Содержание статьи
В октябре прошлого года была представлена новая версия Windows Server. На сегодня мы уже имеем Technical Preview 2. Как и следовало ожидать, нововведения касаются виртуализации, подсистемы хранения, сети и возможностей управления. Изменений много, некоторые неочевидны и скрыты в недрах API, часть еще не работают и слабо документированы — но уже можно делать некоторые выводы.
О релизе
Все последние релизы, следуя концепции «Better together», MS всегда представляла в тандеме: вместе с клиентской ОС сразу выходила и серверная. И сами ОС появлялись традиционно в октябре-ноябре. В случае с Win 10 корпорация решила отойти от этой установившейся практики: если финальная версия Win 10 будет доступна в виде бесплатного обновления для устройств на Win 7 и Win 8.1 уже 29 июля 2015 года, то серверная часть выйдет «где-то в 2016 году». При этом следующая версия System Center Configuration Manager будет представлена уже осенью этого года.
Почему так? Предположения выдвигаются разные. Одни считают, что программисты MS наделали столько ошибок, что исправить их в срок невозможно, поэтому и Previews чуть запаздывали. Более правдоподобной выглядит версия, что корпорации нужно время, чтобы убедить пользователей переходить сразу в облако, где новые возможности будут представлены раньше. Хотя, с другой стороны, некоторые из заявленных инструментов и функций на момент TP2 просто не работали — может, действительно не успевают?
Но есть еще один момент: поддержка Win2k3 официально заканчивается 14 июля 2015 года, и единственная доступная серверная версия для миграции — это Win2k12R2, которая как бы скоро станет уже не новой.
В общем, вопросов по релизу много.
Называют в документации новую серверную ОС по-разному. Чаще просто Windows Server Technical Preview, но в майских постах на blogs.technet.com она проскакивает уже как Windows Server 2016 Technical Preview. Конечно, это все может поменяться, так что дальше в тексте мы будем использовать просто аббревиатуру TP2.
Скачать тестовую версию TP2 можно по этому адресу. Минимальные системные требования по сравнению с предыдущим релизом не изменились: 1,4 Гц x64, 512 Мбайт RAM и 32 Гбайт HDD. Для загрузки предлагается образ ISO или VHD, также можно попробовать новую ОС в Azure.
Пользовательский интерфейс
Процесс установки не изменился. А вот названия при выборе типа установки путают. Теперь версия с GUI как таковая не существует. Очевидно, что система ориентируется на облако, а управлять ей будем удаленно. Рекомендуемый режим (предлагается по умолчанию) соответствует Core Server, после входа получим консоль и можем вызвать менеджер задач по
Xakep #198. Случайностей не бывает
В Windows 8 у пользователей много нареканий вызывало новое меню «Пуск», которое больше подходило для планшета, чем для рабочей станции. Серверную Windows 2012 эта участь также не миновала, и вместо классического меню «Пуск» мы получили начальный экран в стиле Metro. В Win 10 представлен новый вариант, в котором совмещены идеи старого меню и «живых плиток» из Win 8.
Но в серверную ОС многие новые фишки из десктопа не дошли — точнее, они были в ранних билдах, а затем начали пропадать. В Server TP2 плиток по умолчанию нет, имеем привычное меню, но при желании в настройках можно вернуть экран Metro. Появилась поддержка виртуальных рабочих столов Task View, знакомых пользователям Linux и Mac. Теперь организовать работу с несколькими открытыми приложениями стало проще. Быстро выбрать нужный помогают эскизы. Приложения можно перемещать между рабочими столами, при закрытии виртуального рабочего стола все открытые в нем приложения перемещаются на соседний.
Из других особенностей хочется отметить наличие Windows Server Antimalware, защищающего сервер от вредоносного ПО «из коробки», то есть теперь не требуется покупать и ставить дополнительное ПО. Управлять настройками можно при помощи WMI, PowerShell (командлеты *-MpPreference
) или групповой политики, обновления производятся через Windows Update. При необходимости можно установить и GUI.
PS> Install-WindowsFeature Windows-Server-Antimalware-GUI
PowerShell v5
ОС включают в себя PowerShell 5 (WMF 5.0), предлагающий новые возможности и усовершенствование старых функций. Так, стало удобнее работать с консолью: ее «раскрасили», и теперь команды, параметры и значения показываются разным цветом, проще ориентироваться в большом выводе. Раньше история команд сохранялась в текущей сессии, после закрытия консоли или выключения компьютера приходилось вспоминать сложный запрос, введенный еще вчера, — теперь же оболочка помнит 4096 последних команд, которые сохраняются в %userprofile%\AppData\Roaming\PSReadline
. Изменять настройки консоли можно при помощи командлетов Get|Set-PSReadlineOption
.
Также ранее консоль PowerShell не любила специальных символов (всяческих «не таких» кавычек), и при попытке выполнить скопированную из браузера команду мы нередко получали ошибку. Теперь несовместимые специальные символы автоматически очищаются и преобразуются в безопасный эквивалент.
Новая фишка PowerShell JEA (Just Enough Admin) позволяет предоставлять пользователям доступ только к конкретным функциям, ограничивая возможность pass the hash атак. В настоящий момент не входит в комплект. Чтобы ее использовать, необходимо установить модуль xJEA. И главное — в PowerShell v5 стали доступны классы, появились директивы Class, Enum и другие.
Вывод Get-Command | measure
сразу после установки системы показывает 1504 командлета (в PS4 1301), и это только в базовом наборе. Новинок много. Например, новый командлет New-TemporaryFile
позволяет создавать временные файлы одной командой, набор командлетов Get/Set-Clipboard
позволяет организовать обмен информацией с буфером обмена сессии PS (поддерживаются картинки, текст и прочее), командлеты модуля Microsoft.PowerShell.Archive
— работать с архивами, Clear-RecycleBin
— очищает корзину на указанном диске.
Некоторые командлеты получили новые возможности: так, теперь редактировать и копировать файлы из удаленной системы и на нее при помощи New-PSSession
проще простого:
PS> $session = New-PSSession -ComputerName computer_name
PS> Copy-Item -ToSession $session -Path C:\file.ps1 -Destination С:\
Возможна удаленная отладка скриптов и детальная трассировка в журнал Event Tracing for Windows. Отладку упрощают ряд командлетов Runspace
(входят в Microsoft.PowerShell.Utility
). Новый модуль SoftwareInventoryLogging, содержащий одиннадцать командлетов, дает возможность производить инвентаризацию софта:
PS> Get-Command -Module SoftwareInventoryLogging | select Name
Но самым интересным стало появление модулей установки программ PackageManagement (ранее OneGet), модулей PowerShellGet и управления сетевыми коммутаторами NetworkSwitchManager. Собственно, они были частично анонсированы еще в PS4, когда появился репозиторий ПО Chocolatey и возможность установки из него программ и модулей. Чтобы поставить Chrome, не нужно лезть на сайт Google — достаточно просто ввести команду в консоли:
C:\> choco install googlechrome
Теперь все это официально входит в комплект и используется PS. PackageManagement фактически еще одна фишка из мира *nix, позволяющая ставить программы из централизованного репозитория одной командой. Это упрощает поиск ПО, его обновление и безопасность системы. Можно работать с несколькими репозиториями и создавать свои. Набор командлетов получаем командой
PS> Get-Command -Module PackageManagement
PS> Get-Command -Module PowerShellGet
Назначение их понятно: получение источников ПО (Get-PackageSource), поиск пакета (Find-Package), получение пакета без установки (Get-Package), установка (Install-Package) и так далее:
PS> Install-Package googlechrome
Кстати, в Get-Command появился новый параметр -ShowCommandInfo
, который форматирует вывод PSObjects.
В Chocolatey на сегодня насчитывается 2820 приложений. Единственный минус — система поиска приложений несовершенна, желательно знать название более точно. Если ввести
PS> Find-Package Chrome
то будет найден xChrome. А так — все работает.
Функция Desired State Configuration (служба настройки требуемого состояния) дополнена новыми возможностями. И что совсем интересно — появилась реализация PowerShell DSC for Linux. То есть теперь при помощи DSC можно без проблем управлять конфигурацией разнородных сред. Добавим сюда еще анонс о возможности работы в Win с OpenSSH. Кстати, cmd.exe никуда не делся, как и все привычные консольные команды: ipconfig, netstat, route и другие.
Hyper-V и Storage Services
Функции этих двух ролей очень тесно связаны между собой, поэтому не будем их разделять. Для включения Hyper-V теперь необходимо, чтобы процессор поддерживал технологию SLAT, — раньше это требование касалось только клиентских Win 8/8.1, теперь и серверной ОС. Все современные чипы уже поддерживают эту технологию (в Intel — EPT, в AMD — NPT), поэтому проблем здесь никаких.
Виртуальные машины получили новый формат с более высокой степенью защиты от сбоев на уровне хранилища: VMCX используется для хранения данных конфигурации VM, а VMRS для runtime-данных. Формат бинарный, а не XML, редактировать его вручную не получится. Обновления интеграционных компонентов для гостевых ОС распространяются через Windows Update. Это очень хорошо: теперь процессом могут управлять сами пользователи и не придется, как раньше, возиться с vmguest.iso. Возможно горячее добавление виртуальных сетевых адаптеров и памяти для гостевых Win и Linux. Для Linux поддерживается безопасная загрузка (secure boot).
Реализовано так называемое прозрачное обновление кластера (Cluster Operating System Rolling Upgrade), то есть узел Hyper-V с новой ОС будет работать в одном кластере с Win 2012R2. При этом виртуальные ОС можно свободно перемещать и импортировать между ними в любую сторону (в Win 2012 и Win 2012R2 можно было только на вторую ОС). Для управления смешанным кластером следует использовать обновленный диспетчер Hyper-V, входящий в состав TP2. Вообще, диспетчер Hyper-V из состава TP2 обеспечивает управление хостами всех старых ОС за исключением Win2k8R2. Но все VM в смешанном кластере будут создаваться и работать на уровне Win 2012R2 (версия 5); то есть их уровень при перемещении не меняется и новые функции действовать не будут.
Текущую версию проверить просто:
PS> Get-VM * | Format-Table Name, Version
После того как ОС на всех узлах кластера будут обновлены до TP2, следует вручную обновить версию конфигурации узлов кластера при помощи командлета Update-ClusterFunctionalLevel
. После этого будет доступна возможность обновления версии отдельных VM до 6-й (с изменением формата файлов). Для этого следует остановить VM и выполнить на хосте Update-VmConfigurationVersion имя_VM
. Но теперь добавить новый узел с Win 2012R2 в кластер и перемещать на такую систему VM v6 невозможно, так как не предусмотрен обратный откат с v6 на v5.
В Win 2012R2 появилась возможность задавать пороги IOPS для конкретного виртуального жесткого диска VM: теперь добавились политики Storage QoS, позволяющие управлять минимальным и максимальным порогом для виртуального HDD отдельной VM или группы VM, обеспечивая нужный SLA, мониторинг и статус.
Снапшоты в VM — это уже стандартная функция. В новой ОС появились так называемые Production Checkpoints, позволяющие создавать снимок внутри гостевой VM Win (для Linux с некоторыми оговорками) при помощи службы VSS и быстро откатываться до нужной версии, когда необходимо. При желании можно, конечно, использовать стандартное сохранение состояния через Saved State.
Анонсирована новая функция Storage Replica, обеспечивающая блочную синхронную репликацию между серверами по протоколу SMB3, зеркалируя данные между серверами. Это позволяет реализовать разные сценарии отказоустойчивости без потерь данных на уровне файловой системы. И главное: теперь для организации отказоустойчивых кластеров достаточно софта от MS, нет необходимости закупать оборудование сторонних производителей, подойдет обычный сервер с «кучей дисков». Асинхронная репликация никуда не делась, но не обеспечивает стопроцентного сохранения информации и применяется при размещении узлов кластера в удаленных сайтах.
Упрощено использование нескольких (альтернативных) учетных данных для входа на разные хосты в диспетчере Hyper-V. Обновленный протокол для связи с удаленными хостами Hyper-V (WS-MAN + CredSSP, Kerberos или NTLM) позволяет выполнять живую миграцию без предварительного включения ограниченного делегирования в Active Directory. Использование стандартного открытого по умолчанию 80-го порта упрощает конфигурацию.
Сеть
Новинки в сетевых функциях также тесно связаны с виртуализацией — в частности, с возможностью создания и управления большим количеством IP и подсетей. Виртуальная инфраструктура требует возможности настройки сети на уровне L2. Модуль NetworkSwitchManager содержит девятнадцать командлетов и позволяет просматривать настройки сетевых коммутаторов и управлять ими:
PS> Get-Command *-NetworkSwitch*
В Win 2012 появились функции, позволяющие строить поверх физической сети виртуальные сети, к которым могли подключаться клиенты при помощи мультитенантного VPN. Это дает достаточную гибкость при использовании технологий виртуализации. Только инструменты управления были несовершенны. Но в TP2 появилась новая роль Network Controller, предоставляющая возможность автоматизировать настройки физических и виртуальных сетей, а также управлять ими в дата-центре при помощи SCCM2012, SCVMM или SCOM. Поддерживаются VM и виртуальные коммутаторы Hyper-V, физические маршрутизаторы, брандмауэр и VPN-шлюзы. Функция балансировки нагрузки позволяет использовать несколько серверов, обеспечивая высокую доступность и масштабируемость.
Cервер DHCP больше не поддерживает Network Access Protection (NAP). Защита доступа к сети для DHCP-зон появилась в Win2k8, в Win 2012R2 ее объявили как deprecated, и теперь она удалена. Убраны и все связанные политики: сервер теперь будет игнорировать запросы о соответствии требованиям (statement of health) от клиентов DHCP, поддерживающих NAP, а сами клиенты будут помечаться как несовместимые.
Для DNS-сервера появилась возможность записи событий аудита и аналитики в журнал событий. По умолчанию она отключена, но активировать ее можно в Event Viewer: в разделе Application and Services Logs находим DNS-Server и в контекстном меню View отмечаем Show Analytic and Debug Logs. Журналы DNS совместимы с клиентскими Event Tracing for Windows (ETW) приложениями вроде LogMan, Tracelog, EtwDataViewer.
Второе большое нововведение в DNS-сервере — появление политик DNS (DNS Policies). Теперь DNS-серверу можно указать, как реагировать на запрос в зависимости от IP-клиента, подсети, протокола, домена, типа запроса и времени суток. Таким образом можно легко организовать балансировку нагрузки или перенаправлять трафик на нужный ресурс. Например, если компания имеет региональный сайт, то локальный клиент будет направлен именно на него, остальные получат IP общего сайта. В интерфейсе DNS Manager никаких настроек, связанных с DNS Policies, нет — для создания политик и управления ими следует использовать командлеты *-DnsServerQueryResolutionPolicy
.
В новой версии Remote Desktop Services оптимизирован RemoteFX: в частности, поддерживается OpenGL 4.4 и OpenCL 1.1 API, можно выделять большее количество видеопамяти. В состав сервера входит роль MultiPoint Services, позволяющая совместно работать на одном компьютере нескольким пользователям.
В предыдущих версиях при создании безопасного site-to-site (S2S) соединения приходилось немного повозиться. Теперь для Windows Server Gateway можно использовать более простой протокол GRE (Generic Routing Encapsulation). Он поддерживается большинством маршрутизаторов, обеспечивает высокую скорость подключения, позволяет маршрутизировать несколько виртуальных и физических сетей, не создавая дополнительные туннели. Управление производится при помощи специальных командлетов *-VpnS2SInterface
.
Объявлены новые возможности в IPAM (некоторые пока не реализованы): визуализация всех записей DNS-ресурсов, относящихся к IP-адресу, автоматизированная инвентаризация IP-адресов на основе этих записей, управление жизненным циклом IP-адресов для DNS и DHCP.
Другие продукты
Обновлен Microsoft Identity Manager 2015 (MIM), в котором появилось еще несколько функций. Так, в AD добавлена возможность Privileged Access Management (PAM), представляющая собой особый лес, который находится в доверии к существующему и обеспечивает изоляцию для выполнения задач с правами администратора пользователям специальной shadow group. Основная фишка таких групп в том, что туда участники добавляются на четко установленное время, необходимое для выполнения задачи. Срок членства заложен в тикет Kerberos. Соответственно, обновлены средства мониторинга, позволяющие определить, кто запросил доступ и кому он предоставлен, и отслеживать деятельность пользователя.
Комплект Windows ADK пополнен новым инструментом Windows Imaging and Configuration Designer (Windows ICD), предназначенным для интеграторов и OEM-поставщиков. При помощи простого мастера можно создать новый установочный образ Win или установочный пакет без знания ключей DISM и командлетов PowerShell. Также отпала необходимость в сторонних инструментах вроде DISM GUI.
Вывод
Это далеко не все изменения. Новая ОС активно развивается, корпорация взаимодействует с сообществом, и постоянно мелькает информация о функциях, которые появятся в будущем. Ждем релиза.