Одна из сквозных тем Windows Server 2008 – «чем меньше, тем лучше». Это не означает вырезание компонентов без нужды. Это означает стратегию упрощения и прояснения ролей и средств, позволяющую установить именно то, что нужно – и ничего более. Диспетчер серверов является важной частью этой концепции Windows Server® 2008.
Это выражается в двух аспектах. Первый – это крайне важная концепция ролей и компонентов серверов, являющихся базовыми блоками Windows Server 2008. Второй – это само средство диспетчера серверов. Это средство не только заменяет несколько средств, использовавшихся в Windows Server 2003, но также сосредотачивает гораздо больше функций в одном месте, так что занятые администраторы могут выполнять больше работы, причем быстрее и проще.
Роли и компоненты
Те, кто читал о Windows Server 2008, вероятно уже сталкивались с некоторыми терминами, не употреблявшимися в контексте Windows® ранее, такими как «рабочие нагрузки» и «роли». Я начну с объяснения того, что эти термины значат для специалистов по ИТ.
В начале цикла разработки Windows Server 2008 мы потратили массу времени, пытаясь выяснить, как именно пользователи используют наши серверные продукты. (Собственно, и продолжаем пытаться.) В целом, мы обнаружили, что пользователи развертывают наши серверы для выполнения конкретных задач. Возможно, это не выглядит великим открытием, но для некоторых из нас статистика, показывающая, что пользователи не покупают наши серверы, просто чтобы иметь сервер, стала откровением. Что более важно, они не развертывают серверы для выполнения множества задач. Вместо этого они требуют от сервера чего-то конкретного. Конечно, бывают и исключения, но в большинстве случаев сервер выделяется для выполнения определенной функции.
В ответ на эти откровения мы сгруппировали эти «определенные функции» в широкие категории, именуемые рабочими нагрузками. Например, рабочую нагрузку базы данных и рабочую нагрузку сервера приложений. Поскольку рабочие нагрузки широки и порой туманны, мы создали подкатегории внутри них, именуемые ролями. Роль – это простая, четко определенная функция, выполнение которой ожидается от сервера. Подумайте о том, как вы (и знакомые вам пользователи) называете серверы в вашей сети. Большинство пользователей думает о них как о файловом сервере, контроллере домена, сервере печати, веб-сервере и так далее. Поскольку пользователи склонны думать о серверах в таком духе, Windows Server 2008 и использует такой же подход для работы с ролями.
Грубо говоря, в Windows Server 2008 существуют три широких категории ролей: управления идентификационными данными и доступом (эти роли помечены как часть Active Directory®), инфраструктуры (это включает файловые серверы, серверы печати, DNS и так далее) и приложений (такие как роль веб-сервера и службы терминалов).
В комплекте Windows Server 2008 будет поставляться примерно 17 ролей (включая такие роли, как службы сертификации Active Directory, службы сетевой политики и доступа и службы виртуализации Windows Server). Дополнительные роли, такие как роль служб потокового мультимедиа, скорее всего, будут доступны для загрузки.
По большому счету, каждая роль заслуживает собственной статьи. О некоторых из них рассказывается более подробно в этом выпуске TechNet Magazine, некоторые уже были освещены, а некоторым это еще предстоит. Каждую из них стоит изучить, начиная с информации, предоставленной на technet2.microsoft.com/windowsserver2008/en/servermanager/default.mspx.
В начале развертывания Windows Server 2008 необходимо выбрать, какие роли будут установлены на каждом сервере. Это развертывание на основе ролей является важным элементом эффективного использования Windows Server 2008 и гибкости при развертывании имеющихся ресурсов.
В список ролей не входят такие элементы, как шифрование диска BitLockerTM и балансировка сетевой нагрузки (Network Load Balancing – NLB). Это вызвано тем, что они являются компонентами – их присутствие желательно, но пользователь не будет покупать систему только ради них. Роли, с другой стороны, представляют именно задачи, для выполнения которых система и покупается. Для примера, пользователи не покупают серверы, чтобы применить балансировку сетевой нагрузки. Они покупают их с целью, скажем, обслуживания веб-узла. NLB может быть весьма существенным аспектом, скажем, веб-сервера, но не целью, ради которой сервер существует.
Вместо установки и включения всех компонентов сервера администратор выбирает, какие из них следует установить. (Список компонентов, входящих в Windows Server 2008, показан на рис. 1.) Включение только необходимых ролей и компонентов позволяет улучшить стабильность и безопасность. Если компонент или роль не установлены, то не надо и беспокоиться о потребляемых ими ресурсах. Аналогично, не надо беспокоиться об устранении неполадок компонентов или обеспечении безопасности ролей, если они не установлены.
Рис 1 Компоненты, поставляемые в комплекте с Windows Server 2008
Возможности Microsoft .NET Framework 3.0 |
Технология шифрования диска BitLocker |
Серверные расширения BITS |
Пакет администрирования диспетчера подключений |
Темы рабочего стола |
Управление групповой политикой |
Клиент печати через Интернет |
Сервер службы имен хранилищ Интернета (iSNS) |
Монитор портов LPR |
Очередь сообщений |
Многопутевой ввод/вывод |
Протокол однорангового разрешения имен |
qWave |
Удаленный помощник |
Средства удаленного администрирования сервера |
Диспетчер съемных носителей |
Прокси RPC через HTTP |
Службы для NFS. |
Сервер SMTP |
Диспетчер хранилища для сетей SAN |
Простые службы TCP/IP |
Службы SNMP |
Подсистема для приложений на основе UNIX |
Клиент Telnet |
Сервер Telnet |
Клиент протокола TFTP |
Отказоустойчивая кластеризация |
Балансировка сетевой нагрузки |
Система архивации Windows Server |
Диспетчер системных ресурсов Windows |
Сервер службы WINS (дополнительно) |
Служба беспроводной локальной сети |
Внутренняя база данных Windows |
Windows PowerShell |
Служба активации процессов Windows |
Воплощением этой концепции является вариант установки Server Core. Описание Server Core выходит за рамки этой статьи, но читатель может представить себе логическое завершение идеи, согласно которой неиспользуемые роли и компоненты не следует даже копировать на жесткий диск или делать доступными. Ключевое различие между обычной установкой и установкой Server Core заключается в том, что в нормальную установку входят все необходимые ресурсы для установки дополнительных ролей в любое время и поддерживаются все роли. Server Core же не имеет даже графического интерфейса для своей оболочки и поддерживает лишь ограниченный набор ролей.
Диспетчер серверов
Новая консоль диспетчера серверов в Windows Server 2008 облегчает управление несколькими серверными ролями в организации и обеспечение их безопасности. По сути являясь расширенным вариантом консоли управления Microsoft® (MMC), диспетчер серверов позволяет просматривать практически всю информацию и средства, влияющие на производительность сервера, и управлять ими. Он предоставляет единый источник управления идентификационной и системной информацией сервера, отображения состояния сервера, определения проблем в настройке серверных ролей и управления установленными ролями. (Отметьте, что он также заменяет несколько функций, входивших в Windows Server 2003, таких как управление данным сервером, настройку данного сервера и добавление или удаление компонентов Windows.)
В некоторых случаях диспетчер серверов может также уменьшить потребность администратора в выполнении мастера настройки безопасности (SCW) перед развертыванием серверов. Диспетчер серверов настраивает сервер таким образом, чтобы все установленные роли были функциональны – например, автоматически настраивая брандмауэр Windows. В тех же случаях, когда роли добавлены, а затем удалены, или когда пользователю нужен более строгий контроль над конкретными параметрами безопасности, SCW все равно является ценным средством. Дополнительные сведения приведены в статье Джеспера Йоханссона (Jesper Johansson) «Использование SCW в Windows Server 2008» («Using SCW on Windows Server 2008») из рубрики «На страже безопасности в этом выпуске нашего журнала (microsoft.com/technet/technetmag/issues/2008/03).
При работе над Windows Server 2008 мы тщательно рассмотрели способы выполнения задач, которыми должны пользоваться администраторы согласно нашим ожиданиям. Мы нашли способы, которыми средства и мастера упрощали их работу, и случаи, где требовалось слишком много перескакивания от одного средства к другому. Мы поставили важную цель при разработке Windows Server 2008 в целом и диспетчера серверов в частности – сделать администрирования сервера более эффективным путем предоставления администраторам возможности выполнять многие типы задач в одном месте. Как следствие, с помощью диспетчера серверов можно:
- Просматривать роли и компоненты, установленные на сервере, и вносить в них изменения.
- Выполнять управленческие задачи, касающиеся сервера, такие как запуск или остановку служб либо управление локальной учетной записью пользователя.
- Выполнять управленческие задачи, касающиеся ролей, установленных на сервере.
- Проверять состояние сервера, определять важные события и анализировать проблемы настройки.
- Устанавливать или удалять роли, службы ролей и компоненты, используя графический интерфейс или командную строку.
Консоль диспетчера сервера представляет массу информации и функций на небольшом пространстве. На рис. 2 показана роль узла файловых служб на консоли диспетчера сервера. Основное окно консоли содержит четыре свертываемых раздела: сводку по серверу, сводку по ролям, сводку по компонентам, а также материалы и поддержку.
Рис. 2 Консоль управления сервером, отображающая роль файловых служб.
В сводке по серверу имеются два подраздела: сведения о компьютере и сведения о безопасности. В подразделе сведений о компьютере отображаются имя компьютера, домен, имя учетной записи локального администратора, сетевые подключения и код продукта операционной системы. Для изменения этой информации можно использовать команды. Подраздел сведений о безопасности отображает, включены ли автоматическое обновление Windows и брандмауэр Windows, а также включена ли настройка усиленной безопасности Windows Internet Explorer® (либо для администраторов, либо для прочих пользователей). Аналогично, здесь доступны команды для изменения этих параметров и для просмотра всех дополнительных вариантов.
В разделе сводки по ролям имеется таблица, указывающая, какие роли установлены на сервере. Команды в этом разделе позволяют добавлять или удалять роли или перейти в более подробную консоль, через которую можно управлять отдельной ролью.
Раздел сводки по компонентам предоставляет таблицу, указывающую, какие компоненты установлены на сервере. Как и ожидалось, что здесь можно добавлять и удалять компоненты.
Наконец, в разделе материалов и поддержки указывается, принимает ли сервер участие в программе повышения удобства работы заказчика и отчетах об ошибках Windows, а также позволяет настроить участие сервера в программах обратной связи. Здесь также можно быстро обнаружить дополнительные разделы по справке и исследованиям, доступные в технических центрах TechCenter и технических библиотеках Windows Server.
Сведения о ролях
Каждая установленная роль имеет собственную главную страницу внутри диспетчера серверов. Для каждой из этих главных страниц ролей раздел материалов и поддержки предлагает меню из рекомендованных настроек или случаев, в которых работает эта роль или части роли. Каждая рекомендованная настройка связана с контрольным списком справки, проводящим пользователя через задачи, которые необходимо выполнить для обеспечения наибольшего удобства работы для данной роли.
Особенно удобной стороной диспетчера серверов является то, что он поднимает наверх важную информацию и команды, помещая их прямо там, где они нужны пользователю. Если, например, пользователь просматривает главную страницу роли файловых служб, он может немедленно увидеть любые события, относящиеся к этой роли; ему не нужно запускать для этого средство просмотра событий и строить фильтр.
Однако, некоторые роли могут создавать сотни событий, так что у пользователя также есть возможность создавать собственные фильтры прямо с главной страницы роли. Он можно выбрать «Фильтровать события» в боковом меню и еще более сузить категории отображаемых событий. Данный диалог не предоставляет всех возможностей фильтрации, доступных в средстве просмотра событий, но он позволяет быстро сосредоточить внимание только на событиях, относящихся к данной конкретной роли, не утруждая себя фильтрацией прочих.
Аналогично, имеется возможность увидеть состояние системных служб (службы, требуемые данной ролью, но являющиеся частью общей системы) и служб ролей (службы, относящиеся к данной конкретной роли). Для некоторых служб можно выбирать, какие части роли доступны ,и устанавливать различные наборы служб ролей. Прямо с главной страницы роли можно запускать и останавливать службы, а также указывать, какие службы следует отслеживать как системные для данной роли.
Работа с мастерами
Основательно разработанный мастер может сэкономить время пользователя и помочь ему в предотвращении ошибок, особенно при работе с задачами, выполняемыми лишь время от времени. В предыдущих версиях Windows Server для изменения установленных на сервере компонентов требовалось использовать мастера управления данным сервером, настройки данного сервера и добавления или удаления компонентов Windows. Проверки зависимости были ограничены, и мастер добавления или удаления компонентов Windows требовал завершения установки одной роли перед добавлением следующей.
Теперь использование мастеров диспетчера ролей позволяет устанавливать или удалять по нескольку ролей, служб ролей и компонентов за один сеанс. Но, что более важно, в ходе работы с мастерами диспетчера серверов выполняются проверки зависимости, обеспечивающие установку всех необходимых ролей и служб ролей. И роли устанавливаются с рекомендованными параметрами безопасности по умолчанию – впрочем, их можно изменить, используя мастер настройки безопасности. Единственного сеанса одного из мастеров диспетчера серверов реально достаточно, чтобы полностью подготовить сервер к развертыванию.
В диспетчере серверов имеется набор мастеров, в том числе мастера добавления ролей, добавления служб ролей, добавления компонентов, удаления ролей, удаления служб ролей и удаления компонентов.
Мастер добавления ролей, который, как несложно догадаться, используется для добавления ролей к серверу, автоматически проверяет зависимости между ролями и убеждается в том, что установлены все роли, а также службы ролей, требуемые для работы каждой выбранной роли. Для некоторых ролей, таких как службы терминалов и службы сертификации Active Directory, мастер добавления ролей также предоставляет страницы настройки, позволяющие пользователю указать желаемую настройку роли в процессе установки. Рис. 3 демонстрирует страницу выбора ролей сервера мастера добавления ролей.
Рис. 3 Использование мастера добавления ролей для выбора ролей сервера
Большинство ролей состоят из нескольких элементов, которые диспетчер серверов именует службами ролей. После установки сложной роли можно использовать мастер добавления служб роли для добавления к ней служб.
Подобно мастеру добавления ролей, мастер добавления компонентов позволяет устанавливать компоненты. За один сеанс можно добавить один или несколько компонентов.
Мастер удаления ролей, согласно своему названию, позволяет удалять роли с сервера. Мастер автоматически проверяет зависимости, чтобы убедиться, что роли или службы ролей, необходимые другим ролям не удалены и остаются установленными. Также можно удалять службы ролей из установленной роли, используя мастер удаления служб ролей. В то же время мастер удаления компонентов позволяет удалять компоненты системы.
Командная строка
Порой я встречаю специалистов по ИТ, которые просто ненавидят мастера. Хотя лишь немногие испытывают настолько бурные чувства, многие специалисты по ИТ любят иметь возможность использования командной строки. Это может быть более удобным, поскольку делает возможным простую повторяемость и использование сценариев. Диспетчер серверов предоставляет средство командной строки ServerManagerCmd.exe, которое заметно проще в использовании, чем прежние средства ocsetup и pkgmgr. ServerManagerCmd.exe можно использовать для установки и удаления ролей, служб ролей и компонентов. Также можно использовать простые параметры для отображения списка всех ролей, служб ролей и компонентов – включая как установленные, так и доступные для установки.
Эта командная строка дает возможность выполнять автоматическую установку и удаление ролей, служб ролей и компонентов, что весьма удобно. Командную строку можно использовать для установки или удаления единственной роли, службы ролей или компонента в экземпляре команды; либо можно использовать файл ответов XML при помощи команды диспетчера серверов для установки или удаления нескольких ролей, служб ролей и компонентов единственным экземпляром команды. Также можно просматривать журналы и запускать запросы для отображения списков ролей, служб ролей и компонентов, включая как уже установленные, так и доступные для установки.
Изюминкой этого средства командной строки является параметр whatif, позволяющий увидеть какие именно изменения будут внесены в сервер установкой указанной роли. Например, на рис. 4 показаны результаты запуска следующей команды:
ServerManagerCmd -install Web-Server -allsubfeatures -whatif
Само собой, эти выходные данные можно сохранить в файл для дальнейшего анализа.
Рис. 4 Использование параметра whatif для просмотра изменений, которые были бы внесены в сервер
Более углубленное рассмотрение деталей и синтаксиса ServerManagerCmd.exe имеется в документе "Server Manager Technical Overview Appendix" («Приложении к техническому обзору диспетчера серверов») по адресу go.microsoft.com/fwlink/?LinkId=107113.