Ss O
o fF tT vV eE R
r
Windows
Server 2003
Baziran na kvalitetnoj Windows 2000
osnovi, novi Microsoft-ov operativni si-
stem, poznat i pod radnim imenom .NET
server, predstavlja ne samo krupan korak
unapred, ve i izazov za konkurenciju
o reima Stiva Balmera, Mi-
P crosoft CEO-a, u beta-fazi
proizvod je testiralo oko mi-
lion ljudi, to govori da je
stara praksa urbe sa novim
verzijama operativnih sistema naputena.
Windows Server 2003 je najvei projekat
realizovan u Microsoft-u 50 miliona linija
koda, na kojima je radilo 5.000 programe-
ra i 2.500 testera tokom tri godine razvoja.
Hardverski zahtevi Windows 2003 ser-
vera su skromni procesor na 133 MHz
(preporueno 550 MHz), 128 MB memori- Migracija korisnikih naloga pomou ADMT-a
je (preporueno 256 MB) i 1.5 GB prostora
na disku za osnovnu instalaciju. Proces instalacije je jednostavan,
a lepa stvar je mogunost brzog formatiranja NTFS particija, ve
viena kod Windows-a XP. Nakon instalacije, imate rok od 30 da-
na da aktivirate proizvod, nakon ega e login biti zabranjen.
Jedan deo alata i programa nije dostupan u standardnoj insta-
laciji, ali e po objavljivanju moi besplatno da se preuzme sa zva-
ninog sajta. Pominjani su Greenwich za instant poruke baziran na
Windows Messenger-u; Windows Team services, nova verzija SharePo-
int servisa besplatna za vlasnike Windows-a 2003 i Office-a 2003;
Windows Rights Management (RMS) koji treba da pomogne osigura-
vanju osetljivih materijala u poslovnom okruenju i Windows Sys-
tems Resource Manager (WSRM) za kontrolu upotrebe resursa.
Administracija servera
Nakon uspene instalacije i prvog logovanja, doekae vas aplika-
cija Manage your server, sutinski drugaija od Configure your server ne mogu da piu
programa Windows-a 2000. Koristi se pri incijalnom setovanju ser-
visa, ali i raste zajedno sa serverom, pa za svaki servis koji aktivi- Unapreenje je
rate nudi dobro organizovane arobnjake i preice do poslova po-
vezanih sa aktivnim servisima. Configure your server aplikacija je i
dalje prisutna kao interfejs za definisanje uloga servera. Computer
manager konzola je dobila par novih ikona, s tim to se nakon pro-
mocije u domen-kontroler izgubi grupa Local Users and Groups.
Web interfejs za administraciju doiveo je velike promene, ka-
ko vizuelne tako i funkcionalne. Sada je pored IIS mogue admi-
nistrirati i korisnike naloge i servise. Interfejs je pregledan, jed- samo odreene, bezbednosno interesantne korisnike.
nostavan za upotrebu i sadri korisne linkove. to se tie konzole
za administraciju grupnih polisa, jedina razlika u odnosu na Win-
Mihailo ori
dows 2000 je proiren pogled, vien kod XP-a, koji daje instant
opis polisa. Konano je poboljan i Disk Defragmenter, pa sada ne-
ma potrebe za kupovinom takvih programa drugih firmi.
Pogled na bezbednost
U duhu Trustworthy Computing inicijative, razvojni tim je sigurnost
stavio u vrh prioriteta novog Windows-a kao i njegove najosetljivi-
je komponente, Internet Information servisa (IIS). Potpuno je ispo-
tovana formula SD3+C Secure by Design, Secure by Default, Secu-
re in Deployment and Communications. Secure by Design znai da se
softver isporuuje bez sigurnosnih propu-
sta; secure by default podrazumeva visok ni-
vo sigurnosti nakon instalacije (u prevodu,
ograniene privilegije); secure in deployment
podrazumeva sigurnost sistema u radnim
uslovima; communication se ne odnosi na
mrenu komunikaciju, ve na komunikaci-
ju Microsoft-a sa klijentima kada je re o
zakrpama i sigurnosnim propustima.
IIS vie nije aktivan po instalaciji, a i
mnogi drugi servisi nisu pokrenuti, to je
pohvalno. Common Language Runtime (CLR)
je integrisan u sistem kao deo .NET okru-
enja u verziji 1.1. Moda vam treba starija
ili novija verzija? Nema problema, moete
instalirati razliite verzije istih .NET komponenti, pa ih ak i kori-
stiti istovremeno. CLR znaajno smanjuje mogunost da bagoviti i
loe napisan softver kompromituje sigurnost i stabilnost sistema.
Velika sigurnosna opasnost od praznih ifri je eliminisana ta-
ko to je korienje naloga sa praznom ifrom mogue samo lokal-
no, dok su privilegije LocalService i NetworkService znaajno redu-
kovane. Kao i Windows XP, novi server ima mogunost jednostav-
nog pregleda prava nad nekim objektom kroz efektivne dozvole,
koje podrazume-
vaju sumirana
prava korisnika
nad objektom. I
sigurnost fajl-sis-
tema je poveana
korisnici vie
po root-u diska.
doiveo i sistem
za praenje (audi-
ting), tako da sa-
da imamo infor- Efektivne dozvole nad fajlom
macije i o tome
ta je radio nakon to je pristupio. Dok je kod Windows-a 2000 pra-
enje postavljano na nivou celog sistema, sada moemo da pratimo
PKI (Public Key Infrastructure) sistem je unapreen tako da
Windows 2003 podrava logovanje korienjem kriptovanih smart
PC # 9 0 / j u n 2 0 0 3 101
 s o f t v e r
kartica, to znai da bi za kompromitovanje 2003 domen-kontroleri nee da rade sa
naloga bila potrebna i smart kartica i PIN Windows 95 klijentima kao i sa NT4 klijen-
koji, iako se zove broj (Personal Identifica- tima koji nemaju barem instaliran SP4; ako
tion Number), moe da sadri bilo koje alfa- se takvi nalaze na mrei, biete upozoreni
numerike znakove. Za
otkrivanje PIN-a nije
mogue koristiti silu; na-
kon odreenog broja ne-
uspelih pokuaja, smart
kartica se zakljuava.
Windows 2003 server
ukljuuje i podrku za
CAPICOM 2.0 (Crypto-
API COM), koja progra- Upravljanje shadow kopijama iz komandnog prozora
merima omoguava da
na jednostavan nain primenjuju sertifikate prilikom instaliranja domena. Windows
i kriptografiju. to se tie sigurnosti bei- 2003 AD je umesto na tri, podeljen na etiri
nih 802.11 komunikacija, Windows 2003 dela: domenski deo, koji uva opise objeka-
nudi Protected Extensible Authentication Pro- ta u domenu i koji se repliciraju domen-
tocol (PEAP) za autorizaciju preko TSL-a sa kontrolerima tog domena; deo za konfigu-
beinim klijentima, kroz IAS ili RADIUS. raciju, koji uva informacije o konfiguraciji
PEAP je dobra alternativa korisnicima koji ume i domena koji se repliciraju svim kon-
ne ele da implementiraju kompletan PKI trolerima domena u umi; deo za emu, ko-
sistem, ali PEAP nije mogue koristiti kod ji definie tipove objekta kao i njihove atri-
VPN i RAS povezivanja. bute i ti podaci se repliciraju svim domen-
Napori da se sigurnosni rizici svedu na kontrolerima u umi; deo za aplikativne in-
najmanju moguu meru ostvareni su i kroz formacije, koje se po potrebi mogu replici-
restriktivne softverske polise, vee mogu- rati samo odreenim domen-kontrolerima
nosti kontrole izvravanja programa i ui- kako bi se spreio nepotreban saobraaj.
tavanja biblioteka. Kontrola pristupa vie se Pored 150 novih grupnih polisa, na ra-
ne odnosi samo na objekte ve i na njihove spolaganju je i Group policy modeling koji
atribute, tako da je sada mogue odreeni moe znatno da olaka planiranje polisa, jer
set atributa uiniti dostupnim pojedinim pokazuje kakav efekat polise mogu imati na
korisnicima, dok su drugi potpuno zatie- korisnike odnosno njihova prava. Od novi-
ni. Ova poboljanja imaju i negativnu stra- teta treba izdvojiti i pojednostavljen rad sa
nu konfigurisanje polisa, prava, pristup- vie objekata, to znai da jednostavnim se-
nih lista, razliitih me- lektovanjem moemo
hanizama autorizacije i da menjamo vie obje-
protokola (IPSec, RADI- kata istovremeno, kao i
US, Kerberos...) zakom- mogunost da sauva-
plikovano je novim opci- mo izvrene upite u
jama koje od adminis- XML formatu. Admini-
tratora zahtevaju visok straciju grupnih polisa
nivo strunosti. U tom znaajno e olakati
smislu e verovatno biti Group Policy Manage-
poeljno obnoviti MCSE ment Console (GPMC),
sertifikate dobijene na besplatan alat koji mo-
Windows 2000 ispitima. ete preuzeti sa zvani-
nog sajta. GPMC ima
Aktivni mnogo korisnih opcija,
d i r e k to r i j u m izmeu ostalog backup i
Predstavljen u Windows-u .NET Passport integracija u IIS uvoz/izvoz GP objeka-
2000, aktivni direktori- ta, HTML izvetaje
jum (AD) pokazao se vrlo dobro, a Windows RSoP-a i automatizaciju rada korienjem
2003 AD donosi poboljanja u svim aspekti- skripti. Microsoft .NET Passport softver je in-
ma ovog servisa, ukljuujui i migraciju sa tegrisan u AD tako da se Passport informa-
Windows 2000, a naroito NT4 domena. cije mogu direktno uvoziti u bazu.
Ako ste preskoili migraciju sa NT4 na Win- Jedan od problema Windows 2000 AD
dows 2000 domen, pravo je vreme da to sa- bila je brzina, naroito na mreama sa spo-
da obavite pomou Active Directory Migrati- rim WAN linkovima, na emu je dosta ura-
on (ADMT) alata. Poboljanja ukljuuju mo- eno, ukljuujui bolju kontrolu podataka
gunost da aplikacije koje koriste objekte u koji se repliciraju u i izmeu domena od
drugim LDAP-kompatibilnim sistemima strane administratora. Konkretno, umesto
(npr. Novell eDirectory ili Sun One Directory) da kontaktira udaljeni server globalnog ka-
mogu da rade direktno sa AD-om. Windows taloga svaki put kada se korisnik loguje na

102 PC # 9 0 / j u n 2 0 0 3
 s o f t v e r
domen, domen-kontroler keira informacije konzolnih alata za aktivni direktorijum, po
o lanstvu u univerzalnim grupama korisni- uzoru na Linux-ove OpenLDAP alate, kao to
ka koji su se ranije logovali sa te lokacije su adprep za pripremu migracije sa Win-
(sajta). Ovo je korisno i kada nije mogue dows 2000 domena i uma na Windows
uspostaviti vezu sa serverom globalnog ka- 2003; dsadd, dsmod i dsrm za dodavanje, pro-
taloga. Istovremeno je promenjen i nain menu i brisanje korisnika, raunara, organi-
replikacije podataka o lanstvu u grupama zacionih jedinica itd.; dsget za prikazivanje
tako da se rep- atributa; dsmo-
licira manja ko- ve za premeta-
liina podataka nje objekata i
nego ranije to dsquery za upi-
smanjuje opte- te nad bazom.
reenje mree.
Vrlo kori- Upravljanje
sna moe da podacima
bude i mogu- Nova verzija
nost rune re- Windows serve-
plikacije ra donosi pobo-
odnosno kori- ljane mehani-
enja backup zme za backup i
fajla za replika- zatitu od slu-
ciju AD. Novo ajnog brisanja
u AD-u je kon- Centralizovana administracija servera podataka.
cept dinami- Glavna novina
kih objekata, tako da objekti sada imaju rok kod backup-a je Automated System Recovery
trajanja (expiration date) nakon koga se (ASR), jednostavan mehanizam za backup
automatski uklanjaju. Ovo znai manje sistema i svih kljunih podataka na serve-
objekata u AD-u, pogotovo tzv. bajatih ru, inae prvi put predstavljen u Windows-u
objekata (stale objects), to doprinosi ma- XP. ASR ine dva procesa: ASR Backup i
njoj veliini a samim tim i veoj brzini rada ASR Resotre. ASR Backup arobnjak obavlja
sa aktivnim direktorijumom. backup System state-a, sistemskih servisa i
Jo jedna nova komponenta je AD/AM svih diskova u vezi sa komponentama siste-
(Active Directory in Application Mode). AD/ ma. Takoe, ASR generie disketu koja sa-
AM je jednostavna ali vrlo mona i korisna dri informacije o backup-u i detaljne infor-
stvar koja moe da radi kao servis na Win- macije o osnovnim ili dinamikim diskovi-
dows XP i Windows 2003 (Standard, Enterpri- ma i druge informacije neophodne za uspe-
se i Datacenter). AD/AM pravi instancu AD an oporavak sistema. ASR oporavak akti-
koja radi uporedo sa viramo pritiskom na
AD servisom, to daje F2 tokom tekst-mod
mogunost pokretanja faze setup-a. Ogranie-
vie samostalno konfi- nja ASR-a se odnose
gurisanih instanci od- na FAT16 particije ve-
reene AD/AM aplika- e od 2.1 GB , ali s ob-
cije na jednom serveru zirom na to da je FAT
i veu integraciju apli- potpuno prevazien
kacija sa AD. fajl-sistem, to se ne
Jedan od proble- moe uzeti kao znaaj-
ma kod Windows-a nija mana.
2000 AD bio je moni- Kada je re o skla-
toring i kontrola repli- ditenju podataka, tre-
kacije. Windows 2003 ba izdvojiti jo jednu
nam stavlja na raspola- novinu kod Windows
ganje Health Monito- 2003 servera Shadow
ring, sistem koji admi- Sve manje razloga za resetovanje kopije deljenih direk-
nistratorima omogua- torijuma. Servis je na-
va da kontroliu replikaciju izmeu kontro- pravljen u cilju zatite sadraja deljenih di-
lera domena. Inter-Site Topology Generator rektorijuma na mrei od (sluajnog) brisa-
(ISTG) je unapreen tako da podrava vei nja, po uzoru na Novell-ovo reenje. Aktivi-
broj lokacija sajtova. U dananje vreme es- ramo ga na Properties kartici diska/particije
tih promena strukture kompanija ili pojedi- ime postiemo da svi deljeni direktorijumi
nanih odeljenja, izuzetno je korisna mogu- na tom disku/particiji dobiju svoju shadow
nost promena domena u hodu, ukljuujui kopiju. U unapred odreeno vreme servis
sve domene i ume sa izuzetkom globalnog e napraviti kopije (od 64) svih deljenih di-
kataloga, ija uloga ne moe da se menja. rektorijuma na disku. Korienjem Shadow
Uz Windows 2003 dolazi i nekoliko novih copy servisa dobijamo ne samo zatitu od

PC # 9 0 / j u n 2 0 0 3 103
 s o f t v e r
sluajnog brisanja/izmene, ve i pregled pro- kacija. Radni proces je implementiran kao
mena u odreenom vremenskom periodu, izvrni fajl W3wp.exe pod kontrolom
koji zavisi od koliine prostora koji smo do- WWW Service and Monitoring komponente.
delili Shadow copy servisu (od 100 MB do Radni proces ima NetworkService privi-
10% diska) i frekvencije kopiranja. Ako za- legije (najvei nivo sigurnosti) i koristi HTTP.
kaemo kopiranje na, recimo, svaka 2 sata, sys za Web komunikaciju. U zavisnosti od
u periodu od 8h do 16h radnog dana, imae- konfiguracije IIS, moe biti vie radnih pro-
mo pregled izmena tri nedelje unazad. Logi- cesa koji zasebno izvravaju Web aplikacije.
no, kada nestane prostora ili se prekorai inetinfo.exe je redukovan na ne-Web poslo-
limit, najpre e biti obrisane najstarije kopi- ve, kao to su SMTP, FTP, NNTP i rad sa
je. Za administraciju moemo da koristimo metabazom IIS-a. Rezultat promene dizajna
konzolni Vssadmin skript, a treba napome- IIS-a i uvoenja HTTP kernel-mod drajvera
nuti da Shadow copy servis ne moe da radi je i bolje iskorienje resursa kod vieproce-
na FAT diskovima. sorskih servera jedan IIS server sada mo-
Distributed File System (DFS) je takoe e da hostuje vie sajtova nego ranije.
unapreen. Dok je Windows 2000 imao mo-
gunost odravanja samo jednog DFS kore- Da ljinski pristup
na, ak i kada je re o klasteru servera, Win- Neka od unapreenja Terminal servisa u
dows 2003 nema ogranienja. Istovremeno, odnosu na Windows 2000 videli smo u ver-
poboljan je algoritam koji odreuje koji e ziji XP (Remote desktop). Application i admi-
sajt biti kontak- nistration mo-
tiran kada ima- dovi se sada
mo replike koje mogu odvoje-
se nalaze na vi- no konfiguri-
e sajtova. sati. Prvi se zo-
ve Terminal ser-
Web server vis, a drugi Re-
i oko njega mote Desktop
Najvee prome- for Administra-
ne u odnosu na tion, koji sada
Windows 2000 ukljuuje i po-
doiveo je IIS, vezivanje na
koji dolazi u MMC. Komu-
verziji 6.0. Ra- nikacija je osi-
nije se IIS sa- Administracija preko Web interfejsa gurana 128-bit-
moinicijativno nom RC4 en-
instalirao i startovao sa sistemom, a kod kripcijom. Klijent se zove RDC (Remote
Windows-a 2003 instalacija e biti izvrena desktop client) a pojednostavljen korisniki
samo uz odobrenje administratora, ak i ka- interfejs radi sa punom paletom boja.
da je IIS potreban za rad nekog drugog in- Mogue je ograniiti korisnika na samo
staliranog servisa. IIS e nakon instalacije jednu sesiju, ak i kod veeg broja servera.
biti konfigurisan samo za rad sa statinim U RDC je integrisan i Connection manager,
sadrajem. Jo znaajniji napredak je pode- tako da vie nema potrebe za odvojenom
la IIS na tri procesa, to doprinosi stabilnos- aplikacijom. Sigurnost je unapreena krip-
ti. IIS 5.1 Windows-a 2000 je koristio inetin- tovanjem zapamenih ifri koje mogu biti
fo.exe to je rezultiralo kolapsom IIS ako bi- dekriptovane samo na raunaru na kom su
lo ta zakae. sauvane. Pored toga, RDC sada podrava i
Novi pristup sastoji se u korienju ker- smart kartice. Dijagnostika problema je
nel-mod drajvera, HTTP.sys, dela mrenog unapreena sa 40 novih poruka o greka-
podsistema Windows-a koji slua zahteve i ma. Obratite panju na to da je promenjen
prosleuje ih dalje, user-mode aplikacijama. i nain licenciranja, kao i da nema ogranie-
HTTP.sys je odgovoran za TCP konekcije, nja za pristup korisnika Internetu.
prosleivanje HTTP zahteva, keiranje od- Na kraju mogu da kaem da je Micro-
govora u kernel-modu, logovanje dogaaja soft napravio proizvod kome je teko nai
za Web servis i QoS. Osnovu IIS 6.0 ine i zamerku. Po prvi put su kozmetike prome-
komponenta za administraciju i monito- ne stavljene u drugi plan, a Windows je, po-
ring, radni procesi (worker process) i inet- sle osamnaest godina razvoja, postao puno-
info.exe. Komponenta za administraciju i letan. Ima jo dosta da se pria o Microsoft
monitoring (WWW Service administration Windows Server-u 2003, ali je prostor ogra-
and monitoring component) radi u user modu, nien, pa emo to ostaviti za neki od nared-
u nedeljenom svchost procesu sa Local- nih brojeva. P
System privilegijama. Radni proces radi u
user modu, a njegova glavna uloga je izvra- Korisna adresa
vanje zahteva za statinim stranicama, po- Microsoft Software, Beograd,
kretanje ISAPI dodataka i filtera i CGI apli- www.microsoft.co.yu

104 PC # 9 0 / j u n 2 0 0 3