Хабрахабр

Вы все еще ставите Windows 2008? Я тоже, и вот почему

Сегодня я хочу поделиться подборкой субъективных причин, по которым многие (и я тоже) до сих пор проводят новые инсталляции этой старушки. Уже в январе 2020 года заканчивается поддержка Windows 2008 R2.

Ценителей, ностальгирующих и ненавистников — прошу под кат.

А вот по субъективным ощущениям Windows 2008R2 работает куда отзывчивее на не очень свежих серверах и слабых виртуалках, особенно по части I\O нагрузки на диск. Если сравнивать минимальные системные требования Windows 2008R2 и Windows 2016, то они будут идентичны за исключением маленького нюанса — графическая оболочка Windows 2016 требует 2 Гб оперативной памяти.

Судя по всему, дело в меньшем количестве различных служб и в их большей простоте.


Свежеустановленная старая и новая система с идентичными ролями.

Что уж говорить о пользователях. Даже многие системные администраторы ставят на сервера под управлением Windows 2012 и старше ПО вроде Classic Shell, чтобы вернуть старый добрый «Пуск». Искать нужное приложение приходится или мучительно вглядываясь в строки, или набирая его имя — одной мышкой не обойтись. Конечно, возврат к чему-то «пускоподобному» в Windows 10\2016 сделал жизнь чуть легче, но лишь только чуть.

Сравните, насколько просто было в Windows 2008: Пуск — завершение сеанса. Да и к тому же попробуйте объяснить пользователю, как правильно выходить с терминального сервера не «крестиком», если вместо кнопки «Пуск» — плитки и недо-плитки.


Краткость — сестра таланта.

Да-да, с квадратиками. И в Windows 2016: «Нажмите туда, где раньше был пуск. Да, такой маленький… Нет, слева! Найдите там человечка. Нажмите на него и там нажмите на «выход».


Больше, больше кликов мыши!

Пользователь может совершенно спокойно и ненапряжно сменить свой пароль. Далее в старом меню есть прекрасный пункт — «Безопасность Windows». Нет, не Delete. Без вот этого вот «нажмите Ctrl+Alt+End. Это кнопка рядом с Delete». End. А если пользователь сидит на терминальном сервере с другого терминального сервера — без лайфхаков типа ярлыка на команду explorer shell::: уже не обойтись.

А люди на форумах острят на тему плиточных интерфейсов, что они для того чтобы получать ачивки в аккаунте Xbox — типа «Починил Active Directory», «Не сломал DFS при обновлении домена». Нет, лично я радуюсь, когда захожу на сервер с Windows 2008 и вижу кнопку «Пуск». Было бы прикольно. А что?

Допустим, захотелось вам решить простую задачу — развернуть на далеком сервере (реальном или виртуальном) сервер терминалов для работы с 1С в небольшой компании.

Начиная с Windows 2012, коллекцию без контроллера домена не создать. В Windows 2008 все просто: все настройки проводятся через оснастку, контроллер домена не нужен. И если хочется отдельный сервер — извольте настраивать через локальные политики.

Нужно или использовать какие-то сторонние решения, или разворачивать домен. Но такая возможность, как RemoteApp без домена — увы, не работает.

Потому что. Также если хочется подключаться к пользовательской сессии (т.н shadowing), то без контроллера домена штатными средствами ничего не получится.


Старый добрый tsadmin.msc.

Если раньше можно было выбрать нужных пользователей в оснастке tsadmin.msc, используя такие средства выделения как Ctrl и Shift, то теперь или отправляй сообщения по одному, или используй командную строку и утилиту msg.exe. Даже банальная отправка сообщений пользователям (например, о скорой перезагрузке сервера) начинает превращаться в квест.


Отправка сообщений в Windows 2016.

Придется ставить еще и SQl Management Studio. Если вдруг вы все-таки захотите сделать полноценный сервер терминалов с коллекциями и поставите роль контроллера домена на сервер терминалов — или наоборот, — то и тут вас ждут приключения из-за работы встроенной БД Windows и правил доступа к ней.

То есть теперь, если я хочу пользоваться всеми возможностями сервера терминалов, мне предлагается ставить Windows на железо и делать две виртуалки — для сервера терминалов и для контроллера домена. Microsoft рекомендует использовать возможность установки двух виртуальных машин по одной лицензии. Падение производительности 1С в таком случае составляет от 10% до 20%, появляется необходимость покупать у хостера второй IP — из-за того, что на гипервизоре может быть роль только гипервизора… Спасибо, Microsoft!

Если принтеры пробрасывались в RDP или подключались к терминальной сессии как \computer\printer, то они или пропадали вообще, или пропадали из 1С. Когда на одном предприятии смигрировали терминальный сервер на Windows 2016, то столкнулись с удивительными вещами при работе стареньких несетевых принтеров и 1С. И приходилось удалять настройки пользователя.

Безумие продолжалось до тех пор, пока не приняли отвратительное решение — установить принтеры на сервер как локальные с портом \computer\printer и навесить на них нужный ACL.


Установленный принтер.

То проблема с принтерами, то с не самым свежим ПО вплоть до BSOD-а. Подобные интересные нюансы всплывали неоднократно в разных организациях. В одной истории пришлось воспользоваться правом лицензии VL на downgrade, так как проприетарное ПО категорически не хотело работать на Windows 2016 и на виртуальной машине.

Поэтому, если позволяет лицензия и аппаратная составляющая — Windows 2008R2 Standart поддерживает не более 32 Гб оперативной памяти, — а также нет необходимости в новых функциях свежих серверных OS, мы по-прежнему ставим Windows 2008R2 и с ужасом ждем окончания поддержки.

Благо RemoteApp работают с 1С в 2008R2 так же плохо, как и в 2016. Надо отметить, что Windows 2008R2 уже фактически стала эталоном для «облачного» хостинга 1С — когда клиенту недостаточно тонкого клиента, а нужен полноценный доступ в 1С.

Особенно, если эта система в продакшене. Кто бы что ни говорил о плюсах телеметрии, мне неприятно, когда система что-то кому-то отсылает. Напрашивается очевидный выход — отключить интернет на сервере. Конечно, Microsoft заявляет, что опасаться нечего, но тем не менее. В противном случае будет разумно закрыть адреса Microsoft на фаерволе или что-то подобное. Это хорошо, если интернет не нужен для функционирования сервера.

Ведь даже в настройках телеметрии в групповых политиках в параметре Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Сборки для сбора данных и предварительные сборки можно лишь поставить ограничение, но не отключить механизм полностью.


Настройка телеметрии.

Также сообщество создало некоторое количество скриптов и утилит, призванных отключать телеметрию совсем на Windows 10 и Windows 2016. Еще можно вовсе отключить телеметрию и настроить мониторинг, который уведомит о включении службы после обновления.

Еще существует решение на PowerShell: оно тоже правит реестр и заодно отключает службы с назначенными заданиями, которые могут что-то передавать на сторонние сервера. Например, известен батник, который правит реестр и блокирует домены MS при помощи файла host.

Это очень удобно — не нужно выбирать 100500 обновлений для загрузки на свежеустановленную систему. Стандартная поставка обновлений безопасности на свежих версиях Windows происходит через кумулятивные обновления. Правда, удобно это разве что установщикам систем.

Поэтому возникает необходимость держать как минимум тестовую группу серверов, где можно проверять обновления. В реальности если какой-то патч что-то ломает — а это бывает регулярно, — то на его отлов и отключение придется потратить немало человеко-часов. Ну и WSUS начинает нравиться как инструмент.


Старая добрая масса обновлений.

Старый механизм, где можно опционально выбрать или заблокировать нужные системы безопасности, мне больше по душе. Нет уж.

Тогда, по словам Microsoft, можно продлить агонию одной из самых удачных операционных систем еще на 3 года. Сейчас Microsoft предлагает лишь один вариант, как не остаться без поддержки с 2020 года — это перенести серверы в Azure.

Стоит отметить, что это касается также Windows 2008 (единственной актуальной 32-битной серверной ОС) и SQL Server 2008.

Расскажите, планируете ли вы полностью избавиться от Windows 2008R2 за следующие пару лет?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть