В определенных кругах господствует настороженное отношение к новой операционной системе или серверному продукту Microsoft до тех пор, пока не выпущен первый пакет обновления. Независимо от справедливости этого мнения, оно заставляет многих клиентов откладывать широкое внедрение новых версий до появления пакетов обновления. В результате развертывание новых продуктов замедляется. 25 февраля 2014 года компания Microsoft выпустила пакет обновления 1 (SP1) для Exchange Server 2013. В его состав вошли новые функции и исправления недостатков, не устраненных в предыдущих накопительных пакетах обновления. Пакет SP1 является индикатором успешной работы новой модели обслуживания Microsoft для Exchange. Первые впечатления положительные, но окажется ли эффективность новых функций, усовершенствований и исправлений SP1 достаточной, чтобы убедить потребителей развернуть Exchange 2013? Попробуем ответить на этот вопрос.
SP1 и модель обслуживания
В феврале 2013 года Microsoft объявила об изменении порядка выпуска обновлений Exchange. В блоге «Servicing Exchange 2013» (blogs.technet.com/b/exchange/archive/2013/02/08/servicing-exchange-2013.aspx) группа разработчиков Exchange сообщила, что в рамках новой модели обслуживания плановый выпуск накопительных пакетов обновления будет происходить ежеквартально. Каждый накопительный пакет обновления содержит все исправления, выпущенные после выхода версии RTM. Таким образом, установка новейшего накопительного пакета обеспечит переход от любого предшествующего выпуска Exchange 2013 к новому. Группа разработчиков Exchange также заявляет, что накопительные пакеты обновления могут содержать новые компоненты, в том числе требующие обновлений Active Directory (AD) или схемы базы данных Exchange.
Этой модели обслуживания свойственны свои преимущества и недостатки. Многим администраторам нравится прогнозируемость ежеквартальных обновлений, в то время как другие считают, что столь высокая частота не согласуется с процессами тестирования и развертывания внутри компании. Развертывание еще более усложняется из-за наличия в накопительных пакетах новых функций, так как во многих компаниях действуют политики управления изменениями, определяющие время внесения новых компонентов в существующую среду. Несмотря на эти проблемы, сообщество Exchange в целом, похоже, приняло квартальные выпуски и приспособилось к ним.
Можно считать, что пакет SP1 в действительности представляет собой накопительный пакет CU4. Ведь SP1 — четвертое крупное обновление, выпущенное для Exchange 2013, и как и предыдущие пакеты обновления, оно содержит все исправления, выпущенные после выхода RTM. Таким образом, это явно накопительный пакет. Следующий выпуск после SP1 будет обозначен CU5, и возникает обоснованный вопрос, почему компания назвала этот выпуск пакетом обновления. Несомненно, это связано с упомянутой выше проблемой ожидания пакета SP1.
Качество программного продукта – отдельный вопрос системы накопительных обновлений. Часто в течение прошедшего года компании Microsoft приходилось откладывать или удалять и заново выпускать обновления для Exchange 2013 из-за проблем с качеством. Например, группа разработчиков, вероятно, испытала немалое смущение, когда спустя неделю после выхода SP1 компании пришлось выпустить исправление для SP1, чтобы добиться корректной работы сторонних агентов транспорта SMTP. Исходный текст SP1 содержал ошибку в файле настроек, которая мешала функционированию расширений. Дополнительные сведения об ошибке и ее исправлении можно найти в справочной статье Microsoft «Third-party transport agents cannot be loaded correctly in Exchange Server 2013» (support.microsoft.com/kb/2938053).
Однако несправедливо предположить, что качество принесено в жертву ради ежеквартального выпуска. Кроме того, поскольку тот же программный код используется для Office 365 и локальных установок, компания Microsoft пострадала наравне с другими клиентами из-за ошибки, не обнаруженной в процессе тестирования. Качество пакета CU3 в целом считалось хорошим, и Microsoft доказала, что скорее отложит выпуск обновления для дополнительной проверки, чем предоставит потребителям пакет в срок, но с известными ошибками. На моих тестах пакет SP1 отличался высокой стабильностью. Даже выявленная после выпуска проблема с агентами транспорта вызывала лишь небольшие неудобства и была легко устранена. При развертывании в расположении клиента функциональная стабильность SP1 должна послужить еще одним убедительным доказательством, что Microsoft придает исключительное значение качеству выпусков.
Установка SP1
Загружая пакет SP1, вы заметите, что он очень велик (примерно такого же размера, как новая установка Exchange 2013 RTM). Это объясняется тем, что SP1 можно использовать для обновления на месте любой предыдущей версии Exchange 2013 или чистой установки на новом сервере. Процесс установки функционально идентичен в любом случае, и точно такой же, как процесс установки RTM: программа установки предлагает загрузить необходимые компоненты в ходе длительной предварительной проверки, а затем выполняет установку, которая занимает от 45 до 120 минут.
Прежде чем установить SP1, необходимо учесть, что при этом будут уничтожены любые настройки в файлах конфигурации на серверах. Например, если web.config был настроен таким образом, что пользователи Outlook Web App (OWA) имели доступ к интегрированному клиенту Microsoft Lync, то после установки пакета SP1 эти настройки будут отменены. Убедитесь, что перед установкой подготовлены резервные копии файлов (обычно web.config и EdgeTransport.exe.config).
Если SP1 устанавливается на сервере, содержащем почтовые ящики, то они будут недоступны, пока длится установка. Не обязательно, но все же полезно перевести рядовые серверы в группе доступности базы данных (DAG) в режим обслуживания перед началом обновления. Сделать это можно самостоятельно, но более простой способ — использовать сценарии, например разработанные Майклом ван Хоренбеком (michaelvh.wordpress.com/2013/11/28/script-putting-exchange-server-2013-into-maintenance-mode).
SP1 содержит изменения в схеме базы данных, поэтому при установке будет запущена команда Update-DatabaseSchema для обновления баз данных в каждой группе DAG, но не ранее, чем все серверы в DAG будут обновлены до SP1. В процессе обновления проверяются три параметра каждой базы данных: MinimumSupportedDatabaseSchemaVersion, MaximumSupportedDatabaseSchemaVersion и RequestedDatabaseSchemaVersion. Установка накопительного пакета или пакета обновления может обновить MaximumSupportedDatabaseSchemaVersion (если этот пакет содержит обновление схемы) и RequestedDatabaseSchemaVersion. Если значение RequestedDatabaseSchemaVersion больше значения CurrentSchemaVersion, то база данных должна быть обновлена при следующем подключении, если все рядовые серверы в группе DAG имеют правильную версию программного кода. Более подробно о практической реализации рассказано в блоге группы разработчиков Exchange «Exchange 2013 database schema updates» (blogs.technet.com/b/exchange/archive/2014/01/13/exchange-2013-database-schema-updates.aspx).
Не существует твердых правил, определяющих очередность обновления серверов. Судя по опыту, сначала следует обновить выделенные серверы клиентского доступа (если имеются), в том числе гибридные серверы, используемые для связи с Office 365, а затем обновить группы DAG, все разом или по очереди.
Одной из особенностей, отмеченных в ходе бета-тестирования SP1, оказалось то, что в некоторых обстоятельствах транспортные службы Exchange не перезапускаются корректно после установки пакета обновления. Транспортные службы можно перезапустить вручную. Но есть и другое решение: хотя пакеты обновления Exchange не требуют перезагрузки серверов после обновления, как правило, это полезно сделать. В таком случае не потребуется перезапускать службы вручную.
Незаметные изменения
Как и у любого пакета обновления, основное назначение SP1 — устранение существующих ошибок. Компания Microsoft не всегда выпускает список всех исправлений в накопительном пакете для Exchange, но для SP1 подготовлена справочная статья «Description of Exchange Server 2013 Service Pack 1» (support.microsoft.com/kb/2926248). Список очень интересен, хотя большинству администраторов важны лишь несколько перечисленных исправлений. Если проблема не вызывает неудобств, то ее исправление вполне может пройти незамеченным.
Есть две категории «невидимых» изменений в SP1, они относятся к поддержке Office 365. Microsoft открыто представила свои планы по первоочередной реализации новых функций Exchange в Office 365, поэтому некоторые изменения SP1 связаны с пока не объявленными и не включенными компонентами. Например, в январе 2014 года группа разработчиков Office 365 объявила, что новые компоненты для OWA, известные как представление «Люди», будут выпущены «в течение нескольких следующих месяцев». Программный код представления «Люди» — очевидно, часть базы кода OWA, поэтому разумно предположить, что код вошел в SP1, даже если компонент пока не готов для локальных серверов Exchange. Другая категория незаметных изменений в SP1 относится к изменениям компонентов или исправлениям ошибок, относящихся исключительно к операциям и взаимодействию Office 365. Поскольку Microsoft управляет Office 365, эти изменения не открыты администраторам напрямую.
Новые возможности SP1
Разработчики SP1 нашли баланс между компонентами, которые будут интересны администраторам, и предназначенными для конечных пользователей. Некоторые новшества можно было легко прогнозировать (например, поддержка Windows Server 2012 R2), тогда как другие вызывают удивление.
Один из сюрпризов — появление нового компонента с условным названием Alchemy, который правильнее называть MAPI over HTTP. Обратите внимание, что «RPC» не входит в это название. При активном MAPI over HTTP, Outlook 2013 SP1 и более новые клиенты могут подключаться к серверам Exchange 2013 SP1 (и Office 365) по протоколу HTTP Secure (HTTPS) с туннелированным Messaging API (MAPI). В отличие от удаленного вызова процедуры (RPC), HTTPS надежно работает в низкокачественных и мобильных сетях, что видно по хорошей производительности Exchange ActiveSync (EAS) и веб-служб Exchange. Переподключение также выполняется быстрее. Кроме того, благодаря отказу от RPC значительно упрощается диагностика. Не требуется туннелировать RPC-трафик, значит не нужно никаких обходных путей для доставки RPC-трафика через различные брандмауэры.
Outlook 2013 SP1 и последующие версии передают новый заголовок в запросах автообнаружения. Если сервер поддерживает MAPI over HTTP и активен, то манифест автообнаружения будет содержать URL-адрес нового виртуального каталога emsmdb и запрос для пользователя на перезапуск Outlook. После перезапуска профиль Outlook пользователя будет обновлен для использования этого виртуального каталога в качестве конечной точки.
К недостаткам, по мнению специалистов Microsoft, относится увеличение полосы пропускания, используемой MAPI over HTTP в целях повышения производительности. Однако не сообщается, насколько увеличиваются требования к пропускной способности и как возрастает производительность. Нам предстоит выяснить, как эта функция повлияет на реальное развертывание.
Чтобы воспользоваться преимуществами MAPI over HTTP, необходимо задействовать этот метод в компании с помощью команды Set-OrganizationConfig. MAPI over HTTP нельзя включить для отдельных серверов. Вероятно, главный недостаток заключается в том, что после активации компонента перед подключенными пользователями Outlook возникает диалоговое окно с предложением перезапустить Outlook, так как администратор Exchange изменил настройки. Это наверняка повлечет за собой обращения в службу поддержки и недовольство пользователей. По этой причине я ожидаю, что внедрение MAPI over HTTP будет довольно медленным, пока не будут собраны дополнительные данные о его характеристиках. Если вы решите задействовать компонент, обязательно прочитайте информацию о выпуске для серверов, обновленных до версии SP1 от уровня предыдущего накопительного пакета обновления. Дополнительную информацию о MAPI over HTTP можно найти в статье Тони Редмонда «Exchange Server 2013 Transitions from RPC to HTTP» (http://windowsitpro.com/exchange-server-2013/exchange-server-2013-transition-rpc-http).
В SP1 существует несколько компонентов, которые понравятся компаниям, использующим конкретные специализированные функции Exchange.
- Для компаний, которые в своей работе полагаются на безопасность Secure MIME (S/MIME), OWA позволяет создавать и получать сообщения, зашифрованные и подписанные с использованием алгоритма S/MIME. Это особенно заинтересует организации, которые стремятся защитить электронную почту от государственного наблюдения или администраторов-злоумышленников (собственных или поставщика услуг размещения), так как S/MIME шифрует почтовые сообщения при отправке и сохраняет их зашифрованными при транспортировке, маршрутизации и хранении.
- OWA и Центр администрирования Exchange (EAC) теперь поддерживают использование службы федерации Active Directory (ADFS) с проверкой подлинности на основе утверждений. Это может показаться излишне сложным, но результат — возможность использовать OWA и EAC с двухфакторной проверкой подлинности (в том числе со смарткартами и сертификатами) через этот механизм.
- Компания с несколькими лесами AD теперь может синхронизировать их с одним клиентом Office 365. Синхронизация каталогов «многие к одному» возможна уже в течение некоторого времени, но теперь поддерживается полностью.
В пакете SP1 появилось несколько новых компонентов для конечных пользователей.
- В OWA появился редактор форматированного текста. Как показано на экране 1, пользователи могут вставлять таблицы, изображения и другие типы контента в сообщения электронной почты.
- OWA может работать в автономном режиме при использовании версий Mozilla Firefox, совместимых с механизмом кэша приложений HTML5 (AppCache).
- Некоторые типы программ Office теперь можно использовать в окне подготовки сообщений OWA.
Экран 1. Новый текстовый редактор в?OWA |
Вероятно, в SP1 есть другие встроенные функции (такие как упомянутое выше представление «Люди»), которые пока не объявлены или не активизированы. Со временем мы выясним это.
Два возвращенные компонента
Некоторое время тому назад Microsoft объявила о возвращении роли пограничного транспортного сервера и, конечно, она вошла в состав SP1. Набор компонентов версии Exchange 2013 такой же, как в версии Exchange 2010, но он обновлен для работы с механизмом транспортировки Exchange 2013.
В настоящее время сравнительно немногие клиенты развернули роль пограничного транспортного сервера в среде Exchange 2010. Причина проста: существует много превосходных серверов и служб для борьбы со спамом и вредоносными программами (в том числе Microsoft Exchange Online Protection), и роль пограничного транспортного сервера не обладает никакими особо привлекательными качествами, чтобы отвлечь клиентов от других решений. Однако с появлением Office 365 возникла одна чрезвычайно интересная возможность: пограничный транспортный сервер можно поместить между локальными серверами Exchange 2013 или Exchange 2010 и Office 365. Компания Microsoft не поддерживает стороннюю санацию сообщений или серверы ретрансляции между локальными «облачными» серверами в гибридной среде Exchange, но можно разместить пограничный транспортный сервер между локальными серверами и «облаком» и использовать его функции транспортировки, фильтрации, сканирования и маршрутизации для входящих и исходящих почтовых сообщений. Это очень важно для компаний, которым необходимо фильтровать и обрабатывать почту в сети периметра. Можно ожидать, что роль пограничного транспортного сервера 2013 очень скоро найдет применение в гибридной корпоративной среде.
Другой компонент, который возвращен в пакете SP1 – журнал команд консоли Exchange(EMS) в EAC. Журнал — удобный способ увидеть, какие команды EMS выполняются при определенных действиях в EAC. Это полезное средство аудита и обучения. Например, журнал на экране 2 показывает, что было выполнено несколько команд Get, наряду с некоторыми явными командами, запущенными в результате действий администратора в EAC. По умолчанию журнал содержит последние 500 выполненных команд и обновляется, пока EAC открыт. Закрытие сеанса EAC приводит к удалению информации журнала.
Экран 2. Журнал команд консоли Exchange (EMS) в EAC |
Усовершенствования компонентов
В существующие компоненты внесено сравнительно немного улучшений, но изменения в компоненте защиты от потери данных (DLP) и группах DAG достойны упоминания.
DLP. Механизм DLP дополнен новым набором правил для большего числа регионов и стран. Кроме того, теперь можно передать на сервер шаблон документа (например, форму заказа или историю болезни) и использовать в качестве «отпечатков пальцев», с помощью которых система DLP может распознавать потенциальные утечки конфиденциальной информации.
Еще одно улучшение DLP — возможность OWA отображать подсказки политики. Таким образом OWA согласуется с Outlook 2013, поэтому пользователи, которые не хотят или не могут задействовать Outlook 2013, могут получать уведомления DLP. Поскольку приложения Outlook Web App для устройств преобразуют содержимое для просмотра с использованием серверного механизма OWA, эти клиенты могут также отображать подсказки политики. Дополнительные сведения о DLP приведены в статье Тони Редмонда «Exchange Server 2013 Data Loss Prevention» (http://windowsitpro.com/exchange-server-2013/exchange-2013-data-loss-prevention).
Группы DAG. Теперь можно сформировать группу DAG, с которой не связан IP-адрес, имя кластера или имя сети. Вряд ли такое решение будет пользоваться популярностью в ближайшем будущем, так как нельзя преобразовать существующий DAG в безымянный (или наоборот). Кроме того, такую группу DAG можно создать, только если все рядовые серверы работают с операционной системой Server 2012 R2. Удаление административной точки доступа из групп DAG таким способом означает, что более не требуется предварительного назначения IP-адресов или объектов имени кластера (CNO) и не нужно думать о том, в какой подсети находится данный сервер, если DAG охватывает несколько подсетей. Кроме того, устранена зависимость от CNO, и повреждение или удаление CNO не повлияет на кластер или DAG, к которой он относится.
Еще одно улучшение — в группах DAG теперь можно использовать динамический свидетель и динамический кворум из Server 2012 R2, как подробно объясняет сотрудник Microsoft Скотт Шнолль в своем блоге «Windows Server 2012 R2 and Database Availability Groups» (blogs.technet.com/b/scottschnoll/archive/2014/02/25/database-availability-groups-and-windows-server-2012-r2.aspx). Server 2012 R2 по умолчанию включает динамический свидетель и динамический кворум на создаваемых объектах отказоустойчивого кластера Windows, поэтому создание новой группы DAG на серверах Server 2012 R2 приводит к автоматическому использованию этих функций в Exchange. Exchange 2013 SP1 также будет задействовать новый метод, применяемый в Server 2012 R2 для обнаружения зависшего кластера, который должен быть перезапущен.
Другое заметное новшество, относящееся к DAG – метод для определения момента времени, когда нужно усечь журнал транзакций. Он известен как свободное усечение (loose truncation) и предназначен для использования в случаях, когда один экземпляр базы данных в DAG переходит в автономный режим. В Exchange 2013 и Exchange 2010 активному экземпляру базы данных не разрешено усекать журналы транзакций, если один или несколько пассивных экземпляров базы данных приостановлены. Все пассивные экземпляры продолжат накапливать журналы, пока существует активный экземпляр. Поэтому наличие пассивного экземпляра в автономном режиме в течение длительного времени может привести к нехватке места на диске. В режиме свободного усечения (по умолчанию он отключен) можно перейти к способу, более похожему на циклическое ведение журнала в предыдущих версиях Exchange. Каждый экземпляр ведет собственный набор журналов, усекая их по мере необходимости, когда остается мало места на диске, но при этом учитываются настройки свободного усечения, определяющие минимальное число сохраняемых журналов. На сайте TechNet дано подробное объяснение механизма свободного усечения в статье «Managing Mailbox Database Copies» (technet.microsoft.com/en-us/library/dd335158%28v=exchg.150%29.aspx).
Качественный выпуск
Одно из важных преимуществ новой модели обслуживания — возможность тестировать программные обновления в Office 365 перед предоставлением локальным пользователям. Перед официальным выпуском пакет SP1 уже работал с Office 365 в течение довольно длительного времени. Кроме того, предварительный код SP1 был внедрен в нескольких компаниях, участвующих в программе бета-тестирования Technology Adoption Program (TAP). Первые впечатления вполне благоприятные, и это замечательно, учитывая, что многие клиенты обычно дожидаются выхода SP1 перед развертыванием нового выпуска. Совместимость с Server 2012 R2, новые возможности защиты от потери данных и роль пограничного транспортного сервера также помогут разблокировать развертывание для некоторых клиентов. В целом, пакет SP1 — добротный функциональный выпуск, и если его качество будет подтверждено, то внедрение Exchange 2013 должно пойти быстрее.