Windows Server 2008 R2 – Король умер, да здравствует король
Привет, Хабр! 14/01/2020 приближается и эта дата знаменует окончание расширенной поддержки для Windows Server 2008 R2, и если вы все еще используете Windows Server 2008 R2, вам следует задуматься про миграцию на более актуальную платформу.
Под катом находится небольшое сравнение потребляемых ресурсов старой и новых платформ Windows Server — роль RDSH. В первую очередь меня интересовала возможность продолжить использование уже имеющихся в наличии серверов HP G6/G7 под управлением VMware Vsphere 5.5.
Информация о Windows Server Lifecycle доступна по этой ссылке Search Product Lifecycle.
У меня будет два тестовых стенда:
- HP DL120 G7, 1*cpu Intel Xeon E3-1240
- HP ML350 G6, 2*cpu Intel Xeon E5620
Сервера будут работать под управлением VMware ESXi 5.5, образ VMware-ESXi-5.5.0-Update1-1746018-HP-5.75.4-Dec2014. Я также пробовал использовать образ VMware-ESXi-5.5.0-Update3-3116895-HP-550.9.4.26-Nov2015, но на полученные результаты это не влияет.
А вот образ VMware-ESXi-5.5.0-Update2-2403361-HP-550.9.2.40.2-Sep2015 дает искаженные результаты, по какой-то причине статистика которую показывает сервер отличается от реальной в два раза. С этим образом максимум что показывает сервер это 50 процентов нагрузки на процессор, видимо какой-то баг. Я вначале обрадовался когда получил первые результаты, но потом понял что что-то не так…
Также следует упомянуть, что поддержка VMware Vsphere 5.5 тоже не вечная, и платформа уже не актуальна, и стоит задуматься про обновление. Информация про VMware Lifecycle доступна в данном документе VMware Lifecycle Product Matrix.
И не стоит забывать про VMware Compatibility Guide. Если говорить про сервер HP DL120 G7, этот сервер никогда не присутствовал в матрицах совместимости, а вот на сервер HP ML350 G6 официально допускается установка ESXi 5.5 U3.
Гостевые ОС
Информация про совместимость ESXi с гостевыми ОС также доступна в VMware Compatibility Guide.
ESXi 5.5 U3 позволяет в качестве гостевой ОС установить Windows Server 2016, и даже версии 5.5 будет для этого достаточно. А вот для установки Windows Server 2019 понадобится ESXi версии 6+, но это никак не помешает мне протестировать задуманное.
У меня будут следующие тестовые VM: WS2008R2SP1, WS2012R2, WS2016 и WS2019.
На все VM установлены агенты VMware Tools 5.5.0-10.2.5.8068406. Установлены все обновления от Microsoft за май 2019 и даже какие-то за июнь 2019, после чего служба обновления была отключена.
Для моих тестов я выполнил минимальный тюнинг, хочу чтобы все работало с максимально стандартными параметрами. Для этого я буду использовать локальные групповые политики, немного подробней про это я напишу в конце.
- отключил «desktop composition»
- разрешил редирект звука и видео
- включил RemoteFX для WS2008R2SP1 и клиентов WS2008R2SP1
- отключил сглаживание шрифтов
- ограничил разрядность цветовой палитры на значении 32
- ограничил количество мониторов на значении 1
Что бы кодек RemoteFX начал работать на WS2008R2SP1 необходимо установить роль RDSH, для более новых версий этого можно не делать. Возможно, RemoteFX используется на WS2008R2SP1 без установки RDSH, но в логах отсутствуют события про активацию этого кодека.
Тест 1
В качестве теста я буду использовать ролик на YouTube с разрешением 720p, What’s new in Remote Desktop Services on Windows Server 2019 — BRK2242.
На каждом из серверов я поочередно открою одну rdp сессию и тестовый ролик в Chrome (версия 75.0.3770.80(64bit)).
В этом тесте в качестве клиента будет использоваться тонкий клиент HP t510 под управлением ОС HP ThinOS 4.4 и с пакетом Freerdp-1.1hp10d-all-4.4-x86-SQ. Данный аппарат подключен к монитору с разрешением Full HD, и профиль тонкого клиента был сброшен до заводского.
Графики я снимал с хоста, все первые тесты будут выполняться на сервере HP DL120G7.
Комментарии к результатам первого теста:
В данном тесте ws2008 потребляет в три раза меньше процессорных ресурсов, но при этом в три раза больше трафика чем другие участники теста.
При током трафике, в один гигабит можно поместить 66 сессий, а вот переход на новую версию сервера вероятно уменьшит в три раза количество пользователей которые смогу работать при таком потреблении процессора.
Визуально картинка в данной презентации приемлема на всех версиях Windows Server. Конечно если запустить что-то более динамичное, то более новые версии серверов показывают картинку заметно лучше. Предположу что это связано с количество кадров, больше кадров = плавное воспроизведение = больше нагрузка на процессор.
Тест 2
Сценарий для второго теста остается без изменений, за исключением использования Firefox (версия 67.0.2 (64bit))
Комментарии к результатам второго теста:
Firefox в паре с ws2019 показывает не плохой результат, потребляет немного больше процессора и заметно меньше трафика чем ws2008.
Тест 3
В этом тесте будет использоваться Chrome, но клиентом уже будет выступать ноутбук с Windows 10 1903, ноутбук подключен к монитору с разрешением FullHD.
Комментарии к результатам третьего теста:
В случаи с ws2008 потребляется меньше трафика, другие изменения не значительны…
Также я заметил что Chrome при отображении на фоне ролика прогресс бара потребляет на 1000 мгц больше, а вот в Firefox такого эффекта я не заметил, и прорисовка прогресс бара на количество потребляемых ресурсов не влияет.
Тест 4
Ноутбук с Windows 10 в паре с Firefox
Комментарии к результатам четвертого теста:
В такой комбинации сервер-клиент-браузер, ws2019+Firefox потребляет меньше ресурсов чем с Chrome, но стал потреблять заметно больше процессора если сравнить с результатами Теста 2.
В случаях с ws2012 и ws2016 результаты всех проведенных тестов получаются заметно ровнее, нету такого разброса как у ws2019.
Тест 5
Данный тест заключен в запуске максимального количества rdp сессий и запуска презентации в каждой из сессии. В этом мне будет помогать Remote Desktop Connection Manager, RDCM будет запущен на ноутбуке с Windows 10.
Разрешение сессий пришлось уменьшить до 1440*900. В качестве результатов просто приведу сводную таблицу:
Комментарии к результатам пятого теста:
Неожиданно, 2019 сервер показал результаты хуже чем ws2012 и ws2016. Сервер 2008 смог открыть 8 сессий в то время как сервера 2012/2016 могут открыть 4 сессии, и 5-я поднимает нагрузку до 100%. Сервер 2019 смог работать максимум с 4-мя сессиями.
Firefox не является для меня приоритетным браузером, и поэтому я запускал его только в ws2019 чтобы убедиться в полученных цифрах.
Тест 6
В этом тесте в игру вступает сервер HP ML350G6 с двумя процессорами Е5620, тестировать буду только 2008 и 2019 сервера. Тест прежний, запуск максимального количества сессий, использоваться будет только Chrome.
Комментарии к результатам шестого теста:
Для запуска 10 сессий на сервере 2008 понадобилось 60 процентов процессорных ресурсов, а для запуска всего 5 сессий на 2019 сервере нужно больше 90 процентов.
Заключительная часть — Тюнинг
Все тестовые VM я вернул на сервер HP DL120G7 и в качестве клиента использовал ноутбук с Windows 10 и его штатный экран с разрешением 1366*768.
К сожалению попытки уменьшить потребление процессора я бы не назвал успешными, но сказать что результатов нету тоже нельзя. Вот список всех доступных параметров локальных групповых политик которые можно использовать для тюнига:
В Windows Server 2008R2 параметры «Optimize visual experience when using RemoteFX» позволяют управлять качеством картинки и количеством кадров, и это дает заметный результат. Уменьшение количества кадров снижает нагрузку на процессор и сеть. Для Windows Server 2019 эти параметры не работают.
Качеством картинки в Windows Server 2019 можно управлять параметром «Configure image quality for RemoteFX Adaptive Graphics», а вот изменить количество кадров нечем, или я такой параметр не нашел.
Я пробовал различные комбинации параметров, но заметные изменения в результатах я смог получить только в нескольких случаях. И самое интересное то что можно заметить изменения в трафике но при этом нагрузка на процессор меняется слабо.
— Приоритезация H.264/AVC 444 увеличила нагрузку на процессор но при это трафик заметно снизился с 2х до 1 мегабита.
This policy setting prioritizes the H.264/AVC 444 graphics mode for non-RemoteFX vGPU scenarios. When you use this setting on the RDP server, the server will use H.264/AVC 444 as the codec in an RDP 10 connection where both the client and server can use H.264/AVC 444.
— Отключение компрессии RDP не снизило загрузку на процессор, но при этом трафик увеличился с 2х до 7 мегабит.
— Включение Losles параметра для image quality приводит к не адекватному потреблению трафика, без изменения нагрузки на процессор. Для каких сценариев данная опция добавлена мне не совсем понятно.
If you enable this policy setting and set quality to Lossless, RemoteFX Adaptive Graphics uses lossless encoding. In this mode, the color integrity of the graphics data is not impacted. However, this setting results in a significant increase in network bandwidth consumption. We recommend that you set this for very specific cases only.
Итоги
Если раньше для работы 10 активных пользователей было достаточно 8 ядерного сервера и еще оставалось свободное место, то теперь такого сервера хватит только на 5 пользователей.
Думаю что пора готовится к замене серверов HP G6 и G7 поколения. Очень жалко расставаться с серверами в которых установлено >100 гб оперативной памяти, я предполагал что они послужат дальше.
Не исключаю что в старых процессорах не хватает аппаратных инструкций, по этому в ближайшее время планирую получить на тест современный сервер. Но честно говоря прогноз у меня пессимистичный, думаю что получить желаемый результат будет возможно только грубой силой, увеличением количества процессорных ядер, а это повлечет за собой увеличение количества необходимых лицензий и стоимости.
Конец поддержки Windows 7 и Server 2008: что делать бизнесу
В 2020 году Microsoft завершила поддержку двух популярных продуктов – Windows 7 и Windows Server 2008 R2. Однако в тысячах компаний все еще работают персональные компьютеры и серверы под управлением этих операционных систем. К чему может привести дальнейшая эксплуатация устаревшего ПО и что делать руководителю, дабы избежать рисков?
Почему завершение поддержки — это важно
Microsoft больше не присылает пользователям Windows 7 и Server 2008 R2 автоматических обновлений системы, в том числе исправлений свежеобнаруженных уязвимостей. Для каждого, кто несет ответственность за состояние корпоративной ИТ-инфраструктуры, что означает три серьезные проблемы.
Проблема 1. Компьютеры и серверы будут уязвимы для атак вирусов-шифровальщиков
WannaCry и NotPetya — лишь самые известные из шифровальщиков, эпидемия которых за последние несколько лет охватила миллионы компьютеров, в том числе и в нашей стране. Как результат – в российских компаниях такой вирус чаще всего шифрует базу «1С» и файловые хранилища (обычно вместе с локальными резервными копиями). Без обновлений от такаих угроз не защищен ни один бизнес – будь в нем хоть пять ПК, хоть тысяча. Данные атаки носят массовый характер, а зараженные файлы могут «улететь» по цепочке клиентам и партнерам.
Просто заплатить вымогателям за расшифровку не вариант — гарантий анонимные злоумышленники никаких не дают. И обычные антивирусы от таких угроз не спасают, ведь зловреды постоянно изменяются. Правда, помочь могут специализированные средства информационной безопасности. Уязвимости обнаруживаются регулярно: официальная поддержка Windows 7 завершилась 14 января, а 17 января уже обнаружилась новая уязвимость.
Итак, «просто ничего не делать» при отсутствии поддержки операционных систем нельзя.
Проблема 2. Совместимость с ПО
Заменить операционные системы на всех компьютерах — непростой процесс даже для небольшой компании. Дело в том, что версии Windows совместимы с определенными версиями прикладного ПО, например Adobe, Corel, «1C» и т. д. Но после прекращения поддержки Windows 7 далеко не все новые версии стороннего ПО могут быть установлены на устаревшую ОС.
Проблема 3. Совместимость с «железом»
Поставить «семерку» на самое современное «железо» не получится – новые версии процессоров Intel и AMD не поддерживают Windows 7.
То же самое справедливо и для серверного оборудования. Можно приобрести новый сервер за полмиллиона рублей, но воспользоваться ранее купленной лицензией Windows Server 2008 R2 тоже не получится – ПО и «железо» просто не распознают друг друга. Конечно же, виртуализация была, есть и будет, но она не позволяет решить проблемы с безопасностью (см. проблему 1).
Что же делать, если у меня Windows 7 или Server 2008
Есть несколько вариантов развития событий – какой из них выбрать, зависит от особенностей бизнеса. В первую очередь, необходимо провести аудит инфраструктуры. Он состоит из трех этапов:
Чтобы автоматизировать данный этап, Microsoft предлагает бесплатный программный пакет Assessment and Planning Toolkit (MAP). Он покажет, какие версии Windows и Windows Server и в каком количестве используются в инфраструктуре.
Более того, этот же инструмент продемонстрирует, какие именно пакеты обновлений были установлены. И, увы, очень часто обнаруживается, что на многих рабочих местах они не установлены вовсе. Иными словами, огромный набор уязвимостей, обнаруженных за 10 лет, доступен любому злоумышленнику.
Независимо от того, решите вы в дальнейшем перейти на Windows 10 или остаться на «семерке» (такой вариант я опишу ниже), следует установить все обновления. Дело в том, что киберпреступники прекрасно осведомлены о завершении поддержки, а значит, в этом году рабочие станции и серверы под управлением устаревших версий Windows и Windows Server будут в зоне их пристального внимания. Если обновления не устанавливались, то площадь уязвимости вашей инфраструктуры огромна и решать эту проблему нужно быстро.
В небольшой компании достаточно просто физически дойти до каждого ПК и вручную обновить ОС. Если же рабочих станций больше 20-30, то можно использовать еще одну бесплатную службу – WSUS (Windows Server Update Services). Правда, чтобы настроить ее, понадобятся лицензии на Windows Server и определенные навыки: можно прокачать их самостоятельно либо привлечь технологического партнера (недорого).
На данном этапе необходимо просчитать, во что обойдется для вашего бизнеса каждый из вариантов действий. А их, как и всего остального в этой статье, тоже три.
Путь 1. Перейти на Windows 10
Наиболее очевидная опция — заменить устаревшие «семерки» на «десятки», проинсталлировав новую версию, как и раньше, в своей инфраструктуре. Причем у Microsoft имеется предложение по переходу (оно называется Windows 10 Upgrade), в рамках которого можно сэкономить около 2 тыс. рублей на каждой лицензии – то есть порядка 16% от стоимости.
Во время сбора данных необходимо убедиться, что все рабочие станции и серверы достаточно производительны, чтобы на них можно было установить новую версию ОС. Если все окей, приобретаем лицензии и начинаем процесс перехода. В маленькой компании можно обойтись дедовским методом: загрузить образ Windows на флешку и ногами обойти все рабочие станции. Для среднего же и крупного бизнеса переход нужно проводить в нерабочее время. Порядок следующий: сначала создается образ Windows с основными программными пакетами (Office, Adobe Acrobat и т. д.), а затем его централизованно отправляют на необходимое количество ПК, находящихся в сети. Если должной квалификации нет, здесь также может помочь технологический партнер.
Путь 2. Платить за обновления безопасности
Однако в случае обнаружения крупных уязвимостей патчи все-таки выпускаются: например, во время эпидемии WannaCry корпорация разослала обновление для устаревших версий бесплатно. Но в 2018 году Microsoft сделала заявление, что все апдейты для Windows 7 и Windows Server 2008 R2 будут платными. (Понять ее можно: разработка обновлений — дорогостоящий процесс.)
Экономически данный вариант не слишком выгоден и подходит только в качестве временной меры. Например, в текущем году за каждое устройство с Windows 7 придется выложить не менее четырех с лишним тысяч рублей. В 2021-м цена вырастет как минимум вдвое. Из-за нерегулярности обновлений устройствам под управлением устаревших ОС лучше всего ограничить выход в Интернет. Однако такой вариант позволит сделать переход на новые версии более плавным – ведь новое «железо» будет приобретаться с новой версией ОС.
Путь 3. Перейти в виртуальную среду Microsoft Azure
Данный вариант возможен сейчас для Windows Server и SQL Server. Если нет возможности сразу и приобрести новые лицензии, и обновить под них аппаратное обеспечение, можно перенести капитальные затраты (CAPEX) на операционные (OPEX). Таким образом, мы, по сути, берем лицензии Windows Server 2008 R2 или SQL Server 2008 R2 в аренду в Microsoft Azure и получаем обновления безопасности бесплатно в течение трех лет, пока действует подписка. В виртуальную среду можно перенести сопутствующие нагрузки, то есть сервисы, с которыми работает компания (например, сервер «1С» или систему документооборота).
Но в таком случае обязательно понадобится помощь партнера: очень важно не просто корректно перенести данные, но и сделать так, чтобы сервисы простаивали как можно меньше времени.