Podpora Windows 7 a Windows Server 2008 končí. Co s tím?

35
Podpora Windows 7 a Windows Server 2008 končí. Co s tím?

Hned z kraje příštího roku (14. 1. 2020) nás čeká velká událost, tedy alespoň pro mne. Microsoft oficiálně ukončí podporu části svých produktů. Pak již nebudou „běžně“ (viz další kapitoly) dostupné aktualizace (opravy chyb). Jedná se o:

  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Small Business Server 2011
  • Windows Home Server 2011
  • Exchange 2010
  • Office 2010

Jsou to produkty, které vyšly krátce předtím, než jsem začal podnikat. A jsou stále běžně používané. Mám k nim určitým způsobem emotivní vztah. 😊 Například Windows 7 byl super desktopový operační systém, rychlý a stabilní. Do té doby jsem musel svůj PC s Win XP/Vista reinstalovat každých pár měsíců. Windows SBS 2011, které malým firmám umožnily mít legálně (subjektivně vnímám od té doby obrovský posun v míře SW pirátství) vlastní MS Exchange. Měly nízkou pořizovací cenu a vše se vměstnalo na 1 server (ačkoliv ne vždy to bylo ideální).

Jejich velké zastoupení u našich zákazníků je však něco, co nás od začátku roku zaměstnává. Už jsme s tím docela pohnuli, ale největší shon nás asi čeká až koncem roku. Cekově jsme k začátku roku měli pod správou 15x Windows Server 2008R2, 6x Windows SBS 2011, 507x Windows 7.

Znamená konec podpory problém?

Toť otázka. Konec podpory znamená, že Microsoft již nebude poskytovat bezplatnou ani placenou technickou podporu k daným produktům a již nebude vydávat aktualizace.

Placenou technickou podporu máme k dispozici jako partneři Microsoftu. Za těch pár let jsme ji využili 3x a zhodnotil bych ji jako ztrátu času. Buď jsme měli smůlu anebo to byly až moc specifické problémy – nevím. Myslím proto, že technickou podporu jsme schopni oželet.

S aktualizacemi to vidím závažněji. Microsoft ve svých produktech opravuje každý měsíc vyšší desítky bezpečnostních chyb. Některé jsou kritické, jiné méně. Určitě to není tak, že druhý den po skončení podpory nastane počítačová apokalypsa. 😊 Avšak čím déle a na čím více počítačích bude člověk provozovat nepodporovaný (neaktualizovaný) systém, tím pravděpodobněji se něco stane. Přirovnal bych to k jízdě bez bezpečnostních pásů. Pro rýpaly – ano, existují i situace, kdy vám neaktualizování (nezapnutí pásu) může zachránit počítač (život), ale pravděpodobnost je taková, že si raději vsadím sportku. 😊

Příklad z minulosti. V dubnu 2014 skončila podpora Windows XP. Tehdy velmi populární systém, který stále používalo mnoho firem (hlavně kvůli některým starším aplikacím). V březnu/dubnu 2017 byla zveřejněna zranitelnost v SMB protokolu (také známa jako EternalBlue), která umožňovala ovládnout počítače s jakoukoliv verzí Windows. Microsoft tehdy vydal aktualizace pro všechny podporované systémy (Windows 7+, Windows Server 2008). Jelikož však zranitelnost začala dělat vrásky celému světu (využil ji WannaCry a NotPetya – super článek „THE UNTOLD STORY OF NOTPETYA, THE MOST DEVASTATING CYBERATTACK IN HISTORY“), tak byly dodatečně zveřejněny aktualizace i pro Windows XP. Bohužel se musely instalovat manuálně a vyšly s dvouměsíčním zpožděním. Kdo tedy nepoužíval nějaký systém pro hromadné patchování/správu PC, rozhodně měl o zábavu postaráno (my jsme si to vyřešili skrze „náš dohledový systém“).

Ne JESTLI, ale KDY?!

Hlavní otázka tedy není JESTLI, ale KDY se objeví nějaká vážná zranitelnost, která bude hromadně zneužitelná. Pak si jen přát, aby Microsoft veřejně vydal opravu i pro nepodporovaný systém.

My se snažíme stíhat a zmíněné produkty do ledna 2020 nahradit novějšími verzemi. Zároveň s tím teď pracujeme na aktualizaci balíčků našich služeb, kde chceme zákazníkům ručit za funkčnost a zabezpečení jejich prostředí.

Pokud upgrady nestíháte, nebo se rozhodnete riziko podstoupit, doporučuji vám alespoň dobrý antivirus, zapnutý firewall a používat podporovaný internetový prohlížeč (častý zdroj prvotní infekce). To vám pomůže riziko snížit.

Jak nahradit Windows 7

Microsoft slibuje, že platícím zákazníkům nabídne podporu Windows 7 i do budoucna. Nebude to však levné a bude se to týkat jen aktualizací, ne technické podpory („Want to keep using Windows 7 after 2020? It’ll cost you“). Pro nás tuto možnost neuvažuji – s ohledem na standardizaci v IT (snažím se vytvářet podobná IT prostředí u zákazníků a omezovat množství technologií) a rovněž by to asi nepodporoval náš nástroj pro patch management.

Prostředí Windows 7
Obrázek 1: Windows 7

Takže nám pro upgrade zbývají Windows 8.1 (s těmi jsem si nesedl a navíc s námi zůstanou „jen“ do ledna 2023), nebo Windows 10.

S Windows 10 jsme začali experimentovat již v době prvního vydání (červenec 2015). Chtěli jsme se systém co nejdříve a co nejlépe naučit. Neznám horší pocit, než když zákazník ovládá systém lépe než vy. 😊A co si budeme povídat, začátky Windows 10 bych nenazval „skvělou uživatelskou zkušeností“. Polovičatý systém s otazníkem, zda se jedná o opravdu „ten poslední“ operační systém, jak MS tvrdil.

Za 4 roky své existence se Windows 10 dost zlepšil. Zvykl jsem si na řadu funkcí: rychlé bootování, „zoom“ pro vysoká DPI, Bitlocker v Pro verzi, Windows Hello (konečně jednotný framework pro biometrické ověřování), dle mého i lepší HW podpora (více ovladačů, které Windows Update vyhledá), bezpečnější jádro/architektura systému a vzhled systému.

Aktuálně máme na Windows 10 něco okolo 800 PC rozložených v posledních 3 tresholdech (1803, 1809 a 1903). Během upgradů na Windows 10 jsme narazili na minimum problémů – většinou jen neexistující ovladače na specifický HW, nebo nemožnost provozovat staré 16b aplikace (MS-Dosové) aplikace na 64b OS.

Windows 10 může být cesta

Pokud tedy nemáte v plánu přejít na MacOS nebo GNU/Linux, pak Windows 10 může být cesta, kterou se vydat. Při upgradech z Windows 7/8.1 doporučuji dělat čisté instalace (ušetří vám to řadu problémů).

Microsoft sice oficiálně ukončil podporu bezplatných upgradů na Windows 10, avšak technicky to stále funguje. Můžete tedy nainstalovat čisté Windows 10 na PC a aktivovat je sériovým číslem Windows 7. Skutečnost, že to funguje, na mne působí jako „tichý“ souhlas Microsoftu s těmito upgrady. Nicméně nevím, jak se k tomu ve skutečnosti MS staví.

Jak nahradit Windows Server 2008 (R2)

Stejně jako u Windows 7, i zde Microsoft slibuje aktualizace i po lednu 2020. Pokud chcete 3 roky aktualizací navíc, musíte přenést svůj server do MS Azure („Prepare for Windows Server 2008 end of support“). MS Azure není zrovna levná záležitost, ale i tak to může dávat smysl, záleží na vaší situaci.

Prostředí Windows Server 2008 R2
Obrázek 2: Windows Server 2008 R2

My zatím upgradujeme na Windows Server 2016 (celkově jich máme 66). Důvodem jsou většinou verze CAL, které zákazníci mají. Plánujeme začít s Windows Server 2019, ale prvotní testy začátkem roku nedopadly dobře (HW kompatibilita a nedokumentovaná funkcionalita).

Windows Server 2016 nám fungují pěkně až na pár výhrad –  větší HW náročnost (zejména u terminálových serverů cca 50% nárůst) a pomalé aktualizace. Instalovat aktualizaci zabere i přes hodinu (člověk si kolikrát říká, jestli se to neseklo). Na druhou stranu se mi líbí rychlé bootování (VM bootují za pár sekund) a u Hyper-V možnost měnit množství RAM za běhu (přidávat i ubírat).

Jak nahradit Windows SBS 2011

Tenhle systém umožnil malým firmám benefitovat z funkcionality poštovního serveru MS Exchange. Entry level server se tehdy s OS Microsoft Windows SBS 2011 a 10 uživatelskými licencemi dal pořídit za cca 25 tisíc Kč bez DPH – super doba. 😊

Prostředí Windows SBS 2011
Obrázek 3: Windows SBS 2011

Novější verze SBS už nevyšly – Microsoft se je rozhodl nevydávat. Z části se mu to asi nehodilo do cenové strategie a z části proto, že byl SBS server takové Frankensteinovo monstrum (produkty/funkce, které spolu za normálních okolností nemají být provozovány na 1 serveru).

Pokud bychom chtěli obdobnou funkcionalitu poskládat nyní, potřebovali bychom 1 server pro DC, další pro MS Exchange, další pro RDP GW + Sharepoint + sdílené složky. To tedy máme 3 virtuální servery a 1 fyzický. Orientačně bychom se dostali tak na 250 tisíc Kč (značkový server se zárukou a licence od Microsoftu). Slušný ranec peněz, co říkáte?

Alternativou je Office 365

Nabízí se alternativa v podobě cloudu – Office 365. Zejména plán Office 365 Business Essentials vychází suprově. Za cenu 4,2 EUR/uživatel/měsíc obsahuje Exchange, Sharepoint, OneDrive, Teams, Planner a Flow. Přičemž pokud vám nevadí cloud (vaše data nejsou tolik v „soukromí“ jako na on-premu), pak zde dostanete více funkcionality než v on-premu (produktivita i zabezpečení je na jiné úrovni – MFA, jiné autentizační mechanismy než NTLM/Kerberos, rozšířené logovaní, podmíněné přístupy). Malá firma o 15 lidech zaplatí za 5 let (cca životnost on-prem řešení) 96.768 Kč (4,2 EUR * 15 uživatelů * 12 měsíců * 5 let * 25,6 Kč za Euro).

My našim zákazníkům jako upgrade doporučujeme právě Office 365 jako náhradu za Windows SBS 2011. Jakmile jsou v cloudu, učíme zákazníky využívat i ostatní nástroje (OneDrive, Sharepoint, Teams, Planner), protože vidíme, jak jim to pomáhá zjednodušit jejich práci (všechny nástroje používáme i u nás ve firmě). S nasazením Office 365 pomáháme i nesmluvním zákazníkům. Pokud byste chtěli s nasazením pomoci, dodat licence, nebo jen potřebujete, aby vám při něm někdo kryl záda, napište mi (cena práce je 1.200 Kč/h).

Samozřejmě existují i zákazníci, kteří stále potřebují nějaký on-prem server, i když mají maily a dokumenty v cloudu. Například potřebují provozovat informační systém, DNS/DHCP server či řadič domény. V takovém případě bych pak volil nějaký entry level server (HPE, Dell) s Windows Server 2019 Essentials (až 25 uživatelů bez potřeby uživatelských licencí).

Závěr

Jak jste na tom s upgrady vy? Vše stíháte, nebo se chystáte riziko akceptovat? A co si myslíte o Office 365? Já aktuálně vidím Office 365 jako technologii, která může pomoci zlepšit stav IT (i když nám IT firmám vezme část obživy) a rád bych další články věnovat právě Office 365 (jak nám pomáhá zvyšovat produktivitu práce).

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

 

  1. No vzhledem k tomu že sehnat hw podporující 7čky je už defacto velký problém, tak se to tak nějak řeší postupně samo no 🙂

  2. Upřímně se SBS2011 zbavuji rád… ale nostalgie tam je a ve své době super produkt 🙂 V migracích serverů jsme možná ve dvou třetinách, měli jsme jich SBS docela dost. Do cca 10-15 uživatelů migrujeme do Office 365 + NAS nebo Windows Server 2016.

      • 🙂 uvidíme. W7 postupně upgradujeme nebo měníme s novým PC, ale určitě nestíháme do ledna si myslím. Priorita jsou servery. Nad 15 uživatelů už pak záleží na zákazníkovi – větší firma jde do on-premise Exchange nebo také O365, případně IceWarp. Máme ještě řešení na open-source pro nenáročné nebo klasický webshosting.

        • Ok, díky za info. My IceWarp ještě nezkoušeli. Co jsem slyšel od pár lidí, tak s ním tak spokojeni nebyli, ale já nemohu soudit. Stejně tak to máme s Kerio – myslím že zdražili maintenance, takže už není moc rozdíl jít do O365 (jsou tam další úspory na správu, HW a údržbu).

          • Exchange je jednička a ostatní jsou kompromis. IceWarp + emClient funguje celkem, je to jen složitější na konfiguraci si myslím a podpora nic extra. Kerio pod GFI nabízí v balíčku jako GFI Ultimate (x produktů) – pokud jich využijete více, pak je cena příznivá. Jinak souhlasím, že pak správa a údržba něco stojí a rozdíl pak není takový v ceně O365, proto to máme rozdělené na on-premise, cloud a ty co šetří mají alternativy (ice warp, hmailserver).

          • Pokud chcete Icewarp jako klasický imap/pop, tak je to ok. Jakmile ale začnete řešit pluginy, kalendáře atd, tak je to horší.. Kerio mi přijde v tomto lepší

          • Kerio pokud vím, tak má také svého desktop klienta, tam věřím, že to fungovat bude. U IceWarp a Kerio doplněk do Outlooku byl v minulosti docela problém, nevím jak teď.

          • Používáme Kerio doplněk do Outlooku kvůli kalendářům a je to hrůza, nejde fulltext vyhledávání v emailech. Od doby kdy je Kerio pod GFI to upadá. Budeme přecházet na O365.

          • Jakub Šnýdl: jo, s GFI jsme také neměli dobrou zkušenost. Jednu dobu provozovalo/vlastnilo monitorovací systém co používáme. Během té doby se moc neinovovalo a podpora jako by nebyla. Teď jej vlastní SolarWinds a zlepšení je znát.

  3. Jinak zpět k těm 7 čkám… Původně jsem odhadoval,. že vývoj bude stejný jak u xp = prodloužená podpora. Ale když vidím jak MS zabíjí vše co nesouvisí s W10 + cloudové služby, tak jsem docela skeptickej..

    • Pokud vím podpora bude pouze placená pro větší corporáty. Cenu už si nepamatuji, ale byla nesmyslná… Hlavně Microsoft ukončuje podporu už i na W10 1803 build, tedy po roce a nutí k aktualizaci.

  4. Já už mám kerio jen jako AV/antispam před exchangem, takže nemůžu soudit. Nicméně je pravda, že ta akvizice od GFI byla znát. Technická podpora nemožná. Snad to bude lepší.

  5. Dobrý den. Článek celkem pěkný, povedený a výstižný.
    Nejsem sice firma a nemám pod sebou spoustu počítačů, nicméně svoje domácí už mám převedené na Windows 10, konkrétně edici Pro, kde je možné si blíže nastavit ony škaredé automatické aktualizace, které oproti starším verzím mohou způsobit značné problemy. Ze zkušenosti ze servisu PC techniky, opravdu doporučuji přecházet reinstalací než upgradem. Zároveň ale bacha na specifika počítače. Setkal jsem se se spoustou specifických HW od notebooků po AIO a failu ovladačů. Ona instalace ovladačů je u Windows 10 jednoduchá. Staci se připojit k internetu a Windows Update všechno stáhnout. Byla ale dlouhá doba, kdy Windows knihovny neobsahovaly třeba Intel SGX ovladače, dále v případě jistých WiFi karet mimo Intel jste ai mohli vybrat mezi ovladačem z roku 2013 a ovladačem z roku 2015, oba pro Windows 8/8.1 a oba částečně nefunkční, proto si zákazníci stěžovali na fakt, že zařízení je co se HW týká naprosto v pořádku. Horší je pak knihovna ovladačů grafických karet AMD a Nvidia, kdy u specifických karet zpravidla došlo k instalaci nekompatibilního ovladače a následně buď systém již nenabehl a nebo zůstal v černé obrazovce. Takže ksobne doporučuji mít předem stažené ovladače grafiky od výrobce čipu (starší ovladač se většinou Windows Update snaží přepsat „aktuálním“, takze doporučuji co nejaktuálnější) a dříve, nez se po instalaci čistého OS připojím na internet (doporučuji odpojit od LAN, nepřipojovat k WiFi, provést login do lokálního účtu), provest instalaci ovladače grafiky AMD nebo Nvidia (pokud takovou grafikou PC disponuje).

    Takové jsou asi mé zkušenosti s Windows 10.

    • Venco, děkuji za podrobné zkušenosti. Ohledně těch ovladačů máte pravdu. Když jsem to psal, tak jsem měl v hlavě jen prostředí našich zákazníků. V rámci standardizace se u nich snažíme držet co nejpodobnější HW – takže prodáváme víceméně jen Dell/HPE a Intel NUC. V NB/PC nejsou v naprosté většině případů ani dedikované grafické karty. Během psaní článku jsem si proto neuvědomil, že někdo kdo dělá v servisu a každý den mu projde rukama několik různorodých PC/NB může mít úplně jinou zkušenost. Ještě jednou díky za sdílení zkušeností,

      Martin

  6. Zdravím všechny : cca před 18 lety dokonce byl SBS zdarma v rámci promo akce pro HP Proliant servery … Neuvěřitelná doba.

    Pokud jde o Win10 máte někdo osobní zkušenost s nějakou utilitou na zakázání auto aktualizací Win10 ? (i když nastavím max 10% šířky pásma tak když se mě na síti začně aktualizovat x počítačů, mám obavy o zahlcení linky …, navíc rozhodně nepotřebuji aby se bez mé vůle zaktualizovali počítače s nějakou problémovou aktualizací).

    Díky za skvělý web, jsem rád, že jsem ho kdysi nalezl.

    • Před 18 lety jsem ještě pařil GTA2 a sítě neřešil (jak bezstarostná doba) :).

      Já zase rád vzpomínám na dobu, kdy HP ML310e G8 v2 bylo za cenu pod 10k bez DPH – 4C Intel XEON, 4GB ECC RAM a 2x1TB 7.2k HDD v krásném serverovém casu se zárukou 3Y NBD on-site. To se vyplatilo kupovat místo PC servery :D.

      K tomu problému s Win10 updaty mne napadá:
      – nasadit si WSUS – pak můžete řídit aktualizace a jejich sthování probíhá skrze WSUS server (tzn. jen jednou).
      – my na to používáme SolarWinds MSP RMM s funkcí Site Concentrator (bohužel už dlouho jsem si něověřoval že to funguje tak, jak je proklamováno :-/ – je třeba důvěřovat, ale prověřovat ).
      – případně u FortiGate jsme schopni konfigurovat QoS na základě typu trafficu (aplikace/kategorie).

      A samozřejmě také díky za pochvalu. To vždy potěší :).

        • Ten SW jsem neznal, díky za tip. Tím FortiGatem ty aktualizace neblokujeme, pouze limitujeme, jak velkou šířku pásma si mohou vzít. Platí to hromadně pro všechna PC. Takže např. víme, že aktualizacemi nezabereme více jak 50% internetového připojení.

  7. Já jsem jak ve firmě, tak u mých zákazníků za ujmul následující strategii:
    Vzhledem, že 99% HW je HP and HPe, tak stroje s možností downgrade na W7 přeinstalovávám na W8.1 nebo W10. Zbytek strojů nahrazuji novým HW.

    SBSka v době s nákupem server jako bundel byla fajn. Nahrazuji 3 servery.
    1x na W2k19 Essential s Hyper-V rolí kde běží VM Kerio Connect na CentOS (Windows jen kvůli účetního SW Duel)
    2x na Linux CentOS se SAMBA serverm pro sdílení s KVM kde běží VMka Kerio Conect + účetní systém Signys a Entry

    S Kerio Connectem jsem spokejný „levné“ on prem řešení, s funkčností Kerio Connectoru s MS Outookem žádný problém. Správa bez problémů.

    No moc nestíhám, takže do doby něž to stihnu budu spoléhat na kvalitní Antivir Eset, omezený přístup k Internetu a aktualizovaný prohlížeč.

Napsat komentář