Windows server 2025: патчи июня и год в продуктиве
Для лиги лени: хороший, но местами сырой.
27 мая 2024 года вышел Windows Server 2025 Public Preview, спустя месяц коллеги и я стали пробовать «как он». Два уже четыре дня назад вышел KB5060842, и сразу за ним KB5063060 Out-of-band для Windows 11 24H2, для решения проблемы с Easy Anti-Cheat, о самом существовании которого я узнал сейчас, пока писал заметку.
Что хочу сказать.
Совершенно не понятно, почему я вообще про это читаю и пишу. Скорее всего потому, что поглядываю, как соседняя команда возится с уходом от VMware by Broadcom на Proxmox, поскольку S2D все равно ну очень дорого. Может, в следующей итерации. Меня это тоже касается, поскольку немалый кусок уже моей зоны ответственности опирается на виртуалки поверх или внутреннего, или внешнего облака, но писать какое же г.. Longhorn, minio, и istio (Service Mesh) я пока не готов. Потому что trivy – просто конченые.
Поэтому буду писать про то, чего не очень знаю, но вижу.
Обновлять домен контроллеры и уровень домена еще рано – пока не решили нормально проблемы с:
Remediate Trust Relationships after upgrading to Windows Server 2025
Delegated Managed Service Accounts (dMSA) (BadSuccessor)
Identity Update Manager certificate/Pre-Bootstrapping Key Initialization (PKINIT)
Профилями фаерволла
The Reflective Kerberos Relay Attack
Ждем второго сервис пака.
S2D и работа с NVME.
Судя по внутренним тестам, работу с локальными NVME ускорили раза в полтора. При блоке 4к и очереди 16, на чтение на 2-3 Тб тестовом файле выдает 300+к IOPS без репликации на каждый NVME SSD, а их в корзинах пока по 4 штуки. Дорогие они, даже не в рублях.
Для нормальной отладки и тестов репликации коллеги ждут, когда уже купят везде 25G SFP28 и 100G коммутатор настроят под DCBX. Хотя тут некоторые несознательные товарищи и пишут, что RDMA сложно, не понятно, и не нужно, просто купите 2х200G. Пишут в чем-то правильно, учитывая, что RDMA принципиально не совместим с LACP, кроме как последних извращений от nVidia, а 100G стоит относительно недорого.
Проблемы с настройками NVME SSD.
На одном из серверов у коллег начались странные проблемы – в DiskSPD тесты дают какой-то огромный разброс. Похоже, что-то или с режимами энергоэффективности (БИОС не настроили или ОС не настроили), и с тем как 2025 сервер распределяет задачи по ядрам.
SQLIOSim пока не проверяли.
Но, хотя бы сеть не отваливается от дисковой нагрузки, как на KVM.
Логи и метрики.
Логи стали побогаче, но все равно не дотягивают до esxtop по наполнению
Метрик стало больше.
Прочие функции, в том числе Hyper-V.
IPSEC Offloading и large send offload по прежнему работают отвратительно, вызывая какие то рандомные глюки. И по умолчанию они включены. Причем, глюки видны в некоторых сценариях, с высокой (20 гбит из 2 по 25G карт) сетевой нагрузкой, на некоторых драйверах.
TCP Chimney Offload как выпилили, так лучше не стало, да и он работал как г.
Dynamic processor compatibility mode тоже работает с какими-то непонятными глюками. То работает, то не работает, то работает между 2019 и 2022 и не работает между 2022 и 2025. Какой-то зависимости пока не видно, надо включать отладочные логи Hyper-V, а всем лень. Мне тоже. Собирайте кластера из одинаковых серверов с одинаковыми процессорами, обновляйте BIOS и да пребудет с вами шворц.
Известные глюки с SQL time при разных процессорах пока не проверяли.
ReFS MAP говном был, говном остался. Хотя, может, тестируем неправильно, не прочитав сноску:
We recommend placing write-heavy VHDs in different subdirectories. This is because ReFS writes metadata changes at the level of a directory and its files. So if you distribute write-heavy files across directories, metadata operations are smaller and run in parallel, reducing latency for apps.
Или надо сделать 30/70.
WinRM.
После последних патчей наблюдаются непонятные глюки с сборкой пачки 2019-2022-2025 в одном админ центре. Сервер сообщает too beaucoup, но, как говорят американские коллеги, it ain't too goddamned beaucoup.
Безопасность.
После торжественного выступления CrowdStrike Falcon, все рассказы из РФ, что аналоговнетные антивирусы и прочие говны не работают нормально, и только все портят, кажутся фигней.
Везде по миру разноплановое говно вместо безопасности.
Итого.
В основном безвреден.
И, похоже, это единственный доступный в РФ продукт, который будет обновляться, и будет нормально работать в гиперскейлерах – на своих 5-10 миллионах IOPS, а не на 5-10 тысячах, как недавно показанный одним облаком Ceph .
