Возвращаясь к теме профессионального развития ИТ-специалистов, хочу проанонсировать те полигоны, которые в настоящий момент проходят в Киеве.

Полігон «Підкорюючи віртуализацію»
З 27 жовтня по 28 листопада 2008 року компанія Microsoft в Україні та Центр Знань компанії «Інком» запрошує на полігон «Підкорюючи віртуализацію».
Полігон призначений для представників організацій, що відповідають за роботу та розвиток інфраструктури та буде цікавим всім ІТ-фахiвціям та керівникам ІТ-підрозділів, які бажають підтримувати рівень своєї кваліфікації та підвищити ефективність діяльності своїх компаній за рахунок використання найсучасніших технологій Microsoft з віртуалізації, керування інфраструктурою та безпеки.
Участь у полігоні безкоштовна.
Зареєструватися та переглянути детальну інформацію про дати та програму полігону можна за наступною адресою http://edu.incom.ua/content/view/372128/389/.

Полігон «Плюс три в швидкість»
З 4 листопада по 12 грудня 2008 року компанія Microsoft в Україні та Microsoft innovation center на базі Київського Національного Університета імені Тараса Шевченка запрошує на полігон «Плюс три в швидкість».
Полігон призначений для представників організацій, що використовують бази даних та буде цікавим всім ІТ-фахвціям та керівникам ІТ-підрозділів, які бажають підтримувати рівень своєї кваліфікації та підвищити ефективність діяльності своїх компаній за рахунок використання найсучасніших технологій Microsoft.
Особливо цікавим семінар буде для:
— адміністраторів SQL Server, робота яких пов'язана з оптимізацією продуктивності
— розробників програмного забезпечення, що використовують SQL Server
— розробників звітів на базі SQL Server
— аналітиків, що використовують, або збираються використовувати інтрументи BI SQL Server
Участь у полігоні безкоштовна.
Зареєструватися та переглянути детальну інформацію про дати та програму полігону можна за наступною адресою http://sql2008.polygon.unit.ua/.

Полігон «Веб-iмпульс 2008»
З 24 листопада по 7 грудня 2008 року компанія Microsoft в Україні та Microsoft innovation center на базі Київського Національного Університета імені Тараса Шевченка запрошує на полігон «Веб-імпульс 2008».
Полігон “Вебімпульс” призначений для фахівців в галузі веб-хостінгу та буде цікавим всім ІТ-фахвціям та веб-розробникам які бажають дізнатись про нові можливості які надає Windows Web Server 2008 для існуючих та нових проектів у галузі веб-хостінгу.
Особливу цікавість семінар викличе у
— директорів та менеджерів компаній що надають послуги хостінгу та шукають нові шляхи розвитку
— ІТ адміністраторів та розробників які бажають підвищити ефективність роботи
— ІТ адміністраторів та розробників які замислюються над створенням стратапу у галузі веб-хостінгу
— всім хто планує більше дізнатись проможливості IIS
Участь у полігоні безкоштовна.
Зареєструватися та переглянути детальну інформацію про дати та програму полігону можна за наступною адресою http://web2008.polygon.unit.ua/

Полігон «Ефективні комунікації на основі продуктів Microsoft 2008»
Компанія Microsoft та Учбовий Центр «Сетевые технологиии» компанії TechExpert запрошує системних адміністраторів, інженерів та технічних спеціалістів на тренінг зі знайомства з новішими продуктами, рішеннями та технологіями Microsoft: Полігон 2008: Ефективні комунікації на основі продуктів Microsoft
Місце проведення: Київ
Дати проведення: з 6 листопада по 05 грудня 2008 р.
Вартість участі: безкоштовно.
Завдання тренінгу: ознайомити спеціалістів з новими можливостями Microsoft Exchange Server 2007, Microsoft Office Communication Server 2007, Microsoft Office Groove.
Тренінг орієнтовано на: IT-спеціалістів.

Не забываем регистрироваться, посещать столь полезные мероприятия, получать новые практические знания.

Во-первых, сорри, что не писал – работа, мероприятия TechNet по регионам Украины (кто еще не успел зарегистрироваться - торопитесь) и прочия командировки, буду сейчас исправляться.

Во-вторых, на TechEd имел возможность пообщаться с коллегами из российского офиса, а именно с Андреем Бешковым. Получилась очень интересная дискуссия, результатом которой будет некое перенаправление материалов моего блога – я постараюсь меньше писать новостей, меньше постов типа «правка реестра для распределения нагрузки на процессоры в случае резервного копирования виртуальных машин на дисках SAN через стандартный VSS», а больше уделять внимание постам на тему “как это сделать” и “как это работает”.

Как показывает опыт общения с сообществом, статистика слов в поисковых запросах, и просто наиболее часто посещаемые статьи – именно этого хотелось бы читателям. Простой, всегда доступной информации по решению практических задач, часто – даже просто перевода с английского полезной информации, до которой либо руки не доходят почитать, либо она теряется в потоке другой “нерусской” информации. Так что ждите – планирую уделить внимание конфигурированию Hyper-V, кластеризации, NAP, развертыванию Windows и “первым шагам” по работе с продуктами System Center. По-хорошему, в перспективе, планирую превратить блог в некое подобие вопросов-и-ответов на задаваемые самими посетителями вопросы. Так что если есть какие-то практические темы – пишите в комментах, наиболее часто задаваемые – постараюсь озвучивать с частотой примерно раз в неделю.

И в-третьих – посетители семинаров TechNet настолько забросали меня вопросами типа “а как повторить те демо, которые вы показывали?”, “а можно получить презентации?”, “а могли бы вы провести тренинг для наших специалистов?”, что я решил не дожидаться окончания всех семинаров TechNet для опубликования всего видео всех презентаций на этом семинаре на нашем видеопортале, а начать публиковать отдельные фрагменты в виде демо.

Оцифровал в небольшой размер с хорошим качеством 2 деморолика со своего выступления на TechNet по Hyper-V и Virtual Machine Manager 2008. Краткий обзор по VMM я опубликовал пару недель назад, теперь это все вы сможете еще раз просмотреть “в живую”, скачав видеофайлы со Skydrive:

• 
  использование кластеризации для быстрого переноса виртуальных машин (Quick Migration) под управлением Hyper-V
   
• 
  использование Virtual Machine Manager 2008 для управления датацентрами, эта часть посвящена обзору VMM и различным сценариям миграции с использованием SAN

Продолжение следует – завтра, если успеет доцифроваться – опубликую также часть, посвященную провижинингу виртуальных машин с применением VMM.

Так что хорошего и полезного просмотра и жду комментариев насчет желаемых тематик постов.

Сейчас в Украине идет серия региональных семинаров TechNet, на которых, кроме всего прочего демонстрируются возможности виртуализации Hyper-V и управления ею при помощи System Center Virtual Machine Manager 2008. Но не смотря на это, замечаю по поступающим с блога на e-mail (кто не в курсе – есть такая фича тут) и вообще задаваемым вопросам, что роль виртуализации в современом ИТ в понимании людей остается где-то на уровне 5летней давности... Когда народ запускал небольшие виртуальные машинки «на потестировать» в каких-то личных интересах и о каком-то серьезном применении этих виртуальных машин речи и не шло.

Но, во-первых, в настоящий момент виртуализируется, т.е. «отрывается» от физической реализации, все – сети (VPN), хранилища (SAN, iSCSI, Mesh, VHD etc), ОС на серверах и клиентах, приложения внутри этих ОС, отображение интерфейсов и данных приложений. А во-вторых, за эти 5 лет серверная виртуализация (именно ее чаще всего подразумевают, когда говорят о виртуализации) сделала серьезный рывок вперед, появились не просто решения, занимающиеся эмуляцией команд ЦПУ, памяти, сетевых и дисковых запросов, а серьезные гипервизоры, работающие поверх аппаратных возможностей, подобные Hyper-V, позволяющие «нарезать» и изолировать друг от друга «железные» ресурсы, достигая при этом роста производительности и уплотнения использования аппаратных ресурсов.

Теперь виртуальная машина, если быть точнее – ОС, работающая в виртуальном аппаратном окружении – ничем не хуже ОС, исполняющейся на физическом хосте-сервере, c прямsм обращении к «железу», без слоя гипервизора. А в некоторых моментах – виртуальная ОС даже лучше. Например, благодаря главному принципу виртуализации – отвязке от физической реализации в данном случае «железа», реализуемой технологией Hyper-V – мы имеем возможность абсолютно «безнаказанно» менять место-физический сервер исполнения виртуальной ОС, увеличивать или уменьшать ее потребности в аппаратных ресурсах, группировать несколько экземпляров виртуальных ОС на одном физическом сервере, и, что очень важно, благодаря единообразной «виртуально» среде – очень легко и просто развертывать новые экземпляры ОС с нуля или с использованием шаблона.

Именно об этом идет сейчас речь, когда говорят о виртуализации – не о возможностях запустить «еще одну систему», а о возможностях благодаря унификации решить массу проблем с управлением аппаратными и программными ресурсами, преобразовав сервера, исполняющие по отдельности какой-то серверный продукт в группу серверов, центр обработки данных, которые предоставляют организации набор сервисов с гарантированной доступностью и производительностью. Управляться такой центр будет куда легче и проще. И это как раз задача System Center Virtual Machine Manager 2008, краткий обзор по возможностям которого «в картинках» я бы хотел сделать в этом посте.

Итак, задачи System Center Virtual Machine Manager 2008 (далее для краткости VMM):

1. Изменение парадигмы управления серверами и аппаратными ресурсами. Благодаря библиотеки образов VHD-, ISO-дисков, шаблонов конфигураций, настроек гостевых ОС администраторы могут быстро (в течении 15-20минут для локальной сети) и без непосредственного вмешательства развернуть виртуальную ОС с требуемой конфигурацией. При этом выбор физического сервера, на котором будет исполняться новая виртуальная ОС, определяется встроенной в VMM технологией Intelligent Placement (IP), учитывающей текущую нагрузку на сервер, требования будущей виртуальной машины, необходимые запасы «прочности» для функционирования физической машины и весовые коэффициенты таких компонентов системы, как процессор, память, диск, сеть.

Кроме того, развертывание может производиться на удаленные сервера и по медленным каналам связи, что обеспечивается механизмом «точек отката» в VMM при выполнении задачи, которая делится на отдельные действия и использования технологии BITS для передачи того же образа VHD будущей виртуальной ОС по сети.

Сами шаблоны и образы в библиотеке могу создаваться из уже существующих виртуальных ОС путем выполнения в них команды sysprep, копирования полученного образа в библиотеку, и добавления к нему шаблона аппаратных параметров для новой виртуальной машины и настроек ОС типа продуктового ключа, имени машины, пароля администратора, параметров добавления в домен для конфигурации конкретного экземпляра ОС, которая будет создана из ранее подготовленного sysprep образа. Создаваемая из такого шаблона виртуальная ОС автоматически конфигурируется и настраивается на месте без администратора. Для более тонкой настройки поведния ОС в режиме sysprep можно использовать стандартные утилиты из комплекта AIK или MDT.

В библиотеках также могут временно храниться и рабочие экземпляры виртуальные ОС (в выключенном состоянии), они не являются в таком случае шаблонами, библиотека используется как хранилище при недостатке дискового пространства для данной виртуальной ОС или как промежуточный пункт хранения при передаче виртуальной ОС с одного удаленного сервера на другой.

Также возможно делегирование различных прав на выполнение тех или иных административных действий по управлению VMM и управляемыми им виртуальными машинами пользователям, например, по группам физических хостов. Такие администраторы смогут создавать виртуальные машины, конфигурировать параметры физических хостов и т.п. только в рамках отведенной им группы. Эта функциональность распространяется не только на создание «локальных» администраторов, но и на предоставление возможности создания виртуальных ОС пользователям через специальный веб-интерфейс. Возможно предоставление пользователям права создавать определенное количество виртуальных ОС (поддерживается квотирование как на уровне пользователя, так и на уровне группы) из определенного шаблона (разные шаблоны могут иметь разный вес для квоты).

При этом, если в шаблоне определены настройки будущей ОС, то пользователь получит уже сконфигурированный, добавленный в домен экземпляр виртуальной ОС, сможет пользоваться его ресурсами и даже являться его локальным администратором (также конфигурируется при делегировании). Место расположения создаваемой виртуальной ОС пользователь определить не может, в отличии от администратора, для которого выбор наиболее подходящего хоста предлагается, VMM благодаря технологии Intelligent Placement самостоятельно определяет наиболее подходящий для конкретной конфигурации физический хост и размещает виртуальную ОС там.

Пользователи могут управлять создаными экземплярами через веб-интерфейс, подключаться к ним через консоль (обеспечивающуюся средствами Hyper-V) или, как это возможно и в обычных системах, через удаленный рабочий стол, если он включен в данной конфигурации ОС. Также пользователям может быть предоставлен доступ к библиотекам в режиме записи, т.е. они смогут не только создавать новые экземпляры виртуальных ОС из шаблонов в библиотеке, но и сохранять свои виртуальные ОС в случае, например, нехватки квоты, или при необходимости освобождения ресурсов для других экземпляров.

К управлению серверами можно также отнести интересную возможность VMM по конвертированию ОС, выполняющейся на физическом сервере, в виртуальную ОС (P2V). При этом система продолжает функционировать, пока с нее снимается ее виртуальная копия и помещается на один из серверов. Администратору при помощи мастера достаточно только согласиться с будущей аппаратной конфигурацией для виртуальной ОС (по умолчанию берется такая же, как и на физической машине), указать, данные с каких именно разделов копируемого физического сервера необходимо смигрировать, какой именно сервер для запуска виртуальной копии будет использоваться (определяется при помощи все той же технологии интеллектуального размещения IP), и «привязать» сетевые интерфейсы в будущей виртуальной ОС к сетевым интерфейсам, доступным на размещаемом сервере. Далее система все это сделает сама. На вопрос «Как это делается без останова копируемой машины?» приведу простой факт – резервное копирование Windows Server 2008 выполняется в файл VHD формата, а остальное, думаю, додумаете сами... :)

2. VMM обеспечивает оптимизацию ресурсов и производительности как физических хостов, так и приложений, выполняющихся в виртуальных ОС. Для этого используются возможности Management Packs (MP) от System Center Operations Manager 2008 (SCOM) и средства взаимодействия между VMM и SCOM. Данная технология проходит в VMM как Performance and Resource Optimization (PRO) tips. Фактически, SCOM контролирует физические сервера, виртуальные ОС и приложения в них, и, используя информацию из специальных MP, передает команды в виде предложений для администратора или в виде обязательных сразу к исполнению для самого VMM. По умолчанию имеется MP только с простым сценарием – не хватает ресурсов физического сервера – команда для VMM перенести часть виртуальных машин на другие физические сервера (которые определяются все тем же вездесущим IP). Фактически, PRO – это и есть механизм обеспечения того, на что направлена виртуализация – гарантированной SLA доступности сервисов, предоставляемых датацентом с максимальной утилизацией всех доступных ресурсов. Кроме того, SCOM позволяет администраторам визуально оценить работоспособность всех компонент виртуального датацентра при помощи диаграммы.

3. И, наконец, перенос виртуальных ОС между физическими серверами. Почему последним, а не первым? Да потому что перенос ОС – всего лишь инструмент решения описанных выше задач, а не самоцель. Перенос может выполняться администратором, может быть автоматическим благодаря PRO – но в любом случае, конечная цель такого действия – обеспечение большей доступности и производительности сервиса, компонентом которого является переносимая виртуальная ОС.

VMM поддерживает несколько типов переноса виртуальных ОС между физическими серверами, на которых они исполняются:

Доступный в среде Hyper-V с использованием кластеризации Quick Migration, который обеспечивает высокую доступность экземпляра виртуальной ОС, поскольку такая ОС выполняется в рамках узлов кластера, и перенос происходит путем сохранения состояния виртуальной ОС на одном узле на общий диск кластера (SAN) и восстановления этого состояния на втором узле. Заметьте, поскольку мы имеем дело с одним физическим диском, на разделе которого находится VHD-файл виртуальной ОС, и соединение с которым просто «передается» от сервера к серверу. Время недоступности ресурсов виртуальной ОС при таком переносе будет равно времени записи состояния + время чтения состояния + накладные расходы кластера на монтирования диска и запуск процессов на новом узле и обычно не превышает 20-30 секунд в зависимости от объема ОЗУ виртуальной ОС. О реализации кластерной миграции без VMM, только средствами Windows Server 2008/Hyper-V и iSCSI, я уже писал ранее.

SAN Migration, при котором VMM берет на себя задачи по управлению LUN вашей SAN-среды (FiberChannel, iSCSI, InfiniBand). LUN представляет для конечного сервера отдельный раздел диска на общем сетевом хранилище, к которому при помощи той или иной технологии подключен сервер. LUN’ы монтируются, как разделы на физических серверах (проще говоря – сервер их считает своими «локальными» физическими дисками), и в таких разделах хранятся необходимые VHD-файлы, представляющие диски виртуальных ОС. VMM поддерживает работу с одной виртуальной ОС для одного LUN. При SAN Migration, на исходном физическом сервере VMM сохраняет состояние виртуальной ОС тот же LUN SAN-хранилища, где находятся и ее VHD-диски и после полностью отключает LUN от сервера-источника и подключает LUN к серверу, на котором далее будет выполняться виртуальная ОС при помощи соответствующих команд SAN. На сервере-получателе после подключения LUN монтируется раздел, с него считывается состояние виртуальной ОС и она запускается.

Фактически, это тот же процесс, что и с Quick Migration, но отличается тем, что общие диски кластера – это один и тот же LUN, но доступный одновременно многим узлам кластера, а в SAN Migration LUN передается от одного физического сервера другому в единоличное управление. Кроме того, в отличие от узлов кластера, при SAN-переносе сервера могут иметь разные конфигурации и это требует модернизации конфигурации. Это занимает некоторое время (зависящее от реализации SAN), поэтому скорость SAN-переноса составляет около 1,5-2 минуты. Такой режим позволяет эффективно управлять LUN корпоративной SAN, поскольку за перенос отвечает VMM и, перенося LUN вместе с размещенной там виртуальной ОС, фактически, снимает с администратора вопросы по прямому управлению SAN.

И Network Migration, при котором состояние и сам VHD-файл копируются между серверами по сети. Поскольку VHD-файлы могут иметь размеры десятков и сотен гигабайт, то скорость такого переноса будет равна скорости копирования данных по сети с учетом использования BITS. В таком случае в работе системы могут участвовать различные сервера, не имеющие дорогостоящего SAN и общего хранилища или являющиеся географически распределенными.

VMM автоматически определяет режим возможного переноса виртуальной ОС между текущим сервером и этот аспект также является критерием для работы IP. Администратору только остается определить, какой режим переноса для него наиболее приемлем. Также IP дает рекомендации и информацию о том, почему именно такой режи был выбран и что, например, препятствует выполнению SAN Migration. Кстати, очень часто это могут быть смотрированные в виртуальную ОС как DVD iso-образы, находящиеся на локальных дисках (не на LUN) сервера и прочие локальные ресурсы сервера, доступные в виртуальной ОС. Тогда такая ОС будет мигрироваться c помощью Network-переноса даже на явно указанный LUN сервера-получателя, и при таком переносе будут копироваться по сети не только состояние и VHD-файлы, но и те файлы, которые были смонтированы в ОС.

Собственно, вот такие вот основные задачи реашает и такие возможности имеет текущая версия System Center Virtual Machine Manager 2008. Его применение позволяет организациям эффективно управлять аппаратными ресурсами для максимального выполнения задач организации и гарантировать высокую доступность сервисов при общем снижении нагрузки на системных администраторов, отвечающих за сопровождение серверов.

Сейчас в сети очень много разговоров о “следующей системе от Microsoft”, которая быстрее, меньше и т.п. существующих систем, и фигурирующей под названием “Singularity, Midory, MinWin” и прочими… Хотите узнать более подробно о MinWin? Причем от очень авторитетного специалиста в лице Марка Руссиновича? (который, кстати,  будет выступать с докладами на московской “Платформе 2009”)

Так вот, вчера, пересекая Европу на самолете по дороге в Барселону (3.11 здесь начнется TechEd), смотрел видео материалы с PDC и прочее, что нашлось на channel9.msdn.com (а что еще можно делать, когда впереди 5 часов полета?). И что бы вы думали? Правильно – в своем интервью о Windows 7 Марк весьма и весьма подробно рассказывает о том, что такое MinWin и какое место он занимает в существующих системах, типа Windows 7. Да-да, все верно – MinWin присутствует в Windows 7, впрочем как и масса других интересных вещей. Так что идем на Channel9 и забираем оттуда интервью Марка Руссиновича о Windows 7. Если кого-то интересует именно MinWin – смотреть с 29й минуты. Тамже можно узнать и о разнице между подходом MinWin и Server Core, использующемуся в системах Windows Server 2008/R2.

Планируете поближе познакомится с возможностями новой серверной платформы Windows Server 2008 R2 (бывший Windows 7 Server)? Хотите установить у себя для тестирования и пощупать самое “вкусное”? Просто интересует, “что день грядущий нам готовит” – тогда не стоит бродить по интернету и собирать все слухи. С 28.10 информация по бета-платформе Windows Server 2008 R2 доступна на новом официальном разделе сайта Microsoft, посвященном именно R2. И самым важным документом на этом сайте является, безусловно, Windows Server 2008 R2 Reviewers Guide. Именно на его 77 страницах детально перечислены все те фичи, которые были изменены или добавлены и которые стоит непременно “пощупать” ручками.

Из “вкусненького” перечислю самое интересное:

• Новые возможности взаимодействия серверной платформы Windows Server 2008 R2 и клиента Windows 7 – это функционал Direct Access, призваный, фактически, “похоронить” “старые добрые” VPN и BranchCache, обеспечивающий распределенное хранение локально в удаленных офисах объединенного кеша всего, что “накачали” клиентские компьютеры этого офиса
• Новые возможности кластеров, которые позволяют узлам кластера работать более эффективно при сбоях сетей и SAN, перенаправляя трафик через другие узлы
• Новые “фичи” IIS 7 и управление питанием процессора на уровне отдельных ядер
• и, конечно же, обновление Hyper-V (v2), который получит ну массу новых возможностей, из которых наиболее приятно выглядит оригинальное динамическое управление памятью, виртуализация устройств ввода-вывода (просто “бомба”, если я смогу до виртуальной машины дотянуть HBA того же QLogic FiberChannel) и конечно же, Live Migration (которую все так зачем-то очень хотели). Подробнее именно о виртуализации в R2 вы можете прочитать на блоге моих коллег из Russian Windows Virtualization Discussion.

Выводы – посещаем сайт R2, качаем Reviewers Guide, получаем и устанавливаем бету. Устанавливаем и тестируем, и, главное, делимся впечатлениями, замечаниями и багами с группой разработчиков. :)

Кто пропустил первую часть русского перевода WSSG – читаем предыдущий пост по этой теме, в котором общее описание то, что и как переводилось, забираем вступление и главы с 1 по 5ю.

Во вложении к этому посту – главы с 6 по 9ю, а также окончание перевода WSSG – главы 10-11 и приложение с настройками групповых политик, касающихся безопасности.

Пользуйтесь и безопасных вам систем!

Да, мы сделали это! Мы перевели на русский язык Windows Server 2008 Security Guide! Теперь основной документ по безопасности Windows Server 2008 доступен для всего русскоговорящего ИТ-сообщества. Документ полностью адаптирован, вплоть до снимков с экрана. Думаю, вы и без меня знаете, что Windows Server 2008 наиболее надежная и защищенная система (кто не верит – смотрит Secunia), но знание методов защиты – жедательно для всех админов. Поэтому читаем документы и обязательно применяем в своей работе.

Отдельная благодарность моему коллеге Виктору Шатохину, который “поделился” такой замечательной командой переводчиков, кстати, ранее переведшей документацию по совместной работе с VS TFS.

Забираем вложение к данному посту (первые 5 глав). Продолжение – следует, смотрите следующие посты). Больше писать от себя ничего не буду, только цитаты из документа:

Данное руководство построено на базе Windows Server 2003 Security Guide (Руководство по безопасности Windows Server 2003), в котором представлены специальные рекомендации по повышению уровня защиты серверов с Windows Server 2003 и Пакетом обновления 2 (SP2). Windows Server 2003 Security Guide предлагает рекомендации по повышению безопасности серверов, использующих базовые настройки безопасности для двух сред:

· Среда корпоративных клиентов (Enterprise Client, EC). Серверы в данной среде располагаются в домене, который использует AD DS и обменивается информацией с серверами с установленными Windows Server 2008 или Windows Server 2003 SP2 или более поздними версиями. Клиентские компьютеры в этой среде могут работать с разными ОС: на некоторые установлена Windows Vista®, тогда как на другие – Windows XP с SP2 или более поздние версии. Информация о базовых настройках безопасности, используемых в этой среде, представлена в Приложении А «Параметры групповой политики, связанные с безопасностью».

· Специальная безопасная среда с ограниченной функциональностью (Specialized Security – Limited Functionality, SSLF). Безопасность этой среды настолько важна, что допускается существенное ограничение функциональности и управляемости. Например, компьютеры военных и разведывательных органов работают в такой среде. На серверы в данной среде устанавливается только Windows Server 2008. Информацию о параметрах SSLF, используемых этой средой, можно найти в Приложении А «Параметры групповой политики, связанные с безопасностью».

Внимание Параметры безопасности SSLF предназначены лишь для ограниченного круга организаций. Конфигурация этих параметров разработана для организаций, в которых обеспечение безопасности важнее, чем обеспечение функциональности.

Данное руководство организовано таким образом, чтобы можно было без труда находить необходимую информацию. Руководство и прилагаемые к нему инструментальные средства помогут:

· Установить и развернуть в вашей сетевой среде любые заданные базовые настройки безопасности.

· Определить и использовать компоненты безопасности Windows Server 2008 для основных сценариев безопасности.

· Определить назначение каждого отдельного параметра любых базовых настроек безопасности и понять их важность.

Кто должен прочитать это руководство

Руководство по безопасности Windows Server 2008 предназначено, главным образом, для ИТ-специалистов, специалистов по безопасности, архитекторов сетей, специалистов по вычислительной технике и других консультантов по вопросам ИТ, которые занимаются планированием разработки приложений или сред и развертывания Windows Server 2008 для серверов в среде предприятия. Данное руководство не для пользователей домашних ПК, оно ориентировано на тех, в чьи профессиональные обязанности входит одна или более из следующих ролей:

· Специалист по обеспечению безопасности. Пользователи, выполняющие эту роль, занимаются обеспечением безопасности между разными платформами в рамках организации. Специалистам по обеспечению безопасности необходимо надежное справочное руководство, рассматривающее задачи по обеспечению безопасности на всех уровнях организации и также предлагающее проверенные методы реализации защитных контрмер по усилению безопасности. Специалисты по безопасности определяют компоненты и параметры безопасности и дают рекомендации того, как клиенты могут наиболее эффективно их использовать в среде с повышенными рисками безопасности.

· ИТ-специалисты, сотрудники службы технической поддержки и специалисты по развертыванию. Основной задачей ИТ-специалистов является интеграция безопасности и управление изменениями в процессе развертывания, тогда как специалисты по развертыванию занимаются оперативным обеспечением обновлений безопасности. Сотрудники, выполняющие эти роли, также выявляют проблемы безопасности приложений, связанные с установкой, настройкой и улучшением используемости и управляемости программного обеспечения. Они отслеживают этот тип проблем, чтобы найти возможность улучшения безопасности с минимальным изменением важных бизнес-приложений.

· Архитектор и планировщик сетей. Пользователи, выполняющие эту роль, управляют процессами построения архитектуры компьютерных сетей в своих организациях

· Консультант. Пользователи, выполняющие эту роль, занимаются сценариями безопасности, которые распространяются на все бизнес-уровни организации. ИТ-консультанты, как из служб Microsoft, так и со стороны партнеров, используют инструменты передачи знаний корпоративным заказчикам и партнерам.

Примечание Желающие применить представленное здесь нормативное руководство на практике, должны, как минимум, прочитать руководство How to Use the GPOAccelerator (Как использовать GPOAccelerator) и выполнить все предлагаемые в нем шаги по организации среды EC.

Обзор

Далее следует краткое описание каждой из глав и приложения.

Глава 1: Реализация базовых настроек безопасности

В данной главе обозначены преимущества, которые организация получает от создания и развертывания базовых настроек безопасности. Эта глава включает общие рекомендации по проектированию безопасности, которым можно следовать при подготовке к реализации базовой безопасности EC или SSLF. В главе объясняются подходы к обеспечению безопасности для обеих сред, EC и SSLF, и основные отличия этих сред.

Сопровождающий данное руководство «Сборник параметров используемых в руководстве по безопасности Windows Server 2008» является еще одним источником, который может использоваться для сравнения и оценки параметров групповой политики. Инструмент GPOAccelerator доступен как отдельный пакет для загрузки в Центре загрузки Microsoft. Инструкции по применению этого инструмента представлены в книге How to Use the GPOAccelerator.

Внимание Данная глава ориентирует вашу организацию на установку среды SSLF, которая отличается от среды EC. Руководство по SSLF предназначается только для сред с высоким уровнем безопасности. Оно не является дополнением руководства для среды EC. Параметры безопасности, определенные для среды SSLF, ограничивают ключевую функциональность в среде. Поэтому базовые настройки безопасности SSLF не годятся для большинства организаций. Прежде чем реализовывать базовые настройки безопасности SSLF в производственной среде, они должны быть тщательнейшим образом протестированы.

Глава 2: Сокращение поверхности атаки посредством роли сервера

В данной главе представлен обзор встроенных инструментов Windows Server 2008, с помощью которых можно быстро настроить, сохранить и активировать всю необходимую функциональность для серверов среды. В этой главе обсуждается, как с помощью Диспетчера сервера можно сократить поверхность атаки ваших серверов за счет настройки только необходимой функциональности каждой роли сервера.

Также в главе обсуждается использование Мастера настройки безопасности (SCW) для сохранения и активации настроек, реализованных Диспетчером сервера. В главе представлена информация о Server Core, новой опции установки в Windows Server 2008.

Глава 3: Повышение уровня защиты доменных служб Active Directory

В данной главе обсуждаются возможности повышения уровня защиты Доменных служб Active Directory (AD DS) для управления пользователями и ресурсами, такими как компьютеры, принтеры и приложения в сети. AD DS в Windows Server 2008 включают ряд новых возможностей, которые были недоступны в предыдущих версиях Windows Server, и основной задачей некоторых из них является более безопасное развертывание AD DS. К функциям, повышающим безопасность в AD DS, относятся возможности аудита, расширенные политики паролей и возможность использования контроллеров домена только для чтения (RODCs).

Глава 4: Повышение уровня защиты служб DHCP

Данная глава предлагает нормативное руководство по повышению уровня защиты роли DHCP-сервер. В главе обсуждаются службы DHCP-сервер и DHCP-клиент в Windows Server 2008, включающие улучшения безопасности для Защищенного сетевого доступа (Network Access Protection, NAP) и функциональность DHCPv6.

Глава 5: Повышение уровня защиты DNS-служб

Данная глава предлагает нормативное руководство по повышению уровня защиты роли DNS-сервер. Windows Server 2008 обеспечивает улучшения DNS-сервера, направленные, главным образом, на улучшение производительности или обеспечение новых функций, включая фоновую загрузку зон, которая помогает предотвратить потенциальные атаки типа отказ в обслуживании (DoS), и поддержку контроллеров RODC, размещаемых на сетевом периметре, филиалов или других небезопасных сред.

Глава 6: Повышение уровня защиты Веб-служб

Данная глава предлагает нормативное руководство по повышению уровня защиты роли Веб-сервер. В главе обсуждается, как роль Веб-сервер устанавливает Microsoft® Internet Information Services (IIS) 7.0, структура которой изменена и разбита на сорок модульных компонентов, устанавливаемых по запросу.

Глава 7: Повышение уровня защиты файловых служб

Данная глава предлагает нормативное руководство по повышению уровня защиты роли файлового сервера. Повышение уровня защиты файловых серверов может представлять особую сложность, потому что обеспечение баланса между безопасностью и функциональностью предоставляемых ими фундаментальные служб – тонкое искусство. Windows Server 2008 представляет ряд новых возможностей, которые помогут в управлении и улучшении защиты файлового сервера в вашей среде.

Глава 8: Повышение уровня защиты служб печати

Данная глава предлагает нормативное руководство по повышению уровня защиты роли сервера печати. Безопасность служб печати в операционной системе Windows Vista претерпела существенные изменения. Эти изменения также включены в Windows Server 2008, чтобы ваша организация могла в полной мере воспользоваться обеспечиваемыми ими преимуществами.

Глава 9: Повышение уровня защиты служб сертификации Active Directory

Данная глава предлагает нормативное руководство по повышению уровня защиты служб сертификации Active Directory (AD CS) на сервере с установленной Windows Server 2008. AD CS предоставляют настраиваемые службы для создания и управления сертификатами открытого ключа, которые используются в программных системах безопасности, построенных на технологиях открытого ключа. В главе обсуждается, как организации могут повышать безопасность с помощью AD CS, связывая удостоверение человека, устройства или службы с соответствующим закрытым ключом.

Глава 10: Повышение уровня защиты служб политики сети и доступа

Данная глава предлагает нормативное руководство по повышению уровня защиты служб Политики сети и доступа на серверах с установленной Windows Server 2008. Службы политики сети и доступа (Network Policy and Access Services, NPAS) в Windows Server 2008 предоставляют технологии, обеспечивающие возможность развертывания и работы виртуальной частной сети (VPN), удаленного доступа к сети, защищенного по стандарту 802.1X проводного и беспроводного доступа и устройств на базе технологии управления доступа в сеть (Network Admission Control, NAC) Cisco.

В данной главе обсуждаются возможности использования NPAS для определения и применения политик аутентификации и авторизации сетевого доступа, а также безопасности клиента для сети с помощью Сервера сетевой политики (Network Policy Server, NPS), Службы маршрутизации и удаленного доступа, Центра регистрации работоспособности (Health Registration Authority, HRA) и протокола авторизации учетных данных узла (Host Credential Authorization Protocol, HCAP).

Глава 11: Повышение уровня защиты служб терминалов

Данная глава предлагает нормативное руководство по повышению уровня защиты служб терминалов на серверах с установленной Windows Server 2008. Эти серверы обеспечивают основные службы, с помощью которых пользователи получают возможность доступа к программам Windows или всему рабочему столу Microsoft Windows® из разных мест. Вы можете использовать ряд входящих в Windows Server 2008 специальных служб роли, включая лицензирование служб терминалов (TS Licensing) для управления клиентскими лицензиями служб терминалов (Terminal Server client access licenses, TS CALS), которые необходимы устройствам и пользователям для подключения к серверу терминалов.

В главе также обсуждается, как служба роли посредник сеансов службы терминалов (Terminal Services Session Broker, S Session Broker) поддерживает повторное подключение в существующему сеансу на сервере терминалов, входящим в состав фермы серверов терминалов с балансировкой нагрузки; как служба роли Шлюз служб терминалов (Terminal Services Gateway, TS Gateway) позволяет авторизованным пользователям подключаться к серверам терминалов и удаленным рабочим столам сети предприятия по Интернету, используя RDP через HTTPS; и как служба роли Веб-доступ к службе терминалов (Terminal Services Web Access,(TS Web Access) позволяет авторизованным пользователям получить доступ к серверам терминалов через Веб-браузер.

Приложение А: Параметры групповой политики, связанные с безопасностью

Приложение включает описания и таблицы, представляющие подробную информацию о параметрах, определенных для базовой безопасности сред EC и SSLF в данном руководстве. В приложении описываются все параметры и основания применения заданных значений. Также в приложении обозначены различия между Windows Server 2008 и Windows Server 2003.

И, как говорили некоторые известные борцы – “Прочти и передай линк товарищу”! Массовые ссылки на данные документы и самостоятельное их распространение в исходном виде только приветствуются.

Коллеги и друзья! Хочу напомнить, что с 22 октября 2008 по 26 ноября 2008 года Майкрософт Украина проводит серию технических семинаров под общим брендом TechNet по регионам Украины и в Беларуси. Количество свободных мест на этих семинарах, особенно в регионах (Харьков, Одесса, Минск, Днепропетровск), стремительно сокращается. Поэтому, если вас интересуют технические (и практические) аспекты использования технологий и продуктов Microsoft, вы желаете лично пообщаться и задать вопросы техническим специалистам нашей компании (например, мне), просто услышать о новинках – торопитесь зарегистрироваться! Регистрация и участие в семинарах – бесплатны. Увы, без предварительной регистрации на сайте вы не сможете посетить эти семинары.

Теперь хочу сделать пару анонсов:

Первый – лично я на этих семинарах буду выступать с исключительно техническими докладами, где 50% времени будет посвящено техническим примерам и демонстрациям. Скажу даже больше – в связи с большим наплывом вопросов о таком продукте, как Microsoft Application Virtualization, мы решили посвятить одну сессию полноценной демонстрации этого продукта, где вы сможете увидеть, как развертывается среда для управления виртуальными приложениями, как создаются сами приложения и как это все работает на стороне пользователя. Эту, поистине квестовую, демонстрацию проведет наш мегаспециалист по инфраструктуре и безопасности Игорь Мальченюк (хотя у меня тоже руки чесались, но, увы, я не могу быть одновременно на 2х докладах).

Я же выступлю на докладе о виртуализации, где кроме краткого обзора стека продуктов для виртуализации от Microsoft – роль Hyper-V в Windows Server 2008 и Microsoft Hyper-V Server 2008 – расскажу и, главное, продемонстрирую в живую, технологии развертывания, мониторинга и управления нагрузкой виртуальных машин в датацентрах на основе System Center Virtual Machine Manager 2008 – приходите, не пожалеете. :) Кроме того – у меня еще 2 других доклада – по управлению рабочими местами с использованием Microsoft Desktop Optimization Pack 2008 R2 (та его часть, которая является Microsoft Application Virtualization 4.5 будет наглядно продемонстрирована Игорем, как я уже сказал выше), и доклад по возможностям и внедрению веб-серверов на платформе IIS7, роли Windows Server 2008. На этом докладе я расскажу (и покажу) о новых возможностях IIS 7 в области управления (новые распределенные файлы конфигураций XML, делегация полномочий, удаленное управление), тестирования и отладки, миграции и взаимодействия с различными средами исполнения (запуск PHP-приложений в режиме FastCGI) и несколько практических примеров и рекомендаций по совместному использованию технологий виртуализации (Hyper-V Server) и IIS7 для создания отказоустойчивых веб-ферм и повышения производительности приложений.

И второй анонс – мы планируем не только поместить записи всех выступлений на видеопортал для дальнейшей загрузки (только хочу предупредить всех сразу – в оффлайне видео будет доступно только после окончания всех семинаров, т.е. не раньше 1 декабря 2008 года), но и по ставшей уже доброй традицией будем вести прямое видео вещание со всех 3х залов, где будут идти выступления киевского TechNet’а. Поэтому, если у вас нет свободного времени, чтобы лично посетить мероприятие, в вашем городе не будет проводиться мероприятие этой осенью (хотя мы планируем еще и весеннюю “волну” мероприятий по другим городам Украины) или вы просто не смогли зарегистрироваться – не проблема, вы сможете благодаря онлайн вещанию виртуально посетить это мероприятие 22 октября 2008г (только, пока, увы, вопросы задавать не сможете в онлайне, но и это скоро будет!). Ссылки для просмотра видео будут доступны на сайте Майкрософт Украина, а также – на сайтах наших партнеров. Точный линк сообщу завтра-послезавтра, следите за анонсами.

И ждем всех на мероприятиях! Увидимся!

Вот, в тему о виртуализации и консолидации различных операционных систем. Многие интересуются, насколько решение Hyper-V совместимо с платформой Linux. Нашел в  Интернете довольно интересные ролики, наглядно пошагово демонстрирующие установку и работу интеграционных компонентов Linux Integration Components for Windows Server 2008 Hyper-V (берутся с http://connect.microsoft.com/), которые позволяют успешно запускать SUSE Linux Enterprise Server под управлением виртуализации, обеспечивающейся ролью Hyper-V Windows Server 2008. Кроме того, есть и обратный сценарий – запуск Windows Server 2008 под управлением Xen Virtualization. Сотрим, пробуем. Ну я и сам, конечно, проверю… :)

Зерна, брошенные в добротно подготовленную почву, дают хорошие всходы… После нескольких статей, ярких демонстраций на собственных мероприятиях Microsoft, и серии семинаров в Украине все больше компаний стали в своих решениях (как внутренних, так и внешних) использовать Microsoft Windows Media Services. О крупных проектах на просторах наших степей, подобных венгерскому стартапу myshowroom.tv, говорить пока не время, но вот о “креативных” вещах, тем более, собранных на “коленках” одним админом, просто прочитавшим правильно все инструкции – можно и рассказать.

Итак, что мы имеем на входе? Довольно интересное радио для любителей легкой музыки ЕвропаПлюс, чей центрально-украинский филиал в Днепропетровске захотел стать ближе к своим многочисленным слушателям и фанатам некоторых диджеев и диджеек и решил организовать живое вещание в Интернете (смотрим все в прямом эфире). Вот так и появилось их живое реалити-шоу “диджеи за стеклом”, вещание которого действительно было организовано одним человеком (не побоюсь этого слова – правильным админом, читающим доки), который до этого не знал, что такое вещание и как оно работает, а после 40 часов планирования, развертывания и настроек Windows Media Services – стал экспертом по вещанию в веб. Кстати, можете задавать туда вопросы по экспириенсу.

Слушатели довольны – они теперь не только слышат, но и видят своих обожаемых диджеев и диджеек. :) Кстати, сотрудники радио говорят, что самые зажигательные диджейки работают в выходные с 15:00 до 21:00 (по Киеву, GMT+2). Радио тоже довольно – оно стало чем-то выделяться среди множества других радиостанций в эфире какой-то креативной “бирюлькой”, а еще – это вещание – дополнительная рекламная площадка, базовый функционал “прокрутки” рекламы встроен в Windows Media Services.

Какой вывод? Да очень простой – у вас есть лишний исходящий трафик, немного времени и что показать всему миру – берите Windows Media Services и запускайте свой живой эфир, даешь вместо живого журнала – живой блог. Только предупредите коллег, что теперь на них смотрит весь мир ;)

Кстати, запланированное на 22 октября 2008 года мероприятие TechNet в Киеве также будет транслироваться в живом эфире посредством Windows Media Services. Поэтому, если вы вдруг не успеете зарегистрироваться на само мероприятие из-за большого наплыва желающих – не расстраивайтесь, вы сможете принять участие виртуально, смотря выступления в онлайне сразу по 3м параллельным каналам с разных залов.