Windows Server 2008: Windows bez prozora

Nakon nekoliko godina čekanja, uskoro nam stiže Windows Server 2008 sa mnogo novih mogućnosti. Biće to jedan zreo proizvod, sposoban da zadovolji sve ili barem veliku većinu zahteva IT profesionalaca. Oni su u prethodnih nekoliko godina davali primedbe i sugestije koje su proizilazili iz prakse, pa smo tako dobili prvi Windows bez prozora.

Posle internog memoranduma Bila Gejtsa od pre nekoliko godina, u Microsoftu je u prvi plan stavljena sigurnost svih proizvoda koji izlaze iz ove kompanije. Jedna od posledica je Windows Server 2008 koji dolazi kao zreo proizvod sa ambicijom da zadovolji sve ili barem većinu zahteva IT profesionalaca. Oni su u prethodnih nekoliko godina davali primedbe i sugestije proizašle iz prakse, pa smo tako dobili prvi Windows bez prozora. Da li je to marketinški trik, zahtev "surovih" profesionalaca ili plod iskustva - ne znamo, ali je sigurno da su nam ljudi iz Redmonda pripremili prijatno iznenađenje. Sposobnost velikih se i ogleda u tome što umeju da prepoznaju zahteve korisnika, da uvide greške iz prošlosti i da primene rešenja koja se od njih najmanje očekuju.

Instalacija

Instalacija je podeljena u dva dela. U prvom se instalira osnova operativnog sistema, dok se kompletna instalacija i podešavanja izvode u post-instalacionom delu. Prethodne verzije Windows Servera instalirane su po principu "out of the box", pa je veliki deo funkcija servera bio neiskorišćen. Istovremeno, razni procesi bili su pokretani i radili su u pozadini, iako to nije bilo potrebno. Sada je situacija drugačija pa se, čak ni slučajno, ne može desiti da server izvodi bilo kakav proces bez znanja korisnika. Na taj način smanjen je rizik od raznih napada koji mogu destabilizovati server.

Tu dolazimo i do jedne interesantne mogućnosti pomenute u naslovu teksta. Reč je o windows-u bez prozora ili preciznije rečeno o Server Coreu. Pri setupu moguće je izabrati Server Core što znači da će biti instalirane samo osnovne komponente operativnog sistema Windows Server 2008. Među njima nema, verovali ili ne, čak ni grafičkog interfejsa. Administracija i konfiguracija servera vrši se isključivo putem CLI-a (Command Line Interface). Na žalost, u Server Core instalaciji ne postoji mogućnost korišćenja Power Shella o kojem će biti reči nešto kasnije.

Ovo je minimalna instalaciona opcija i podržava samo neke (osnovne) od mnogobrojnih uloga Windows Server-a 2008. U tom slučaju biće dostupne sledeće funkcije: DHCP, File Server, DNS, Domain Controller, AD i DS i Virtualization server. Takođe, podržana je i instalacija DC-a i RODC (Read Only DC). Upravljanje sistemom vrši se kroz CLI i putem RDP kroz MMC. U ovom drugom slučaju dolazi i grafički interfejs, ali u ograničenom obliku. Windows server se često "podiže" zbog jednog ili dva servisa, pa je u tim slučajevima mogućnost ograničene instalacije daleko praktičnija po pitanju sigurnosti, boljeg korišćenja resursa, manje zahtevnog patch managementa, a vrlo je pogodna i za virtualizaciju .

U drugom slučaju, nakon instalacije osnovnog dela operativnog sistema, prelazi se na post-instalacioni deo u kojem se biraju uloge (roles) i mogućnosti (features) servera. Naime, instalacijom osnovnog dela operativnog sistema hardware je samo "povezan", a fino podešavanje servera tek predstoji. Na raspolaganju je veliki broj uloga i mogućnosti. Navešćemo uloge koje su dostupne u Beta2 verziji: AD Certificate Services, AD Domain Services, AD Federation Services, AD Lightweight Directory Services, AD Rights Management Services.

Tu su i Application Server, DHCP Server, DNS Server, Fax Server, File Services, Network Policy and Access Services, Print Services, Terminal Services, UDDI Services, Web Server (IIS), Windows Deployment Services, Windows Server Virtualization i Windows SharePoint Sevices. Svaka od navedenih uloga donosi niz poboljšanja i unapređenja. S nestrpljenjem čekamo da ih testiramo i, naravno, da vam prenesemo iskustva. U svakom slučaju, prvi pogled "ispod haube" veoma je obećavajući.
 
Upravljanje serverom (Management)

U odnosu na Windows Server 2003, koji je imao sedam čarobnjaka (wizarda) za upravljanje serverom, najnovije izdanje Microsoft-ove aplikacije svodi broj wizarda na samo tri: Operating System Setup, Initial Configuration Tasks i Server Manager. Kao i do sada, MMC je centralno mesto za upravljanje svim resursima servera, samo ovog puta to je i doslovno tako jer je komplet upravljačkih funkcija objedinjen u MMC verziji 3.0.

MMC 3.0 je konzola samo za Windows Server 2008 i nije funkcionalna na prethodnim verzijama operativnog sistema. Treba napomenuti da je MMC 3.0 namenjena za lokalno administriranje Windows Server 2008 i ne može se koristiti za udaljeno administriranje. Postoji mogućnost za Remote Server Administration Tools (RSAT), ali samo kroz nadogradnju i to isključivo za Windows Server 2008. Dobro poznati Adminpack.msi više nije dostupan. Moguće je dodavati nove uloge i mogućnosti, a lista raspoloživih opcija je proširiva kroz download uloga (roles download). Servisi koji se dodaju kroz MMC 3.0 konzolu su "secured by default". Značajna novina je i mogućnost praćenja statusa instaliranih komponenti u realnom vremenu. Za "surove" profesionalce tu je i Server Managercmd.exe, CL (Command Line) bazirani Server Manager.

Grupne polise

Uveden je novi format administrativnih šablona (templatea) – ADMX, baziran na XML-u, kao i niz novih kategorija za upravljanje kroz GPO. Postoji preko 3.000 raspoloživih opcija, što je za 700 više nego u Windows Server 2003. Pored toga, porađeno je na unapređenju niza detalja koji su nedostajali u dosadašnjem radu sa grupnim polisama. Tako je omogućeno pretraživanje (search) i filtriranje (filter) u okviru GPO-a, kao i postavljanje komentara na opcije GPO-a. Ovome će se najviše obradovati administratori koji su se ranije mučili kada je trebalo pronaći neku od opcija GPO-a da bi bila promenjena ili ukinuta. Takođe značajna novina je i mogućnost postavljanja više lokalnih polisa. Za početnike ili sve one koji bi da olakšaju sebi posao, postoji i niz Starter GPO-a, koji omogućavaju fino podešavanje.

Windows PowerShell

PowerShell je jedna od najmoćnijih administratorskih alatki bazirana na CL okruženju, a izgrađena na .NET tehnologiji. Dolazi nam kao alternativa za script i batch zadatke. U delu o setupu Windows Servera 2008 pomenuli smo da u Core Server instalaciji nije moguće koristiti PowerShell. Razlog je što se u Core Serveru ne instalira .NET Framework, pa smo time ostali uskraćeni i za PowerShell. Ostaje nam samo da se nadamo da će finalna verzija "uslišiti" molbe većine administratora koji su se sreli sa beta-verzijom Windows Server 2008 i njegovim PowerShell-om. Ova alatka nam donosi puno toga na polju automatizacije poslova i kompatibilna je sa svim postojećim alatima. Takođe, ona je administrativni temelj za sve nove serverske proizvode koji dolaze iz Microsoft-a.

Gledajući Windows PowerShell, zapitao sam se da li je to zaista Microsoft-ovo čedo. Sama pomisao na CL okruženje stvara određenu odbojnost kod osoba koji ne poznaju materiju do detalja. Međutim, u ovom slučaju sve teče lagano, pomalo nestvarno. PowerShell podržava sve operativne sisteme, skripte i CL bazirane alate. Sintaksa je intuitivna i zasnovana je na "verb-noun" šemi tipa: get-process, stop-process... whatif i cofirm prekidačima (switchevi) itd. Korisno je znati da se u svakom trenutku može koristiti komanda Get-Help koja ispisuje pomoć o željenoj naredbi i Get-Command koja ispisuje listu raspoloživih komandi. Moguće je vezivati komande jednu na drugu (pipelining), pri čemu treba voditi računa da izlazni rezultat prve komande mora biti kompatibilan sa ulaznim formatom druge komande.

Aktivni direktorijum (Active Directory)

Kao i u svemu ostalom, tako i ovde imamo niz novosti koji donose unapređenja. Nabrojaćemo samo novitete po pitanju aktivnog direktorijuma, a to su poboljšan DC deployment, Directory Service Auditing, Restartable AD Service, Read Only Domain Controller (RDOC), DNS (IPv6 Support, Background Zone Loading, RODC), Certificate Services, Federation Services i Fine-grained password policy. Objašnjavanje svake od ovih novosti, pa makar i u osnovnim crtama, traži dosta prostora. Zato ćemo ukratko pojasniti samo neke od njih.

Restartable AD Service donosi uštedu u vremenu (downtime) tako što sada postoji mogućnost restartovanja samo AD servisa, bez potrebe da se "obara" ceo server. Za to vreme, logon zahtevi prebacuju se na druge DC-e. Na taj način downtime servera je skoro neprimetan jer su ostali servisi i dalje aktivni. Omogućeno je i izvođenje Restore AD operacija i intervencija na AD-u bez restarta u DC Restore Mode.

Read Only Domain Controller (RODC) je novost u Windows Server 2008. Namenjen je fizički manje sigurnim lokacijama i lokacijama bez AD administratora. Moguća je samo jednosmerna replikacija sa PDC emulatorom (koji mora biti Windows Server 2008). Na RODC-u se ne čuva korisničko ime i lozinka, oni su samo keširani. Ograničenje se ogleda u činjenici da je podržan jedan RODC u domenu, po siteu, a mora postojati i komunikacija između RODC-a i PDC-a da bi se obavilo logovanje.

RODC podržava separaciju uloga (svaki domain-user može biti lokalni administrator na RODC-u). RODC hostuje read-only DNS i može se instalirati na Core Server. Moguće je hostovanje Global Cataloga, ali se ne može imati bilo kakva operations-master uloga, niti je moguće biti bridge-head server. U slučaju da dođe do kompromitacije servera (čak i fizičkog, recimo krađe), ne postoji bojazan od kompromitacije korisnika i njihovih lozinki jer se one fizički ne nalaze na RODC-u. Fine-grained password policy uklanja ograničenje jedne password politike na nivou domena i sada se može primeniti na grupu i na korisnika pojedinačno. Preduslov za korišćenje je Windows 2008 Domain mode i ne primenjuje se kroz klasični GPO editor, već se kreira kao Password Settings Object (PSO) koji se implementira kao atribut.

Network Access Protection (NAP)

NAP je nova platforma za mrežnu sigurnost u Windows Server 2008. Njome se ograničava pristup mrežnim resursima svim klijentima koji ne zadovoljavaju definisani "health policy" (ažuran antivirus, nedostatak sigurnosnih patcheva...). Mnogi će NAP uporediti sa VPN Quarantineom, međutim NAP ima širi dijapazon delovanja i jednostavniji je za administraciju. Neophodan je Widows Server 2008 i Windows Vista kao klijent ili Windows XP SP3. Primenjiv je na IPSec komunikaciju, konekcije koje koriste 802.1x za autentikaciju, VPN konekcije, Terminal Services Gateway i DHCP.

U slučaju da klijent ne zadovoljava "health policy", neće biti pušten u mrežu već će se preusmeriti na server koji će pokušati da "zakrpi" klijenta. NAP koristi informacije iz Window Security Center-a i u skladu sa informacijama pokušaće da "zaskrpi" klijenta najnovijim definicijama anti-virus programa, zahtevanim sigrunosnim patch-evima... Tek kada klijent zadovolji "health policy" biće preusmeren i "pušten" u mrežu sa pravima koja su mu definisana.

Virtualizacija

O Windows Server virtualizaciji biće još puno reči. Za početak treba napomenuti da virtualizacija nije predviđena u prvoj zvaničnoj verziji, već se očekuje 180 dana nakon izlaska Windows Server 2008. Ako smo do sada virtualizaciju posmatrali kao tehnologiju za laboratorije, ispitivanja i retke entuzijaste, sada ćemo taj pogled preokrenuti u korist svakodnevne upotrebe. Sam pristup hardwareu je promenjen jer je moguće njegovo znatno bolje korišćenje, kao i fino podešavanje. Samim tim, primenu nalazimo u konsolidaciji postojećih servera, testiranju i razvoju, u osiguravanju kontinuiteta i u virtualnom okruženju.

Windows Server Virtualization ima podršku za virtualizaciju kroz Hypervisor – Type1 koji omogućava ravnopravan pristup hardwareu hosta i VM (virtualne mašine), ali uz obavezan CPU sa hardwareskom virtualizacijom (Intel VT i AMD-V) i uključenim Data Execution Prevention. Nakon toga, bićemo u prilici da kontrolišemo korišćenje jezgara procesora, da dodelimo do maksimalno 1Tb RAM‑a jednoj VM. Tu su i Direct pass-through disk access, snapshots, virtualni switch-evi, podrška za NLB… Osim pobrojanih (i ne pobrojanih) noviteta koje donosi Windows Server Virtualization, čeka nas i zamena postojećih, odnosno kupovina novih mašina. Ostaje samo pitanje da li ćemo u budućnosti kupovati Blade servere ili jednu "veliku mašinu" koja će moći da podrži X virtualnih mašina.

Zaključak

Kroz pregled Windows Server 2008, sreli smo se sa puno novih stvari. Neke od njih su na izvestan način "već viđene", neke su očekivane ili su željene, a u nekim slučajevima zaista je reč o novitetima. Kako je nemoguće na sažet način opisati sve ono što nam WS2008 donosi, u narednim mesecima detaljnije ćemo predstaviti neke od njegovih mogućnosti.