Новые возможности версии R2 — хороший повод для модернизации
Версию Windows Server 2003 Release 2 (R2), которая поступила в продажу в конце 2005 г., нельзя назвать новой крупной версией операционной системы. Скорее, это вариант для определенной группы пользователей Windows 2003. В R2 нет таких изменений в ядре операционной системы, как в Windows 2003 Service Pack 1 (SP1), расширенной поддержки устройств или улучшений в существующих компонентах. Но зато она располагает важными новыми функциями. Некоторые из них первоначально предназначались для Longhorn, другие уже были выпущены в качестве исправлений для Windows 2003. В данной статье речь пойдет об основных новшествах R2 и их значении для среды Windows.
Дополнительные функции, дополнительные затраты
Новые возможности R2 факультативны, а базовая операционная система идентична Windows 2003, поэтому будущие пакеты обновлений смогут применяться как для Windows 2003, так и для R2. Кроме того, любые сертификации, применимые в среде Windows 2003, например совместимости приложений, подходят и для Windows 2003 R2.
От обычного расширения функциональности, такого как Active Directory Application Mode (ADAM), R2 отличается тем, что это модернизация, платная для всех пользователей, кроме подписчиков программы Software Assurance (SA) и Microsoft Enterprise Agreement. Обновлять следует только серверы, для работы которых нужны одна или несколько новых функций R2.
Процесс модернизации
При переходе с Windows 2003 SP1 на Windows 2003 R2 необходимо вставить в накопитель только второй компакт-диск R2, который выполняет следующие операции:
- обновляет приложение Add/Remove Windows Components, добавляя новые компоненты R2;
- дополняет мастера WINS Manage Your Server и Configure Your Server новыми (Windows SharePoint Services) и модернизированными (файл и принтер) серверными ролями;
- обновляет консоль Microsoft Management Console (MMC) от версии 2.0 до 2.1/3.0 (Microsoft использует эти номера версий MMC как равноценные);
- создает на рабочем столе ярлык для документа, содержащего описание новых функций R2.
Наиболее значимые новые функции R2 относятся к четырем важнейшим категориям: дистанционное управление серверами и печатью, Active Directory Federation Services (ADFS) и Windows SharePoint Services, прикладная платформа и операционная инфраструктура. В данной статье более подробно будут описаны новейшие компоненты, такие как новая служба репликации и ADFS; компонентам, выпущенным ранее в качестве загружаемых модулей, в частности Windows SharePoint Services и ADAM, тоже уделено внимание, но в меньшей степени.
Дистанционное управление серверами и печатью
В состав R2 входит новая служба репликации, ориентированная на DFS и известная как DFSR (Distributed File System Replication — репликация в распределенной файловой системе). В DFSR решены многие проблемы NT File Replication System (NTFRS), которая не рассчитана на обработку очень крупных файлов или большого количества файлов. В DFSR используется новый алгоритм сжатия Remote Differential Compression (RDC), который обнаруживает изменения внутри файла и реплицирует только измененные фрагменты. Если изменить одну величину в 20-мегабайтной базе данных Microsoft Access, то при использовании NTFRS реплицируются все 20 Мбайт, а в DFSR — только несколько измененных байтов.
Однако наиболее важный аспект DFSR — решение проблемы отказов NTFRS в некоторых ситуациях, например при циклической смене номера последовательности обновления (update sequence number, USN) журнала или при потерях, в результате которых репликация NTFRS прекращается и для ее возобновления требуется длительная процедура. DFSR — настоящий механизм репликации с самовосстановлением: даже при возврате к началу журнала NTFS или при длительном отсутствии связи с партнерами по репликации механизм DFSR обеспечивает проверку различий между партнерами по репликации и взаимную синхронизацию.
DFSR — новая служба, поэтому все серверы, которые являются целевыми объектами соединений DFS и будут использовать репликацию нового типа, должны работать с Windows 2003 R2 и располагать DFSR. Для поддержки новых объектов, необходимых для DFSR, требуется внести небольшое изменение в схему Active Directory (AD). Для изменений в схеме следует запустить утилиту R2 Adprep (adprep.exe), которая находится в папке cmpnents 2adprep диска R2. Важно обратить внимание, что данное изменение совместимо с контроллерами домена (DC) Windows 2000 с установленным пакетом Windows 2000 SP2 (или SP1 с программами коррекции).
В прошлом, когда целевой объект соединения переходил в автономный режим, происходило переключение на альтернативный объект (например, другой экземпляр файла на другом сервере). В R2, если соединение с целевым объектом восстанавливается, клиенты переключаются на него, вместо того чтобы продолжать использовать потенциально менее эффективный резервный объект. Таким образом, сокращается время отклика и минимизируется трафик медленных соединений глобальных сетей.
Новая консоль управления упрощает репликацию целевых данных DFS благодаря объединению старой оснастки MMC DFS Management с оснасткой Replication Management. С помощью новой Print Management Console (PMC) можно управлять всеми удаленными или локальными и удаленными принтерами из одной консоли. Установка новых принтеров упрощается благодаря исчерпывающим возможностям управления, мониторинга и настройки конфигурации всех принт-серверов Windows 2003 и Windows 2000. Из PMC также можно задать действия в соответствии с определенным сценарием. Например, если принт-сервер недоступен, можно настроить PMC на запуск сценария или извещение администратора об отказе по электронной почте.
Для каждого видимого принт-сервера показаны установленные драйверы печати, заданные формы, используемые порты и соответствующие принтеры, а также принтеры, обслуживаемые данным сервером. С помощью PMC можно обращаться к Web-параметрам управления принтерами, а при совместном использовании с Group Policy — автоматически устанавливать соединения с принтерами в зависимости от принадлежности к организационной единице (OU) или домену.
ADFS и Windows SharePoint Services
С помощью новой службы ADFS можно расширить область действия внутренних Web-приложений на внешних пользователей (в частности, потребителей, партнеров, поставщиков). Например, партнерам организации можно разрешить использовать ту же единую процедуру регистрации в Web (SSO), которая применяется внутри домена организации. В настоящее время ADFS работает только с приложениями на базе Web. ADFS отличается от других продуктов управления идентификацией, таких как Microsoft Identity Integration Server 2003 Enterprise Edition (MIIS). В сущности, ADFS делает объекты в службе каталогов видимыми для других организаций, тем самым обеспечивая доступ к внешним службам при использовании только одной учетной записи. MIIS синхронизирует и реплицирует объекты и их изменения между несколькими репозитариями объектов. В MIIS один субъект (пользователь) имеет несколько учетных записей, которые сихронизируются службой MIIS; благодаря единому паролю для учетных записей создается иллюзия, что существует только одна учетная запись для данного субъекта. Более подробное описание работы ADFS приведено во врезке «Архитектура ADFS».
Новейшая версия Windows SharePoint Services, SP2, полностью поддерживает Windows .NET Framework 2.0, в результате чего исключается необходимость устанавливать .NET Framework 1.1 для работы с Windows SharePoint Services. Однако в настоящее время в Windows SharePoint Services SP2 не используются новые возможности .NET Framework 2.0, такие как новая инфраструктура Web-элементов. Но компоненты, подготовленные администратором для совместной работы с Windows SharePoint Services, могут использовать всю функциональность .NET Framework 2.0.
Еще одно улучшение Windows SharePoint Services — более мощная поддержка расширенных корпоративных сетей. Windows SharePoint Services динамически выбирает корректные URL в зависимости от того, подключен клиент к внутренней или внешней сети. Эта новая функция обеспечивает использование различных URL для внешних и внутренних пользователей сайта Windows SharePoint Services. Как и многие компоненты R2, служба Windows SharePoint Services совместима с 64-разрядными платформами. Компания Microsoft успешно протестировала службу на 64-разрядных системах, хотя в действительности она работает в 32-разрядном режиме эмуляции Windows.
Прикладная платформа
Как отмечалось, в состав R2 входит .NET Framework 2.0, необходимая для других компонентов R2, которая автоматически устанавливается при выборе соответствующих компонентов. В R2 также входит компонент ADAM, как правило применяемый приложениями и службами для хранения информации, которая не используется глобально и не требует изменений схемы леса AD. ADAM дополняет эту службу: AD функционирует как хранилище идентификационных данных, а ADAM - как хранилище приложений.
R2 содержит новую версию MMC (2.1/3.0). В новой версии MMC гораздо проще строить оснастки для MMC с помощью инфраструктуры управляемого исходного текста MMC и стандартных элементов управления WinForms, для разработки которых можно воспользоваться проектировщиком Visual Studio (VS). Кроме того, оснастки MMC лучше изолированы друг от друга, что препятствует нарушениям в работе оснасток при зависании одной из них.
Среди улучшений графического интерфейса MMC — новая панель операций. Оснастки, построенные на основе передовых функций MMC 2.1 и более новых версий, могут содержать специфические параметры. В результате более старые оснастки могут явно отображать специфические пункты меню целевого объекта. В результате те становятся более очевидными для пользователей, которые не нуждаются в контекстном меню, вызываемом правым щелчком мыши. В R2 также появилось новое, более удобное диалоговое окно Add or Remove Snap-ins (экран 1). В результате процедура добавления оснасток стала гораздо более понятной, а процесс построения представления консоли значительно упростился. Нажатие кнопки Edit Extensions обеспечивает простой вид расширений, которые по умолчанию включаются в число расширяемых оснасток, и позволяет включить или исключить конкретные расширения.
Разработчики приложений по достоинству оценят Common Log File System (CLFS), которая впервые появилась в R2. CLFS — механизм организации надежной среды протоколирования посредством загружаемого драйвера приложений, выполняемых как в режиме ядра, так и в пользовательском режиме. Система CLFS непосредственно предназначена для ситуаций, в которых собранные данные любого типа должны записываться и считываться последовательно, например при репликации данных и обработке транзакций. Настройка CLFS отличается гибкостью: возможны линейное и циклическое протоколирование, одно- и многопотоковый ввод данных; пользовательскому процессу предоставляется право задавать время переноса данных журнального файла на диск.
Экран 2. Информация о попытки копирования файла запрещенного типа |
Операционная инфраструктура
Организациям, в которых используются системы UNIX, будет полезен новый продукт Identity Management for UNIX в R2. Identity Management for UNIX состоит из двух компонентов, Server for Network Information Service (NIS) и Password Synchronization. С помощью Server for NIS можно из среды AD указать DC, который будет главным NIS-сервером для среды UNIX. Служба Server for NIS может быть установлена на дополнительных DC в домене, что позволит им функционировать в качестве вспомогательных серверов NIS. Схема AD в R2 полностью совместима с требованиями Request for Comments (RFC) 2307, поэтому клиенты UNIX и Linux могут напрямую обращаться к AD с помощью LDAP.
Как видно из названия, компонент Password Synchronization обеспечивает синхронизацию паролей между индивидуальными локальными учетными записями системы Windows или синхронизацию паролей во всем домене AD для индивидуальных систем UNIX или всех компьютеров в домене NIS. Данная процедура синхронизации позволяет задействовать общий набор учетных записей на разных платформах и может быть как одно-, так и двунаправленной. Требования Identity Management for UNIX Password Synchronization будут знакомы пользователям, которым известны требования синхронизации паролей MIIS. Для функционирования Password Synchronization службы синхронизации паролей должны быть размещены на всех DC в домене, чтобы обеспечить перехват контроллерами доменов запросов на изменение пароля и их пересылку в соответствующие компоненты UNIX.
Существенно обновлены в R2 и компоненты Microsoft Server for NFS для обмена файлами с клиентами UNIX и Microsoft Client for NFS для доступа Windows к другим серверам NFS. Они обеспечивают более надежное и удобное решение, отчасти благодаря новому административному интерфейсу. Кроме того, все компоненты поддержки UNIX работают с 64-разрядными системами.
Другая часть пакета для UNIX — Subsystem for UNIX-based Applications (SUA). Благодаря подсистеме SUA приложения UNIX можно перекомпилировать в среде Windows так, чтобы предоставить в их распоряжение прикладные интерфейсы как UNIX, так и Win32.
Еще один новый компонент R2, Hardware Management, располагает драйвером и провайдером Intelligent Platform Management Interface (IPMI), с помощью которых Windows взаимодействует с инструментарием IPMI на системной плате, собирая информацию (например, о температуре центрального процессора). Благодаря такому взаимодействию с системной платой содержимое журнала событий System может быть реплицировано и отображено в журнале событий Windows, и инфраструктура мониторинга и предупреждения, используемая операционной системой для событий Windows, может применяться для мониторинга событий аппаратного уровня. Эта информация также доступна через стандартный интерфейс Management Instrumentation (WMI), и WMI-совместимый инструментарий может читать и устанавливать аппаратные параметры.
В R2 также реализованы Web Services for Management (WS-Management), которые обеспечивают WMI-управление через HTTP и протокол Simple Object Access Protocol (SOAP). С помощью WS-Management администратор может управлять серверами при неработающей операционной системе, например если компьютер доступен на уровне BIOS или после серьезной аварии. R2 необходимо установить только на сервере, ведущем обмен данными, инициированный WS-Management. Такая возможность полезна в распределенной среде, с ее помощью администратор может дистанционно исследовать и устранять неисправности удаленных серверов.
В состав R2 также входит Simple SAN, компонент, облегчающий организацию систем хранения SAN на малых и средних предприятиях. С помощью Simple SAN администраторам проще настраивать конфигурацию и управлять базовой средой SAN через единый интерфейс пользователя — Storage Manager for SANs, в котором служба Microsoft Virtual Disk Service (VDS) автоматически обнаруживает дисковые массивы и серверы SAN. VDS 1.1 (часть R2) совместима с iSCSI и Microsoft Multipath I/O (MPIO). Оснастка Storage Manager for SANs обеспечивает создание и назначение логических номеров устройств (LUN) и управление соединениями между LUN и серверами.
Несколько наиболее впечатляющих новшеств R2 относятся к управлению хранением данных. В частности, Quota Management обеспечивает управление размером папок и томов в соответствии с общим используемым дисковым пространством, без разделения на пользовательские и групповые квоты. Администратор просто устанавливает максимально допустимый размер папки в зависимости от использованного физического пространства диска, что позволяет сохранить больше сжатых данных. Например, при квоте 500 Мбайт можно сохранить 700 Мбайт сжатых логических данных. Сравните новые квоты R2 с выделямыми для пользователей и томов квотами Windows 2000 и более поздних версий, которые основывались на логическом, а не физическом использованном пространстве.
Можно задать действия, предпринимаемые при достижении квоты, например переслать по электронной почте сообщения администраторам, пользователю, чьи данные превысили квоту, или заранее определенной группе пользователей; записать информационное сообщение в журнал событий; выполнить команду или сценарий; подготовить сценарий (более подробно об этом будет рассказано ниже); выполнить любую комбинацию перечисленных действий. Жесткий лимит запрещает генерировать новые данные; мягкая квота позволяет записать больше данных и, как правило, используется в качестве триггера для пересылки извещений об исчерпании квоты. В R2 входят шаблоны для типовых сценариев выделения квот, которые можно использовать, копировать и изменять. Следует помнить, что управление квотами происходит в реальном времени; поэтому при превышении квоты внутрипроцессные запросы ввода/вывода могут завершаться отказом.
R2 располагает компонентом для подготовки исчерпывающих отчетов по требованию или по расписанию для конкретных томов, папок или общедоступных дисков. Отчеты можно пересылать по электронной почте в любых форматах, в том числе: Dynamic HTML (DHTML), что обеспечивает динамическую сортировку и даже использование графических элементов; в обычном HTML; XML; в формате с разделением запятыми (CSV) и текстовом.
Полезный компонент фильтрации файлов контролирует в реальном времени папки и тома, указанные пользователем, и выбирает файлы определенных типов (например, аудио, видео, .exe). Компонент фильтрации файлов располагает многочисленными шаблонами для стандартных типов файловых групп, называемых политиками управления хранением данных. Эти политики можно изменять или задавать новые группы файлов по мере необходимости. Аналогично жестким и мягким квотам в Quota Management, можно фильтровать файлы в активном и пассивном режимах. Активный режим блокирует создание файлов; в пассивном режиме выполняются указанные администратором действия, но создание файлов разрешено. Как и в Quota Management, можно назначить действия, выполняемые системой при попытках пользователя копировать файлы определенного типа. Например, пользователь, пытающийся скопировать или записать файл неразрешенного типа, получает сообщение Access is denied, а в журнал событий записывается более подробная информация. Текст в журнале событий полностью настраивается на конкретное применение. С помощью шаблонов проще определить типовые правила фильтрации.
Богатая функциональность
В состав R2 вошло множество новых компонентов, а также усовершенствованы старые. Наличие некоторых из них, таких как механизм репликации DFS, ADFS и Quota Management, может послужить основанием для модернизации операционной системы предприятий, которые пока не перешли на Windows 2003. Будут ли затраты на модернизацию оправданы преимуществами новшеств, зависит от их ценности для ИТ- и бизнес-процессов компании и конечных пользователей. Но независимо от того, готово ли предприятие использовать преимущества новой версии, несомненно, R2 — большой шаг вперед для операционных систем Windows Server.
Джон Сэвилл - Технический директор компании Geniant. Имеет сертификаты CISSP, Security и Messaging MCSE по Windows Server 2003, шесть раз носил титул MVP, инструктор, автор нескольких книг. С ним можно связаться по адресу: john@savilletech.com.
Архитектура ADFS
Базовая архитектура ADFS (Active Directory Federation Services — служба федерализации Active Directory) требует экземпляра Active Directory (AD) или Active Directory Application Mode (ADAM), содержащего учетные данные пользователя. ADFS не заменяет существующий репозитарий учетных записей; она повышает видимость репозитария для других организаций при сохранении полного контроля над ситуацией. ADFS — служба, используемая в основном для подготовки «выписок» (statement) об учетной записи пользователя в форме маркеров безопасности. Для специализированных приложений ADFS заполняет «заявки» (claim), которые представляют собой «выписки» о субъекте безопасности (например, имя пользователя, должность пользователя). На основании «заявок» Web-приложение определяет уровень доступа, предоставляемый направившему запрос пользователю.
ADFS также управляет доверительными федеративными отношениями, разделяемыми с федеративными службами другой организации. Доверительные федеративные отношения — не доверительные отношения в лесу AD; это особый тип доверительных отношений, в котором сертификаты используются для подписей маркеров, пересылаемых между организациями. Доверяющий лес не может использовать федеративное доверие для запроса информации об учетных записях в лесу. Информация через доверительные отношения доступна только в тех случаях, когда конкретный пользователь обращается к Web-службам в доверяющем лесу. При этом открыта только информация об учетной записи, специально оговоренная в рамках доверительных отношений. Серверы федеративных служб в различных организациях никогда не устанавливают связь друг с другом; все соединения происходят через запрашивающего клиента, поэтому не требуется открывать порты, которые должны быть активными при обычных доверительных отношениях между доменами. Процедура создания федеративных доверительных отношений — внешняя; при этом на обоих концах соединения требуется только входной сертификат для учетной записи, который можно переслать по электронной почте или записать на компакт-диск и передать с курьером. Все соединения с клиентом устанавливаются через протокол HTTP Secure (HTTPS, порт 443).
Следующий компонент ADFS, Federation Server Proxy (FSP), в сущности, представляет собой объект, с которым обмениваются данными Web-серверы; он также обеспечивает интерфейс пользователя для Web-клиентов. Благодаря пользовательскому интерфейсу FSP клиентам не нужно устанавливать соединение напрямую с сервером ADFS (то есть с федеративными службами). Связь может осуществляться через посредника ADFS, размещенного в демилитаризованной зоне (DMZ) вместе с серверами Web-приложений. По умолчанию FSP устанавливается во всех федеративных службах. Однако FSP можно установить и без компонента ADFS, чтобы реализовать только функции сбора учетных данных и обратную связь с сервером федеративных служб. Это полезно в ситуациях с DMZ, когда администратор не хочет размещать весь сервер федеративных служб в расширенной корпоративной сети.
Последний компонент ADFS — Web-агент ADFS, работающий на Web-сервере. С помощью Web-агента проводится аутентификация пользователя, строится подходящий контекст авторизации пользователя, обеспечивается интеграция с Authorization Manager, имперсонализация Windows NT и различные виды аутентификации ASP.NET, а также проверка ролей.
Ниже приведен пример сценария, в котором сервер федеративных служб аутентифицирует пользователя. Его этапы проиллюстрированы на рисунке.
- Пользователь с учетной записью в одном лесу пытается обратиться к Web-серверу в лесу другой организации, который связан с первым лесом через федеративные доверительные отношения. Web-агент ADFS на Web-сервере проверяет маркер безопасности пользователя, который пока не существует.
- Поскольку у пользователя нет маркера безопасности, ADFS не предоставляет ему доступ к приложению и перенаправляет пользователя на сервер федеративных служб в лесу ресурсов.
- Сервер федеративных служб в лесу ресурсов выясняет принадлежность пользователя, определяя его домашний лес. Для этого пользователю направляется запрос (через Web-страницу с раскрывающимся списком всех лесов, которым доверяет сервер федеративных служб) или инспектируется резидентный cookie-файл (размещаемый сервером федеративных служб на клиенте после первого успешного соединения).
- После того как будет идентифицирован домашний лес запрашивающего пользователя, сервер ресурсов федеративных служб перенаправляет пользователя на его сервер федеративных служб для дальнейшей обработки.
- Затем проводится аутентификация в локальной службе федерализации пользователя, а та, в свою очередь, аутентифицирует через AD и извлекает из AD информацию для маркера, который будет создан ADFS для передачи в лес ресурсов, пытающийся получить доступ в данный момент. Сервер федеративных служб домашнего леса может назначить различную информацию для разных лесов ресурсов, которые доверяют общей федерации.
- Локальный сервер федеративных служб выдает клиенту маркер, предназначенный специально для леса ресурсов, и перенаправляет пользователя на сервер федеративных служб в лесу ресурсов.
- Сервер федеративных служб проверяет переданный маркер, подтверждает, что его цифровая подпись создана с использованием корректного сертификата, и генерирует собственный локальный маркер, который применяется пользователем для связи с Web-приложением. Сервер федеративных служб перенаправляет пользователя на сервер Web-приложений. Этот процесс аналогичен ссылочным билетам в лесу с несколькими доменами.
- Web-приложение проверяет переданный маркер. Это маркер Security Assertion Markup Language (SAML) 1.1, соответствующий отраслевому стандарту. Web-приложение считывает маркер SAML и разрешает авторизацию для приложения и его контента, в зависимости от указанных в маркере ограничений доступа.
Благодаря федерализации учетные данные пользователя на базе AD могут использоваться в межорганизационных доверительных отношениях с партнерскими компаниями. Главная особенность ADFS в том, что для регистрации в нескольких системах необходима только одна учетная запись пользователя, что значительно повышает доступность информации и защищенность данных. Например, типична ситуация, когда пользователь имеет 10 различных учетных записей для доступа к размещенной в Web информации партнерских компаний или даже одной, своей собственной компании. Синхронизация необязательна, если возможна федерализация. Если сотрудник увольняется из компании, то блокирование одной учетной записи в федеративной среде запрещает какой бы то ни было доступ от имени данного пользователя.