В испытаниях бета-версии Windows Server 2003 Service Pack 1 (SP1) перед ее выпуском в конце марта участвовали многие исследователи на местах. В начале года Питер Чанг, инженер-системотехник из Редмонда шт. Вашингтон, где находится штаб-квартира корпорации Microsoft, установил второй релиз-кандидат RC2 (Release Candidate 2) - последнюю бета-версию Windows 2003 SP1 - на десяти серверах городской сети из 36 серверов. В беседе со старшим редактором Windows IT Pro Энн Грабб он поделился своими впечатлениями об установке и запуске SP1 RC2.
Установка прошла нормально
Питер и его коллеги установили SP1 RC2 на различных серверах городской сети: файл-серверах, серверах печати и других системах. В том числе была произведена установка на контроллерах доменов, которые обеспечивают работу многих систем - службы дистанционной аутентификации пользователей RADIUS (Remote Authentication Dial-In User Service), службы имен доменов DNS, протокола динамической конфигурации хоста DHCP, службы WINS; системы Windows Media Server, нескольких информационных Internet-серверов Microsoft Internet Information Services 6.0 и системы для работы SMS 2003 (Microsoft Systems Management Server 2003). Обновление каждого сервера с двумя процессорами Pentium 3 и 4 заняло 15 - 20 минут (без установки и запуска компонента SCW - Security Configuration Wizard - мастера по настройке системы безопасности). По словам Питера, обновление SP1 шло существенно быстрее, чем обновление клиентской системы на Windows XP SP2. Не надо было устанавливать на сетевые серверы дополнительные аппаратные средства (например, диск или память), причем в результате обновления пакета обновлений на серверах не отмечалось дополнительной нагрузки.
Мастер Security Configuration Wizard
Питер Чанг был доволен новым мастером настройки системы безопасности SCW (Security Configuration Wizard) для SP1, который устанавливается отдельно от обновления операционной системы. Мастер SCW идентифицирует все службы, работающие на сервере (это также входит в задания по настройке системы безопасности), что позволяет закрывать те службы, которые не нужны. Питер говорит: "Если надо убедиться, что все приложения и службы, предоставляемые сервером, включены и работают, я инициирую мастер SCW, который в процессе их функционирования выполняет большую работу, идентифицируя открытые порты, открытые выполняемые файлы, службы, перечисленные в запросах и т.д. - это существенно облегчает мою работу".
По словам Питера Чанга, мастер SCW - хороший помощник сетевых администраторов, работать с ним легче, чем с редактором SCE. Замечательно, что мастер SCW помогает определять, какие службы не нужны из списка тех служб, которые были открыты на всякий случай. Мастер SCW проверяет зависимости службы и сообщает, от чего она зависит или будет зависеть.
Если возникает необходимость узнать больше о какой-то отдельной службе, ее можно отыскать во встроенной базе знаний SCW, файл XML содержит описание разнообразных служб. По словам Питера, представление базы знаний в гибком формате XML позволяет приспособить ее для приложений других разработчиков.
Другое достоинство мастера SCW - его можно применять для служб предварительной настройки и даже для брандмауэра Windows Firewall на сервере Windows 2003. По словам Питера, мастер SCW хорошо анализирует процессы, работающие на машине в данный момент. Администраторы на основании такого анализа могут решить, какие службы должны работать на сервере, и затем с помощью мастера SCW правильно настроить сервер, вместо того, чтобы применять шаблоны безопасности или объекты групповой политики GPO (Group Policy Objects) для установления политики. Питер высказал пожелание, чтобы Microsoft предоставила такую возможность и на клиентской стороне.
Повышение производительности
Работа мастера SCW дала неожиданное улучшение производительности на отдельных серверах SP1. При тестировании оказалось, что в некоторых случаях число обращений к памяти и центральному процессору падало, потому что много ненужных служб было закрыто. Питер Чанг сказал, что иногда удавалось закрыть пять - десять служб на различных тестируемых серверах, поскольку эти службы были встроенными, и это было выгодно. В случае необходимости использовать серверы как можно более эффективно, это определенно давало положительный результат.
Ложка дегтя
Все же при обновлении возникали и неожиданные ситуации, правда, персонал устранил их легко. Например, до этого обновления настройки брандмауэра XP SP2 Windows Firewall распространялись с помощью доменной политики по умолчанию. Однако после того как IT персонал установил Windows 2003 SP1 на первом сервере и включил брандмауэр на сервере, возникла странная ситуация. Первый сервер, на котором включили брандмауэр, вытянул все настройки брандмауэра из групповой политики Group Policy, которая автоматически блокировала этот сервер! Осталась возможность удаленного администрирования, но все службы, функционирование которых он обеспечивал, пропали. Оказалось, что настройка объекта групповой политики GPO, связанного с удаленным администрированием, эффективно блокирует остальные службы сети. В то время, когда настраивался объект групповой политики GPO для настройки брандмауэра на пользовательских компьютерах, никто не предполагал, что потом эти настройки автоматически будут применены для брандмауэра на Windows Server. Для предотвращения подобных ситуаций необходимо создавать отдельные настройки брандмауэра для серверов через другой объект групповой политики.
Вторая ситуация фактически объясняется ограничениями, накладываемыми системой безопасности SP1. Следовало бы ожидать, что можно вернуть любую настройку, измененную с помощью мастера SCW. Тем не менее, по словам Питера Чанга, при экспорте конфигурации через Group Policy, автоматически вернуться к прежней настройке конфигурации нельзя.
В заключение Питер Чанг рассказал об особенностях функционирования сервера SMS: пакет обновлений SP1 может повлиять на Distributed COM (DCOM), например, возможно создание новой локальной группы DCOM на сервере SMS, и изменения DCOM могут повлиять на работу сервера SMS. По словам Питера Чанга, при развертывании SP1 на сервере SMS 2003 консоль управления Administration Console сервера SMS не могла больше подключаться к серверу, потому что администраторы SMS еще не были добавлены к заново созданной локальной группе пользователей Distributed COM Users. Возможно также влияние на другие приложения, но прецедентов еще не было. Группа Питера Чанга проверяет новые настройки системы безопасности DCOM, поскольку на них могут влиять новые и имеющиеся приложения.
Список пожеланий
Конечно, Питеру Чангу хотелось бы увидеть в выпуске пакета обновлений SP1 несколько функциональных возможностей. Он выразил надежду, что вторая версия FRS (File Replication Service - служба репликации файлов) будет лучше первой. Особенно хорошо было бы, по его мнению, если бы Microsoft добавила поддержку служб печати в FRS и DFS (Distributed File System - распределенная файловая система). Он также выразил надежду, что новые настройки беспроводного подключения к сети новых объектов GPO в SP1 предоставят безопасные беспроводные службы пользователям города.
В целом, Питер Чанг и персонал IT довольны улучшениями, которые они обнаружили в SP1, и с нетерпением ждут окончательного выпуска. Питер сказал, что в пакете много новых возможностей, особенно в плане обеспечения безопасности. Что касается выявленных проблем, то, по его словам, они возникают в основном из-за повышенного уровня безопасности и с ними можно работать.
Эн Грабб (agrubb@windowsitpro.com) - Редактор Windows IT Pro. Она пишет статьи, книги и другие материалы по компьютерам и бизнесу более 20 лет.