Как известно, многие компании не перешли с Windows Server 2003 даже после наступления даты окончания официальной поддержки поставщика. Что же такое важное заставляет их продолжать работать с более чем 14-летней устаревшей серверной операционной системой? А ответ простой — потому что она все еще нужна. Процессы миграции могут иметь негативные последствия и сложны сами по себе, и просто сам факт того, что появилась новая версия чего-либо, не вызывает у пользователей желания переходить к ней. Если сервер делает то, что от него требуется, совершенно не обязательно переход на новую версию операционной системы позволит ему выполнять свои обязанности еще лучше. Скорее всего, у вас просто появится больше возможностей или вы сможете делать что-то, что до этого не могли. Чаще всего инструмент выбирают такой, который будет делать то, что от него требуется. И даже когда появляется усовершенствованный инструмент, на деле нет особого смысла отказываться от первоначального.
К тому же, если разобраться, то не все серверы с Windows Server 2003 устанавливались в один день именно 14 лет назад, поэтому не все они такие уж старые с точки зрения аппаратной платформы. Например, хотя версия Windows Server 2012 R2 существует уже более 4 лет, несколько месяцев назад я вынужден был установить версию Windows Server 2008 R2, поскольку она требовалась для клиентского приложения, которое еще не поддерживалось производителем на версии 2012. Поэтому некоторые серверы с 2003 на самом деле имеют возраст 6-8 лет. Я никогда не мог убедить клиентов установить операционную систему просто из-за ее новых функций, они разворачивали ее, только когда наступал подходящий момент поменять оборудование, а для малого бизнеса это и наиболее экономичный путь.
Обновление и замена серверов
Как показывают данные о числе серверов с работающей по сей день версией Server 2003, достаточное количество компаний придерживаются при развертывании серверов принципа «работает — не трогай». Другой подход подразумевает развертывание новой версии как можно быстрее и устранение возникающих проблем уже в процессе эксплуатации. Первый подход в большей степени свойственен тем, кого называют системными администраторами, а второй в значительной мере характеризует позицию разработчиков программ.
Можно привести грубую метафору для описания разницы в подходах: системные администраторы хотят построить мост и поддерживать его в рабочем состоянии десятилетия, а разработчики используют мост только до тех пор, пока не появится новая версия моста. Подход системных администраторов не годится для компании, которая живет за счет продаж лицензий на новые версии серверной операционной системы. Автомобильные компании не приходят в восторг, когда люди покупают автомобиль и надеются проездить на нем не менее 20 лет.
Как полагают некоторые, снижение внимания Microsoft к нуждам системным администраторов стало наблюдаться после анализа компанией того факта, что многие сотрудники компаний, отвечающие за работу серверов, склонны тратить деньги на новые серверные продукты как можно реже. Разработчики же, в противоположность им, имеют репутацию любителей новинок и с большим энтузиазмом относятся к проведению обновлений.
Когда в 2020 году для Windows Server 2008 и 2008 R2 завершится срок поддержки, мы все снова окажемся на знакомом перекрестке. Будет огромное число компаний, которые довольны работой имеющегося продукта, пусть ему уже на тот момент будет более десяти лет. То есть тех, кто рад продолжать использовать мост, пока он остается надежным и безопасным, пусть даже его дизайн отстает от новых веяний на пару поколений
Слухи о смерти Windows Server 2003 сильно преувеличены
Неудобная правда заключается в том, что огромное число серверов, на которых запущен Windows Server, все еще жужжат в серверных комнатах и центрах обработки данных, даже спустя месяцы после окончания поддержки их операционной системы. Часто на конференциях я прошу слушателей поднять руки, у кого в компании есть хоть один производственный сервер с Windows Server 2003, и иногда до трети аудитории выполняют мою просьбу. Пока я писал статью об окончании поддержки Windows Server 2003, мне часто задавали вопросы на данную тему, и я понял, что для многих пользователей эта операционная система все еще предмет ежедневных забот.
Общаясь с пользователями на конференциях, я разрешил многие свои сомнения. Прежде всего, большинство системных администраторов уже давно желают отказаться от использования Windows Server 2003, но руководители компаний не считают эту проблему приоритетной. До тех пор пока операционная система сама по себе не перестанет работать, никакие миграции не будут осуществляться, и начнутся они, только когда компания будет готова, но никак не с наступлением срока окончания поддержки, воспринимаемого как произвольно назначенный.
Отсутствие плана перехода с Server 2003
Многие компании, все еще использующие Windows Server 2003, по-прежнему не имеют твердых планов относительно сроков и способов перехода на другую версию операционной системы.
Планы отсутствуют, потому что компании не знают, когда будет совершен переход от Server 2003. Они не знают, когда произойдет миграция, потому что серверы с этой операционной системой по-прежнему функционируют, и поскольку это положение сохранится в обозримом будущем, руководство хочет или нуждается в том, чтобы ИТ-специалисты занимались решением других задач.
Многие компании применяют подход, известный как «системное администрирование проблем», то есть системное администрирование заключается исключительно в реагировании на события, без попыток упреждающих действий. Вы решаете задачи, влияющие на производственную деятельность сегодня, но не те, которые могут определять будущее.
Многие компании, для которых ИТ не являются основным приоритетом, относятся к серверной инфраструктуре так же, как к сантехнике, кондиционерам и другому оборудованию, необходимому, но не играющему ключевой роли в бизнесе. Руководители, ответственные за принятие решений, делят затраты на ИТ на необходимые и необязательные. Когда бюджет ограничен, замена исправно функционирующего продукта на другой продукт, который будет выполнять ту же задачу, рассматривается как роскошь, а не как необходимость.
Windows Server 2003 в 2017 году
Недавно мне довелось участвовать в одном мероприятии. На каждой встрече я проводил опрос аудитории, чтобы выяснить, многие ли все еще используют Server 2003 в своей компании. Каждый раз 30-40% присутствующих поднимали руки.
Следом я задавал вопрос, действительно ли кому-то нравится работать с Server 2003. Ни одной поднятой руки. Затем я спрашивал, существуют ли факторы вне контроля ИТ-подразделений, препятствующие миграции. И вновь 30-40% присутствующих поднимали руки. Далее я интересовался, сколько компаний имели соглашения о технической поддержке Server 2003. К моему удивлению, очень немногие пользователи, работающие с Server 2003, позаботились о поддержке операционной системы.
Так что нечего удивляться, что и в этом году некоторые компании будут работать с Server 2003. С позиций руководства Windows Server 2003 «просто работает». Все текущие поставщики средств виртуализации поддерживают Windows Server 2003, то есть, в отличие от предшествующих операционных систем, она не выйдет из употребления из-за износа оборудования или отсутствия драйверов устройств. Возможно, на каком-то этапе в будущем продукты виртуализации перестанут функционировать с Server 2003, но, учитывая, что Hyper-V в Server 2012 R2 позволяет запускать виртуальные машины Server 2003, а Server 2012 R2 будет поддерживаться компанией Microsoft до 2023 года, я не уверен, что количество экземпляров Server 2003 значительно сократится в обозримом будущем.
Думаю, если мне удастся спросить посетителей той же конференции в этом году, имеется ли в их компании хотя бы один экземпляр Server 2003, то от 15 до 20% присутствующих ответят утвердительно. Вероятно, пройдет несколько лет, прежде чем число компьютеров с Server 2003 станет настолько малым, что его можно будет игнорировать как статистическую погрешность.
Платная поддержка Windows Server 2003
Компании, в которых все еще работают серверы с Windows Server 2003, могут рассчитывать на платную поддержку от Microsoft и получать обновления для операционной системы. Но нужно иметь в виду, что если вы заключите такой контракт на поддержку и получите нужные обновления, то не сможете использовать для их развертывания службу Windows Update. Вам придется задействовать другие средства для обновления систем с Windows Server 2003. Что-то подобное было реализовано военно-морским флотом США, когда Microsoft было уплачено 9 млн. долл., и компания обеспечила поддержку для устаревшей Windows XP.
Сколько будет стоить такая особая поддержка для вашей компании? Это зависит от многих факторов. Я полагаю, в данном случае нет установленных расценок. Вам придется вести переговоры с представителями Microsoft, а они прежде всего попробуют уговорить вас прекратить использование Windows Server 2003, так что, скорее всего, эта поддержка вам «влетит в копеечку». Как я уже отмечал выше, на одной конференции из нескольких сотен слушателей 30-40% подтвердили, что все еще применяют Windows Server 2003 в своих сетях. Но в ответ на вопрос, кто из использующих эту версию операционной системы имеет контракт на ее поддержку, руки подняли всего несколько человек. Судя по всему, большинство из тех, кто еще работает с системами на базе Windows Server 2003, делает это без поддержки, что может иметь для них последствия в виде, например, несоответствия отраслевым требованиям.
План необходим
Как бы сильно вы ни хотели избавиться от старых систем, просто сказать «пропадите вы пропадом» недостаточно, нужен реальный план по выводу серверов Windows Server 2003 из рабочей среды, и к его разработке следует приступить как можно скорее. Прежде всего, надо определиться с тем, что реально требуется сделать. Тот факт, что такие серверы до сих пор остались в вашем центре обработки данных, говорит о том, что избавиться от них не так-то просто. И процесс извлечения Windows Server 2003 из рабочей среды подобен финальной схватке с самым сильным противником на самом последнем уровне сложности в компьютерной игре. Чтобы одолеть такого мощного противника и получить все причитающиеся победителю награды, нужно иметь стратегию ведения поединка.
Есть и другая причина, почему вам нужен план. Если вы хотите заключить пользовательское соглашение о поддержке с компанией Microsoft, вам понадобится подготовить план миграции с Windows Server 2003, в случае же его отсутствия Microsoft не будет заключать договор с вашей компанией.
В план нужно включить следующие действия:
- оценка ресурсов, которые необходимо перенести в новую среду;
- способ переноса ресурсов, а также выбор платформы, на которую будет выполняться перенос;
- период времени, за который нужно выполнить миграцию.
Если же вы не знаете, какие ресурсы необходимо перенести, не выбрали способ переноса и у вас нет определенности со сроком выполнения миграции, придется признать, что план у вас отсутствует.
Чем скорее, тем лучше
Все, кто работает с системами на базе Windows Server 2003, должны в какой-то момент все же осознать, что эксплуатация серверов с операционной системой Windows Server 2003 не может продолжаться вечно. Когда-то все эти серверы придется «отправить на пенсию», и чем скорее, тем лучше.
Из той информации, что мне удалось собрать, я могу заключить, что администраторы серверов тех компаний, где все еще используется Windows Server 2003, с радостью бы от них избавились, но руководство не желает тратить ресурсы на решение этой проблемы. Другие администраторы, когда я спрашивал их, говорили, что их руководство придерживается позиции, что пока системы с Windows Server 2003 работают, нет необходимости в их замене, до тех пор пока не останется другого пути.
Есть еще мнение, что изменился и сам процесс функционирования и соответственно износа серверов. И проблемой для многих компаний является то, что износ серверов с Windows Server 2003 происходит совершенно по-другому, если сравнивать с серверами версии Windows 2000 или даже Windows NT 4. Большинство серверов с версией Windows NT4 Server были развернуты как физические серверы. А большая часть серверов с работающей версией Windows Server 2003 сегодня запущены как виртуальные машины. Нет нужды говорить, что виртуальные машины не страдают от эффекта физического старения аппаратного обеспечения в той же мере, что физические серверы с развернутой на них версией Windows Server 2003. И тем ИТ-специалистам, которые ждут момента, когда сервер сломается, чтобы только потом заменить его, придется ждать довольно долго.
Рассмотрим альтернативы
Для большинства специалистов отказ от Windows Server 2003 означает миграцию на новую версию Windows Server. Но бывает, что вместо обновления до Windows Server 2012 R2 или 2016 в некоторых компаниях рассматривают и другие варианты, например новую операционную систему или автономное аппаратное устройство. Недаром ведь Microsoft «заигрывает» с другими операционными системами в силу необходимости учитывать гетерогенные архитектуры. И сегодня намного легче, чем раньше, интегрировать решения другого производителя, например на базе Linux, или фирменные аппаратные устройства в сети Microsoft.
Но прежде чем внедрять альтернативные решения, ИТ-специалистам компании следует четко понимать, почему именно их компания избавляется от Windows Server 2003. Только после получения ясного представления о причинах отказа от Windows Server 2003 можно определить, будут ли существующие вне экосистемы продуктов Microsoft альтернативные решения соответствовать требованиям компании. Большой ошибкой многих компаний, которые переходят на альтернативные решения, является очень приблизительное понимание того, что именно делает продукт, которые они использовали прежде. Они переходят на альтернативное решение и неожиданно узнают, что некоторые имевшиеся ранее и неучтенные при переходе критически важные функции стали недоступны, поскольку в альтернативном решении они не реализуются.
Другим недостатком замены операционных систем Microsoft альтернативными решениями является необходимость для системных администраторов компании изучать новую технологию, погружаясь в нее хотя бы для облегчения предстоящего перехода. У сторонних разработчиков есть инструменты для оказания помощи в осуществлении миграции, будь то перенос корпоративного приложения на другую серверную систему во внутренней сети или реализация его с помощью «облачных» служб.
Давайте рассмотрим для примера варианты переноса нескольких серверов Windows Server 2003 на Linux, а затем миграцию существующего файлового сервера на сервер Samba.
Замена Windows Server 2003 на Linux
В тех компаниях, где на серверы с операционной системой Windows Server 2003 возложен ограниченный круг задач и в которых есть подготовленные нужным образом системные администраторы, имеет смысл запустить некоторые серверы с вариантами операционной системы Linux, а не новой версии Windows Server. Например, вместо миграции сервера DHCP на базе Windows Server 200 на новую версию 2016 реализовать решение с поддержкой службы DHCP сервером Linux.
Идея замены сервера Microsoft на какою-либо разновидность Linux отвергалась с порога еще лет десять назад, однако обращало на себя внимание то, что многие инструменты для управления несколькими серверами, вроде Chef и Puppet, были способны управлять одновременно как серверами Linux, так и Windows. Да и сами разработчики Microsoft работают над возможностями PowerShell по взаимодействию с Linux, так что можно выдвинуть предположение, что когда-то в обозримом будущем будет возможно использовать компонент PowerShell под названием Desired State Configuration для настройки работающих серверов Linux таким же образом, как это делается для настройки операционной системы Windows Server.
Ключом к успеху реализации варианта по замене служб, хостируемых на серверах с операционными системами Microsoft, на службы, хостируемые на серверах с операционной системой Linux, является способность имеющейся команды системных администраторов управлять серверами на базе Linux. Если такие обученные администраторы в ИТ-подразделении есть, то данный вариант перехода имеет смысл. Если же дело обстоит не так, то для компании более уместным будет переход к Windows Server 2012 R2 или 2016.
Samba вместо файлового сервера
Чаще всего сервер с работающей на нем операционной системой Windows Server 2003 используется как файловый сервер. Если ваша компания не заинтересована в обновлении до последней версии Windows Server, то можно рассмотреть возможность реализации службы общего доступа к файлам на базе сервера Samba на Linux. У производителя есть отличная документация по всем этапам, необходимым для добавления файлового сервера Samba на Linux в существующий домен. Кроме того, большинство компаний не тратят много времени на настройку расширенных свойств и функций файловых серверов. Если компании требуются по большей части самые простые возможности файлового сервера, то вариант с заменой файлового сервера на Windows Server 2003 сервером Samba на Linux вполне подойдет. К тому же Microsoft участвует в проекте по разработке программного обеспечения с открытым кодом для Samba, что, возможно, даст ей новые пути взаимодействия с другими разработчиками, и я не удивлюсь, если интеграция Samba на Linux с сетями на базе Windows со временем станет еще проще.
С помощью контроллеров домена на базе Samba возможно также создание собственного домена. Насколько это практично, зависит от тех функций службы каталогов Active Directory, которые применяются в вашей компании. Samba реализует только самые базовые из них, и если в компании используются расширенные возможности Active Directory, то системным администраторам придется поддерживать в сети еще и контроллер домена на базе Windows Server.
Нужен ли компании контроллер домена?
При рассмотрении вопроса перехода от Windows Server 2003 к новой версии ИТ-подразделения следует решить вопрос о том, нужны ли компании локальные контроллеры домена. В прошлом небольшим предприятиям контроллер домена нужен был для аутентификации пользователей с их учетными записями для получения доступа к файловому серверу, почтовым ящикам на сервере Exchange Server и хранящимся на сервере ресурсам SharePoint. Сегодня большинство этих ресурсов доступны в «облаке», например в Office 365, и многим небольшим компаниям больше не требуется локальное решение для доступа к электронной почте, сайтам SharePoint, да и Exchange Server уже локально в таких компаниях практически нигде не хостируется.
Многие компании при рассмотрении вопроса миграции решают перенести все службы в «облако». Это особенно важно для тех компаний, которые развернули в свое время какую-либо версию набора серверных приложений Small Business Server. Так как новой версии для Small Business Server просто нет, то большинство решает перейти на Office 365 и использовать общедоступные версии SharePoint и Exchange.
Переход на использование общедоступных сетевых служб взамен служб в локальной сети имеет смысл, если учесть, что большинство малых предприятий предоставляют своим сотрудникам переносные компьютеры, а не традиционные настольные. Если персонал компании чаще использует компьютеры вне локальной сети, то модель с процедурой регистрации в домене, которая пришла из тех времен, когда большинство компьютеров стояло на столах в офисе, становится не очень удобной. Так что нужно теперь учитывать и это.
А нужна ли централизованная регистрация в домене?
Для определения того, нужно ли отказаться совсем от контроллера домена Windows Server 2003 или все же обновить его, следует ответить на вопрос: а нужна ли компании централизованная регистрация пользователей на контроллере домена, расположенном в ее локальной сети? Ответ на этот вопрос зависит во многом от модели доступа к ресурсам в компании. Централизованная регистрация необходима при предоставлении пользователям доступа к локальным ресурсам компании, например к Exchange Server, файловому серверу или SharePoint. Если компания планирует или уже начала перенос таких ресурсов в «облако» либо перенесла некоторые ресурсы в «облако», доводы в пользу локального контроллера домена становятся намного слабее. Тем более в том случае, если компания практически не использует групповые политики.
Попробую пояснить. Одной из не слишком заметных функций Windows 10 является возможность выполнения объединения доменов с «облачной» службой каталогов, или Azure Active Directory Domain Join. Вместо регистрации в системе Windows 10 с традиционной доменной учетной записью или с персональной учетной записью Microsoft, например с учетной записью на outlook.com, возможно выполнение регистрации с учетной записью Azure Active Directory, например с одной из учетных записей для Office 365. То есть вместо отдельной регистрации в Office 365 регистрация происходит в тот момент, когда пользователь регистрируется на своем компьютере. После этого доступ к Exchange Online и OneDrive for Business происходит автоматически. Учтите также, что Microsoft намеревается реализовать возможность управления устройствами в Office 365.
Если компания имеет подписку на Office 365 и развертывает системы Windows 10, то для нее имеет смысл избавиться от локальных контроллеров домена. Вне зависимости от того, есть ли локальные ресурсы, доступом к которым вы хотите управлять с помощью доменной учетной записи. Если же компания имеет солидную инфраструктуру файловых серверов, то для нее избавление от контроллеров домена не имеет смысла. Но если вы долго думаете над тем, какие локальные ресурсы требуют доменной учетной записи, возможно, вам следует рассмотреть вопрос об исключении локальной службы каталогов из уравнения.
Избавление от централизованной локальной регистрации скорее имеет смысл для небольших компаний, чем для крупных, имеющих распределенную сетевую инфраструктуру. В таких сетях всегда найдется место локальной службе каталогов Active Directory, эта служба всегда будет заботой для крупных и средних компаний, но маленькие компании в кои-то веки смогут выключить этот надоевший ящик, который жужжит в комнате отдыха или под столом секретаря.
Azure AD — не «облачный» контроллер
По поводу того, что может и чего не может служба каталогов Azure AD, существует недопонимание, в том числе по поводу ее способности выступать в роли контроллера домена, расположенного в «облаке». В настоящее время она не может этого делать. И хотя вы можете подсоединять компьютеры с Windows 10 к Azure AD, это не делает ее полноценной заменой контролеру домена. Самое очевидное отличие состоит в том, что Azure AD не поддерживает объекты групповой политики, GPO. Другое отличие в том, что в Azure AD хранится только подмножество всех атрибутов, которые хранятся в локальной среде AD. При подсоединении локальной службы каталогов AD к Azure AD только часть ее атрибутов реплицируется в «облако». Вполне логично предположить, что число атрибутов, доступных в Azure AD, будет расти, но столь же резонно заявить, что вряд ли когда-либо будет достигнуто полное соответствие между атрибутами, доступными в Azure AD, и атрибутами, имеющимися в локальной службе AD.
Большинство компаний не формируют отдельный экземпляр Azure AD для своих нужд. Хотя это и можно реализовать, по большей части служба Azure AD используется как внутренняя при развертывании Office 365 и Microsoft Intune. Наличие такого экземпляра имеет смысл при подключении компьютеров компании к Azure AD при развертывании Office 365 в целях упрощения интеграции между Windows 10, Office 365 и, возможно, Microsoft Intune. Сегодня сложно сказать, получит ли Azure AD функции типа GPO, скорее всего, нечто подобное параметрам управления, которые реализуются средствами локальной групповой политики, будет реплицироваться через подобные Intune службы.
Незаметный ИТ-отдел
Как уже упоминалось, я не встречал ИТ-специалиста, довольного тем, что в его сетевой среде все еще используется Windows Server 2003. Но руководство не выделяет ресурсов для выполнения миграции. ИТ-специалисты ясно понимают причины, почему им необходимо отказаться от Windows Server 2003, и осознают, что в работе со столь старой и неподдерживаемой производителем операционной системой ничего хорошего нет. Они работают с ней не потому, что настолько привержены Windows Server 2003, а потому, что выполнение миграции требует ресурсов, которые им не выделяют.
Последнее десятилетие характеризуется снижением влияния ИТ-отдела при принятии решений в компаниях. И, я думаю, это не по вине ИТ-отдела. ИТ-специалисты видят риски, связанные с применением каждой технологии, и понимают, что само их предназначение состоит в ограничении влияния этих рисков на компанию, в которой они работают. Все последнее десятилетие многие крупные ИТ-компании пропагандировали идею, что у них есть особый подход к ИТ и они обладают всем необходимым для снижения рисков от использования тех или иных технологий в бизнесе. Они с уверенностью убеждали нетехнических руководителей, что у них развернута своя надежная инфраструктура, что они избавят компании от всех трудностей работы с ИТ, надо просто заплатить провайдеру «облачных» услуг. Такой аргумент помогает им продавать подписки на «облачные» службы, но он же намекает на то, что к ИТ-специалистам прислушиваться не нужно.
Те же самые представители ИТ-компаний объясняют «нетехническим» сотрудникам, что они смогут пользоваться своими дорогими переносными компьютерами на работе без всякого присмотра со стороны ИТ-отдела, что намного удобнее хранить конфиденциальные документы в общедоступном «облачном» хранилище и что пользователи смогут отправлять такие конфиденциальные документы через бесплатные почтовые службы, а не с помощью серверов Exchange, на которых настроены политики предотвращения утечек конфиденциальной информации Data Loss Prevention. Так последние десять лет крупные ИТ-компании приучали нетехнических пользователей к тому, что они могли бы делать все, что им заблагорассудится, когда дело касается информационных технологий, и что предназначение ИТ-отделов со всеми их правилами и политиками состоит в том, чтобы не мешать этому, а защищать компанию только от реальных угроз. И по мере усиления восприятия ИТ как «нужной игрушки», компании стали относиться к ИТ не как к полезному активу, а как к вспомогательной второстепенной службе, чьи запросы можно отложить на потом.
Так что неудивительно, что, когда ИТ-персонал годами повторяет, что компании нужно отказываться от использования Windows Server 2003, ее руководство игнорирует этот факт просто потому, что поставщики «облачных» служб уверяют, будто ИТ-специалистами и их запросами можно пренебречь.
Когда проблема не видна
Нет сомнений в том, что работа с существующей вот уже более 14 лет и неподдерживаемой Windows Server 2003 создает много проблем. Но у многих компаний тем не менее есть задачи и поважнее, чем разбираться с неподдерживаемой производителем операционной системой, которая все еще выполняет свою работу. Одним из основных умений любого системного администратора является способность расставить приоритеты. Прежде всего он решает наиболее серьезные проблемы и обращается к менее важным несколько позже. Если только что «упал» контроллер домена, то большинство системных администраторов не побежит сперва чинить мышь сотруднице отдела маркетинга.
Тот факт, что серверы Windows Server 2003 нуждаются в замене, не новость ни для кого из ИТ-подразделения. Если компания не имеет специального соглашения с Microsoft, то эта операционная система не поддерживается должным образом и работа с ней влечет за собой больше рисков, чем работа с поддерживаемой и своевременно обновляемой системой. Однако с точки зрения учета важности проблем то, что Windows Server 2003 не поддерживается, возможно, менее значимо, чем решение наиболее насущных для системного администратора в данный момент проблем. Для многих из тех, кто использует Windows Server 2003 в рабочей среде, миграция пока еще имеет статус «сделать желательно», а не «сделать срочно». Вполне возможно, что в общей цепочке задач ИТ-отдела есть куда более слабые звенья, которые требуют внимания в первую очередь. И то, что серверы с Windows Server 2003 еще находятся в эксплуатации, еще, возможно, не самое слабое звено.
Вполне вероятно, например, что возникла необходимость в замене критически важного для компании приложения, сбой в работе которого реально будет стоить больших денег именно сейчас. А гипотетические издержки от использования несоответствующей отраслевым нормам операционной системы могут возникнуть только при проведении аудита. Или, например, необходимо срочно в рамках всей компании решить проблемы со слабыми паролями пользователей на руководящих должностях или их доступом к файловым ресурсам.
Поэтому, вместо того чтобы приписывать компаниям упорное стремление к использованию Windows Server 2003, в то время как все знают, что операционная система не поддерживается, следует предположить, что почти все системные администраторы желают отказаться от нее, а сокращение штата и недостаток ресурсов приводят к тому, что им приходится иметь дело с большим числом текущих задач и откладывать менее важную проблему на потом.
Периметр не обеспечивает полной безопасности
Нахватавшиеся обрывков сведений о безопасности руководители компаний сами представляют определенную опасность. Например, они могут быть уверены в том, что размещение сервера с Windows Server 2003 под защитой сетевого экрана означает, что теперь его нельзя взломать удаленно. Но на самом деле даже системы за сетевым экраном все еще подвергаются риску. Атаки на такие системы могут исходить от пользователей внутри сетевого периметра или от компьютера изнутри сети, который был скомпрометирован с помощью других методов проникновения и использован в качестве посредника для атаки на остальные компьютеры в сети.
Специалисты института Понемона (http://www.ponemon.org/) в ходе исследования обнаружили, что около 30% атак исходят от внутренних пользователей. И размещение сетевого экрана между сервером и общедоступной сетью обеспечивает только защиту от атак из общедоступной сети, но не оказывает никакого влияния на безопасность, если атака возникает в сети. И, хотя, конечно, можно создать и настроить отдельную изолированную сеть внутри корпоративной сети, в которой будут находиться только серверы, выполняющие Windows Server 2003, скорее всего, будет дешевле выполнить обновление серверов до более новой версии, например до Server 2008 R2 или Server 2012 R2.
Обновление к последней версии?
Выше я упоминал, что компании, возможно, будут переходить от Windows Server 2003 к Windows Server 2008 R2 или 2012 R2. Кто-то может не согласиться и задуматься, а не лучше ли перейти сразу на версию 2016. Ведь причины для этого очевидны: каждая последующая версия создается с учетом уроков, извлеченных из использования предыдущих версий. Windows Server 2008 R2 — более безопасная версия операционной системы, чем 2008, Windows Server 2012 более безопасна, чем 2008 R2, а Windows Server 2012 R2 учитывает все проблемы, обнаруженные при эксплуатации Windows Server 2012. А уж использование Windows Server 2016 еще более надежно, чем Windows Server 2012…
Я не совсем согласен с этим. Прежде чем выполнить переход к новой операционной системе, ее следует предварительно достаточно хорошо изучить и получить навыки работы с ней. И обязательно необходимо наличие инструментов, способных помочь в выполнении такого перехода. Если у вас в планах стоит переход к Windows Server 2016 от версии Windows Server 2003, то, скорее всего, вы не найдете бесплатных инструментов, помогающих в выполнении такой миграции, поскольку, по представлениям Microsoft, миграции подобного типа должны были быть выполнены до окончания срока поддержки Windows Server 2003.
Соответствие требованиям по соглашению
Как я уже рассказывал выше, на одной из конференций в ответ на вопрос об использовании Windows Server 2003 в рабочей среде от 30 до 40% пользователей подняли руки из примерно двух сотен участников. А на вопрос о наличии отдельного соглашения с Microsoft на поддержку Windows Server 2003 утвердительно ответили только два человека. Из этой ситуации я уяснил, что для большинства системных администраторов факт соответствия или несоответствия операционной системы Windows Server 2003 отраслевым нормам не имеет большого значения. Они знают, что им придется избавиться от нее, они хотят это сделать, и они не желали тратить время только на то, чтобы иметь возможность поставить несколько галочек в специальной форме, в которой спрашивается о соответствии используемых компанией операционных систем принятым в отрасли нормам, тогда как им известно, что с Windows Server 2003 они будут расставаться.
Способ сделать Windows Server 2003 соответствующей требованиям заключается в обращении к сотрудникам Microsoft и разработке соглашения о поддержке. Часть процесса разработки соглашения включает создание конкретных планов по переходу с Windows Server 2003. Другая часть состоит из ваших обязательств платить Microsoft за поддержку и программные обновления для этой устаревшей операционной системы. Многие из тех администраторов, которым я рассказывал об этом, посчитали, что если бы их компания выделила им средства на такое соглашение о поддержке с Microsoft, то их было бы лучше потратить на выполнение миграции и уход от Windows Server 2003.
Только локально
Запуск системы Windows Server 2003 в «облаке» представляет собой довольно противоречивый проект. Провайдеры «облачных» услуг, несомненно, осведомлены о том, что эта версия больше не поддерживается Microsoft. Некоторые из них, например Amazon Web Services (AWS), позволяют разворачивать новые виртуальные машины с Windows Server 2003 в рамках предложения IaaS. Другие, такие как Azure, не предлагают вариант Windows Server 2003 после окончания поддержки. В документе на сайте AWS (https://aws.amazon.com/windows/faq/#win2003) по поводу Windows Server 2003 отмечается, что в настоящее время запуска этой версии покупателю следует избегать. AWS позволит вам запустить ее, но предупредит, что данная операционная система не поддерживается и что это не совсем правильно, они не смогут помочь, если вы столкнетесь с проблемами.
У большинства специалистов недостаток поддержки Windows Server 2003 «облачными» службами не вызывает затруднений. У них нет намерения переносить локальный экземпляр в «облако». Если бы у них был бюджет на миграцию с Windows Server 2003, они бы не потратили его на создание экземпляра Windows Server 2003 в «облаке». И хотя есть какое-то число экземпляров Windows Server 2003 в «облаке», большинство из них осталось функционировать локально. Такие экземпляры Windows Server 2003 работают скорее на «забытых в углу» старых серверах, но никак не создаются заново в виде виртуальным машин в «облаке».
Помощь гипервизора временна
Тот факт, что вы можете запустить Windows Server 2003 на имеющихся платформах виртуализации, не означает, что вы сможете сделать это в будущем. Когда-то модернизации проводились не только по причине преимуществ нового программного обеспечения, ни и в случае поломок старого аппаратного обеспечения. Одна из многих причин, почему Windows Server 2003 все еще прочно держится в центрах обработки данных многих компаний, состоит в том, что это первая серверная операционная Microsoft, которая устойчиво работала внутри виртуальной машины, а виртуальные машины, как известно, не испытывают неудобств от поломок старого аппаратного обеспечения. Если происходит поломка на хосте виртуализации, то ее либо устраняют, либо нагрузка переносится на новый хост виртуализации. Нет никакой необходимости в обновлении Windows Server 2003, потому что, когда вы запускаете ее на виртуальной машине, эта операционная система абстрагируется от любого аппаратного обеспечения.
Сегодня все основные платформы гипервизора поддерживают Windows Server 2003 в качестве гостевой операционной системы для виртуальной машины. Но не похоже, что так будет всегда. Как показывает выпуск второго поколения виртуальных машин Generation 2 в Hyper-V, несомненно имеются плюсы от реализации новых моделей аппаратных архитектур для виртуальных машин. С определенной точки зрения, пока еще далеко до окончания срока поддержки Windows Server 2008 R2, когда Hyper-V, возможно, прекратит поддерживать виртуальные машины первого поколения Generation 1. Если это произойдет, нельзя будет запускать Windows Server 2003 на текущей версии Hyper-V, и тогда придется вводить в строй устаревшую версию этого продукта для запуска неподдерживаемой операционной системы. Нет также никаких причин верить в то, что остальные поставщики продуктов виртуализации будут и впредь поддерживать Windows Server 2003. Сокращение поддержки будет выражаться в отсутствии обновления драйверов для виртуальных машин Windows Server 2003. Запустить систему Windows Server 2003, возможно, и получится, но использовать ее будет весьма затруднительно.
Приложения тоже устаревают
Более года назад прекратилась поддержка не только Windows Server 2003. Поставщики приложений тоже не желают поддерживать свои продукты для операционной системы, не поддерживаемой производителем. Большинство версий приложений, написанных для Windows Server 2003, не запускаются на Windows Server 2008 R2, 2012 R2 или 2016. Для новых версий операционных систем производители выпустили соответствующие версии своих приложений. Например, версия 6.0 приложения может работать на Windows Server 2003, но не работать на Windows Server 2008, для использующих эту версию серверной операционной системы предназначена версия 7.0. И, скорее всего, во многих случаях версия 7.0 не заработает на Windows Server 2003. Производитель, возможно, поддерживает версию 6.0 для тех пользователей, которые решили пока не выполнять обновление, а версию 7.0 — для тех, кто работает с более новой версией операционной системы.
Производитель приложения будет поддерживать версию 6.0, пока это имеет для него смысл, что во многом зависит от того, приносит ли она достаточную на его взгляд прибыль, но в определенный момент, подобно Microsoft, он «выключит рубильник» и предложит своим клиентам выполнить обновление. Несомненно, большинство поставщиков программ, которые работали на Windows Server 2003, прекратили поддержку своих приложений некоторое время назад. Все еще эксплуатирующим эти приложения компаниям не остается ничего другого, как надеяться, что они не выйдут из строя. Они понимают, что у них в критическом случае запасного выхода нет, и им не остается ничего иного, как только надеяться на «авось» до тех пор, пока приложение перестанет быть нужным.
Забытые разработчиками
Все еще работающие на Windows Server 2003 приложения вряд ли получат обновления от разработчиков. Платформа Windows Server 2003 морально полностью устарела и больше не поддерживается производителем, если только вы не выполните набор строгих условий. А большинство компаний этим условиям не соответствуют. Учитывая, что производители новых платформ напряженно борются за привлечение внимания разработчиков приложений, резонно утверждать, что устаревшая платформа не будет привлекать никакого внимания разработчиков, если только они не занимаются созданием вредоносных программ. Приложения, запущенные на системах Windows Server 2003, в лучшем случае доживают свой срок. А надежно работать с экосистемой, которая доживает свой век, компания вряд ли способна. И единственным путем получить обновленные приложения для нее становится переход на ту платформу, которая развивается. Конечно, для некоторых приложений отсутствие обновлений не имеет особого значения, они выполняют только те операции, которые нужны компании, и пока это так, все идет нормально. Никаких изменений в выполняемых приложением операциях не предполагается, а значит, и никаких обновлений не развертывается. Соответственно и любые ошибки, которые, возможно, были в приложении, так и останутся неисправленными.
Восстановление Windows Server 2003 после сбоя
Эксплуатация операционной системы в производственных условиях предполагает, что вам необходимо иметь возможность ее восстановления в случае, если произойдет что-то катастрофическое. Иметь возможность перестроить сервер означает не просто иметь под рукой операционную систему, но и необходимость получить доступ к драйверам и приложениям. Даже если предполагается выполнение полного восстановления сервера с использованием отдельного решения резервного копирования, все же необходимо иметь возможность выполнить чистую установку сервера, драйверов и приложений, на случай если резервные копии и данные в силу каких-либо причин нельзя будет восстановить. А если вы регулярно выполняете восстановление сервера, то наверняка знаете, что если неприятность может случиться, то она случится обязательно.
Напомню, что, поскольку производители приложений не собираются поддерживать платформу Windows Server 2003 всегда, поставщики решений по резервному копированию и восстановлению также не будут бесконечно долго следить за работоспособностью своих решений по резервированию и восстановлению для Windows Server 2003. И на сегодня уже мало кто из производителей решений для резервирования все еще поддерживает резервирование систем, работающих на операционной системе Windows Server 2003.
Когда вы сохраняете в рабочей среде сервер Windows Server 2003, вам необходимо сохранять и все приложения, которые поддерживают экосистему Windows Server 2003. Это означает сохранение не только приложений, запущенных на сервере, но и версии платформы виртуализации, которая хостирует сервер, и версий драйверов устройств, используемых сервером, и приложений мониторинга и резервного копирования, которые необходимы для обслуживания сервера.
Расстаемся с Server 2003: непрямая миграция
Вероятно, вам приходилось слышать о «теневых» ИТ. В подобном случае пользователи обходят политики ИТ-подразделения и организуют собственные серверы в «облаке» или используют публичные службы доступа к файлам для хранения рабочих файлов. ИТ-подразделения, скованные медлительностью руководства при переходе с Windows Server 2003, пытаются отчасти взять дело в свои руки.
Я никогда не рекомендую совершать шагов, за которые можно поплатиться увольнением или административным взысканием, но если в вашей компании сложилось лояльное отношение к «теневым ИТ», то можно обдумать меры по переносу рабочих нагрузок с Windows Server 2003 даже без официального разрешения.
Например, многие администраторы серверов даже не начинают думать о способах миграции, пока не получат «зеленый свет». Если вы сможете составить план необходимых действий или даже провести пробную миграцию в лаборатории, то, получив разрешение на миграцию, далеко опередите специалистов, пассивно ожидавших одобрения начальства.
Устаревшие серверы
В некоторых компаниях компьютеры работают с серверами Windows Server 2003 не потому, что на них размещены критические рабочие нагрузки, не подлежащие миграции, а потому, что те оказались забытым устаревшим ящиком в центре обработки данных.
Недавно я услышал шутку о сотруднике интернет-компании, который позвонил самому давнему клиенту, чтобы поблагодарить за верность компании в течение двадцати с лишним лет. Самый давний клиент был удивлен, поскольку полагал, что договор утратил силу более десяти лет назад. Нередко администраторы организуют новую службу или размещают рабочее приложение, а потом просто забывают об их существовании.
В ходе недавнего исследования, проведенного по заказу компании, продающей решение для мониторинга в центрах обработки данных, выяснилось, что до 30% рабочих приложений пребывают в коматозном состоянии. Компания, поставляющая продукт для мониторинга в центре обработки данных, несомненно заинтересована в том, чтобы потребители обеспокоились наличием бесполезных серверов (и заплатили, чтобы найти у себя простаивающее оборудование). Однако опыт свидетельствует, что проблема все еще реальна.
Когда администраторы серверов осуществляли инвентаризацию серверов Windows Server 2003, чтобы определить, кто выполняет рабочие приложения при подготовке к замене операционной системы, оказалось, что на многих серверах нет владельцев рабочего приложения или владелец рабочего приложения совершенно забыл о сервере.
Не составляет труда распорядиться этими рабочими приложениями после того, как их состояние определено. Однако компаниям, по-видимому, следует прислушаться к советам поставщика продуктов для мониторинга в центре обработки данных и продумать метод обнаружения устаревших серверов, прежде чем они будут удалены из центра обработки данных потому, что срок эксплуатации их операционной системы завершен.
Недостаточно эффективное управление
Еще один довод в длинном списке аргументов в пользу отказа от Windows Server 2003: функции управления Windows Server 2003 менее эффективны, чем в новых версиях Windows Server. Новые версии Windows Server гораздо более управляемые и лучше автоматизируемые, чем старые версии Windows Server. Отчасти это объясняется тем, что лишь в недавно выпущенных версиях Windows Server стало ощутимым влияние «смены парадигмы администрирования на PowerShell». Можно сказать проще: смена парадигмы заключается в том, что PowerShell перестал быть одним из возможных способов выполнения задачи и стал оптимальным вариантом. Из этого не следует, что PowerShell — лучший на сегодня способ выполнения любых задач на Windows Server. Но я полагаю, что с каждой последующей версией Windows Server увеличивается число сценариев, для которых PowerShell — лучший вариант.
Безусловно, PowerShell можно использовать с Windows Server 2003, но разработчики Windows Server 2003 не рассчитывали на PowerShell как на основной инструмент администрирования. Достаточно взглянуть на Nano Server и многие компоненты Windows Server 2016, чтобы понять, что PowerShell, вероятно, будет вашим предпочтительным вариантом, а применение других инструментов станет скорее исключением, а не правилом.