【題外話】發現我的T43在安裝Windows 7後,電池100%時顯示的可用時間比Vista/Windows 2003時期長,以往最多到2hr15min左右,現在居然出現了超過3hr的預估,當然使用情境不同,比較出來的結果沒什麼公信力,不過我今天還是記下數字做為參考。(測試期間LCD背光切到最暗、關閉Wireless及Bluetooth、只開啟Live Writer打字抄筆記)
【IIS7管理部署大量網站】
* 13:30 80% 2hr 53min
* 14:00 65% 2hr 14min
* 14:40 46% 1hr 36min
台灣流量排行榜: Yahoo, 無名, MSN, Yam.... 世界排名前50大的網站幾乎很少走MS,分析: MS少了一些東西,例如: Front-End Cache, Application Cache(Database掛掉的時候可以因應),而LAMP方面的Solution比較多。
MS Web Farm小組開始在這方面下了些功夫: 例如SEO Toolkit,長遠目標是想讓IIS也可用來構築大型網站。IIS用來架構大型網站的幾個法寶:
- 共用設定: 設定放在UNC,可一口氣改掉全部機器的設定,支援全部的IS工具及API
- Web Deployment Tool: 還是RC版,可複製IIS設定、內容、SSL憑證、GAC、COM+
- Application Request Router(ARR): 彈性地將前端流量引導到伺服器上。NLB是Layer2的技術,不管Web死活,因此實務上還是會買貴森森的HW Load Balance。ARR是IIS7的一個Module,有Layer7 Load Balance的效果。
Web Deployment Tool可以將整個網站內容、設定做成一個ZIP,方便部署。(IIS管理員、VS2010支援)
共用設定: 支援Staging、Rollback。Rolling Update: 先把部分Server下線更新,完成後再上線。
<DEMO>用共用設定建立Web Farm
IIS7管理員可以管理共用設定,先將一台IIS設定匯出到Shared Folder(要指定連線到該Shared Folder的身份,由於WebFarm環境中可能沒有AD,可用兩台開同一帳號設相同密碼的方式解決),設定檔案會有加密保護。
另一台啟用共用設定後,IIS相關設定會加進來,但路徑下是空的,ASPX content要自行以xcopy複製...
(... 原本預定使用的大台伺服器不乖罷工,臨時調用的NB則不斷丟出茶包騷擾,最後研判是第二台Web的IIS安裝有問題,事件檢視器還出現inetsrv\compdyn.dll無法下載的怪訊息,搞得茶包射手手癢到想衝上台 ...)
接著提到了Web Platform Installer,之前為了安裝SQL 2008 Express時知道有這個好工具,還在等檔期在本站PO文介紹,沒想到課堂中提及,此處就一併說明簡單帶過。原則上Web Platform Installer是個方便的網站安裝工具,可以用它來安裝網站常用的模組元件,且不限MS的產品,如: 它還可以用來安裝PHP、DotNetNuke、WordPress、BlogEngine... 等等,十分方便。(但有例外,如MySQL因授權的關係,必須自行手動安裝)
另外,IIS管理員製作安裝用的Package檔案,而Web Development Tool可以協助管控版本,例如: 套用某一版程式時,除了加入新增的檔案,該移除的檔案也會一併刪除。
ARR安裝完,IIS管理員會出現一個Server Farms的Folder,加入Farm成員伺服器,連至該台主機的Request會被導引到後方的機器,有Reverse Proxy的味道。而其支援Response Time監控決定流量導引、Server Affinity(偷偷加入Cookie方式讓某個Client固定都連到同一台機器)
ARR v2的新功能: Cache Proxy,在台灣網站只裝ARR,把美國網站的內容Cache過來。
【Silverlight 3】
* 15:10 50% 1hr 39min
* 16:20 18% 41min
* 16:50 10% 22min
引言出其意料地提到ActiveDocument這個老古董,果然在場沒有幾個人聽過(有聽過應該都上了年紀,現在都在當主管所以沒來),另外也講到Javascript的學習門檻、Cross-Browser Issue,算是突顯了Silverlight的切入角度。
目前Web應用架構上,前端可區分成走AJAX或Silverlight兩塊,而後端則有ASPX、Web Service、WCF、RIA Service等選擇。若以AJAX與SL相比,SL強調可直接沿用CLR的開發背景、操作流暢性高、易於開發及偵錯(有華麗的Visual Studio加持就是不同呀!)
SL3支援IE, Firefox, Safari, Mobile Device版本(還沒看到...) [註: 平台方面已有Mac版,但Linux版只靠社群支援好像有點弱掉]
SL3協同開發打的如意算盤是視覺設計師用Expression Blend 3,程式人員用Visual Studio。不過我的經驗程式開發人員還是蠻需要Blend3的,甚至有些簡單的程式在Blend3裡就可以做完,減少在兩個開發環境交互切換的困擾。另,講師建議,雖然Blend3與VS2008可以共享同一組project檔案,但還是在VS建立專案比較好。
開發提醒: Blend不支援除錯、錯誤訊息較不明確、避免Blend3與VS2008同時修改同一檔案、要設x:Name後才可由程式存取、偵錯前要Build。
<DEMO> 建立第一個SL專案HelloWorld,TextBox/Button/TextBlock
<DEMO> 展示SL3新功能囉!
- 3D透視: Transform/Projection X, Y, Z軸,還可以搭配時間軸做連續撥放。例: 按鈕後翻轉,先建立腳本、建立畫面格,設定各畫面的屬性值不同,就可以形成動畫。接著在按鈕click事件storyboardX.Begin()
- 陰影效果: Appearance/Effect/Add
- 資料驗證: 與上午做法不同,為登入UI建一個自訂物作,在Property set 時用Regex檢查,驗證不過throw new ArgumentExceptoin(“….”)。將TextBox Bind到該屬性。
- Control有ValidationStatus,可以指定Binding出現錯誤時的顯示外觀。
<DEMO> SL/Javascript整合:
加[ScriptableMember]可以讓SL Method被JS端呼叫,記得要HtmlPage.RegisterScriptableObject,前端call slObject.content.registedName;另外,JS也可以在SL物件上加掛JS端事件,由SL裡的程式觸發。而HtmlPage.Window.Invoke()則可由SL呼叫JS端函數。
* WCF Duplex服務: PollingDuplexHttpBinding、CallbackContract(當WCF做完時反過來Call SL)
* OOB Keywords: IsRunningOutOfBrower, NetworkInterface.GetIsNetowkrAvailable(), ChekcAndDownloadUpdateAsync()
【Windows 7 Security】
* 16:55 36% 1hr 16min
* 17:35 17% 38min
* 17:55 7% 15min
Vista比XP安全,但Overhead影響了操作感受,Windows 7以Vista為基礎,目標在維持相同安全性的前題下,改善效能。
- Vista基礎: DEP, ASLR(核心記憶體位置動態跑來跑去,各版本不同,避免被Hacker鎖定)、核心修改保護、安全開發生命週期程序、Windows服務安全強化
- UAC: File與Registry虛擬化解決方案
- 進階稽核: XML基礎,勾一下就好,不用一個個物件去設
UAC挑戰: Beta版程式會偷偷記錄下操作過程的點選次數、遇到Prompt次數等,將結果送回MS分析統計(Beta版授權同意書裡有提到同意蒐集這些程序,但應該沒人仔細看,對吧?) Windows 7已大幅減少操作被中斷的次數。
Windows 7 UAC –> 可由行動中心進入,預設由滑鼠點選引發的權限請求不過問,只有由程式觸發的才會問,另外原先桌面變黑頓一下防止時間差攻擊的程序也修改了(這個被罵很凶)。控制台中大幅減少要動用到盾牌(需升權限)的機會。
傳統稽核時除了開啟稽核功能外,還要一一設定標的物才會生效。【全域物件存取稽核】--> 可以追蹤某個特定帳號對本機檔案或登錄(Registry)的存取,不限物件對象。懷疑內情不單純時,可以設稽核Everyone。
- 網路安全: 多重家庭防火牆設定、DNSSec(DNS記錄要簽章)、以原則為基礎分割網路,隔離危險。
- 網路存取保護(NAP)-限定只有健康的機器可以存取企業資料,不健康機器要修補後才能存取。NPS檢查Client有沒有防毒、Patch有沒有上到最新,如果沒有,就主動派送。
- Direct Access: Internet一接通,就跟公司連通
<DEMO> Network Access Portection Service一被停掉,就連不上Server的Shared Folder
Direct Access: 觀念由"以建築物定義邊界"改成"網路跟著使用者走"。讓User跟公司永壤保持暢通,但安全性是優先考量: 預設加密、與Smartcard結合、存取控制很細、與現有邊界/健康檢測及存取原則共存。不用撥號登入VPN,比VPN更方便使用,公司群組原則也可以管到在遠端的電腦。
[Direct Access還是可限制某些資源只有在公司內可以存取。]
IPv6極度強調安全,但與IPv4如何相容? 解決方案: Native IPv6, 6to4(對映), Teredo, IP-HTTPS(最後一步,效能不佳待努力)
Keywords: Tunnel over IPv4, Encrypted IPSec + ESP
保護使用者: AppLocker、IE8、資料復原
應用程式管控(AppLocker): 可Block發行者、程式名稱、路徑(一換位置就沒效,無三小路用)、版本檔案Hash(舊做法,要每個版本都鎖定),還可以設例外(重要,不然IT自己怎麼用?)
IE8: Google背後蒐集查詢結果點選資訊以求改善命中率,"IE8為了大家的隱私,可以選擇把它擋下來"(大家笑很大聲)
Keywords: RMS, EFS, BitLocker
【題外話結論】由電池使用數字來看,顯示的預估可用時間都蠻準的,應該可以下一個結論: Windows 7讓我的NB電池續航時間由2hr15min延長到3hr以上,確實比較省電。