Parerea mea despre Server Core - si nu e buna.

Am pe limba chestia asta de mult timp insa am tot incercat sa dau o sansa acestui produs si sa gasesc valoarea ascunsa pe care o are. Pardon, nu e un produs, ci e un mod de instalare al Windows Server 2008.

Am tot fost vrajiti cu tot felul de termeni, in special "securitate" si "suprafata de atac".

Dar hai sa vedem ce stie cu adevarat sa faca Server Core - in plus fata de o instalare obisnuita aka full (de fapt nici asta nu e chiar full). Pai nu are nimic in plus - deja un motiv sa il arunc intr-un sertar si sa uit de el.

Suprafata de atac - hmm, pai de regula la un server, suprafata de atac e reprezentata de serviciile expuse in retea - si acestea sunt aceleasi si la Server Core si la Full Install. Ok, sunt de acord ca foarte multe api-uri au fost scoase din aceasta instalare, spatiul ocupat pe disc e altul, memoria utilizata e alta - dar astea nu ma incanta cu nimic. Sa zicem ca apare o vulnerabilitate pentru IE7 - iar MS o sa faca mare valva ca se aplica pt. full install ... si nu pt. Server Core - si de aici ca e mult mai secure. Pai ce? Eu browsez de pe server? La fel ca si in cazul oricarei alte vulnerabilitati, atata timp cat nu poate fi exploatata remote, slabe sanse sa fie "critica" pentru servere (poate doar pt. citrix/ts farm). Si cand o sa fie vorba de una remote, pun pariu ca o sa se aplice si pentru Server Core. Si ca sa administrezi Server Core acceptabil va trebui sa deschizi o gramada de porturi in windows firewall - asa ca nu mai e foarte secure.

Unii au mai spus si de "disk footprint" - sau spatiul ocupat pe disk. Consider ca nu se justifica; mai ales raportat la costul per Gb din ziua de azi. Deja am ajuns sa aleg la instalare partitii de 72Gb pentru OS - calculand durata de viata a serverului si posibilitatea de upgradare a OS-ului peste cativa ani.

Legat de management-ul serverului aici din nou probleme - nu poti folosi PowerShell (pentru ca .Net nu ruleza pe server core). Nu va lasati pacaliti de tot felul de materiale care va spun ca puteti sa managuiti server core cu powershell ca e abureala. E vorba de WMI apelat din powershell de pe un sistem remote, lucru care poti sa-l faci si din vbs. Alta varianta ar fi consolele GUI rulate de pe un sistem remote - adica ne intoarcem la administrare GUI .. dar intr-un mod mai complicat. Ar mai exista si CoreConfigurator - dovada ca se putea face o interfata grafica. Si pana la urma sunt o gramada de api-uri care inca mai exista in server core - ca doar Notepad si Regedit imi ruleaza (grafic); iar la logon am tot felul de chestii grafice care intr-un server care nu ar avea ce discuta cu interfata grafica ar tebui sa lipseasca.

Si sa trecem si la ce poate sa faca Server Core - poate fi DC, File and Print Server, Web Server ... aaa stai ca aici e ceva interesant. Web serber, dar nu poti rula ASP .Net (din motive clare, lipsa .net framework). Cat de cool e asta? (Mai sunt si alte roluri dar nu o sa le enumar aici)

Dar daca totusi va lasati pacaliti instalati asa ceva pe productie - hmm ce faceti pe viitor; daca ajungeti in situatia sa aveti nevoie de "ceva" pe acel server care pur si simplu nu va merge instalat, fie ca e ceva third party, fie ca e o componenta a OS-ului. Upgradati server core la full version? Yeah right - NU MERGE. Nu a fost gandit ca un OS modular, la care sa adaugi componente dupa necesitate; ci doar un mod de instalare care asa ramane - blocat la faza asta. Vei avea nevoie pe viitor de un agent (de backup, de monitorizare, etc) care nu o sa ruleze, pentru ca producatorul nu l-a dezvoltat special pt. server core - ce faci atunci? Sau alt exemplu; pui server core intr-un site remote pt. ca zici ca o sa fie nevoie doar de file&print si DC acolo - insa cu totii stim ca in timp apar alte nevoi si pur si simplu server core nu e flexibil - deloc!

Resurse: e adevarat .. foloseste cu vreo 60Mb ram mai putin decat o instalare standard (Asta verificat pe vmware-ul meu). Pentru mine nu se justifica sincer.

Scenarii in care ar merge sa pui server core: 1) cand stii exact rolul serverului si esti sigur 100% ca nu o sa mai ai nevoie de altceva pe masina respectiva (adica niciodata) 2) in medii de test sa ne mai familiarizam cu linia de comanda.

Consider ca aceasta varianta de instalare e doar un demo al MS, si poate un preview al unei versiuni viitoare, insa nicidecum ceva ce ar trebui instalat in productie.

As mai scrie, dar sunt presat de timp, si urla ticketele cerand update. Astept comentarii pe tema asta; daca aveti motive pentru care as pune server core spuneti-mi si mie.

Published 04-07-2008 17:44 by AndreiU

Comments

# AndreiU said on 07 April, 2008 06:16 PM

Uitasem sa spun ca toate aceste dezavantaje vin cu un pret FULL - acelasi pret ca pentru Windows 2008 full install (dupa cum am zis, nu e un produs, ci doar un mod de instalare).

# Wolfie said on 07 April, 2008 07:30 PM

Felicitari pentru post, ai super dreptate.

# AndreiU said on 07 April, 2008 09:20 PM

Thanks. Sper sa fie si altii de acord cu mine ca sa nu ajung sa cred ca bat campii.

# blackhat said on 07 April, 2008 09:34 PM

Am mai discutat o data pe tema asta si stii ca sunt de aceeasi parere. Impresia mea este ca varianta Core deschide de fapt o noua directie de dezvoltare a produselor Microsoft, de ce nu, poate chiar o viitoare platforma open.

# YounGun said on 08 April, 2008 12:10 AM

As fi vazut o varianta viabila in Server Core daca era, sa zicem la jumatate de pret, si avea decat componentele minime de retea si securitate. Puneai un ISA (nu stiu daca se poate pune) pe care il administrai la distanta decat din intranet si aveai un gateway cu 50% mai ieftin.

Cred insa ca Server Core-ul nu si-a aratat adevarata fata, si ca includerea lui ca varianta de instalare este o metoda de testare a pietei si de culegere a parerilor, inainte de a forma un produs independent.

# Gabi Citron said on 08 April, 2008 10:38 AM

Sunt tentat sa va dau dreptate pentru ca ultimul motiv de enervare cu Core a fost cand a trebuit sa modific "bindings" pe una din interfetele de retea al unui Core...

Totusi, inflexibilitatea poate fi o calitate.

- te forteaza sa te documentezi inainte sa il utilizezi

- te forteaza sa iti planifici bine arhitectura inainte de instalare

- te forteaza sa utilizezi GPO/scripting in locul interventiilor pompieristice in GUI

Lista ar putea continua, dar cred ca ati prins ideea, pentru mine asta-i beneficiul principal in securitatea Core-ului: minimizarea problemelor generate de factorul uman (a se citi admini juniori).

Daca e sa visez, as spune ca Server Core ar putea evolua intr-o versiune de 2008 "embedded", foarte potrivit pentru appliance-uri sau chiar viitoarele ferme de Hyper-V.

# AndreiU said on 08 April, 2008 10:57 AM

Pai nu te forteaza; administrarea din GUI ramane inca o varianta de neinlocuit pentru numite roluri. Iar juniorul, daca vrea, il pune pe butuci si pe asta - cu un simplu script pe care nu il intelege (facut de altcineva, luat de pe web, etc).

# Valy Greavu said on 08 April, 2008 07:50 PM

Eu am o vorba de  mai demult: Linuxul se chinuei sa faca GUI si Windows-ul core Smile

Fain articolul.

# cgr said on 09 April, 2008 10:53 AM

Ai uitat un scenariu, de fapt cel mai important: host OS pentru masini virtuale! cred ca asta este singurul scenariu viabil in contextul actualei versiuni, cu limitarile pe care le are si cu lipsa de modularitate si flexibilitate.

Desigur, mai exista si varianta ca baza pentru Oracle, Domino, MySql, etc ;-)

# AndreiU said on 09 April, 2008 09:34 PM

Chiar si host OS-ul pentru masini virtuale are nevoie de administrare si support. Iar administrarea lui Hyper-V banuiesc ca se va face tot dintr-un GUI - dar stai, nu poti sa-l rulezi local, ci de pe o masina remote, si trebuie sa-i deschizi si porturile local :) Asa ca, what's the point? (stiu, sunt incapatanat)

Ramane de vazut daca vreun producator de software o sa dezvolte ceva pentru core.

# cgr said on 10 April, 2008 09:57 AM

Sincer, nu cred ca vor fi multi producatori care sa dezvolte ceva pentru Core - cel putin n-o sa o faca fara un "impuls" din partea MS...

Ideea de baza a produsului cred ca a fost explicata forte bine de YounGun: "...includerea lui ca varianta de instalare este o metoda de testare a pietei si de culegere a parerilor, inainte de a forma un produs independent". Cred ca are dreptate si urmatoarea versiune de Core va fi semnificativ imbunatatita in functionalitate si - sa speram - flexibilitate. In ceea ce priveste modularitatea si pretul produsului, aici raman sceptic pe de-o parte tinand cont de arhitectura sistemului si pe dealta parte tinand cont de politica de vanzari a MS...

# Moving on | Cosu said on 13 April, 2008 11:23 PM

PingBack from http://cosu.ro/blog/2008/04/13/moving-on/