TechEd EMEA 2007 visszanéző: Mi újság a Windows Server 2008-ban?

Sokat gondolkodtam, hogy mi legyen ennek a cikknek a címe. Szerepeljen-e benne Mark Minasi neve, vagy inkább csak az, hogy "Én kérek elnézést". A TechEd előadásainak a túlnyomó többsége jó színvonalú és műszaki értelemben korrekt volt. Mark Minasi rekem előadó, sajnos ezúttal sokkal jobb volt, mint kellett volna. Ő ugyanis kapitális butaságokat mondott a színpadon egy egész arénányi közönségnek úgy, hogy közben azok a hasukat fogták. Az előadás csupa memória-fogas, vagyis sokáig lehet rá emlékezni – épp ez a baj. A butaság, bizonyos fogalmak félreértése hosszan-hosszan terjed majd a közösségben, úgyhogy itt az ideje a kármentés elkezdésének. Figyelem! Ez a cikk többszörös és szándékolt szóismétléssel tartalmazza a "Read Only Domain Controller", a Role (szerep vagy szerepkör), és Feauture (képesség) szavakat: szándékoltan "szennyezem" a keresőmotorokat, hogy legalább magyar nyelven előkelőbb találatot érjek el a buta szóbeszédeknél.

Mark (nem is linkelem be a webnaplóját) két nagy félremagyarázását igyekszem tisztázni. Az első a Windows Server 2008 által bevezetett Role (szerepkör) és Feauture (képesség) kifejezések félreértelmezése. Az előadó előbb precízen ismertette a fogalmakat: a szerep egy informatikai értelemben jól megfogható, de technológiai szemszögből összetett szolgáltatás. Ilyen például az Active Directory szerepkör, amely önmaga több service-ből (ún: role-service-ből) áll, de mégiscsak egy egységként kezelhető. Ide tartozik még a webszolgáltatás role (szerepkör), a fájlszolgáltatás role (szerepkör), a virtualizáció role (szerepkör) és még lehetne sorolni. A Feature (képesség) ezzel szemben olyas valami, amely kiegészít egy vagy több szerepkört további képességgel. A BITS Extension például kiegészítheti a webszolgáltatást. Az előadó itt megállhatott volna. Ekkor viszont elsütött egy poént: szerintünk mi a DNS (role vagy feature) és mi a WINS (role vagy feature)?. Meg is válaszolta: a DNS role a WINS Feature. Hogy ennek mi az értelme? (Röhögés).

Ha valaki csak egy kicsit követi a Windows életútját – márpedig az előadó már a Windows 1.0-át is ismerte – tudhatja, hogyan viszonyul a Microsoft a Windows 2000 óta a NetBIOS szabványhoz. Ettől az IBM által megalkotott protokolltól a Microsoft hét éve próbál szabadulni, csak ez lassan megy. A Windows Server 2008 egy újabb állomás az úton. Elvileg a DNS és a WINS egyaránt névfeloldást szolgál, de a Windows Server 2008-ban nem egyforma súllyal. Azt mondjuk, hogy a névfeloldás a Windows Server 2008-ban "A DNS". Teljes értékű, mindent tud. Lehetnek azonban olyan szoftverek (elsősorban nem a Microsoftéi, de persze az MS korábbi szoftverei is ilyenek), amelyeknél a korszerű névfeloldás implementálása még nem történt meg, ezért azok a névfeloldásnak egy olyan kiterjesztett módjára tartanak igényt, amely tartalmazza a WINS-t is. Vagyis a WINS kiegészíti a névfeloldási szolgáltatást, a DNS-t. A DNS role (szerepkör), a WINS Feature (képesség).

Még egy memória-fogas. A Failover-cluster, ez a MSCS új neve, egy feature (képesség). Ez érthető: a cluster nem lehet cél, a felhasználók nem használják, számukra az transzparens. A Failover-cluster kiegészít a maga képességeivel egy csomó szerepkört – a fájlszolgáltatást, a virtualizációt, a címallokációt (DHCP). Ezek ugyan önállóan is megállják a helyüket, de a failover-cluster új képességgel egészíti ki őket, a magas rendelkezésre állás képességével.

A másik ostobaság a Read Only Domain Controllerrel kapcsolatban hangzott el. Mark gondolatmenete onnan indult, hogy az NT4 címtárszolgáltatásának korlátait ledöntve érkezett meg annak idején az Active Directory, amely több mesterpéldányos replikációt valósított meg egyenrangú tartományvezérlőkkel, szemben az NT4 egy-mesterpéldányos, egy írható – a többi csak olvasható architektúrájával. Már azt hittük, hogy az élet tökéletes, erre mi történt? A Windows Server 2008-ban a Read Only Domain Controllerrel feltaláltunk újra az NT4-féle címtár-architektúrát!! (Röhögés)

NEM NEM NEM!!! A hasonlóság csak részleges és látszólagos. Nézzünk bele a részletekben:

  1. Az NT4 esetén bármely BDC (a címtár olvasható példánya) teljes egészében tartalmazta a tartomány minden adatát. A Read Only Domain Controller esetén ez nem igaz! Az RODC csak a tartomány egy meghatározott (és bármikor meghatározható!) részét tartalmazza. Csak a nála hitelesítést kérő felhasználókat, így eltulajdonítás esetén csak ezen felhasználók jelszavát kell cserélni, mást nem! Az RODC legnagyobb hozzáadott értéke, hogy olyan helyen is telepíthető, ahol a fizikai biztonság nem szavatolt! Ráadásul olyan adminisztrátorok kezelhetik, aki nem Domain Adminok! Ilyen képességei az NT4 BDC-nek sohasem voltak.
  2. Az NT4 BDC bármikor írhatóvá varázsolható volt. A Read Only Domain Controller esetén ez nem igaz!
  3. Az NT4 BDC a technológiai korlát mellett a "normál" címtár-architektúra része. Nem alternatíva. Az RODC speciális helyzetben és céllal, opcionálisan létrehozható szerepkör.
  4. Az NT4 BDC egy potenciális biztonsági probléma.
  5. Az RODC egy potenciális boztonsági problémára adott válasz!

Akit a fentiek további olvasásra sarkallnak, azoknak a fenti linken található cikkhivatkozásokat ajánlom olvasásra illetve tanulmányozásra. A félreértések elkerülése érdekében!

2 Responses to TechEd EMEA 2007 visszanéző: Mi újság a Windows Server 2008-ban?

  1. Tamas says:

    naon helyesnek tartom, h a helyere teszed, minden szempontbol egy nagyon gaz eloadas volt, szerencsere nekem nem ragadt meg sok belole, illetve hamar tavoztam :) ja es meg mintha a DC-k kliensoldali "eszleleserol" is mondott volna vmi oltari baromsagot…

  2. Ottó says:

    A feature és role kavarásokat még nem nagyon hallottam vissza, de az RODC = NT BDC megállapítás terjed Minasi bácsi nélkül is. Rengeteg helyen hivatkoznak ilyen formában rá.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: