oldi

В ожидании Windows Server 2003

Наталия Елманова

Операционные системы семейства Windows Server 2003

Встроенная среда Microsoft .NET Framework

Файловые и сетевые сервисы

Усовершенствования Active Directory

Изменения в Internet Information Services

Масштабируемость и производительность

Безопасность Windows Server 2003

   Безопасность выполнения приложений

   Безопасность доступа к службам операционной системы

   Безопасность Internet Information Services 6.0

   Средства создания защищенных серверных конфигураций

   Дополнительные модули для обеспечения безопасности

Заключение

 

Выпуск новой серверной операционной системы Microsoft — Windows Server 2003 ожидается в апреле. Это, на наш взгляд, немаловажное событие — количество корпоративных решений, базирующихся на серверных операционных системах семейства Windows, непрерывно растет, главным образом благодаря тому, что эти операционные системы, будучи недорогими в обслуживании, удовлетворяют насущным потребностям очень большого количества компаний. В этой статье мы рассмотрим самые характерные черты новой операционной системы.

Операционные системы семейства Windows Server 2003

Семейство Windows Server 2003 состоит из четырех операционных систем:

  • Windows Server 2003 Datacenter Edition — операционная система, предназначенная для применения совместно с прикладными программами для деловой сферы, а также с критически важными приложениями, предъявляющими высокие требования к масштабируемости и бесперебойности работы. Windows .NET Server 2003 Datacenter Edition будет выпускаться в версиях для 32- и 64-разрядных платформ. Эту операционную систему называют наиболее мощной за всю историю компании — она поддерживает серверы с числом процессоров до 64 и объемом оперативной памяти до 512 Гбайт;
  • Windows Server 2003 Enterprise Edition — операционная система, отличающаяся повышенной надежностью и производительностью при хорошей экономической отдаче. Она поддерживает серверы на базе 64-разрядных процессоров (до 8 штук) и объем оперативной памяти до 64 Гбайт. Данная система также будет выпускаться в версиях для 32- и 64-разрядных платформ; picture
  • Windows Server 2003 Standard Edition — серверная операционная система общего назначения, предназначенная для решения повседневных задач и рассчитанная на применение в небольших компаниях и подразделениях;
  • Windows Server 2003 Web Edition — специально оптимизированная редакция, предназначенная для размещения и поддержки Web-узлов.

Системные требования для операционных систем семейства Windows Server 2003 представлены в таблице.

В начало В начало

Встроенная среда Microsoft .NET Framework

Windows Server 2003 содержит в своем составе Microsoft .NET Framework. Согласно определению Microsoft, .NET Framework — это «платформа для создания, распространения и выполнения приложений и Web-сервисов, предоставляющая высокопроизводительную многоязыковую среду, основанную на стандартах и предназначенную для интеграции существующих приложений с приложениями и сервисами нового поколения и решения проблем управления приложениями, сфера действия которых охватывает Интернет». Одной из составных частей Microsoft .NET Framework является Common Language Runtime (CLR). Основное назначение CLR — загрузка и выполнение кода, соблюдение всех программных зависимостей, управление памятью, обеспечение безопасности и т.п. Среда выполнения обеспечивает множество сервисов, облегчающих создание и поставку приложений, и существенно улучшает надежность последних. Среди основных возможностей CLR следует отметить поддержку стандартного набора типов данных и правил для создания новых типов, самоописываемые компоненты, поддержку версий компонентов и сборок, наличие сервисов безопасности, обеспечивающих, в частности, запрет на неавторизованный доступ к ресурсам как для пользователей, так и для кода. picture

Наличие Microsoft .NET Framework позволяет не только создавать, развертывать и применять безопасные решения, но и легко осуществлять интеграцию приложений с помощью Web-сервисов XML. В частности, данная операционная система поддерживает стандарты XML, SOAP, UDDI и WSDL; все операционные системы этого семейства, за исключением Windows Server 2003 Web Edition, содержат Enterprise UDDI Services — службы каталогизации Web-сервисов. В Windows Server 2003 можно предоставлять доступ к приложениям COM+ как к Web-сервисам. Кроме того, служба аутентификации Windows Server 2003 интегрирована с .NET Passport — Web-сервисами для обеспечения безопасной аутентификации Интернет-пользователей.

В начало В начало

Файловые и сетевые сервисы

Способность управления файловыми ресурсами и ресурсами печати, в том числе обеспечение их доступности и безопасности, является важной особенностью любой серверной операционной системы. Семейство продуктов Windows Server 2003 предоставляет интеллектуальные службы файлов и печати, которые обладают повышенной производительностью и функциональностью. Среди новшеств Windows Server 2003 следует назвать средства компрессии файлов и создания дисковых квот, инструменты для управления съемными носителями и внешними хранилищами файлов, интегрированные средства резервного копирования (в том числе фонового архивирования и восстановления) и репликации файлов, средства автоматического восстановления, оптимизированные средства дефрагментации файлов, средства управления файлами в кластерах (Distributed File System). Подчеркнем, что в Windows Server 2003 файловая система на 140% производительнее, чем в Windows 2000 Server.

Из сетевых служб следует особо отметить усовершенствования в средствах балансировки сетевой нагрузки (Network Load Balancing, NLB), в частности возможность создания виртуальных кластеров, наличие новых инструментов управления кластерами, средства интеграции с Active Directory, полноценную поддержку Storage Area Networks и службы восстановления сервера, усовершенствованную систему диагностики Cluster Service.

В начало В начало

Усовершенствования Active Directory

Аctive Directory — это служба каталога для семейства продуктов Windows Server 2003. Она хранит сведения об объектах сети и предоставляет возможность пользователям и администраторам легко находить эти данные, поскольку обеспечивает логическую иерархическую организацию данных. В Windows Server 2003 служба Active Directory была значительно усовершенствована. Она предоставляет средства более гибкого проектирования, развертывания и управления каталогами организации, в частности ряд новых инструментов для диагностики и отладки серверов DNS, средства мониторинга состояния контроллеров домена и процесса репликации каталога, средства оптимизации LDAP. Оптимизированы средства управления глобальным каталогом и его репликации. Поиск в Active Directory также оптимизирован — в среднем скорость его в четыре раза выше, чем в Windows 2000.

В начало В начало

Изменения в Internet Information Services

Цикл разработки Web-сайта, как правило, короче, чем цикл разработки обычного Windows-приложения, и не всегда при этом возможно осуществить полноценное тестирование используемых им приложений. Поэтому часть функциональности, связанную с надежностью таких решений, имеет смысл перенести из Web-приложения на управляющий им сервер, что и было сделано в Internet Information Services 6.0. Этот Web-сервер автоматически обнаруживает утечку памяти, ошибки доступа к памяти, другие ошибки времени выполнения приложений, обрабатывает их и продолжает выполнять приложение. picture

Internet Information Services также может при необходимости останавливать и запускать процессы, продолжая при этом обслуживать клиентские запросы — для этой цели Internet Information Services 6.0 предоставляет средства изоляции приложений и управления процессами, основанные на выделении различных Web-приложений в отдельные пулы приложений. Пул может содержать несколько рабочих процессов, обслуживающих клиентские запросы, и использовать конкретные указанные администратором процессоры для своей работы, что в целом позволяет существенно повысить масштабируемость и доступность приложений. Возможность изоляции процессов весьма существенна для компаний, пользующихся услугами провайдеров сервисов приложений или услугами хостинга, так как подобная архитектура снижает вероятность сбоев из-за некорректного поведения приложений других клиентов этого же провайдера.

Современным Web-серверам требуются средства, позволяющие создавать масштабируемые Web-приложения путем распределения нагрузки по нескольким серверам и создания так называемых Web-ферм, состоящих из нескольких Web-серверов, обслуживающих одну и ту же задачу. Для управления подобными Web-фермами в Internet Information Services 6.0 имеются средства удаленного администрирования, в том числе предназначенное для этой цели приложение с Web-интерфейсом.

В состав Internet Information Services 6.0 включен WMI-провайдер, предоставляющий ряд программных интерфейсов для администрирования Web-сервера с применением WMI (Windows Management Instrumentation). В состав Internet Information Services 6.0 входит также несколько стандартных сценариев администрирования на языке VBScript, использующих WMI-провайдер и реализующих наиболее часто встречающиеся задачи.

В начало В начало

Масштабируемость и производительность

Семейство продуктов Windows Server 2003 обеспечивает масштабируемость созданных на их основе решений. Масштабируемость может быть достигнута за счет увеличения числа процессоров, благодаря симметричной многопроцессорной обработке (SMP), а также за счет расширения благодаря кластеризации. Windows Server 2003 поддерживает до 32 процессоров, в том числе и 64-разрядные процессоры (см. таблицу).

Что касается производительности, то данная операционная система сегодня является лидером в этой области — в феврале нынешнего года сервер NEC, основанный на 32 процессорах Intel Itanium 2, с установленной на нем 64-разрядной версией Microsoft SQL Server 2000 Enterprise Edition, работавший под управлением Microsoft Windows Server 2003 Datacenter Edition для 64-разрядных систем на основе процессоров Itanium, установил рекорд производительности для симметричных 32-процессорных систем в тесте TPC-C1: он показал результат в 433 107 транзакций в минуту, что превосходит ранее опубликованные показатели 32-процессорных RISC-систем.

В начало В начало

Безопасность Windows Server 2003

При разработке Windows Server 2003 вопросам безопасности уделялось самое пристальное внимание, и эта операционная система обладает рядом новых функций, позволяющих гибко настраивать систему безопасности. Помимо высокой защищенности, изначально присущей указанной платформе, новое семейство операционных систем включает ряд технологий, позволяющих создавать, внедрять и эксплуатировать защищенные решения. Была произведена переработка архитектуры новой системы, настройки по умолчанию изменены на более безопасные, добавлен ряд новых функций и технологий, улучшающих защиту платформы Windows, изменены средства управления групповыми политиками и добавлены средства анализа их применения. picture

Безопасность выполнения приложений

Как уже было сказано, Windows Server 2003 содержит .NET Framework. Приложения, созданные для этой платформы, используют ее возможности, в том числе сервисы безопасности, обеспечивающие, в частности, запрет на неавторизованный доступ к ресурсам как для пользователей, так и для кода. Например, среда выполнения таких приложений Common Language Runtime проверяет адрес, с которого был загружен или установлен код, наличие цифровой подписи доверенного разработчика, а также изменения в коде с момента его защиты цифровой подписью. Применение приложений для платформы Microsoft .NET позволяет снизить число уязвимостей в защите, вызываемых ошибками разработчиков.

В начало В начало

Безопасность доступа к службам операционной системы

Windows Server 2003, в отличие от предыдущих серверных версий Windows, будет поставляться в «заблокированном» состоянии: более 20 служб будут по умолчанию отключены или ограничены в правах. Так, по умолчанию в выключенном состоянии находятся Internet Information Services, в настройках Internet Explorer в Windows Server 2003 по умолчанию установлен высокий уровень безопасности, исключена возможность использования учетных записей с пустым паролем для удаленного доступа к операционной системе. picture

Отметим, что существенные изменения претерпели и средства управления доступа пользователей к приложениям и службам операционной системы. Например, в этой операционной системе реализованы концепция разрешений на доступ к объектам (таким как файлы, приложения, разделы реестра и т.д.) и концепция владения объектами, средства аудита доступа пользователей к объектам, средства шифрования данных.

В начало В начало

Безопасность Internet Information Services 6.0

В архитектуру Internet Information Services (IIS) 6.0 были внесены изменения, позволяющие снизить риск возможной атаки за счет ограничения доступа к сетевым ресурсам: теперь рабочие процессы IIS могут использовать для запуска приложений учетную запись пользователя, обладающего ограниченными правами.

Новые средства безопасности данных Internet Information Services 6.0 включают возможность применения так называемых провайдеров сервисов шифрования независимых производителей (Cryptographic Service Provider, CSP), представляющих собой дополнительные устройства-ускорители, аппаратно реализующие криптографические функции.

С помощью Internet Information Services Security Lockdown Wizard администраторы Web-сайтов имеют возможность подключать или отключать те или иные функциональные возможности Web-сервера в соответствии с решаемыми задачами (например, можно отключить всю возможную функциональность Active Server Pages или Front Page Server Extensions — такова, в частности, конфигурация Internet Information Services 6.0 по умолчанию).

По умолчанию Internet Information Services 6 выполняется с минимальными привилегиями, что снижает вероятность использования его в качестве инструмента для возможных несанкционированных действий.

Internet Information Services 6.0 позволяет осуществлять изоляцию пользователей FTP-сайтов путем выделения им отдельных каталогов, что позволяет избежать несанкционированного доступа к файлам и документам, содержащимся на FTP-сайтах.

Отметим также, что в Internet Information Services 6.0 появилась возможность удаленного управления сертификатами SSL.

В начало В начало

Средства создания защищенных серверных конфигураций

Windows Server 2003 обладает рядом новых и усовершенствованных функций для создания защищенных серверных конфигураций на платформе Windows. В частности, значительно переработаны службы инфраструктуры открытых ключей (Public Key Infrastructure, PKI), которые обеспечивают пользователей системой управления сертификатами, повышающей безопасность виртуальных частных сетей (Virtual Private Network, VPN) и сетевых коммуникаций, а также систем аутентификации; открытый защищенный протокол аутентификации (Protected Extensible Authentication Protocol, PEAP) предлагает средства парольной аутентификации, которые должны повысить безопасность сетевых соединений; диспетчер авторизации (Authorization Manager) обеспечивает возможность авторизации на основе принципа прикладных ролей, упрощая системным администраторам управление доступом конечных пользователей к Web-сервисам.

В начало В начало

Дополнительные модули для обеспечения безопасности

В течение ближайших шести месяцев для данной операционной системы будут выпущены несколько дополнительных программных модулей для обеспечения безопасности. Одним из них является Secure Configuration Wizard (мастер создания защищенных конфигураций) — дополнительный модуль для Windows Server 2003, помогающий автоматизировать настройку серверов с целью обеспечения максимальной их безопасности (с использованием функциональных ролей). Кроме того, будет расширен спектр предлагаемых шаблонов и рекомендаций (Patterns and Practices): к ним будут добавлены практические рекомендации по вопросам инфраструктур идентификации и мобильного доступа.

В начало В начало

Заключение

Итак, мы видим, что Windows Server 2003 содержит все функции, которых ожидают пользователи от серверной операционной системы, используемой для выполнения ответственных задач, — безопасность, надежность, доступность, масштабируемость, простота развертывания и эксплуатации. Вышеперечисленные особенности, а также невысокая совокупная стоимость владения решениями на основе данной операционной системы означают, что IT-менеджерам нужно обратить самое пристальное внимание на семейство данных операционных систем при проектировании или модернизации IT-инфраструктуры своих компаний, а разработчикам и системным интеграторам следует иметь в виду возможность применения этой операционной системы в составе предлагаемых ими решений.

 

Ознакомительная версия Windows Server 2003 доступна по адресу: http://www.microsoft.com/rus/windowsserver2003/.

КомпьютерПресс 4'2003