Tech Days 2009 筆記 (二) 下集

【題外話】發現我的T43在安裝Windows 7後，電池100%時顯示的可用時間比Vista/Windows 2003時期長，以往最多到2hr15min左右，現在居然出現了超過3hr的預估，當然使用情境不同，比較出來的結果沒什麼公信力，不過我今天還是記下數字做為參考。(測試期間LCD背光切到最暗、關閉Wireless及Bluetooth、只開啟Live Writer打字抄筆記)

【IIS7管理部署大量網站】

* 13:30 80% 2hr 53min
* 14:00 65% 2hr 14min
* 14:40 46% 1hr 36min

台灣流量排行榜: Yahoo, 無名, MSN, Yam.... 世界排名前50大的網站幾乎很少走MS，分析: MS少了一些東西，例如: Front-End Cache, Application Cache(Database掛掉的時候可以因應)，而LAMP方面的Solution比較多。

MS Web Farm小組開始在這方面下了些功夫: 例如SEO Toolkit，長遠目標是想讓IIS也可用來構築大型網站。IIS用來架構大型網站的幾個法寶:

• 共用設定: 設定放在UNC，可一口氣改掉全部機器的設定，支援全部的IS工具及API
• Web Deployment Tool: 還是RC版，可複製IIS設定、內容、SSL憑證、GAC、COM+
• Application Request Router(ARR): 彈性地將前端流量引導到伺服器上。NLB是Layer2的技術，不管Web死活，因此實務上還是會買貴森森的HW Load Balance。ARR是IIS7的一個Module，有Layer7 Load Balance的效果。

Web Deployment Tool可以將整個網站內容、設定做成一個ZIP，方便部署。(IIS管理員、VS2010支援)

共用設定: 支援Staging、Rollback。Rolling Update: 先把部分Server下線更新，完成後再上線。

<DEMO>用共用設定建立Web Farm

IIS7管理員可以管理共用設定，先將一台IIS設定匯出到Shared Folder(要指定連線到該Shared Folder的身份，由於WebFarm環境中可能沒有AD，可用兩台開同一帳號設相同密碼的方式解決)，設定檔案會有加密保護。

另一台啟用共用設定後，IIS相關設定會加進來，但路徑下是空的，ASPX content要自行以xcopy複製...

(... 原本預定使用的大台伺服器不乖罷工，臨時調用的NB則不斷丟出茶包騷擾，最後研判是第二台Web的IIS安裝有問題，事件檢視器還出現inetsrv\compdyn.dll無法下載的怪訊息，搞得茶包射手手癢到想衝上台 ...)

接著提到了Web Platform Installer，之前為了安裝SQL 2008 Express時知道有這個好工具，還在等檔期在本站PO文介紹，沒想到課堂中提及，此處就一併說明簡單帶過。原則上Web Platform Installer是個方便的網站安裝工具，可以用它來安裝網站常用的模組元件，且不限MS的產品，如: 它還可以用來安裝PHP、DotNetNuke、WordPress、BlogEngine... 等等，十分方便。(但有例外，如MySQL因授權的關係，必須自行手動安裝)

另外，IIS管理員製作安裝用的Package檔案，而Web Development Tool可以協助管控版本，例如: 套用某一版程式時，除了加入新增的檔案，該移除的檔案也會一併刪除。

ARR安裝完，IIS管理員會出現一個Server Farms的Folder，加入Farm成員伺服器，連至該台主機的Request會被導引到後方的機器，有Reverse Proxy的味道。而其支援Response Time監控決定流量導引、Server Affinity(偷偷加入Cookie方式讓某個Client固定都連到同一台機器)

ARR v2的新功能: Cache Proxy，在台灣網站只裝ARR，把美國網站的內容Cache過來。

【Silverlight 3】

* 15:10 50% 1hr 39min
* 16:20 18% 41min
* 16:50 10% 22min

引言出其意料地提到ActiveDocument這個老古董，果然在場沒有幾個人聽過(有聽過應該都上了年紀，現在都在當主管所以沒來)，另外也講到Javascript的學習門檻、Cross-Browser Issue，算是突顯了Silverlight的切入角度。

目前Web應用架構上，前端可區分成走AJAX或Silverlight兩塊，而後端則有ASPX、Web Service、WCF、RIA Service等選擇。若以AJAX與SL相比，SL強調可直接沿用CLR的開發背景、操作流暢性高、易於開發及偵錯(有華麗的Visual Studio加持就是不同呀!)

SL3支援IE, Firefox, Safari, Mobile Device版本(還沒看到...) [註: 平台方面已有Mac版，但Linux版只靠社群支援好像有點弱掉]

SL3協同開發打的如意算盤是視覺設計師用Expression Blend 3，程式人員用Visual Studio。不過我的經驗程式開發人員還是蠻需要Blend3的，甚至有些簡單的程式在Blend3裡就可以做完，減少在兩個開發環境交互切換的困擾。另，講師建議，雖然Blend3與VS2008可以共享同一組project檔案，但還是在VS建立專案比較好。

開發提醒: Blend不支援除錯、錯誤訊息較不明確、避免Blend3與VS2008同時修改同一檔案、要設x:Name後才可由程式存取、偵錯前要Build。

<DEMO> 建立第一個SL專案HelloWorld，TextBox/Button/TextBlock

<DEMO> 展示SL3新功能囉!

• 3D透視: Transform/Projection X, Y, Z軸，還可以搭配時間軸做連續撥放。例: 按鈕後翻轉，先建立腳本、建立畫面格，設定各畫面的屬性值不同，就可以形成動畫。接著在按鈕click事件storyboardX.Begin()
• 陰影效果: Appearance/Effect/Add
• 資料驗證: 與上午做法不同，為登入UI建一個自訂物作，在Property set 時用Regex檢查，驗證不過throw new ArgumentExceptoin(“….”)。將TextBox Bind到該屬性。
• Control有ValidationStatus，可以指定Binding出現錯誤時的顯示外觀。

<DEMO> SL/Javascript整合:

加[ScriptableMember]可以讓SL Method被JS端呼叫，記得要HtmlPage.RegisterScriptableObject，前端call slObject.content.registedName；另外，JS也可以在SL物件上加掛JS端事件，由SL裡的程式觸發。而HtmlPage.Window.Invoke()則可由SL呼叫JS端函數。

* WCF Duplex服務: PollingDuplexHttpBinding、CallbackContract(當WCF做完時反過來Call SL)

* OOB Keywords: IsRunningOutOfBrower, NetworkInterface.GetIsNetowkrAvailable(), ChekcAndDownloadUpdateAsync()

【Windows 7 Security】

* 16:55 36% 1hr 16min
* 17:35 17% 38min
* 17:55 7% 15min

Vista比XP安全，但Overhead影響了操作感受，Windows 7以Vista為基礎，目標在維持相同安全性的前題下，改善效能。

• Vista基礎: DEP, ASLR(核心記憶體位置動態跑來跑去，各版本不同，避免被Hacker鎖定)、核心修改保護、安全開發生命週期程序、Windows服務安全強化
• UAC: File與Registry虛擬化解決方案
• 進階稽核: XML基礎，勾一下就好，不用一個個物件去設

UAC挑戰: Beta版程式會偷偷記錄下操作過程的點選次數、遇到Prompt次數等，將結果送回MS分析統計(Beta版授權同意書裡有提到同意蒐集這些程序，但應該沒人仔細看，對吧?) Windows 7已大幅減少操作被中斷的次數。

Windows 7 UAC –> 可由行動中心進入，預設由滑鼠點選引發的權限請求不過問，只有由程式觸發的才會問，另外原先桌面變黑頓一下防止時間差攻擊的程序也修改了(這個被罵很凶)。控制台中大幅減少要動用到盾牌(需升權限)的機會。

傳統稽核時除了開啟稽核功能外，還要一一設定標的物才會生效。【全域物件存取稽核】--> 可以追蹤某個特定帳號對本機檔案或登錄(Registry)的存取，不限物件對象。懷疑內情不單純時，可以設稽核Everyone。

• 網路安全: 多重家庭防火牆設定、DNSSec(DNS記錄要簽章)、以原則為基礎分割網路，隔離危險。
• 網路存取保護(NAP)-限定只有健康的機器可以存取企業資料，不健康機器要修補後才能存取。NPS檢查Client有沒有防毒、Patch有沒有上到最新，如果沒有，就主動派送。
• Direct Access: Internet一接通，就跟公司連通

<DEMO> Network Access Portection Service一被停掉，就連不上Server的Shared Folder

Direct Access: 觀念由"以建築物定義邊界"改成"網路跟著使用者走"。讓User跟公司永壤保持暢通，但安全性是優先考量: 預設加密、與Smartcard結合、存取控制很細、與現有邊界/健康檢測及存取原則共存。不用撥號登入VPN，比VPN更方便使用，公司群組原則也可以管到在遠端的電腦。
[Direct Access還是可限制某些資源只有在公司內可以存取。]

IPv6極度強調安全，但與IPv4如何相容? 解決方案: Native IPv6, 6to4(對映), Teredo, IP-HTTPS(最後一步，效能不佳待努力)
Keywords: Tunnel over IPv4, Encrypted IPSec + ESP

保護使用者: AppLocker、IE8、資料復原

應用程式管控(AppLocker): 可Block發行者、程式名稱、路徑(一換位置就沒效，無三小路用)、版本檔案Hash(舊做法，要每個版本都鎖定)，還可以設例外(重要，不然IT自己怎麼用?)

IE8: Google背後蒐集查詢結果點選資訊以求改善命中率，"IE8為了大家的隱私，可以選擇把它擋下來"(大家笑很大聲)

Keywords: RMS, EFS, BitLocker

【題外話結論】由電池使用數字來看，顯示的預估可用時間都蠻準的，應該可以下一個結論: Windows 7讓我的NB電池續航時間由2hr15min延長到3hr以上，確實比較省電。