Asi 3 týdny před přednáškou jsem dostal mail od Martina Pavlise, v němž navrhoval termín raději přeložit někdy na konec září, protože měl obavy, že nedorazí dostatek posluchačů. Když zhruba 3 dny před akcí počet registrovaných kulminoval na čísle 204, možná uznal, že náš flegmatický přístup měl (kromě lenosti) i jiné reálné opodstatnění. Jeho jméno na mnoho znalých prostě jako zaklínadlo působí :-).
On měl radost a nešetřil superlativy, já měl hrůzu v očích a těžké spaní… Nacpat 200 lidí do místnosti pro cca 90 je možná zábavou pro lovce zápisů do Guinness Book of World Records než pro sešlé „ajtíky“ za zenitem, organizující pražské „wugy“. Nicméně zástupci MS fantasticky zapracovali a vyřešili rébus za nás – nabídli další prostory v jejich přednáškovém sále v 7. patře včetně on-line přenosu. Takže Martin a Karel kromě rekordu v počtu přihlášených, počtu účastníků, počtu objednaných pizz ;-) jsou nositelem dalšího prvenství v rámci českého WUGu – první on-line přenášené vystoupení. Gratulujeme a oběma posíláme pěknou písničku… ;-)
Abych to zkrátil – oproti původním hrůzným očekáváním, co se vše stane, nedopadne a zkolabuje, tentokrát proběhlo vše nad míru dobře a relativně bez ztráty kytičky. Ti, kteří na naše přednášky chodí pravidelně, mohli konečně po dlouhém čase vychutnat výhodu členů nebo skoročlenů WUG-u a zakotvili přímo v hlavním přednáškovém sále, ostaní byli nuceni sledovat dění přes plátno a reproduktory v 7. patře. Dělení na rovné a rovnější bylo mnohdy bolestné – křik, pláč, slzy, trhání rodin a partnerských vztahů… no hrůza… být cynik, řeknu Sophiina volba v malém… Ale nakonec se dav podařilo rozdělit a v poměru cca 105/50 pod údery dozorců úspěšně nahnat do jednotlivých sálů. Pár vad na kráse se nicméně našlo a jednu z nich jsem si neodpustil nezmínit – ale to až na konec.
Martin s Karlem se celou přednášku střídali a bylo vidět, že je to víc než baví a nedělají to poprvé. Večer rozdělili do tématických bloků, na konci každého se konečně i diskutovalo, což je, zvlášť na Prahu, poměrně vzácné (z hlediska ochoty diskutovat jsou pražáci nejlínější publikum z celé republiky) a před jejich výkonem nelze než smeknout. Celý výklad byl doplňován praktickými ukázkami včetně videí z dílny obou přednášejících, které zájemce a jejich servery perfektně provedou různými „životními situacemi“. Videa se dodělávají a zpracovávají, proto pravidelně hledejte na TechnetBlogu.
Karel Florian začal tématy instalace W2k8 serveru. Microsoft snad konečně pochopil, že princip (známý již poměrně dlouhou dobu v jiných prostředích ;-) ) instalovat systém pouze s nejnutnější mírou funkcionality a vše ostatní doinstalovávat a zprovozňovat teprve následně (podle skutečně reálných požadavků vycházejících z rolí serveru), by nebylo od věci převzít. Příliš by mě neudivilo, kdyby to časem bylo prezentováno jako nový, revoluční, MS objevený přístup k nasazování OS. Ostatně tento famózní „objev“ není jediným procitnutím MS a tak se konečně začíná objevovat výrazná podpora „řádku“ (přesněji objektově orientované prostředí PowerShellu), funkční vzdálené správy přes příkazový řádek, atd. Kdepak asi MS hledal „inspiraci“? ;-)
Instalace W2k8 serveru je nově omezena pouze na skutečně NĚKOLIK obrazovek, zprovozní se pouze základní, nejnutnější funkcionalita a následné změny, správa, doinstalace rolí, atd. se dějí přes centrální konzoli Server Manageru, což ocení nejen správci rozsáhlých prostředí. Novinkou je Windows Remote Management – nové rozhraní postavené na WMI a SOAP, umožňující vzdálenou správu přes příkazový řádek pomocí protokolů http a https, řešící lépe problém prostupnosti přes firewally.
Karel několikrát zdůraznil fakt, že W2k8 je „hlavně a zejména o rolích“, že se instalují pouze komponenty nezbytně nutné pro zvolenou funkcionalitu a že při odinstalaci rolí se analogicky veškeré nepotřebné komponenty automaticky a korektně odebírají. Jednoho napadne taková kacířská myšlenka (mám dneska nějakou jedovatou), no, na to by blbý nepřišel, takovouto funkcionalitu konečně zavést, vyžadovat a dodržovat… to to trvalo…
Karla vystřídal Martin a jeho blok věnovaný Server Core – což je edice W2k8 bez grafického rozhraní a na něj vázaných funkcionalit. Instalace každé edice W2k8 se nabízí ve verzi plného GUI nebo zmíněné verzi Core. Zmínil motivaci takového řešení, statistiky ukazující, že cca 60% updates a patches je vynuceno různými potřebnými změnami a nutnými záplatami majícími důvod v existenci GUI rozhraní. Nicméně, všechno něco stojí a proto robustnost tohoto řešení je vyvážena absencí některých funkcionalit jejichž existence je s prostředím GUI, potažmo .NET Framework úzce svázána – což je třeba případ PowerShellu, který bez .NET Framework neumí žít. Prostě komponenty, funkcionality systému mající vazbu na GUI v Core nejsou a nepojedou. Ale co tady budu plácat játra, zase bych řekl něco jedovatého, mrkněte prostě na „slajdy“ a udělejte si obrázek sami.
Zmíněná absence GUI v edici Core vyvolala pochopitelně dotazy na funkcionalitu IIS serveru (aktivní web. stránky, skripty…) – v současné době se urputně diskutuje jak a zda zakomponovat .NET Framework, PowerShell a jiné komponenty závislé na GUI do této edice. Taktéž se řešila funkcionalita instalací produktů 3. stran – neměl by být problém při jejich kompatibilitě s MSI Installerem. Co se týče možnosti upgrade, popř. „degrade“ Core edice na plnou verzi s GUI, resp. naopak, zatím ani jeden směr není možný.
Martin přiblížil úplně nový nástroj pro instalaci jednotlivých rolí v rámci Core edition – ocsetup, který použijete úplně na vše – postavíte, zavedete, zatopíte, kotel vám to vynese, vyčistí, vyveze popelnice, vykydá ve stájích, prostě univerzální pomocník pro vaši serverovou farmu, ovšem s jedinou výjimkou – nutností použití dcpromo pro instalaci doménových rolí. Dále zmínil a předvedl některé, již v prostředí připravené skripty, které vám mnoho činností mohou ulehčit a překvapení!! – je to case sensitive! Kde jsem to jenom už viděl…. to bylo asi jenom DEJAVU…
Málem bych zapomněl – současná edice W2k8 je zřejmě poslední 32-bitovou edicí, následující R2 bude pravděpodobně již jen 64-bitová.
Karel následně převzal štafetu přiblížením možnosti provozovat W2k8 server v roli Read Only Domain Controlleru, který podporuje většinu rolí serveru s výjimkou těch částí jejich funkčnosti, kdy služba či role vyžaduje zápis do aktuální konfigurace (Exchange, atd.). Pro seznámení bude možná lepší, než číst tyhle plky, mrknout do jejich prezentace.
Následovala sekce věnovaná Bitlockeru – jedná se o stejnou technologii jako na Windows Vista, kdy lze šifrovat disk, na němž je umístěn operační systém, tj. jen a pouze systémový oddíl. Dosáhne se tak odolnosti systému vůči útokům využívajícím startu do alternativních OS (teď mě napadá, skoro se mi to nechce vyslovit – tak nevím, ale dá se lousknout Linuxový server nastartováním do Windows?).
Bitlocker (používající technologii 256 bitové AES) tedy doplní jeho kamarády z branže – EFS a RMS a tím vytvoří ucelené řešení, které splňuje bezpečností nároky správce trpícího i pokročilejší formou stihomamu.
Nasazení Bitlockeru je ovšem dobré rozvážit ještě při prvotní konfiguraci systému, doporučeno je vytvořit nešifrovanou bootovací partition velikosti cca 1,5 GB, nasazení na již funkční systém lze provést pouze pokud je dobře rozpartitiován (jestli tohle náhodou bude číst někdo z Ústavu pro jazyk český, řekl bych, že pokud to vydržel až sem, tak tady ho zaručeně klepne…). Diskutovalo se dodatečné rozpartitionování (to byla třešnička pro zvlášť odolný exemplář jazykozpytce…;-) ) s využitím aplikací jako Ghost, Partition Magic, doporučení znělo raději nepoužívat a využít funkcionality a možností SMS (nakolik je toto tvrzení založené na realitě a nakolik je v pozadí ďáblík marketingu nevím). V SMS je mistr nad mistry např. Petr Košec, kterého se můžete zeptat na jeho pražské přednášce v září (taky mi jde marketing, ne? ;-) ).
Dále byly zmíněny typy realizace technologie Bitlocker – využitím speciálního HW chipu, kombinace HW chipu + klíčenky, chipu + PIN-u nebo samotné klíčenky a technologie byla i Martinem názorně předvedena.
Po tomto bloku se Karel Florian začal věnovat problematice firewallu – konzole a možnosti jsou velmi podobné firewallu ve Vistě, tedy se dá monitorovat a spravovat i odchozí provoz, FW má silnou podporou IPSECu.
Po přestávce a posilnění pizzou (účastníci byli vyzváni, aby tentokrát ve větší míře upravili své osobní firewally pro protokoly na nichž běží pizza sharing) se Martin vrhnul na problematiku NAP – Network Access Protection a heslo „politika, nikoli topologie definuje síť“. Vzhledem k tomu co vás ještě čeká bych si dovolil opět odkázat na prezentaci přednášky s odkazy na blog NAP týmu, kde najdete dostatek materiálů pro plánování a nasazení NAP ve vašem prostředí. Opět se diskutovalo, mj. jak řešit problematiku zařízení v síti, která NAP politiku nesplňují (tiskárny, atd.) – buď výjimkou v politice nebo HW řešením od výrobců zařízení.
Pak přednášející přešli na téma IIS 7.0 – je založen na úspěšném předchůdci IIS6.0 (kontrolní otázka… soudruzi… tak schválně, jestlipak víte, jakou kadenci chyb měl za celou svoji dobu existence na trhu IIS 6.0… no….no, nevíte? tak já vám to, soudruzi, povím… TA! Ano - pouze 1 opravu bylo nutno vydat na IIS 6, přičemž samotný systém nebyl patchován ani jednou! Tak to ti soudruzi z USA vymysleli!).
Proto není divu, že při návrhu IIS se vyšlo z předchozí verze. Po instalaci, podobně jako v rámci systému, je v provozu pouze „defaultní“ minimální funkcionalita – pouze schopnost zobrazovat statické webové stránky. Podporu .NET, ASP, atd. je nutno explicitně dionstalovat a povolit. Změn doznala také konzole, která je výrazně odlišná od předchozí verze.
FTP server není implementován, je nutno jej stáhnout z MS webu a doinstalovat. Server podporuje FTP přes SSL (FTPS) nikoli SCFTP. Poté byla předvedena instalace, ovládání, konfigurace IIS, resp. virtuálních webů z příkazové řádky – pomocí appcmd lze celou správu automatizovat a velice dobře skriptovat, což ocení zejména správci hostingových center.
No a pak přišel PowerShell, shrnu-li to stručně, v podstatě znělo - jestli jej ještě nemáte, neváhejte a mazejte si jej stáhnout, používat, učit a vzývejte jej. Budoucnost již není v aluminiu, ale v PowerShellu!!
Pokud budete mít W2k8, stahovat jej nemusíte, je již součástí systému (!pozor ale na Core edici – viz dříve!). Předvedeny byly některé ukázky použití, popsány principy syntaxe, doporučena literatura (PowerShell in Action a připravovaná publikace Patrika Maliny).
BTW - hádejte kdo a jaké téma nám bude na podzim přednášet u příležitosti vydání zmiňované knihy? Tadadam! Ani pan Vajíčko by se nemusel stydět za to jak se u nás nemluví reklamštinou J Jinými slovy Patrik Malina a PowerShell bude dalším tahákem našich podzimních přednášek.
V diskuzi kolem PowerShellu to pak chvíli trochu vřelo – byla kritizována obecně logika zápisu a ovládání tohoto prostředí, zejména v oblasti helpu. celkem trefně a do jisté míry oprávněně se diskutující zeptal, zda se vůbec někdo od MS, když vytvářeli PowerShell, podíval na logiku správy např. CISCO produktů. Tam tvorbu syntaxe příkazu má uživatel velmi výrazně usnadněnou použitím „?“ a to zobrazením bezprostřední rozšiřující nápovědy k již zadanému kontextu. Kdežto tady (PS) vyjede celý několikaobrazovkový help. Bylo oživení. Neubráním se dodat – chválabohu alespoň za takovýto help, kdo někdy, byť náhodou spadnul do světa WMI a k tomuto fantasticky silnému nástroji naprosto příšerné bažiny či spíše žumpy helpu, bude vděčný za jakoukoli rozumnou dostupnou nápovědu k PowerShellu. Nic to ale nemění na oprávněnosti vznesené kritiky.
Následně se ještě hovořilo o Terminal Services a jiných věcech – Failover Clusteru, náhradě ntbackupu zcela novým WINDOWS Server Backupem (mj. nepodporujícím páskové mechaniky – že by proto, že je MS nevyrábí?) kompletně přepracovaném TCP/IP, přepracované virtualizační architektuře (virt. stroj bude přímo přistupovat přes úzké rozhraní k HW – jakpak to asi ovlivní možnost přenášení virtuálních images mezi různými HW?)…
Co se týče výkonu – kdo někdy zažil Martina na přednášce, tomu není třeba nic vysvětlovat, nadšení, absolutní zaujetí, profesionalita, což se týká i Karla Floriana. Oba dva zaujali svým výkladem natolik, že dokonce posluchači nemizeli ani s přibývající noční hodinou, což není zrovna obvyklé. Laťku nastavili docela vysoko – ještě párkrát podobnou přednášku a můžeme začít vyjednávat o propůjčení Kongresového centra…
No a na závěr…ať není pořád jen veselo: rozšířil se nám tady na škole takový zlozvyk… dokonce ajtíci… ano… správci taky!
Martin a Karel jsou, bohužel, vlastně nechtěnými držiteli ještě jednoho prvenství – v historii CZ WUGU to byla pravděpodobně první přednáška, na které se i kradlo. Zřejmě mezi správci IT je ještě pár chudáků, kteří třou bídu s nouzí a tak vezmou zavděk třeba i sluchátky s koženým pouzdrem. Možná bychom se my ostatní, kteří jsme na tom lépe, měli zamyslet, jestli by nebylo na místě uspořádat na tyto potřebné sbírku a kromě dvojité pizzy (jistě se ani pořádně nenajedí, chudinky) jim vždy přichystat nějaké příjemné překvapení v podobě malé pozornosti položené na židli. Aby nemuseli okrádat své kolegy a organizátory. Mrzí mě to, ale příště si prostě dávejte pozor na odložené věci, někteří z nás tam chodí zřejmě nejenom kvůli novinkám, znalostem a komunitě.
Pavel –TA-