ОБЗОР
Служба Active Directory - достаточный мотив для перехода к NT 4.0 Server
Панкай Чоудри, Кевин Янг, Камерон Стардевант (PC Week Labs)
Переходить или не переходить на Windows 2000 Server? Для организаций, где используется Windows NT 4.0 Server, ответ однозначно положительный. Им остается только решить, когда это лучше сделать.
Никто не говорит, что провести такую модернизацию будет легко. Более того, само слово “модернизация” подходит здесь едва ли, ведь переход на Windows 2000 потребует полной реконструкции сети предприятия. Однако игра стоит свеч. Колоссальные по сравнению с NT 4.0 усовершенствования, многоуровневые каталоги, поддержка стандартов Интернета, квотируемая файловая система, служба очередей - все это принесло новой операционной системе награду “Выбор аналитика”, которую Тестовый центр PC Week Labs присуждает лучшим в своем классе продуктам.
За последние четыре года, пока в недрах Microsoft вызревала Windows 2000, нам пришлось оценивать гораздо больше промежуточных вариантов этой ОС, чем ожидалось, поэтому ее богатая функциональность нас нисколько не удивила. Но лишь после появления в декабре предпроизводственной версии нового продукта мы смогли впервые провести эталонное тестирование его производительности. Результаты были получены впечатляющие: в некоторых случаях Windows 2000 работала вдвое быстрее, чем Windows NT 4.0 (см. график).
Windows 2000 с большим отрывом опережает NT 4.0
Как показала проведенная в PC Week Labs проверка, Windows 2000 справлялась с эталонным тестом NetBench 6.0 фирмы ZDBO вдвое быстрее, чем Windows NT 4.0. Когда же проводился эталонный тест WebBench 3.0, новая ОС оказалась на 25% быстрее своей предшественницы. Тестирование NetBench проводилось на системе Compaq 7000 с четырьмя 450 МГц процессорами Xeon и ОЗУ емкостью 1 Гб, а тестирование WebBench - на сервере Compaq 6400R с четырьмя 500 МГц процессорами Xeon и 2 Гб ОЗУ.
И все же как ни велика производительность системы, сама по себе она вряд ли может оправдать переход на Windows 2000. Мощный стимул для этого дают богатые возможности управления на основе Active Directory. Именно всеобъемлющий охват этой службы каталогов делает Windows 2000 по-настоящему могучей и неотразимой.
Модель безопасности Active Directory хорошо интегрируется со всеми системами предприятия, компоненты управления достигают каждой настольной системы, а модель предоставления прав доступа охватывает всех без исключения пользователей. Но и это еще не все: Active Directory легко вбирает в себя все другие каталоги предприятия.
Развертывать новую службу каталога следует постепенно, тщательно планируя каждый шаг. Microsoft предусмотрела возможность создания смешанных доменов, где одни серверы служат основными контроллерами домена, а другие выполняют функции серверов Active Directory. Однако такой путь чреват множеством опасностей. В процессе перехода на новую ОС мы порекомендовали бы менеджерам информационных технологий ограничить задачи Active Directory лишь аутентификацией пользователей. В полной мере использовать функции службы каталога можно после тщательного ее тестирования.
Очень важно четко определить, как привычные домены сети отображаются на новой организационной структуре Active Directory. Здесь, скажем, совершенно не нужны домены ресурсов: их придется расформировать и распределить в каталоге Active Directory.
Наиболее важное усовершенствование Windows 2000 по сравнению с NT связано с методикой установления доверительных отношений между доменами. В сетях NT невозможна передача доверия: все такие отношения должны быть четко оговорены. Active Directory же подобную передачу допускает - а ведь одна только эта особенность способна уберечь администраторов больших компаний от множества проблем.
Облегчат им жизнь и иерархические возможности Active Directory, которые позволяют четко делегировать ответственность. В ходе тестирования, например, нам не составило труда передать право изменения учетных записей пользователей, разбросанных по нескольким организационным единицам (Organizational Unit) Windows 2000. Мы просто установили и ввели в действие нужную политику с помощью интерфейса ММС (Microsoft Management Console - консоль управления Microsoft), а затем отбуксировали описание политики на учетную запись младшего администратора.
Такой подход открывает перед сетевыми архитекторами интересную возможность: создавать домены и организационные единицы Windows 2000, исходя не из географического расположения пользователей, как это делается в сетях NT, а из их функциональных обязанностей.
Как только компания переходит на Active Directory, перед ней сразу же открывается множество новых перспектив. Одну из них - пожалуй, наиболее важную - дает функция IntelliMirror, которая помогает снизить общую стоимость владения клиентами Windows 2000.
IntelliMirror предоставляет пользователям возможность свободно перемещаться от одного компьютера к другому, сохраняя при этом все свои индивидуальные настройки. В ходе тестирования мы входили в сеть с самых разных настольных систем, работавших под управлением Windows 2000 Professional, и при этом без каких-либо проблем получали доступ к Word, Excel и другим приложениям Microsoft Office.
Справедливости ради отметим, что IntelliMirror способна работать только в однородной среде Windows 2000. А это означает, что в реальной сети всегда найдется клиент, который данную функцию не поддерживает.
IntelliMirror предъявляет к распределенному ПО примерно такие же требования, как LANDesk корпорации Intel и Desktop Administrator компании Hewlett-Packard. Всем подобным приложениям необходимы пусковые программы со специальными установочными файлами. Скажем, для установки Office нам пришлось задавать специальные опции в командной строке. В ходе тестирования выполнить такую операцию было легко и просто, иное дело - массовое развертывание. При подготовке приложений к установке в масштабах предприятия нужны значительные ресурсы, и менеджеры по информатизации должны заранее предусмотреть это в своих планах.
В Windows 2000 серьезно усовершенствован процесс аутентификации пользователей. Вместо прежнего протокола NTLM (NT LAN Manager - диспетчер ЛВС NT) Microsoft теперь предлагает использовать Kerberos. В результате такой смены должна повыситься надежность регистрации пользователей, которая в среде NT была не слишком высока.
Протокол Kerberos основан на стандартной схеме безопасности, обеспечивающей защиту информации даже в открытых сетях, какой является Интернет. Аутентификацией пользователей его функции не ограничиваются. Этот протокол может служить источником секретных ключей для шифрования трафика между клиентскими и серверными приложениями. К сожалению, Kerberos работоспособен только между компьютерами Windows 2000 - все остальные клиенты Windows вынуждены по-прежнему полагаться на NTLM.
Производительность
В ходе тестирования были проверены оба варианта инсталляции Windows 2000: на “чистых” машинах без операционной системы и на серверах, где уже была установлена Windows NT 4.0 Server. Ни в том ни в другом случае никаких серьезных проблем у нас не возникло, и поэтому мы можем порекомендовать администраторам соблюдать обычные меры предосторожности. Главное - убедиться, что на компьютере установлена обновленная версия системной BIOS.
Как показало тестирование, Microsoft затратила немало времени и усилий на отладку внутренних механизмов Windows 2000. Повышение производительности наиболее заметно при обслуживании файлов. В своей новой ОС корпорация полностью заменила перенаправитель (redirecto) SMB, что и привело к стопроцентному повышению скорости ее работы по сравнению с NT 4.0. Именно такой результат дал эталонный тест NetBench фирмы Ziff-Davis Benchmark Operation.
Еще одна причина повышения скорости работы ОС - уменьшение числа столкновений (contention) при доступе к журнальному файлу NTFS (NT File System - файловая система NT). Проводя экспертизу Windows 2000, мы использовали сервер 7000 корпорации Compaq Computer с одним разделом RAID 5, распределенным по 14 жестким дискам. Такая конфигурация обеспечивала очень большую конкуренцию приложений при записи в журнальный файл единственного тома, но Windows 2000 с ней справилась. Она обслуживала запись более эффективно, чем NT 4.0, и смогла уберечь сервер (по крайней мере на двухпроцессорной платформе) от перегрузки ввода-вывода. Если бы мы создали несколько разделов RAID, общая производительность, особенно при работе под управлением NT 4.0, стала бы значительно больше.
Усовершенствование подсистемы ввода-вывода Windows 2000 впечатляет, однако, как показало тестирование, избыток ресурсов ЦП мало что даст, если предъявляемым требованиям не будет соответствовать дисковая подсистема. Сегодня все большее распространение получают машины с восемью и более центральными процессорами, а для них требуются устройства хранения с очень высокой скоростью работы. Только так можно повысить эффективность сложных операций ввода-вывода, например обработку транзакций баз данных.
Новая операционная система проверялась в работе с клиентами NT 4.0 и Windows 98. Применение клиентов Windows 2000 Professional должно еще больше повысить производительность за счет минимизации вызовов SMB.
Скорость работы Windows 2000 удалось повысить и за счет того, что центральный процессор больше не занимается вычислением контрольной суммы TCP/IP. Эта задача теперь возложена на сетевые адаптеры, что существенно ослабило нагрузку на ЦП. Результат такого подхода наиболее ярко проявился при проведении эталонного теста WebBench, предъявляющего особые требования к ресурсам процессора.
Как оказалось, даже при 120 клиентах в наших тестах так и не были полностью загружены все четыре процессора сервера под Windows 2000. Сколько мы ни добавляли клиентов, время обработки их запросов не увеличивалось.
Internet Information Server (IIS)
Microsoft внесла значительные улучшения и в Internet Information Server. Большинство доработок, относящихся к статическим страницам, связаны с применением нового кэша файлов IIS 5.0. Вместо того чтобы использовать разделяемый кэш совместно со всей ОС, сервер IIS теперь может зарезервировать собственное пространство и за счет этого обслуживать страницы намного быстрее. Это несомненно повышает производительность ОС, однако ни в коей мере не заменяет front-side-механизмы кэширования таких фирм, как Network Appliance и CacheFlow.
В Windows 2000 значительно сокращено количество вызовов удаленных процедур (RPC), необходимых для выполнения ASP (Active Server Pages - активные серверные страницы). Это означает, что в новой ОС такие страницы вынесены за рамки процессов IIS, но выполняются столь же быстро, как и при исполнении внутри процесса в NT 4.0. Подобный подход способствует повышению стабильности IIS, поскольку этому информационному серверу больше не приходится делить свои ресурсы с ASP.
Теперь каждый отдельный процесс ASP может выполняться как в рамках единого объединенного процесса, так и индивидуально. В первом случае повышается скорость работы системы, а во втором исключается риск блокировки всего процесса IIS из-за сбоя в работе одной-единственной активной серверной страницы.
Напомним, что в PC Week Labs проводилась экспертиза операционной системы Windows 2000 Server, поддерживающей до четырех ЦП. Кроме нее в конце 1999 г. корпорация Microsoft выпустила и Windows 2000 Advanced Server, который можно устанавливать на машинах с восемью процессорами. А на I квартал 2000 г. запланирован выпуск этой ОС в варианте Data Center Server, поддерживающем до 32 ЦП.
В тестировании также принимал участие Фрэнсис Чу.
Взгляд из PC Week Labs
Windows 2000 во всех ракурсах
Кевин Янг: Безопасность на перепутье. Windows NT 4.0 так и не стала синонимом безопасности, поэтому при создании Windows 2000 корпорация Microsoft полностью обновила весь защитный арсенал своей операционной системы. Можно ли сказать, что новая ОС более защищена, чем NT 4.0? Безусловно. Но вот удастся ли с ее помощью окончательно и бесповоротно решить проблему безопасности? Увы, об этом менеджерам информационных технологий нечего даже и мечтать.
Подбор лучших в своем классе продуктов независимых производителей и их интеграция с Windows 2000 - процедура весьма болезненная, но другого пути пока нет и в обозримом будущем не предвидится. Специализированные средства безопасности значительно превосходят все то, что включила в свою ОС Microsoft. Протокол Kerberos хорош для ядра сетевой операционной системы, но в остальном, похоже, корпорация перестаралась. Едва ли стоило сводить такое обилие функций в единый монолитный продукт. Конечно, приятно видеть в сетевой ОС инфраструктуру открытых ключей PKI и VPN на базе IPSec, тем более тесно связанные со службой каталога Active Directory; однако менеджерам ИТ лучше обратить свои взоры вовне, на продукты сторонних разработчиков.
Джим Рапоза: Первые шаги Web-сервера. Одержав победу в браузерных войнах, Microsoft сразу же начала боевые действия на новом направлении. Она решила обеспечить как можно более широкое проникновение Windows NT на поле Web-серверов, и ей удалось добиться некоторых успехов. Количество узлов, где используются Windows NT 4.0 и Internet Information Server 4.0, постепенно увеличивается, хотя многие администраторы по-прежнему считают, что по стабильности NT уступает системам Unix.
В Windows 2000 Server и IIS 5.0 появилось множество новых функций, способствующих повышению масштабируемости и стабильности этих продуктов. Правда, большинство из них представляют собой не что иное, как исправление ошибок IIS 4.0, но тем не менее они должны сделать все компоненты ОС, и особенно активные серверные страницы, более надежными.
Windows 2000 использует ММС для упрощения выполнения задач администрирования
Если ваш узел работает под управлением NT и на нем широко используются активные серверные страницы - не откладывайте дела в долгий ящик и сразу приступайте к оценке возможностей IIS 5.0. Всем же остальным мы порекомендуем дождаться, пока пройдет первая волна сообщений об ошибках нового продукта и брешах в его системе безопасности, и лишь после этого приступать к освоению IIS 5.0.
Джон Ташек: Над SQL Server еще предстоит потрудиться. Windows 2000 обещает много, но не пользователям SQL Server 7.0. Максимум, на что те могут рассчитывать, перейдя на нее с NT 4.0, - это 10-процентное повышение производительности. Значительных улучшений в этой области можно ожидать не ранее середины нынешнего года, когда Microsoft выпустит SQL Server 2000. Заложенная в нем поддержка Active Directory и появление версии Windows 2000 Data Center выведут этот сервер баз данных на более высокий уровень. По производительности и функциональности он окажется в одной лиге с Oracle8i корпорации Oracle и DB2 корпорации IBM, но при этом будет “родным” для Windows 2000. Ну а сегодня даже такое ценное дополнение, как двухфазное подтверждение транзакций, едва ли заставит пользователей отказаться от своих проверенных временем СУБД и перейти на SQL Server 7.0.
Камерон Стардевант: Инструментарий управления еще пригодится. Все задачи администрирования в Windows 2000 выполняются гораздо легче, чем в NT 4.0. Служба каталога Active Directory предельно упрощает управление правами доступа, а применение “вкладышей” (snap-in) для MMC (Microsoft Management Console - консоль управления Microsoft) дает богатые возможности для индивидуальной настройки ГИП. И все же не торопитесь расставаться с инструментарием управления NT, который подбирался годами. Во-первых, Windows NT пока никуда не исчезает. Во-вторых, как ни широки дополнительные функции мониторинга, заложенные в Windows 2000, они не в силах тягаться с потенциалом средств независимых разработчиков. Только последние, например, смогут сообщить вам о проблемах с производительностью, когда контролируемые параметры превысят пороговые уровни, заданные пользователем.
Windows 2000 помогает решить одну из самых сложных повседневных задач - распределение приложений. Технология IntelliMirror позволяет администраторам не только развертывать приложения, но и следить за пользовательскими данными, применяя для этого специально разработанные правила. Однако IntelliMirror работает лишь при использовании в качестве клиентов ПК под Windows 2000, что резко ограничивает сферу ее применения.
Панкай Чоудри: От Active Directory никуда не скрыться. Родословная Active Directory не идет ни в какое сравнение с историями служб каталогов Novell или Sun, но, создавая свой продукт, Microsoft в полной мере учла опыт конкурентов. Реальность такова, что большинство организаций просто обречено на применение Active Directory в повседневной жизни. Остается только наблюдать, как менеджеры по информатизации отреагируют на деспотичную стратегию Microsoft, которая сделала Active Directory обязательным элементом обновления наиболее важных для бизнеса систем - Exchange, SQL Server и др.
Тимоти Дик: На Windows свет клином не сошелся. Никто не спорит: архитектура программирования СОМ+, заложенная в Windows 2000, имеет целый ряд достоинств. Но есть в новой ОС и технологии, которым едва ли можно дать однозначную оценку. Сегодня существуют тщательно проработанные Java-технологии и коммуникационные протоколы вроде CORBA, быстро развиваются системы разработки для Linux и других ОС - и все это не может не наложить свой отпечаток на образ мышления программистов. Перед ними открылись возможности, не виданные никогда ранее, по крайней мере с начала эпохи Windows. В таких условиях Windows 2000 должна продвигаться осторожно и постепенно, завоевывая одну позицию за другой. Новая операционная система вступает в мир, уже осознавший, что хорошие наборы API и вычислительные среды можно найти не только в упаковке Windows.
Херб Бетони и Джейсон Брукс: Взгляд со стороны клиента. Windows 2000 Professional нетрудно представить себе как основательно “накачанную” Windows 98 - во всяком случае с точки зрения возможностей и потребностей в ресурсах. Для развертывания новой ОС требуется как минимум 133 МГц процессор, 64 Мб ОЗУ и жесткий диск на 2 Гб. Так что не удивляйтесь, если в вашей организации найдется немало систем, чьим пользователям придется лишь мечтать о Windows 2000.
Наиболее привлекательна Windows 2000 Pro для мобильных пользователей. Они найдут здесь улучшенное управление энергопотреблением, повышенную точность контроля за состоянием батареи, новый режим “спячки”, при переходе в который система записывает на диск все содержимое ОЗУ, а затем полностью отключает питание. Усовершенствована в Windows 2000 и поддержка аппаратных средств, в частности работа системы инфракрасной связи.
Резюме для руководителей
Windows 2000 Server
Сказать, что в NT 4.0 оказалось много недоработок, - значит не сказать ничего. Во всех более-менее важных областях, будь то безопасность, масштабируемость или управляемость, операционная система NT 4.0 оставляла желать лучшего. Microsoft обещала закрыть все эти и другие бреши в Windows 2000, разработка которой растянулась на четыре года и добавила седых волос немалому числу информатизаторов. Не хочется повторять избитой истины, но по-другому не скажешь: терпение и труд все перетрут. Появилась система, на которую захочет перейти любая организация, использующая NT 4.0. Но переходить на нее следует очень осторожно. Затрагивая буквально все аспекты, этот процесс не только сулит выгоды, но и таит немало опасностей. Эффективная интеграция новой ОС и ее службы каталогов Active Directory с ПО групповой работы, базами данных и другими корпоративными системами потребует четкого планирования, обширной переподготовки персонала и огромного терпения.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Развертывание Windows 2000 Server потребует немалых затрат ресурсов информационных технологий; возможно даже, что на этот период менеджерам придется притормозить другие программы развития предприятия. На протяжении какого-то времени корпоративные данные будут ютиться в Active Directory, доменах NT и других каталогах, до тех пор пока администраторы не завершат разработку единой стратегии развертывания и не реализуют ее на практике.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Windows 2000 Server обещает значительное снижение расходов на установку компьютеров и управление ими. Когда система будет полностью развернута, она позволит централизовать управление корпоративной сетью и повысить тем самым эффективность и гибкость работы в организации. Однако не следует думать, будто все это произойдет в один день: развертывание Windows 2000 неизбежно потребует долгосрочных капиталовложений.
( + ) Значительное повышение производительности по сравнению с Windows NT 4.0; высокий уровень безопасности за счет применения протоколов Kerberos и IP Security; простота администрирования благодаря применению Active Directory.
( - ) Чтобы модернизировать серверы, их необходимо вывести из рабочего процесса; система не проверена на практике; требуется обширная переподготовка персонала; многие приложения нуждаются в обновлении, без чего невозможно воспользоваться всеми достоинствами системы.
Корпорация Microsoft, Редмонд, тел. в Москве: (095) 940-2000, www.microsoft.com.
Методика оценки: www.pcweek.com/reviews/meth.html.