благодаря виртуализации серверов задачи с различными требованиями к ресурсам могут совместно выполняться на одном управляющем сервере. Ниже перечислен ряд возможностей платформы виртуализации серверов Windows, которые способствуют эффективному использованию физических ресурсов сервера.

• Гибкое распределение памяти. Виртуальным машинам можно установить максимальный и гарантированный минимальный пределы используемой оперативной памяти. Благодаря этой возможности администраторы могут настроить параметры работы платформы виртуализации серверов Windows таким образом, чтобы потребности в ресурсах отдельных виртуальных машин были сбалансированы с реальными возможностями сервера WSv.

• Динамическое добавление оборудования. Платформа виртуализации серверов Windows позволяет динамически добавлять в поддерживаемые гостевые операционные системы логические процессоры, оперативную память, сетевые адаптеры и устройства хранения данных, не прерывая работу гостевых операционных систем. Благодаря этой возможности можно детально контролировать распределение вычислительных мощностей сервера виртуализации между гостевыми операционными системами.

• Гибкая настройка сети. Платформа виртуализации серверов Windows поддерживает расширенные сетевые возможности для работы виртуальных машин, включая преобразование сетевых адресов (NAT), брандмауэр и назначение виртуальных ЛС (VLAN). Такая гибкость позволяет создавать оптимальную конфигурацию виртуализации, которая наилучшим образом отвечает требованиям сетевой безопасности.

Благодаря гибкому распределению памяти, динамическому добавлению оборудования и гибкой настройке сети конфигурация более эффективно отвечает динамически изменяющимся серверным нагрузкам. Например, для некоторых бизнес-приложений нагрузка в конце отчетного периода в несколько раз превышает среднюю нагрузку. При использовании платформы виртуализации серверов Windows и поддерживаемых гостевых операционных систем работающей виртуальной машине может быть предоставлена дополнительная оперативная память или вычислительные мощности, чтобы справиться с возросшими требованиями к вычислительным ресурсам. При этом перезагрузка гостевой операционной системы не потребуется. Если у основного сервера достаточно ресурсов, это изменение не скажется на быстродействии других работающих на этом же сервере виртуальных машин.

Производительность

Благодаря конструктивным усовершенствованиям и интеграции с оборудованием, поддерживающим виртуализацию на аппаратном уровне, платформа виртуализации серверов Windows позволяет осуществлять виртуализацию гораздо более требовательных задач с более гибким распределением ресурсов, чем это было возможно в предыдущих версиях.

Ниже перечислены усовершенствования в области производительности.

• Облегченная архитектура виртуализации с низкими накладными расходами, основанная на 64-разрядном гипервизоре. Оборудование с аппаратной поддержкой виртуализации (технологии Intel VT и AMD "Pacifica") обеспечивает более высокое быстродействие гостевых операционных систем.

• Поддержка многоядерных процессоров. Каждой виртуальной машине может быть назначено до восьми логических процессоров. Это позволяет осуществлять виртуализацию больших вычислительных задач и пользоваться преимуществами параллельного вычисления на многопроцессорных виртуальных машинах.

• Поддержка 64-разрядных гостевых ОС и управляющей ОС. Платформа виртуализации серверов Windows работает под управлением 64-разрядной версии ОС Windows Server 2008, что позволяет предоставлять виртуальным машинам большие объемы оперативной памяти. Работа задач, требующих больших объемов оперативной памяти, на 32-разрядных версиях операционных систем приводит к чрезмерному использованию файла подкачки. С помощью платформы виртуализации серверов Windows можно успешно осуществить виртуализацию таких задач. Поддерживается совместная работа как 64-разрядных, так и 32-разрядных гостевых операционных систем на одном объединенном сервере.

• Поддержка варианта установки основных компонентов сервера. В качестве управляющей операционной системы платформа виртуализации серверов Windows может быть использована ОС Windows Server 2008, установленная в варианте основных компонентов сервера. В таком режиме уменьшаются объем занимаемого операционной системой дискового пространства и издержки ОС, благодаря чему работающим виртуальным машинам предоставляются максимально возможные вычислительные мощности сервера.

• Сквозной доступ к диску. Можно настроить прямой доступ гостевых операционных систем к локальным устройствам хранения данных или к хранилищам iSCSI сетей хранения данных (SAN), чтобы обеспечить более высокое быстродействие для приложений с интенсивными операциями ввода-вывода, таких как сервер SQL Server или сервер Microsoft Exchange.

Многие серверные задачи очень требовательны к серверным вычислительным мощностям и подсистемам ввода-вывода. Для работы таких приложений, как сервер SQL Server и сервер Microsoft Exchange, традиционно требуется большое количество оперативной памяти и большая скорость обмена данными с дисками, поэтому обычно виртуализация этих задач считалась нецелесообразной. Благодаря 64-разрядному гипервизору в платформе виртуализации серверов Windows, а также благодаря таким возможностям, как сквозной доступ дискам, теперь стало целесообразно осуществлять виртуализацию таких приложений.

Упрощенное управление

Чтобы в полной мере ощутить экономию от использования платформы виртуализации серверов Windows в вычислительных центрах или в удаленных филиалах, необходимы широкие возможности управления и автоматизации. Платформа виртуализации серверов Windows отвечает этим требованиям благодаря следующим возможностям управления и автоматизации.

• Расширяемое управление. Платформа виртуализации серверов Windows предназначена для работы со средствами управления Microsoft System Center Operations Manager (SCOM) и Microsoft System Center Virtual Machine Manager (SCVMM). Эти средства управления предоставляют инструментарий для создания отчетов, автоматизации, развертывания и самообслуживания пользователей в платформе виртуализации серверов Windows.

• Интерфейс управления виртуальными машинами для консоли управления (MMC) версии 3.0. Для управления параметрами платформы виртуализации серверов Windows и виртуальных машин используется привычный интерфейс консоли управления (MMC), что значительно облегчает процесс обучения работе с этой платформой.

• Интерфейс для инструментария управления Windows (WMI). В состав платформы виртуализации серверов Windows включен поставщик WMI, которой позволяет получать системную информацию и управлять платформой с помощью сценариев.

• Среда выполнения сценариев PowerShell. Настройку параметров сервера виртуализации и виртуальных машин можно производить в среде Windows PowerShell.

• Управление с помощью объектов групповой политики (GPO). Платформа виртуализации серверов Windows поддерживает управление сервером виртуализации и параметрами виртуальных машин с помощью конфигурационных возможностей групповых политик.

Возможности средств управления SCOM и SCVMM позволяют эффективно управлять платформой виртуализации серверов Windows как в вычислительных центрах, так и в удаленных филиалах. С помощью сценариев WMI можно автоматизировать обслуживание нескольких серверов виртуализации. Сценарии позволяют завершить работу виртуальных машин на основном сервере, запустить эти виртуальные машины на резервном сервере, осуществить обслуживание основного сервера, а затем возобновить работу виртуальных машин на этом сервере. Средство управления System Center Virtual Machine Manager позволяет автоматизировать эту процедуру для большого числа приложений без ощутимого перерыва в их работе.

Заключение

Виртуализация Windows Server сочетает в себе различные возможности, которые позволяют обеспечивать безопасность объединенных серверов, реагировать на динамическое изменение нагрузки, обеспечивать высокое быстродействие и масштабируемость задач, а также осуществлять упрощенное управление виртуализацией. Сочетание функций безопасности и надежной изоляции виртуальных машин позволяет объединять на одном сервере виртуализации разнородные задачи и сохранять при этом гибкость и защищенность системы. Лежащая в основе платформы виртуализации серверов Windows архитектура 64-разрядного гипервизора обеспечивает высокое быстродействие для требовательных к ресурсам задач. Мощные средства управления System Center Operations Manager и System Center Virtual Machine Manager, интегрированные в ОС Windows Server 2008, позволяют автоматизировать и эффективно контролировать разнообразные виртуальные вычислительные среды.

Платформа для веб-служб и приложений

Введение

Операционная система Windows Server 2008 предоставляет защищенную легко управляемую платформу для разработки и надежного размещения приложений и служб, предоставляемых с сервера или через веб-интерфейс. К новым возможностям платформы относятся упрощенное управление, повышенная безопасность, а также улучшенная производительность и расширяемость. Помимо этого полезными окажутся такие улучшения, как более эффективное управление приложениями и службами, более быстрое развертывание и настройка веб-приложений и служб, а также более защищенная, упрощенная и настраиваемая веб-платформа. Операционная система Windows Server 2008 обеспечивает более высокую производительность и масштабируемость веб-приложений и служб, позволяя администраторам производить тонкую настройку и осуществлять контроль использования приложениями и службами ключевых ресурсов операционной системы.

Службы Internet Information Services версии 7.0 (IIS7)

ОС Windows Server 2008 предоставляет унифицированную платформу для веб-публикаций, которая объединяет в себе службы Internet Information Services версии 7.0 (IIS7), среду ASP.NET, систему Windows Communication Foundation и службы Microsoft Windows SharePoint Services. Службы IIS7 являются значительным улучшением существующего веб-сервера IIS, и играют центральную роль в интеграции технологий веб-платформы. Ключевыми преимуществами служб IIS7 являются более эффективные возможности администрирования и управления, усиление защиты, а также сокращение затрат на поддержку. Эти возможности помогают создать унифицированную платформу с единой цельной моделью для разработки и администрирования веб-решений.

Улучшенные инструменты управления

Новое средство администрирования IIS7 — Диспетчер IIS — является более эффективным инструментом для управления веб-сервером. Это средство поддерживает работу с конфигурационными параметрами служб IIS и среды ASP.NET, пользовательскими данными, а также позволяет получить доступ к диагностической информации во время работы службы. Новый пользовательский интерфейс позволяет администраторам и владельцам веб-узлов делегировать административное управление разработчикам или владельцам содержимого, облегчая тем самым работу администраторов. Новый интерфейс диспетчера IIS поддерживает удаленное администрирование по протоколу HTTP, что позволяет интегрировать локальное и удаленное администрирование, и даже администрирование через Интернет; при этом на брандмауэре не требуется открывать никаких дополнительных портов для администрирования, в том числе порт для протокола DCOM.

Также для администрирования веб-серверов, веб-узлов и веб-приложений поставляется новое приложение appcmd.exe, работающее в командной строке. Интерфейс командной строки упрощает администраторам основные задачи управления веб-серверами. С помощью программы appcmd.exe можно, к примеру, вывести список запросов к веб-серверу, которые находятся в режиме ожидания более 500 мс. Эту информацию можно использовать для устранения неполадок приложений, работающих с низкой производительностью. Выводимые программой appcmd.exe данные можно передать на вход другим программам и командам для дальнейшей обработки.

Функционально-модульная установка

Службы IIS7 включают в себя более 40 различных функциональных модулей. По умолчанию устанавливается только половина этих модулей. Администраторы могут выборочно установить или удалить любые функциональные модули. Такой модульный подход позволяет администраторам устанавливать только необходимые модули. За счет ограничения количества установленных модулей экономится время, затрачиваемое на управление и обновление. Помимо этого, отсутствие ненужных выполняющихся программ уменьшает контактную зону веб-сервера, тем самым повышая его защищенность.

Модель распределенной конфигурации

В службе IIS7 представлены значительные усовершенствования в способах хранения данных конфигурации и доступа к этим данным. Одной из ключевых целей, поставленных при разработке служб IIS7, была поддержка распределенной конфигурации параметров служб IIS, что позволяло бы администраторам сохранять эти параметры в файлах и хранить эти файлы вместе с кодом приложений и содержимым.

Распределенная конфигурация позволяет администраторам хранить параметры конфигурации веб-узлов или приложений в той же папке, в которой хранится код приложений и содержимое. Благодаря сохранению параметров конфигурации в одном файле распределенная конфигурация позволяет администраторам делегировать администрирование определенных возможностей веб-узлов или веб-приложений другим лицам. Например, можно делегировать управление веб-узлом таким образом, чтобы разработчик мог задавать для этого веб-узла имя документа, используемого по умолчанию. Также администраторы могут заблокировать некоторые параметры конфигурации от изменения кем-либо другим. Эта возможность может потребоваться, чтобы настройки параметров безопасности, препятствующие выполнению сценариев, не могли быть переопределены разработчиком, которому был делегирован административный доступ к веб-узлу. При использовании распределенной конфигурации параметры конфигурации определенного узла или приложения могут быть легко скопированы с одного компьютера на другой. Это полезно, например, когда приложение переносится при переходе от этапа разработки к этапу тестирования, и, в конечном итоге, к этапу эксплуатации.

Диагностика и устранение неполадок

В службах IIS7 максимально облегчено устранение неполадок в работе веб-сервера благодаря встроенной поддержке диагностики и трассировки. Эти возможности позволяют администраторам в режиме реального времени получить доступ к диагностической информации веб-сервера. Средства диагностики и устранения неполадок позволяют разработчику или администратору получить список запросов, которые в данный момент обрабатываются сервером. В состав службы IIS7 также входят новые объекты для просмотра состояния и управления во время исполнения, которые в режиме реального времени предоставляют информацию о состоянии пулов приложений, узлов, доменов приложений и даже об обрабатываемых в данный момент запросах. Эта информация позволяет определить, к примеру, какой из запросов в рабочем процессе потребляет 100% времени центрального процессора.

В службах IIS7 есть ряд детальных трассировочных событий, которые могут возникать на пути обработки запроса и формирования ответа. Эти события позволяют отследить путь следования запроса через конвейер обработки запросов служб IIS на уровне кода любой существующей страницы, вплоть до вывода результата обработки этого запроса. Эти детальные трассировочные события позволяют разработчикам не только проследить путь обработки запроса и получить информацию об ошибке, возникшей в результате выполнения запроса, но также узнать время, затраченное на обработку этого запроса и получить другую отладочную информацию, которая может помочь в устранении любых типов ошибок.

Также устранение неполадок в службах IIS7 упрощается за счет более детальных, несущих практическую пользу сообщениях об ошибках. Новый модуль обработки пользовательских ошибок в службах IIS7 позволяет отправлять детальные сведения об ошибке обратно в веб-обозреватель (по-умолчанию они отправляются на локальный компьютер); также можно настроить отправку этих сведений другим удаленным клиентам. Вместо несодержательного кода ошибки администраторы теперь могут получить детальную информацию о запросе, о потенциальных неполадках, которые могли привести к ошибке, а также рекомендации по устранению этой ошибки.

Одной из главных возможностей, улучшающих устранение неполадок в работе служб IIS7, является интерфейс RSCA (Runtime Status and Control API — программный интерфейс просмотра состояния и управления во время выполнения). Этот интерфейс предназначен для получения во время выполнения детальной информации о сервере из глубоких структур служб IIS7. С помощью интерфейса RSCA можно контролировать различные сущности, включая узлы, пулы приложений и даже домены приложений .NET. Также этот интерфейс позволяет в реальном времени получить список запросов, обрабатываемых в данный момент сервером. К данным интерфейса RSCA можно получить доступ через поставщик WMI или управляемый интерфейс API (Microsoft.Web.Administration). Также доступ к этим данным администраторы могут получить с помощью административного графического пользовательского интерфейса служб IIS7 или с помощью инструмента командной строки.

Расширяемая модульная архитектура

В предыдущих версиях служб IIS вся функциональность была встроена по умолчанию и не было возможности заменить или расширить эту функциональность. Как было упомянуто ранее, ядро служб IIS7 разделено более чем на 40 различных функциональных модулей. Это ядро также включает новый интерфейс Win32 API для создания модулей ядра сервера. Модули ядра сервера являются новой мощной технологией, пришедшей на замену фильтрам и расширениям ISAPI. Тем не менее, фильтры и расширения ISAPI по-прежнему поддерживаются в службах IIS7. Ввиду того, что все возможности ядра сервера IIS были разработаны с использованием нового интерфейса IIS7 Win32 Module API как дискретные функциональные модули, пользователи могут добавлять, удалять и даже заменять функциональные модули служб IIS.

Гибкая модель расширения для индивидуальной настройки

В службах IIS7 разработчикам предлагаются новые, более мощные способы расширения функциональности службы IIS. В частности этому способствует новый набор программных интерфейсов ядра сервера, который позволяет создавать функциональные модули как в машинном коде (разработка на языке C или C++), так и в управляемом коде в среде .NET Framework (разработка на таких языках, как C# и Visual Basic 2005). В действительности, основная часть функциональности служб IIS7 для обработки запросов и приложений была разработана с использованием тех же самых интерфейсов API. Службы IIS7 также позволяют расширять функциональные наборы конфигурации, сценариев, журнала событий и администрирования, и предоставляют разработчикам ПО полноценную серверную платформу с возможностью расширения функциональности.

Развертывание приложений с помощью команды xcopy

В службах IIS7 конфигурационные параметры могут храниться в файлах web.config, что значительно облегчает использование команды xcopy для копирования приложений на несколько веб-серверов. Это избавляет от необходимости совершать затратную и подверженную ошибкам репликацию, выполнять ручную синхронизацию и дополнительные конфигурационные задачи.

Заключение

Структурные изменения в службах IIS7 в совокупности образуют гибкую систему для веб-приложений. Возможность получить доступ к конфигурации служб IIS как с помощью графического пользовательского интерфейса, так и с помощью инструмента командной строки appcmd.exe позволяет эффективно администрировать веб-сервер как начинающим администраторам с базовыми навыками, так и высококвалифицированным администраторам, которые управляют несколькими серверами с помощью сценариев. Компоненты служб IIS для трассировки и устранения неполадок предоставляют детальную и практичную информацию, которая помогает администраторам и разработчикам приложений выяснить, в каких веб-страницах или в коде каких приложений возникают ошибки. Благодаря модели модульного разделения функциональности и детального администрирования службы IIS7 администраторы серверов могут настроить сервер с требуемой функциональностью и ограничить доступ менеджеров узлов и содержимого только необходимым уровнем.

Управление сервером

Введение

Ключевым направлением многих улучшений в ОС Windows Server 2008 является облегчение сложных задач администрирования серверов, с которыми администраторы сталкиваются изо дня в день, начиная с упрощения настройки новых серверов и заканчивая автоматизацией рутинных задач по управлению серверами. Благодаря централизации инструментов управления, интуитивным интерфейсам и возможностям автоматизации ИТ-специалистам гораздо легче управлять сетевыми серверами, службами и принтерами как в центральной сети организации, так и в удаленных филиалах.

Задачи первоначальной настройки

В ОС Windows Server 2008 процесс установки системы не прерывается задачами настройки, требующими вмешательства пользователя. Теперь диалоговые окна для выполнения этих задач появляются после окончания основного процесса установки, освобождая администраторов от необходимости присутствовать в течение всего времени установки.

Окно с задачами первоначальной конфигурации является новой возможностью в ОС Windows Server 2008. С помощью этого диалогового окна администраторы производят первоначальную настройку нового сервера. Задачи первоначальной настройки включают в себя установку пароля для учетной записи администратора, изменение имени этой учетной записи для повышения безопасности сервера, присоединение нового сервера к домену и активацию служб обновления Windows и брандмауэра Windows.

Консоль диспетчера сервера

Благодаря новой консоли диспетчера сервера в ОС Windows Server 2008 упрощаются задачи управления и защиты множества серверных ролей в организации. С помощью этой унифицированной консоли можно управлять конфигурацией сервера и системной информацией, получать сведения о текущем состоянии сервера, обнаруживать неполадки в настройке серверных ролей и управлять всеми установленными на сервере ролями.

Древовидная панель консоли диспетчера сервера содержит раскрывающиеся узлы, с помощью которых можно попасть непосредственно в консоли управления конкретными ролями сервера, средства устранения неполадок или резервного копирования и восстановления после сбоев.

Диспетчер сервера объединяет множество интерфейсов управления и инструментов в единую унифицированную консоль, благодаря чему администраторы могут осуществлять общие задачи управления без необходимости переходить между различными интерфейсами, инструментами или диалоговыми окнами.

Мастера управления сервером

Мастера диспетчера сервера упрощают задачи развертывания сервера в предприятии, сокращая время развертывания по сравнению с предыдущими версиями ОС Windows Server. Большинство общих задач настройки, таких, как настройка или удаление ролей сервера, определение множественных ролей и служб ролей, теперь можно выполнить в рамках одного сеанса с помощью мастеров управления сервером.

По мере настройки сервера с помощью мастеров сервера ОС Windows Server 2008 проверяет зависимости. Эти проверки позволяют удостовериться, что роль не будет добавлена, пока предварительно не будут установлены другие необходимые ей для работы службы ролей, а также убедиться, что роль не будет удалена, пока она требуется для работы хотя бы одной установленной роли или службы роли.

Среда Windows PowerShell

Среда Microsoft Windows PowerShell — это оболочка и язык сценариев командной строки, позволяющие ИТ-специалистам автоматизировать часто выполняемые задачи. Благодаря новому ориентированному на администраторов языку сценариев, наличию более 120 стандартных инструментов командной строки, последовательному синтаксису и набору инструментов среда Windows PowerShell обеспечивает ИТ-специалистам более простое администрированием системы и позволяет повысить уровень автоматизации управления. Среду Windows PowerShell легко адаптировать к существующей ИТ-инфраструктуре и наработанным сценариям. Она позволяет автоматизировать как администрирование общих задач управления сервером, так и администрирование конкретных ролей сервера, например роли сервера терминалов.

Среда Windows PowerShell интегрирует интерфейс командной строки и язык сценариев, что позволяет администраторам более эффективно выполнять и автоматизировать задачи множественного администрирования. Преимуществом среды Windows PowersShell перед командной строкой Windows и сервером сценариев Windows (WSH) является поддержка инструментов командной строки — командлетов, синтаксис которых совпадает с языком сценариев. Команда, вводимая в командной строке среды Windows PowerShell, совпадает с командой, которая будет использоваться в сценарии для автоматизации этой же задачи на нескольких серверах.

Среда PowerShell поддерживает существующие сценарии (например, файлы в формате .vbs, .bat, .perl), поэтому нет необходимости преобразовывать существующие сценарии к языку сценариев среды Windows PowerShell. Существующие инструменты Windows для командной строки будут работать и в командной строке среды Windows PowerShell. Благодаря последовательности синтаксиса и требований к именам, а также интеграции языка сценариев с интерактивной оболочкой среда Windows PowerShell упрощает и ускоряет автоматизацию задач системного администрирования.

Удаленное управление Windows (протокол WS-Management)

Из-за растущего числа удаленных серверов, расположенных в филиалах или в других удаленных местах, ИТ-специалистам необходимы расширенные возможности для эффективного управления удаленными серверами. Удаленное управление Windows позволяет легко управлять удаленными серверами с помощью сценариев и не требует для этого большой пропускной способности каналов связи.

Удаленное управление Windows — это реализованный корпорацией Майкрософт вариант поддержки протокола WS-Management (стандартного протокола, основанного на технологии SOAP, который позволяет осуществлять взаимодействие между оборудованием и операционными системами). Администраторы могут получить доступ к информации о дисках, сетевых адаптерах, службах, процессах или к другим данным управления, используя объекты сценариев или инструмент командной строки для удаленного управления Windows, а также инструмент командной строки Windows Remote Shell. Если на компьютере установлена операционная система Windows с поддержкой удаленного управления Windows, данные для управления предоставляются инструментарием управления (WMI).

Основные компоненты сервера

Начиная с ОС Windows Server 2008, администраторы могут установить операционную систему в минимальной комплектации с определенной функциональностью без ненужных функций. Установка основных компонентов сервера обеспечивает среду для выполнения сервером одной или нескольких из перечисленных ниже ролей:

• платформа виртуализации Windows Server;
• DHCP-сервер;
• DNS-сервер;
• файловый сервер;
• служба каталогов Active Directory (AD DS);
• службы Active Directory облегченного доступа к каталогам (AD LDS);
• службы Windows Media;
• управление печатью.

Вариант установки основных компонентов сервера обеспечивает ряд ключевых преимуществ.

• Уменьшение обслуживания программного обеспечения. Так как устанавливаются только компоненты, необходимые для работы определенных ролей и управления ими, уменьшается объем необходимого обслуживания программного обеспечения. Также уменьшается количество загружаемых и устанавливаемых обновлений и исправлений, что позволяет уменьшить потребляемую сервером пропускную способность канала глобальной сети и время, затрачиваемое персоналом ИТ-отдела на администрирование этого сервера.

• Уменьшение контактной зоны сервера. Благодаря тому, что на сервере устанавливается и выполняется меньше программ, уменьшается количество направлений для атаки из сети, тем самым уменьшается контактная зона сервера. Администраторы могут устанавливать только определенные службы, необходимые для конкретного сервера, максимально уменьшая подверженность сервера сетевым угрозам.

• Уменьшено количество необходимых перезапусков системы и занимаемое системой дисковое пространство. Уменьшается количество устанавливаемых компонентов, для которых необходимо будет устанавливать обновления и исправления, поэтому уменьшается и количество необходимых перезапусков системы. Так как устанавливаются только файлы, необходимые для обеспечения требуемой функциональности, установленная система занимает меньший объем дискового пространства на сервере. Выбирая вариант установки основных компонентов сервера, администраторы уменьшают объем необходимого управления, количество необходимых обновлений и сокращают угрозу безопасности сервера.

Установка основных компонентов сервера позволяет администраторам уменьшить объем необходимого текущего обслуживания серверов и упростить управление этими серверами. За счет установки только необходимых для обеспечения требуемой функциональности компонентов системы уменьшается количество файлов, для которых ИТ-персоналу необходимо устанавливать обновления и исправления.

Управление печатью в Windows Server 2008

Чем больше организация, тем больше в ней сетевых принтеров, и тем больше времени требуется ИТ-персоналу для установки принтеров и управления ими, что приводит к увеличению эксплуатационных затрат. В ОС Windows Server 2008 имеется консоль управления печатью, которая является оснасткой для консоли управления MMC и позволяет администраторам из одной консоли осуществлять управление, мониторинг и устранение неполадок в работе всех принтеров организации, даже расположенных удаленно.

Консоль управления печатью предоставляет доступ к актуальным сведениям о состоянии всех принтеров и серверов печати. Также служба управления печатью помогает обнаружить принтеры, находящиеся в состоянии ошибки, и может автоматически отправлять уведомления по электронной почте или выполнять сценарии, если необходимо обратить внимание на тот или иной принтер или сервер печати. Если принтер предоставляет дополнительные данные через веб-интерфейс, доступ к этим данным можно также получить через консоль управления печатью. Это позволяет даже в случае удаленного расположения принтера получать такие сведения, как количество тонера или бумаги. Помимо этого, служба управления печатью может автоматически осуществлять поиск и установку сетевых принтеров в локальной подсети локальных серверов печати.

Консоль управления печатью позволяет экономить значительное количество времени при установке принтеров на клиентские компьютеры или при управлении и отслеживании состояния принтеров. Вместо ручной установки и настройки подключения к принтерам на компьютерах пользователей можно воспользоваться возможностями групповых политик для автоматического добавления этих подключений в папку <Принтеры и факсы> на этих компьютерах. Это очень эффективный и экономичный способ добавления принтеров для большого количества пользователей, которым требуется доступ к одному и тому же принтеру, например для пользователей из одного отдела, а также для пользователей в филиалах.

Возможности автоматизации и централизованный интерфейс консоли управления печатью позволяют устанавливать принтеры, открывать общий доступ к ним и управлять принтерами, упрощая администрирование и уменьшая время, затрачиваемое ИТ-персоналом на развертывание принтеров.

Безопасность и принудительное применение политик

Введение

В ОС Windows Server 2008 есть много возможностей, благодаря которым повышается защищенность системы и соответствие ее требованиям безопасности. Ниже перечислены некоторые из ключевых нововведений.

• Принудительное соответствие клиентов требованиям безопасности. Технология защиты доступа к сети (NAP) позволяет администраторам настроить клиентские компьютеры и обеспечить их соответствие определенным требованиям безопасности прежде, чем они смогут получить доступ к сети.

• Мониторинг центров сертификации. Инфраструктура PKI предприятия расширяет возможности по мониторингу и устранению неполадок во множественных центрах сертификации.

• Усовершенствования брандмауэра. В новом режиме повышенной безопасности брандмауэра Windows имеется ряд улучшений защиты.

• Шифрование и защита данных. Технология BitLocker позволяет зашифровать диск, чтобы защитить важные данные.

• Средства криптографии. Средства шифрования нового поколения обеспечивают гибкую платформу для разработки криптографии.

• Изоляция серверов и доменов. Ресурсы сервера и домена могут быть изолированы для обеспечения доступа к ним только с авторизованных компьютеров, прошедших проверку подлинности.

• Контроллер домена только для чтения (RODC). Контроллер домена только для чтения — это новый способ установки контроллера домена, предназначенный для удаленных филиалов с низким уровнем защиты физического доступа к серверам.

Эти улучшения помогают администраторам повысить уровень безопасности в организации и упростить развертывание параметров защиты и управление ими.

Защита доступа к сети

Технология NAP (Network Access Protection — защита доступа к сети) предотвращает доступ к сети с компьютеров, не отвечающих требованиям безопасности, и тем самым защищает сеть организации от компрометации. Технология NAP используется для настройки и реализации требований безопасности, которым должны соответствовать компьютеры пользователей. С ее помощью на компьютер, не отвечающий требованиям, устанавливаются необходимые обновления или переустанавливаются соответствующие компоненты, и только после этого он может получить доступ к сети организации. С помощью технологии NAP администраторы могут настроить параметры политик соответствия требованиям безопасности. К таким требованиям могут относиться требования установки на компьютер необходимого ПО, требования установки необходимых обновлений и требования к конфигурации компьютеров, которые подключаются к сети организации.

Служба NAP производит оценку соответствия компьютеров заданным требованиям и ограничивает доступ к сети в случае, если компьютер им не отвечает. В приведении компьютера в соответствие требованиям безопасности для предоставления ему полноценного доступа к сети участвуют как серверные компоненты, так и компоненты клиентской системы. Если выявлено, что клиентский компьютер не отвечает требованиям безопасности, ему может быть отказано в доступе к сети, или на него могут быть немедленно установлены исправления, необходимые для приведения его в соответствие этим требованиям.

Для принуждения соответствия компьютеров требованиям безопасности в службе NAP используются возможности таких технологий доступа к сети, как протоколы IPSec и 802.1X, принудительное использование виртуальных частных сетей для маршрутизации и удаленного доступа и принудительное использование протокола DHCP.

Режим повышенной безопасности брандмауэра Windows

Встроенный в ОС Windows Server 2008 брандмауэр Windows в режиме повышенной безопасности является индивидуальным брандмауэром с отслеживанием состояний соединений, который может пропускать или блокировать сетевой трафик в соответствии с заданными параметрами и запущенными приложениями. Такой режим работы позволяет защитить сеть от вредоносных программ и действий пользователей.

Одной из новых возможностей брандмауэра является перехват как входящего, так и исходящего трафика. Сетевой администратор может, к примеру, настроить брандмауэр Windows таким образом, чтобы за некоторыми исключениями заблокировать исходящий трафик, отправляемый на определенные порты, например на наиболее распространенные порты, используемые компьютерными вирусами, или заблокировать исходящий трафик, отправляемый на определенные адреса и содержащий конфиденциальные или нежелательные данные. Это позволяет защитить компьютер от вирусов, распространяемых по сети, а также защищает сеть от вирусов, которые могут попытаться распространить себя с зараженной системы.

Так как количество настраиваемых параметров в брандмауэре Windows увеличилось, для упрощения администрирования брандмауэра была добавлена оснастка управления брандмауэром Windows в режиме повышенной безопасности для консоли управления MMC. Эта новая оснастка упрощает удаленную настройку и управление брандмауэром Windows на клиентских рабочих станциях и серверах. Раньше для этого приходилось использовать подключение к удаленному рабочему столу.

В предыдущих версиях ОС Windows Server настройка брандмауэра Windows производилась отдельно от настройки параметров протокола IPsec. Так как и индивидуальный брандмауэр, и протокол IPsec могут блокировать или разрешать входящие соединения, правила протокола IPsec и исключения брандмауэра могут перекрываться или противоречить друг другу. В новом брандмауэре Windows в ОС Windows Server 2008 настройка обеих сетевых служб объединена общим графическим пользовательским интерфейсом и командами командной строки. Такая интеграция настройки брандмауэра и параметров протокола IPsec упрощает настройку этих служб и помогает предотвратить перекрывающиеся или противоречивые правила.

Шифрование диска BitLocker

Шифрование диска BitLocker является новой ключевой возможностью, которая доступна в ОС Windows Server 2008, а также в выпусках Windows Vista Enterprise и Windows Vista Ultimate. Эта возможность помогает защищать серверы, рабочие станции и мобильные компьютеры. С помощью технологии BitLocker шифруется содержимое диска. Злоумышленник не сможет получить доступ к зашифрованному содержимому, осуществив загрузку операционной системы с другого раздела, обойдя защиты файловой системы с помощью программных средств или подключив жесткий диск к другому компьютеру.

Защита данных с помощью шифрования BitLocker усиливается за счет шифрования системного раздела и проверки целостности компонентов, используемых на раннем этапе загрузки. Полностью шифруется системный раздел, включая файл подкачки и файл режима гибернации. Благодаря этому усиливается защищенность удаленных серверов в филиалах. Шифрование BitLocker позволяет предотвратить утечку или раскрытие данных с утерянного, украденного или неправильно утилизированного компьютера. Эта технология шифрования также помогает организациям исполнять государственные постановления и законы, например, закон Сарбэйнса-Оксли и HIPAA, в которых требуется использование высоких стандартов обеспечения безопасности и защиты данных.

Инфраструктура Enterprise PKI (PKIView)

В инфраструктуру открытого ключа (PKI) в ОС Windows Server 2008 и Windows Vista был внесен ряд усовершенствований. Была улучшена управляемость всеми аспектами инфраструктуры Windows PKI, переработаны службы отзыва сертификатов и уменьшена контактная зона процесса регистрации. К усовершенствованиям инфраструктуры PKI относится следующее.

• Инфраструктура Enterprise PKI (PKIView). Средство PKIView, ранее являвшееся частью комплекта ресурсов для ОС Windows Server 2003 и называвшееся PKI Health, теперь является оснасткой консоли MMC для ОС Windows Server 2008. Оно используется для анализа состояния центров сертификации и просмотра детальных сведений о сертификатах центров сертификации, опубликованных в службе сертификации Active Directory.

• Протокол OCSP. Сетевой ответчик, работающий на основе протокола OCSP (Online Certificate Status Protocol — протокол сетевого состояния сертификата), может использоваться для управления информацией о состоянии отзыва сертификатов и распространения этой информации в случаях, когда использование традиционных списков отзыва сертификатов не подходит. Сетевые ответчики могут быть настроены на одном компьютере или в массиве сетевых ответчиков.

• Служба NDES. Служба NDES (Network Device Enrollment Service — служба подачи заявок на регистрацию сетевых устройств) в ОС Windows Server 2008 — реализация корпорацией Майкрософт протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат). Этот протокол позволяет программам, работающим на маршрутизаторах, коммутаторах и других сетевых устройствах, и неспособным пройти проверку подлинности в сети другим способом, отправить запрос на получение сертификата x509 от центра сертификации.

• Веб-регистрация. По сравнению с предыдущей версией новый элемент управления веб-регистрацией более защищен, его легче программировать с помощью сценариев и обновлять.

• Параметры PKI в групповых политиках. Параметры сертификатов в групповых политиках позволяют администраторам централизованно управлять настройкой сертификатов для всех компьютеров в домене.

Служба CNG

Служба CNG (Cryptography Next Generation — новое поколение криптографии) предоставляет гибкую платформу для разработки шифрования и позволяет ИТ-специалистам создавать, обновлять и использовать собственные алгоритмы шифрования в таких приложениях и технологиях, как служба сертификации Active Directory, технологии SSL и IPsec. Служба CNG реализует алгоритмы шифрования, цифровых подписей, обмена ключами и хэширования, перечисленные в своде правил Suite B Агентства национальной безопасности США.

Служба CNG предоставляет набор интерфейсов API для выполнения основных операций, таких как создание, сохранение и получение ключей шифрования. Также поддерживается установка и использования дополнительных поставщиков шифрования. Благодаря платформе CNG разработчики и организации могут использовать собственные алгоритмы шифрования или реализации стандартных алгоритмов.

Поддерживается текущий набор алгоритмов CryptoAPI версии 1.0, а также алгоритмы шифрования на основе эллиптических кривых (ECC). Поддержка определенных алгоритмов ECC требуется для соответствия своду правил Suite B Агентства национальной безопасности США.

Контроллеры домена только для чтения

Контроллер RODC (Read-Only Domain Controller — контроллер домена только для чтения) — это новый тип контроллера домена, который доступен в ОС Windows Server 2008 и предназначен для установки в филиалах. Контроллер RODC позволяет уменьшить риск установки контроллера домена в удаленных филиалах или в других местах, где невозможно гарантировать физическую защищенность сервера.

На таком контроллере домена хранятся все объекты и атрибуты службы каталогов Active Directory, которые хранятся на обычном контроллере домена, за исключением паролей учетных записей. Однако пользователи не могут сохранять изменения на контроллере RODC. Так как изменения не записываются непосредственно на контроллер RODC, и, следовательно, не могут возникнуть локально, контроллерам домена, которые поддерживают запись изменений и являются партнерами по репликации не нужно запрашивать изменения с контроллеров RODC. Разделение административных ролей позволяет делегировать любому пользователю домена права локального администратора контроллера RODC без необходимости предоставлять этому пользователю права в самом домене или на других контроллерах домена.

Изоляция серверов и доменов

В сети, построенной на основе ОС Microsoft Windows, администраторы могут логически изолировать серверные и доменные ресурсы для обеспечения доступа к ним только с авторизованных компьютеров, прошедших проверку подлинности. Например, внутри существующей физической сети можно создать логическую сеть, в которой у компьютеров будет общий набор требований для организации безопасных взаимодействий. Каждый компьютер в этой логически изолированной подсети должен предоставить учетные данные для прохождения проверки подлинности на других компьютерах этой изолированной подсети.

Изоляция предотвращает неавторизованный доступ компьютеров и программ к ресурсам. Запросы от компьютеров, которые не являются частью изолированной подсети, игнорируются. Изоляция серверов и доменов помогает защитить определенные особо ценные серверы и данные, а также защитить контролируемые компьютеры от доступа неконтролируемых или посторонних компьютеров и пользователей.

В сети может использоваться два типа изоляции.

• Изоляция серверов. Такой вариант изоляции подразумевает настройку политик IPsec на определенных серверах таким образом, чтобы принимались соединения только от компьютеров, прошедших проверку подлинности. Например, можно настроить сервер баз данных таким образом, чтобы он принимал соединения только от сервера веб-приложений.

• Изоляция доменов. Чтобы изолировать домен, администраторы могут воспользоваться членством компьютеров в домене Active Directory и настроить эти компьютеры таким образом, чтобы они принимали только безопасные соединения, прошедшие проверку подлинности, и только от компьютеров, которые тоже являются членами этого домена. Изолированная сеть в таком случае состоит только из компьютеров, являющихся членами домена. При изоляции доменов для защиты данных, пересылаемых между всеми членами домена, включая все клиентские компьютеры и серверы, используется политика IPsec.

Заключение

ОС Windows Server 2008 позволяет организациям воспользоваться такими беспрецедентными возможностями защиты на основе политик, как защита доступа к сети (NAP). Оценка и контроль состояния и защищенности взаимодействующих компьютеров значительно улучшит защищенность организации. Новые интерфейсы управления в ОС Windows Server 2008 упрощают процесс администрирования, настройки и поддержки множественных серверов организации и уменьшают затраты на поддержание сетевой безопасности предприятия.

Централизованный доступ к приложениям

Введение

Улучшения и нововведения в службах терминалов в ОС Windows Server 2008 выходят за рамки простого предоставления удаленного доступа пользователей к приложениям. Благодаря возможности запускать на рабочем столе пользователя удаленные приложения рядом с локальными приложениями значительно улучшено взаимодействие с пользователями. Также стал возможен централизованный доступ к приложениям через веб-клиент служб терминалов.

Ниже перечислены новые компоненты служб терминалов.

• Удаленные приложения служб терминалов. Благодаря удаленным приложениям служб терминалов пользователи могут запускать удаленные приложения на своем рабочем столе наряду с обычными локальными приложениями. Для работы этой возможности необходим клиент подключения к удаленному рабочему столу версии 6.0.

• Шлюз служб терминалов. Шлюз служб терминалов (TS Gateway) позволяет получить безопасный доступ к службам терминалов и общим рабочим столам из-за пределов межсетевого экрана предприятия без необходимости развертывания инфраструктуры виртуальной частной сети (VPN).

• Веб-клиент служб терминалов. Веб-клиент служб терминалов (TS Web Access) является решением для работы с удаленными приложениями, которое упрощает администраторам процесс публикации этих приложений, а пользователям — процесс поиска и запуска этих приложений.

• Единый вход. Технология единого входа улучшает взаимодействие с пользователями, избавляя их от необходимости многократно вводить свои учетные данные.

Службы терминалов

Службы терминалов в ОС Windows Server 2008 включают ряд новых ключевых функциональных возможностей, которые улучшают взаимодействие с пользователями. Компоненты этой новой ключевой функциональности описаны ниже.

• Клиент подключения к удаленному рабочему столу версии 6.0. Для доступа к службам терминалов пользователям необходимо использовать клиент подключения к удаленному рабочему столу версии 6.0. Он входит в состав ОС Windows Server 2008 и Windows Vista; версия этого клиента для ОС Windows XP и Windows Server 2003 доступна для бесплатной загрузки.

• Улучшения отображения подключения к удаленному рабочему столу. Клиент подключений к удаленному рабочему столу версии 6.0 поддерживает работу с рабочими столами с высоким разрешением (до 4096 на 2048 точек) и отображение одного большого рабочего стола на нескольких расположенных в ряд мониторах. Новая версия клиента позволяет воспользоваться преимуществами новых мониторов высокого разрешения и современных форматов экрана (например, широкоформатных экранов с пропорциями 16 на 9 или 16 на 10), которые не соответствуют прежнему стандарту с пропорциями 4 на 3.

• Функция Desktop Experience. Клиент подключения к удаленному рабочему столу версии 6.0 воспроизводит рабочий стол удаленного компьютера на компьютере пользователя. Если на сервере Windows Server 2008 установлена функция Desktop Experience, пользователь сможет воспользоваться такими возможностями ОС Windows Vista, как проигрыватель Windows Media, темы рабочего стола или работа с фотоснимками через удаленное подключение. Функция Desktop Experience и параметры задания приоритета отображаемых данных улучшают взаимодействие конечного пользователя с сервером терминалов Windows Server 2008. Параметры приоритета отображаемых данных нужны, чтобы нажатия клавиш на клавиатуре и действия мыши без задержек взаимодействовали с экранными элементами даже в условиях значительной нагрузки на канал передачи данных.

Единый вход

Единый вход позволяет пользователям с доменной учетной записью, выполнившим вход в сеанс служб терминалов с помощью пароля или смарт-карты, получать доступ ко всем удаленным серверам и приложениям без повторных запросов учетных данных. Единый вход улучшает взаимодействие с пользователями, избавляя их от необходимости вводить учетные данные каждый раз при открытии сеанса удаленного доступа.

Удаленные приложения служб терминалов

Удаленные приложения служб терминалов — это новый способ представления удаленных приложений в ОС Windows Server 2008. Способ представления удаленных приложений дополняет существующий способ представления служб терминалов, при котором пользователю отображался весь удаленный рабочий стол с запущенными на нем удаленными приложениями.

В ОС Windows Server 2008 взаимодействие пользователя с удаленными приложениями существенно изменилось. Теперь не весь рабочий стол, а только окно удаленного приложения открывается на рабочем столе пользователя, причем размер этого окна можно изменять так же, как и размер любых других окон. Если у программы есть значок, отображаемый в области уведомлений, то этот значок также появится в области уведомлений на клиентском компьютере. Всплывающие окна также передаются на локальный рабочий стол и открываются на нем, а локальные дисковые устройства и принтеры доступны из удаленного приложения. Многие пользователи даже не смогут отличить удаленное приложение от работающего рядом локального приложения.

Благодаря удаленным приложениям упрощается работа администраторов, которым нужно поддерживать приложение только в одном месте, вместо того, чтобы устанавливать и поддерживать приложение на всех рабочих станциях пользователей в организации. Также благодаря удаленным приложениям улучшается взаимодействие с пользователями за счет плавной интеграции удаленных приложений с клиентскими рабочими столами.

Шлюз служб терминалов (TS Gateway)

Шлюз служб терминалов (TS Gateway) — это роль служб терминалов, с помощью которой авторизованные удаленные пользователи могут подключаться к серверам терминалов и рабочим станциям в сети предприятия через Интернет. Эта служба позволяет предоставить удаленным или путешествующим работникам защищенный доступ к определенным серверам и рабочим станциям без необходимости использовать подключение к виртуальной частной сети (VPN).

Некоторые из ключевых преимуществ использования шлюза служб терминалов перечислены ниже.

• Возможность защищенного подключения удаленных пользователей к ресурсам сети предприятия через Интернет без необходимости использования сложных подключений к виртуальной частной сети (VPN).

• Использование защищенности и доступности протокола HTTPS для доступа к службам терминалов без необходимости настройки на стороне клиента.

• Комплексная модель безопасности, благодаря которой администраторы могут контролировать доступ к определенным ресурсам в сети.

• Возможность подключения пользователей к серверам терминалов и удаленным рабочим станциям через межсетевые экраны и преобразователи сетевых адресов (NAT).

• Более защищенная модель доступа, позволяющая ограничить доступ пользователей только к определенным серверам и рабочим станциям, а не ко всей сети предприятия, как это происходит в случае использования подключений к виртуальной частной сети (VPN).

Благодаря шлюзу служб терминалов организации могут легко предоставить защищенный доступ удаленным пользователям к серверам и рабочим станциям в сети организации без необходимости устанавливать и настраивать подключение к виртуальной частной сети (VPN). Комплексная модель безопасности позволяет администраторам контролировать доступ к определенным ресурсам.

Веб-клиент служб терминалов

Веб-клиент служб терминалов (TS Web Access) — это роль служб терминалов, с помощью которой администраторы могут предоставить доступ пользователям к удаленным приложениям через веб-обозреватель без необходимости устанавливать дополнительное ПО. С помощью веб-клиента служб терминалов пользователи могут получить список доступных приложений через веб-узел. Когда пользователь запускает одно из удаленных приложений, для этого пользователя автоматически создается сеанс служб терминалов на сервере терминалов под управлением ОС Windows Server 2008, на котором размещается это приложение. Для пользователя в веб-интерфейсе доступно централизованное меню, в котором отображаются все доступные удаленные приложения. Чтобы запустить удаленное приложение, достаточно выбрать нужную программу в меню.

Использование веб-клиента служб терминалов уменьшает трудозатраты по администрированию за счет централизованного доступа к удаленным приложениям. Приложения выполняются на сервере терминалов, а не на клиентских компьютерах, поэтому ИТ-персоналу необходимо поддерживать и обновлять эти приложения в единственном экземпляре.

Управление удаленными филиалами

Введение

Чтобы более плотно взаимодействовать со своими клиентами, организации перемещают сотрудников из центрального офиса в удаленные филиалы. По мере возрастания количества филиалов пропорционально возрастают и потребности в управлении и защите ИТ-инфраструктуры этих удаленных офисов. Количество работников в удаленных филиалах быстро растет, и в корпорации Майкрософт учитывают потребности организаций в новых решениях для особых условий филиалов.

Так как в удаленных филиалах зачастую нет штатного ИТ-персонала, возникают определенные особенности работы ИТ-специалистов с серверами в этих филиалах. Программное обеспечение, которое используется на этих серверах, должно быть рассчитано на работу через каналы глобальной сети с низкой пропускной способностью, и при этом не занимать эти каналы полностью, чтобы не замедлять работу приложений и передачу критически важных данных. Также в филиалах необходимо обеспечивать более надежную защиту, потому что физическую защищенность серверов в филиалах не всегда можно гарантировать. Так как большинство ИТ-персонала находится за пределами филиалов, предпочтительными являются решения, позволяющие осуществлять централизованное управление, а также удаленное администрирование и развертывание.

Потребности и проблемы удаленных филиалов впервые были учтены в ОС Windows Server 2003 R2. В ОС Windows Server 2008 включено множество дополнительных усовершенствований, благодаря которым у администраторов появляются новые возможности управления филиалами, а также обеспечивается более сильная защищенность сетей и данных удаленных филиалов и центрального офиса. Также новая система предоставляет ИТ-специалистам более гибкие возможности для удовлетворения специфичных потребностей организаций.

Ключевые преимущества для филиалов, предлагаемые в ОС Windows Server 2008, можно разделить на три категории.

• Повышение эффективности развертывания и администрирования серверов в удаленных офисах.
• Уменьшение уязвимости удаленных офисов.
• Повышение эффективности использования пропускной способности канала для соединений через глобальную сеть.

Предлагаемые корпорацией Майкрософт новые возможности и усовершенствования решений для филиалов и ОС Windows Server 2008 отвечают основным требованиям работы удаленных офисов. К таким возможностям ОС Windows Server 2008 относится упрощенный процесс развертывания, эффективное управление ключевыми ролями сервера, повышенная защита, а также архитектура системы, которая повышает быстродействие и бесперебойность работы.

Развертывание и администрирование

Проблема управления серверами, службами и параметрами безопасности в удаленных офисах актуальна для ИТ-специалистов. ОС Windows Server 2008 позволяет упростить удаленное развертывание и администрирование серверов, расположенных в филиалах.

В ОС Windows Server 2008 имеется ряд специальных возможностей и улучшений, которые повышают эффективность управления ИТ-отделами удаленных офисов. Среди них — изменения и усовершенствования в службе каталогов Active Directory, режим контроллера домена только для чтения, шифрование BitLocker, разграничение ролей и установка основных компонентов сервера.

Контроллеры домена только для чтения

Контроллер домена только для чтения (RODC) — это новый тип контроллера домена, который доступен в ОС Windows Server 2008 и предназначен для установки в филиалах. Контроллер RODC позволяет снизить риск, связанный с установкой контроллера домена в удаленных филиалах, в которых невозможно гарантировать физическую защищенность сервера.

На контроллере RODC хранятся все объекты и атрибуты службы каталогов Active Directory, которые хранятся на обычном контроллере домена, за исключением паролей учетных записей. Однако пользователи не могут сохранять изменения на контроллере RODC. Так как изменения не записываются непосредственно на контроллер RODC, и, следовательно, не могут возникнуть локально, контроллерам домена, которые поддерживают запись изменений и являются партнерами по репликации не нужно запрашивать изменения с контроллеров RODC. Это позволяет уменьшить нагрузку на серверы-плацдармы в центральном офисе, а также упрощает отслеживание репликации.

Разделение административных ролей позволяет делегировать любому пользователю домена права локального администратора контроллера RODC без необходимости предоставлять этому пользователю права в самом домене или на других контроллерах домена. Пользователь из филиала может выполнить вход на контроллер RODC и провести необходимое обслуживание сервера, например, обновление драйвера устройства. При этом у такого пользователя не будет доступа к ресурсам домена за пределами филиала.

Шифрование диска BitLocker

Шифрование диска BitLocker является новой ключевой возможностью в ОС Windows Server 2008, которая помогает защищать серверы, рабочие станции и мобильные компьютеры. Эта возможность доступна также в ОС Windows Vista Enterprise и Windows Vista Ultimate, позволяя защищать клиентские и мобильные компьютеры. С помощью технологии BitLocker шифруется содержимое диска. Злоумышленник не сможет получить доступ к зашифрованному содержимому, осуществив загрузку операционной системы с другого раздела, обойдя защиты файловой системы с помощью программных средств или подключив жесткий диск к другому компьютеру.

Защита данных с помощью шифрования BitLocker усиливается за счет шифрования системного раздела и проверки целостности компонентов, используемых на раннем этапе загрузки. Полностью шифруется системный раздел, включая файл подкачки и файл режима гибернации. Благодаря этому усиливается защищенность удаленных серверов в филиалах. Шифрование BitLocker позволяет предотвратить утечку или раскрытие данных с утерянного, украденного или неправильно утилизированного компьютера. Это необходимо для филиалов, поскольку физическую защищенность серверов не всегда можно гарантировать.

Основные компоненты сервера

Начиная с ОС Windows Server 2008, администраторы могут установить операционную систему в минимальной комплектации с определенной функциональностью без ненужных функций. Вариант установки основных компонентов сервера обеспечивает среду для выполнения сервером одной или нескольких из перечисленных ниже ролей, развертываемых обычно в удаленных филиалах:

• DHCP-сервер;
• DNS-сервер;
• файловый сервер;
• доменная служба каталогов Active Directory (AD DS);
• службы Active Directory облегченного доступа к каталогам (AD LDS);
• службы Windows Media;
• управление печатью;
• платформа виртуализации Windows Server.

Ключевые преимущества установки основных компонентов сервера в филиалах перечислены ниже.

• Уменьшение обслуживания программного обеспечения. Уменьшается количество загружаемых и устанавливаемых обновлений и исправлений, что позволяет уменьшить потребляемую сервером пропускную способность канала глобальной сети и время, затрачиваемое персоналом ИТ-отдела на администрирование этого сервера.

• Уменьшение контактной зоны сервера. Администраторы могут устанавливать только определенные службы, необходимые для конкретного сервера, уменьшая подверженность сервера сетевым угрозам.

• Уменьшено количество необходимых перезапусков системы и занимаемое системой дисковое пространство. Уменьшается количество устанавливаемых компонентов, для которых необходимо будет устанавливать обновления и исправления, поэтому уменьшается и количество необходимых перезапусков системы. В варианте основных компонентов сервера устанавливаются только файлы, необходимые для обеспечения требуемой функциональности, поэтому установленная система занимает меньший объем дискового пространства на сервере.

Усовершенствования в управлении службами каталогов Active Directory

В ОС Windows Server 2008 имеется ряд усовершенствований службы каталогов Active Directory, упрощающих управление службой каталогов и предоставляющих администраторам более гибкие возможности для удовлетворения потребностей удаленных филиалов. Ниже перечислены некоторые из ключевых усовершенствований.

• Обновленный мастер установки службы каталогов Active Directory (AD DS).
• Изменения в консоли MMC, используемой для управления службой каталогов Active Directory.
• Новые варианты установки контроллеров домена.
• Обновленный мастер установки, упрощающий установку службы каталогов Active Directory.
• Улучшенный интерфейс и расширенные возможности управления службой каталогов Active Directory.
• Усовершенствованные средства для поиска контроллеров домена в организации.

В новом мастере установки взаимосвязанная функциональность теперь сгруппирована, что позволяет ускорить процесс развертывания и сэкономить время. Возможности автоматической установки ОС Windows Server 2008 позволяют еще больше упростить процесс за счет установки системы без участия пользователя. Эта возможность также позволяет установить службу каталогов Active Directory на операционной системе, установленной в варианте основных компонентов сервера. Чтобы убедиться в правильной работе только что установленного DNS-сервера, осуществляется автоматическая конфигурация параметров DNS-клиента, серверов пересылки и корневых ссылок на основании параметров, заданных при установке.

Все эти усовершенствования интерфейса службы каталогов Active Directory, предлагаемые в ОС Windows Server 2008, позволяют оптимизировать процесс первоначального развертывания, благодаря чему уменьшается время, затрачиваемое на администрирование, и упрощается управление серверами в удаленных офисах.

Высокий уровень доступности

Введение

Обеспечение бесперебойной работы важнейших приложений является ключевой задачей ИТ-отделов, поэтому многие усовершенствования в ОС Windows Server 2008 нацелены на высокий уровень доступности. ОС Windows Server 2008 сочетает в себе такие возможности, как отказоустойчивые кластеры, балансировка сетевой нагрузки, новые возможности для резервного копирования и восстановления. Сочетание этих возможностей обеспечивает организациям высокий уровень доступности, благодаря чему критически важные приложения, службы и данные доступны всем пользователям.

Отказоустойчивые кластеры

Отказоустойчивый кластер, ранее называвшийся кластер серверов, является группой компьютеров, которые функционируют совместно и повышают доступность приложений и служб. Серверы в кластере называются узлами. Помимо физической кабельной сети, они объединяются с помощью специального ПО. В случае отказа одного из узлов кластера происходит процесс переключения на другой узел, который заменяет вышедший из строя узел и обеспечивает минимальные перебои в предоставлении пользователям доступа к службам. Отказоустойчивые кластеры используются ИТ-специалистами для обеспечения высокого уровня доступности критически важных служб и приложений.

Усовершенствования отказоустойчивых кластеров в ОС Windows Server 2008 направлены на упрощение работы с кластерами, а также на повышение уровня защищенности и стабильности кластеров.

Новый мастер проверки в ОС Windows Server 2008 позволяет убедиться, что система, устройства хранения и параметры сети подходят для работы кластера. Этот мастер упрощает установку и настройку кластера. Ниже приводится список проверок, которые осуществляются этим мастером.

• Проверки узла. Проверяется, одинаковые ли версии ОС и обновления ПО установлены на серверах.

• Проверки сети. Проверяется соответствие планируемой сети кластера определенным требованиям, например, требованию наличия как минимум двух раздельных подсетей для обеспечения избыточности сети.

• Проверки устройств хранения. Проверяется, что устройства хранения удовлетворяют определенным требованиям, и что у всех узлов кластера есть доступ ко всем общим дискам.

В ОС Windows Server 2008 поддерживаются диски с таблицами разделов GPT (GUID Partition Table — таблица разделов с глобальными уникальными идентификаторами) в хранилище кластера. GPT-диски поддерживают разделы размером более двух терабайт и, в отличие от MBR-дисков, обладают встроенной избыточностью. Таблица разделов GPT обладает рядом преимуществ перед таблицей разделов MBR, так как она поддерживает до 128 разделов на диске, тома размером до 18 экзабайт, уникальные идентификаторы разделов и дисков, а также позволяет создавать первичную и резервную таблицы разделов для обеспечения избыточности.

Для упрощения управления кластерами интерфейсы управления были усовершенствованы, чтобы администраторы могли сфокусировать свое внимание на управлении приложениями и данными, а не кластером. Новый интерфейс ориентирован на задачи и более понятен, а мастера помогают администраторам совершать действия, ранее являвшиеся довольно сложными.

Отказоустойчивый кластер в ОС Windows Server 2008 обладает повышенной надежностью и улучшенной функциональностью по сравнению с предыдущими версиями кластеров серверов. Ниже приведен список ключевых усовершенствований.

• Динамическое добавление дисковых ресурсов. Зависимости ресурсов можно изменять, не переводя ресурсы в автономный режим, что позволяет администраторам увеличивать доступное дисковое пространство, не прерывая работу использующих это пространство приложений.

• Улучшенная производительность и стабильность благодаря использованию хранилища данных. Когда отказоустойчивый кластер взаимодействует с сетями хранения данных (SAN) или с непосредственно подключенными устройствами хранения данных (DAS), используются команды, менее всего нарушающие работу этих устройств, благодаря чему уменьшается количество сбросов шины SCSI. Диски никогда не находятся в незащищенном состоянии, благодаря чему уменьшается вероятность повреждения тома. Отказоустойчивые кластеры также поддерживают усовершенствованные методы обнаружения дисков и восстановления данных. Поддерживается подключение к устройствам хранения данных через интерфейс последовательного подключения SCSI (SAS), интерфейс iSCSI или через оптоволоконный канал.

• Упрощенное обслуживание дисков. Режим обслуживания значительно усовершенствован. Он упрощает запуск средств проверки, исправления ошибок, резервного копирования и восстановления дисков, а также уменьшает воздействие этих операций на работу кластера.
ОС Windows Server 2008 упрощается развертывание и управление кластерами, а также повышается производительность и надежность работы кластеров.

Балансировка сетевой нагрузки

С помощью балансировки сетевой нагрузки осуществляется распределение сетевой нагрузки клиентских и серверных приложений между несколькими серверами в кластере балансировки сетевой нагрузки. Эта функция важна для организаций, нуждающихся в распределении клиентских запросов между несколькими серверами. В частности, она полезна для масштабирования приложений без сведений о состоянии путем наращивания количества серверов по мере увеличения нагрузки. К таким приложениям можно отнести веб-приложения, работающие под управлением служб IIS. Балансировка сетевой нагрузки позволяет легко заменить вышедший из строя сервер, тем самым повышая надежность системы. Ниже приведены усовершенствования балансировки сетевой нагрузки в ОС Windows Server 2008.

• Поддержка протокола IPv6. Балансировка сетевой нагрузки полностью поддерживает сетевое взаимодействие по протоколу IPv6.

• Поддержка программного интерфейса NDIS версии 6.0. Сетевой драйвер балансировки сетевой нагрузки был полностью переработан для поддержки облегченной модели фильтров программного интерфейса NDIS версии 6.0, при этом сохранилась поддержка всех более ранних версий программного интерфейса NDIS. Усовершенствования архитектуры этого программного интерфейса включают увеличение производительности и масштабируемости драйвера, а также упрощенная модель этого драйвера.

• Расширения интерфейса WMI. Расширения интерфейса WMI в пространстве имен MicrosoftNLB обеспечивают поддержку протокола IPv6 и множественных выделенных IP-адресов.

• Классы в пространстве имен MicrosoftNLB. Помимо адресов IPv4 теперь поддерживаются адреса IPv6.

• Класс MicrosoftNLB_NodeSetting. Поддерживаются множественные выделенные IP-адреса. Для этого они указываются в свойствах класса DedicatedIPAddresses и DedicatedNetMasks.

• Расширенные возможности для работы с сервером ISA Server. Сервер ISA Server может задать множественные выделенные IP-адреса для каждого узла балансировки сетевой нагрузки. Это нужно для случаев, когда клиенты работают и по протоколу IPv4, и по протоколу IPv6. Для управления сетевым трафиком и клиенты IPv4, и клиенты IPv6 должны подключаться к определенному серверу ISA Server. Сервер ISA Server также может оповещать узлы балансировки сетевой нагрузки о SYN-атаках и случаях нехватки таймеров, которые обычно возникают при перегрузке компьютера или при заражении его Интернет-вирусом.

• Поддержка множественных выделенных IP-адресов для каждого узла. Ранее каждому узлу балансировки сетевой нагрузки можно было выделить только один IP-адрес. Теперь поддерживается выделение каждому узлу множественных IP-адресов, что позволяет размещать в одном кластере несколько приложений, требующих наличия выделенных IP-адресов.

Перечисленные возможности обеспечивают поддержку новых отраслевых стандартов, увеличенную производительность, улучшенное взаимодействие, усиленную защищенность и расширенную гибкость развертывания и объединения приложений.

Архивация данных

Архивация данных — это третий ключевой компонент в ОС Windows Server 2008, предназначенный для обеспечения высокой степени доступности служб. Функция архивации данных позволяет осуществлять резервное копирование и восстановление данных сервера, на котором установлена эта возможность. В новой версии используется новая технология резервного копирования и восстановления, пришедшая на смену функциям архивирования данных предыдущих версий операционных систем Windows.

Архивирование данных позволяет эффективно и надежно защищать весь сервер, не беспокоясь о сложности технологий резервного копирования и восстановления. Простые мастера помогают настроить автоматическое расписание резервного копирования, создавать при необходимости резервные копии вручную, а также восстанавливать отдельные элементы или целые тома. Архивирование данных в ОС Windows Server 2008 можно использовать для резервного копирования как отдельных томов, так и сервера целиком.

Для эффективного резервного копирования и восстановления операционной системы, файлов, папок и томов в функции архивирования данных используются служба теневого копирования томов и технология резервного копирования на уровне блоков. После первоначального создания полной резервной копии функция архивации данных автоматически осуществляет добавочное резервное копирование, сохраняя только данные, измененные с момента осуществления предыдущего резервного копирования. В отличие от предыдущих версий, теперь администраторам не нужно заботиться о задании расписания сохранения полных и добавочных резервных копий.

Восстановление данных также было улучшено и упрощено в ОС Windows Server 2008. Теперь можно восстанавливать отдельные элементы из архива, в частности, отдельные файлы и папки. Для этого необходимо выбрать архив для восстановления, а затем выбрать из него отдельные элементы. Ранее, чтобы восстановить элемент из добавочной резервной копии, необходимо было вручную восстанавливать его из нескольких архивов. Теперь достаточно лишь указать дату резервного копирования необходимой версии файла.

В ОС Windows Server 2008 предлагаются решения для резервного копирования и восстановления данных, которые позволяют защитить данные и операционные системы на серверах в сети организации, упрощая при этом администрирование резервного копирования критически важных данных и ускоряя восстановление данных. Эти решения дополняют набор решений для обеспечения высокого уровня доступности.

Заключение

Операционная система Windows Server 2008 относится к новому поколению операционных систем Windows Server. В операционной системе Windows Server 2008 у ИТ-специалистов есть больше возможностей для управления серверами и сетевой инфраструктурой, что позволяет им сконцентрировать свое внимание на важнейших потребностях организаций. Безопасность систем повышается за счет повышения надежности операционной системы и защиты сетевой среды. ИТ-системы становятся более гибкими, ускоряется процесс их развертывания и обслуживания. Благодаря понятным средствам администрирования упрощается объединение и виртуализация серверов и приложений. Операционная система Windows Server 2008 является наилучшей основой для сетевой и серверной инфраструктуры любой организации.

Источник: microsoft.com

НОВОСТИ ФОРУМА Рыцари теории эфира

10.11.2021 - 12:37: ПЕРСОНАЛИИ - Personalias -> WHO IS WHO - КТО ЕСТЬ КТО - Карим_Хайдаров. 10.11.2021 - 12:36: СОВЕСТЬ - Conscience -> РАСЧЕЛОВЕЧИВАНИЕ ЧЕЛОВЕКА. КОМУ ЭТО НАДО? - Карим_Хайдаров. 10.11.2021 - 12:36: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от д.м.н. Александра Алексеевича Редько - Карим_Хайдаров. 10.11.2021 - 12:35: ЭКОЛОГИЯ - Ecology -> Биологическая безопасность населения - Карим_Хайдаров. 10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров. 10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ПРАВОСУДИЯ.НЕТ - Карим_Хайдаров. 10.11.2021 - 12:34: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вадима Глогера, США - Карим_Хайдаров. 10.11.2021 - 09:18: НОВЫЕ ТЕХНОЛОГИИ - New Technologies -> Волновая генетика Петра Гаряева, 5G-контроль и управление - Карим_Хайдаров. 10.11.2021 - 09:18: ЭКОЛОГИЯ - Ecology -> ЭКОЛОГИЯ ДЛЯ ВСЕХ - Карим_Хайдаров. 10.11.2021 - 09:16: ЭКОЛОГИЯ - Ecology -> ПРОБЛЕМЫ МЕДИЦИНЫ - Карим_Хайдаров. 10.11.2021 - 09:15: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Екатерины Коваленко - Карим_Хайдаров. 10.11.2021 - 09:13: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вильгельма Варкентина - Карим_Хайдаров.