Windows Server 2012: Novinky

Transkript

1 Windows Server 2012: Novinky Miroslav Knotek, Microsoft MVP IT Senior Consultant KPCS CZ, s.r.o. Tomáš Kantůrek, Microsoft

2 Agenda Úvodní přehled licence, edice, správa atp. Novinky v oblasti Active Directory Novinky v oblasti clusteringu Novinky v oblasti virtualizace Hyper-V 3.0 Novinky v oblasti souborového serveru včetně Dynamic Access Control Novinky v oblasti Direct Access Novinky v oblasti networkingu DHCP, teaming, BranchCache Novinky v oblasti Bitlocker 2

3 Trendyon 3

4 IInovace v technologiíchion 4

5 Cloudový OS 5

6

7 Windows Server 2012 Jednotná platforma pro všechny zákazníky Snadno využitelné pro malé firmy po celém světě Zároveň je na této platformě postavena řada světově významných Datových center, které následně poskytují služby pro zákazníky všech velikostí Virtualizace Virtualizace & Management První server Automatizova ná virtualizace & Management Automatizova ná virtualizace & Management privátních cloudů Window Server 2012 Essentials Windows Server 2012 Standard Windows Server 2012 Datacenter + Microsoft System Center 2012 Small business Midmarket Enterprise Hybridní prostředí 7

8 Windows Server 2012 edice Vysoce virtualizovaný privátní & hybridní cloud Windows Server 2012 Datacenter Neomezená virtualizace Všechny funkce Optimalizováno pro virtualizaci s nízkou hustotou virtuálních serverů Windows Server 2012 Standard Server pro malé firmy s připojením na cloud Windows Server 2012 Essentials Ekonomicky výhodný server Windows Server 2012 Foundation 2 virtuální instance Všechny funkce Do 25 uživatelů Žádná práva na virtualizaci Omezené funkce Do 15 uživatelů Žádná práva na virtualizaci Omezené funkce 8

9 Zjednodušené licencování pro Standard a Datacenter edice 2 edice, které se liší jen v právech na virtualizaci Datacenter edice nabízí neomezená práva na virtualizaci Standard edice nabízí právo na 2 virtuální instance Společná struktura licencí Obě edice mají licence na procesor+ CAL Každá licence pokrývá 2 fyzické procesory na jednom serveru server Stejné funkce napříč edicemi Vysoká dostupnost jako např. failover clustering je i ve Standard Stejná možnosti v oblasti využití kapacity procesoru i paměti napříč edicemi 9

10 Vybrané licenční otázky (1) Mohu rozdělit Windows Server 2012 licenci mezi více serverů? Ne. Každá licence může být přiřazena pouze k jednomu fyzickému serveru. Existuje stále Web Server edice Windows Serveru 2012? Ne. Nicméně Windows Server CALy nejsou požadovány pro přístup, pokud je tento přístup pouze k webové aplikaci. Kolik stojí Windows Server 2012 Standard / Datacenter edice? Ceny se mohou lišit dle regionu / prodejce / licenčního kanálu. Orientačně ale v open license: Datacenter 4809$, Standard 882$ 10

11 Vybrané licenční otázky (2) Mohou použít stávající WS2008 CAL k přístupu na Windows Server 2012? Ne. Je třeba Windows Server 2012 CAL. Potřebuji stále specializovaný CAL pro RDS/RMS? Ano, licenční požadavky pro RDS a RMS jsou beze změny. Ne. Bude další verze Windows SBS 2011 Standard? 11

12

13 High Touch Image Based Setup V podstatě stejné jako Windows Server 2008 R2 Setup Stávající skripty a nástroje pro nasazení pro Windows Server 2008 R2 budou pracovat s Windows Server 2012 Jednotné rozhraní, ve kterém všichni zákazníci mohou nainstalovat Windows Optimalizovaná rychlost IBS možnosti setup Upgrade: Keep files, settings, and application setup Custom: Install only

14 Lite Touch Microsoft Deployment Toolkit (MDT) 2012 Krok 1: Získat potřebný software Krok 2: Příprava prostředí MDT Krok 3: Konfigurace MDT pro vytvoření referenčního serveru Krok 4: Nasazení Windows Server 2012 a uložení obrazu referenčního serveru Krok 5: Konfigurace MDT pro nasazení Windows Server 2012 na cílové servery Krok 6: Nasazení připraveného obrazu referenčního serveru na cílové servery

15 Windows Server 2012 možnosti nasazení Server Core Výchozí instalační volba RSAT pro vzdálenou GUI správu PowerShell podpora s více než 2300 cmdlety Dostupných více rolí a komponent Server s GUI Ekvivalent Full Server ve Windows Server 2008 R2 Zahrnuto pro zpětnou kompatibilitu

16 Windows Server 2012 úrovně konfigurac Server s GUI Minimal Server Interface Klasický Full Server Kompletní GUI rozhraní ve stylu Metro Instalace Desktop Experience umožňuje spouštět aplikace ve stylu Metro apps NOVÉ Full Server bez části GUI Není Explorer, Internet Explorer ani další asociované soubory MMC, Server Manager a některé aplety Ovládacího panelu jsou k dispozici Poskytuje mnoho výhod Server Core pro ty aplikace nebo uživatele, kteří ještě nepřešli na Server Core Server Core Server Core NOVÉ Je možné přepínat mezi Server Core a Full Server jednoduše instalací nebo odinstalací komponent

17 Přechod mezi Server Core a Full Server Server Manager Vzdáleně pouze z Server Core na Full Server PowerShell

18 Přechod a PS cmdlety Full Server na Server Core POWERSHELL Uninstall-WindowsFeature Server-Gui-Mgmt-Infra - Restart Server POWERSHELL Core to Full Server Vyžadován 1 reboot pro restart všech služeb Install-WindowsFeature Server-Gui-Mgmt-Infra,Server- Gui-Shell -Restart Nově Možnost instalovat více komponent jedním příkazem oddělení čárkou

19 Přechod z/na Server Graphical Shell Server Manager Odinstalace Server Graphical Shell: POWERSHELL Uninstall-WindowsFeature Server-Gui-Shell -Restart Instalace Server Graphical Shell: POWERSHELL Install-WindowsFeature Server-Gui-Shell -Restart Server Core na Minimal Server Interface POWERSHELL Install-WindowsFeature Server-Gui-Mgmt-Infra - Restart

20 Omezení Minimal Server Interface (1/2) Většina grafických dialogů je funkční (výjimka je u nastavení sítě) Všechny části UI závisející na Shell Namespace Extensions nefungují Některé aplety Ovládacího panelu např. Nastavení sítě Internet Explorer v případě odinstalování Server Graphical Shell není k dispozici Odkazy v UI nefungují Help není dostupný volání na HTML Help API vrací NULL!

21 Omezení Minimal Server Interface (2/2) Některé asociace a protokolové handlery jsou nefunkční file:// *.chm Některá DLLka chybí Možno řešit závislosti pomocí: DUMPBIN (Windows SDK) Dependency Walker ( freeware) Testujte své aplikace pro Minimal Server Interface!

22 Možnosti shellu: přehled Server Core Minimal Server Interface Server with a GUI Desktop Experience CMD a a a a PowerShell/.NET a a a a Server Manager x a a a MMC x a a a Control Panel x x a a CPL Applets x Některé a a Explorer Shell x x a a Taskbar x x a a System Tray x x a a Internet Explorer x x a a Help x x a a Themes x x x a Start screen (Metro) x x a a Metro-style apps x x x a Media Player x x x a

23 Snížení využití místa na disku Všechny role a komponenty jsou během instalace kopírovány do Windows Side by Side store (\windows\winsxs) Diskový prostor je tak využit i pro funkce a komponenty, které třeba nikdy instalovány nebudou Windows Server 2012 má nově Features on Demand Umožňuje správci odebrat nepotřebné role a komponenty Soubory jsou odstraněny z Side by Side store Velmi užitečné pro zmenšení VHD při virtualizaci

24 Server Core a Features on Demand Server Core instalace používá Features on Demand automaticky Role a komponenty jsou z \windows\winsxs smazané Zobrazují se jako odebrané v PowerShellu Zobrazují se jako Payload Removed v Dism.exe

25 Manuální odebrání role a komponenty Soubory pro danou funkci jsou smazány z \windows\winsxs folder POWERSHELL Uninstall-WindowsFeature <FeatureName> -Remove Nutné použít PowerShell, Server Manager tuto akci neumožňuje

26 Reinstalace rolí a komponent Server Manager PowerShell POWERSHELL Install-WindowsFeature <FeatureName> -Source <Source>

27 Demo: server core vs server s GUI vs Minimal Server Interfac 27

28

29 Windows Server Management - filozofie V minulosti byl Windows Server skvělý operační systém pro samotný server a jeho zařízení. Windows Server 2012 je skvělý operační systém pro mnoho serverů a zařízení k nim připojená Ať už jsou fyzické nebo virtuální on premise nebo off premise

30 Správa Windows Server 2012 Správa založená na standardech Správa non-windows zařízení založených na standardech Robustní automatizace Snadné automatizovat 1 správce zvládne více serverů Snižuje komplexitu Správa více serverů najednou Optimalizována vzdálená správa Plná podpora Remote Server Administration Tools Vylepšený ISE PowerShell

31 Nový Server Manager Dashboard Servery, role, & vlastní skupiny Properties; Events; Services; BPA; Performance; Roles/Features Customization/Personalization Integrovaná správa rolí Bohaté možnosti řízení Filtering; Sorting; Grouping; Custom queries Založeno na úkolech Mnoho scénářů nasazení Server Manager Cmdlety

32 PowerShell - novinky Jednoduché použití Vylepšené PowerShell_ISE Intellisense Zjednodušená syntaxe Aliasy pro příkazy OS Powershell pro vše cmdletů Podpora komunit Nové možnosti pro psaní vlastních Cmdletů: WMI, Workflow Script Library & Explorer Mnoho možností Správa připojení Integrované workflow Remote Connect / Disconnect Plánované úlohy Remoting zapnutý ve výchozím stavu V3 je lepší než V Connect problémů opraveno On-the-fly kompilace umožňuje až 6ti násobné zrychlení PowerShell skriptů Stream redirection for Verbose, debug, warning streams Atp.

33 Windows PowerShell 3.0 Features Windows PowerShell Workflow.NET Framework 4 support Add-Member improvements Computer cmdlets CSV handling improvements Get-ChildItem attributes Get-Command improvements Get-Content -Tail Better history support Security cmdlet fixes Select-Object optimizations Select-String improvements Tee-Object -Append Disconnected sessions Idle timeout & server buffering control Invoke-Command in disconnected sessions Disconnected jobs STA mode by default Run with PowerShell context menu Updated console font & branding Console host start perf improvements ETW logging and tracing Module logging New Group Policy settings Output redirection for all streams Dynamic types & formats Word wrap Default properties on custom objects Updatable help system Method overload discovery HelpUri attribute support HelpFile property on FunctionInfo New parser built on DLR Simplified Where and ForEach Remoting local variables via $using Array syntax for scalars Custom parameter value defaults Generic method invocation Typecasting deserialized objects Improved method overload selection New objects from hash tables Ordered hash tables Typecasting for parameter values $PSScriptRoot and $PSCommandPath Improved module discovery & import New module manifest keys Public abstract syntax tree Pipeline paging APIs Nested pipeline APIs Runspace pool cleanup API Public tab completion Windows RT API support Obsolete cmdlet attribute Verb & noun on FunctionInfo Web & REST cmdlets JSON cmdlets CIM cmdlet authoring from WMI v2 CIM.NET APIs Core CIM cmdlets Runtime script compilation Engine reliability improvements Better Get-ChildItem network perf Cmdlet definition files Certificate provider improvements Credentials for FileSystem provider Alternate NTFS data stream support Move-Item across drives Remote module discovery & import Remote session autodisconnect & retry Transport options for remote sessions RunAs and SharedHost support Scheduled jobs Job integration with Task Scheduler Alternate credential support for jobs Session configuration files Module autoloading Command discovery improvements Special character handling LiteralPath support for core cmdlets Improved tab completion Intellisense Windows Management Framework 3.0 WinPE support Windows RT support Windows PowerShell Web Access Windows PowerShell Web Services XAML-based workflows Script-based workflows Control Panel cmdlets Unblock-File cmdlet Workflow help Cmdlet to activity conversion Workflow persistence Improved WMI object formatting Heterogeneous object formatting Workflow logging Workflow extensibility Common workflow parameters Workflow execution environment Snippets ISE Add-ons IntelliSense support Show-Command Get-Help -ShowWindow Restart Manager support Script autosave support Out-GridView -PassThru XML syntax highlighting Block select Collapsible regions Contextual F1 support Script Explorer

34 Demo: nový server manager 34

35

36 Hlavní směry rozvoje Zjednodušené nasazení Active Directory Optimalizované nasazení pro privátní i veřejné cloudy Plná podpora scénářů s virtualizací doménových řadičů Zvýšená konzistence správy skrze různé správcovské nástroje Zajistit bezpečnost orientovanou byznysem pomocí: Klasifikace souborů Autorizace za použití claimů

37 Nové funkce a rozšíření Různé Správa Zjednodušené nasazení Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Aktivace pomocí Active Directory Rozšíření možností Kerberos Změny platformy Active Directory - replikace & topologie cmdlety Účty typu Group Managed Service

38 Nové funkce a rozšíření Různé Zjednodušené nasazení Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Změny platformy

39 Zjednodušené nasazení Přípravné akce jako byl Adprep /forestprep jsou integrovány do instalačního procesu doménového řadiče Automaticky se provádí detailní kontrola splnění předpokladů před začátkem samotné instalace Integrováno do Server Manageru a plné podporován remoting Postaveno na Windows PowerShellu pro dosažení konzistence Konfigurační průvodce optimalizován pro všechny běžné scénáře

40 Demo: instalace DC 42

41 Nové funkce a rozšíření Různé Zjednodušené nasazení Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Změny platformy

42 Bezpečně s virtualizací - problém Standardní operace virtualizace (snímkování, kopie VM) způsobují rollback, se kterým si doménové řadiče předchozích verzí Windows Serveru neporadí USN bubbles vznik trvalých nekonzistencí Lingering objekty Nekonzistetní hesla Nekonzistetní hodnoty atributů Konfliktní schéma v případě rollbacku Schema FSMO Existuje také riziko vzniku různých objektů se stejným SIDem

43 Dopad na doménové řadiče USN rollback nezdetekován: pouze 50 uživatelů se zreplikuje na oba DC Ostatní uživatelé jsou jen na jednom nebo druhém DC 100 uživatelů s RIDs má konfliktní SID

44 Bezpečně s virtualizací - řešení Windows Server 2012 DC umí detekovat: Aplikování snímku (apply snapshot) Zkopírování VM Založeno na VM-generation ID které virtualizační vrstva změní pokud je např. aplikován snímek Windows Server 2012 DC sleduje VM-generation ID a detekuje změny pro ochranu Active Directory Ochrana je zajištěna: zneplatnění RID pool Reset invocationid INITSYNC pro FSMO

45 Nové funkce a rozšíření Různé Zjednodušené nasazení Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Změny platformy

46 Rychlé nasazení: klonování DC Tvorba repliky DC klonování stávajícího virtualizovaného DC Např. kopie VHD pomocí hypervisor-specific export + import operace Snadné oddělení práv správce AD a virtualizace Autorizace klonování zůstává v rukou Enterprise/Domain Admins Nové možnosti pro disaster-recovery Vyžaduje pouze 1 Windows Server 2012 virtualizovaný DC pro každou doménu pro rychlou obnovu celého forestu Rychlý provisioning v rámci privátních cloudů

47 Rychlé nasazení: klonování DC a požadavky Windows Server 2012 virtualizovaný DC na virtualizační platformě s podporou VM-Generation-ID PDC FSMO musí být Windows Server 2012 pro autorizaci klonování zdrojový DC musí být autorizovaný pro klonování Allow DC to create a clone of itself Přidání zdrojového DC účtu do nové skupiny Cloneable Domain Controllers DCCloneConfig.XML musí být na DC, které bude klonované v jednom z umístění: Složka s NTDS.DIT Výchozí DIT složka (%windir%\ntds) Přenosná média (virtual floppy, USB, etc.) Windows Server 2012 služby obvykle spojené s DC (DNS, FRS, DFSR) jsou podporované

48 Nové funkce a rozšíření Různé Zjednodušené nasazení Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Změny platformy

49 Vylepšení v oblasti RID Opraveno vyčerpání RID při chybě procesu tvorby uživatelského nebo počítačového účtu Maximální možná velikost bloku RID nastavena na Logování : Loguje pokaždé, když je RID pool na DC zneplatněn Pravidelné varování pokud začíná docházet kapacita celého RID Alokace RID se zcela zastaví při vyčerpání 90% kapacity RID Umožňuje odemknout 31. bit globálního RID prostoru

50 Off-Premise Domain Join Rozšiřuje offline domain-join směrem ke splnění Direct Access požadavků Certifikáty Group Policy Co to znamená? Počítač může být přidán do domény přes Internet pokud je doména dostupná pomocí Direct Access Získání blobu pro non-domain-joined počítač je offline proces, za který je zodpovědný administrátor

51 Nové funkce a rozšíření Různé Správa Zjednodušené nasazení Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Aktivace pomocí Active Directory Rozšíření možností Kerberos Změny platformy Active Directory - replikace & topologie cmdlety Účty typu Group Managed Service

52 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

53 AD odpadkový koš - GUI Integrováno do ADAC

54 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

55 Aktivace pomocí Active Directory Náhrada KMS Využití stávající infrastruktury Active Directory pro aktivaci klientů Nejsou nutné žádné další servery Žádné RPC požadavky, používá pouze LDAP protokol Kompatibilní s RODC Kromě úvodního nastavení dále již nedochází k zápisu do AD Úvodní aktivace CSVLK (customer-specific volume license key) vyžaduje: Jednorázový kontakt s Microsoft Activation Services přes Internet Klíč se zadává v rámci volume activation server role nebo z příkazové řádky Proces je nutné zopakovat pro každý AD forest Aktivační informace jsou uloženy v konfiguračním oddíle AD Reprezentuje prokázání nákupu Počítače mohou být členem kterékoliv domény v rámci AD forestu Všechny PC s Windows 8 se zaktivují automaticky

56 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

57 Active Directory Windows PowerShell History Viewer Správce může vidět historii Windows PowerShell příkazů vyvolaných pomocí Administrative Center, např. Přidání uživatele do skupiny UI zobrazí the equivalent Active Directory Windows PowerShell command Správce může následně snadno použít syntaxi v rámci svých automatizačních skriptů

58 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

59 Fine-Grained Password Policy Vytváření, editace a přiřazení PSO nově pomocí Active Directory Administrative Center Zásadně zjednodušuje správu FGPP

60 Demo: GUI pro odpadkový koš, FGPP a poweshell history 63

61 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

62 Flexible Authentication Secure Tunneling (FAST) Problémy stávajícího stavu Na přihlášení účtem/heslem je možný offline slovníkový útok Klienti mohou: Propad na méně bezpečný legacy protokol Snížení kryptografie

63 Flexible Authentication Secure Tunneling (FAST) Kerberos in Windows Server 2012 podporuje Flexible Authentication Secure Tunneling (FAST) RFC 6113 aka Kerberos armoring Poskytuje chráněný kanál mezi klientem v doméně a DC Chrání pre-autentizační data používá LSK (logon session key) z počítačového TGT jako shared secret Počítačová autentizace NENÍ chráněna Jakmile každý Kerberos klient a DC podporuje FAST Doména může být nastavena na vyžadování Kerberos armoringu Každý DC s Windows Server 2012 Zapnutí politik Support CBAC and Kerberos armoring All DCs can support CBAC and Require Kerberos armoring

64 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

65 Group Managed Service Accounts (gmsa) Nový security principal objekt: gmsa Služby běžící na více serverech mohou běžet pod stejným gmsa účtem 1 a více Windows Server 2012 DC je vyžadováno gmsas se může ověřit oproti jakékoliv verzi OS DC Hesla jsou ale zpracována pomocí Group Key Distribution Service (GKDS) na Windows Server 2012 DC Windows Server 2012 host používající gmsa získává heslo z GKDS Získání hesla je omezeno na autorizované servery Změna hesla gmsa (30 dní ve výchozím stavu) gmsa podporovány ve Windows Service Control Manager (SCM) a IIS application pools podpora scheduled tasks se zkoumá

66 Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

67 Active Directory Replication & Topology Cmdlets Problém současného stavu Správci jsou nuceni používat celou řadu nástrojů pro správu Active Directory topologie repadmin ntdsutil Active Directory Sites and Services atp. Vede k nekonzistentní zkušenosti při správě Složité pro automatizaci

68 Active Directory Replication & Topology Cmdlets Správa replikace topologie site pomocí Active Directory Windows PowerShell Tvorba a správa sites, site-links, site-link bridges, subnets aspojení Replikace objektů mezi DC Zobrazení replikačních metadat Zobrazení chyb replikace atp.

69 Souhrn Snadnější správa Windows Server 2012 Managed Service Accounts pro farmy (gmsa) Podpora cross-domain Kerberos Constrained Delegation Spoofování Kerberos protokolu znesnadněno Active Directory UI Podpora ADAC pro Fine Grained Password Policies Možnost vidět Windows PowerShell skripty k akcím v GUI Snadné skriptování replikace a topologie Active Directory Windows PowerShell Cmdlets V minulosti Managed Service Accounts pouze a jednom serveru Kerberos Constrained Delegation (KCD) pouze v rámci jedné domény Kerberos spoofovatelný Žádné GUI pro Recycle Bin ani Fine Grained Password Policies PowerShell se musí psát od základu Různé nástroje pro správu replikací a topologie

70 Souhrn Snadnější nasazení Windows Server 2012 Bezpečně s virtualizací Snadné nasazení Optimalizovaný instalátor pro různé scénáře Remoting a automatické hledání FSMO Kontroly stávajícího prostředí pro minimalizaci chyb Plná podpora Windows PowerShell pro automatizované nasazení Rychlé nasazení DC pomocí klonování Integrace nasazení AD FS V minulosti Použití snímkování virtualizovaných DC může rozvrátit stav celé AD Příprava Active Directory při migraci je komplexní a zahrnuje několik kroků Instalace DC příliš složitá Nasazení nepodporuje remoting a vyžaduje interaktivní přihlášení na DC Složitá automatizace

71 Přehled minimálních požadavků S tímto nasazení + První Windows Server 2012 domain-member (nebo Windows 8 s RSAT) + První Windows Server 2012 DC + Windows Server 2012 DC s PDC FSMO... Jsou tyto funkce k dispozici New Active Directory Administrative Center Windows PowerShell History Viewer Graphical Recycle Bin and FGPP management Richer authorization through DAC & FCI Active Directory-based Activation Requires Windows Server 2012 schema extensions Active Directory Replication & Topology Cmdlets AD FS (v2.1) Simplified Deployment and Preparation Dynamic Access Control policies and claims Kerberos Claims in AD FS (v2.1) Cross-domain Kerberos Constrained Delegation Group Managed Service Accounts Virtualization-Safe for the Windows Server 2012 DC requires Hypervisor support for VM-Gen-ID Rapid virtual DC deployment through DC-cloning requires Hypervisor support for VM-Gen-ID

72

73 1) Deduplikace dat 76

74 Deduplikace dat proč? Problémy dnešního IT Nárůst objemu dat Rostou nároky na disková úložiště Rostou nároky za zálohování Růst TCO pro datová úložiště Napříč poklesu ceně za disk Správa datových úložišť Konsolidace dat Více diskových oddílů a síťových relací na jeden server Decentralizace pracovníků Potřeba přístupu offline a zabezpečení dat Přístup přes WAN klade požadavky na optimalizaci síťové vrstvy Prudký nárůst objemu dat Zdroj: IDC Worldwide File-Based Storage Forecast: Foundation Solutions for Content Delivery, Archiving and Big Data, doc #231910, December 2011a

75 Deduplikace dat jak to funguje? Cíl: Efektivně ukládat a zálohovat méně dat Transparentně odstraňuje duplicity beze nutných změn na vyšších vrstvách architektury OS. Post Processing: Optimalizační úloha identifikuje soubory Chunking algoritmus je aplikován na soubory Chunky jsou vloženy do úložiště Originální sobory jsou nahrazeny pomocí NTFS reparse points Odebere se primární data stream

76 Očekávané úspory Úspory % Knihovna VHD Sdílení pro distribuci SW Sdílení se standardními daty Moje dokumenty 0% 20% 40% 60% 80% 100% 79

77 Demo: deduplikace dat 80

78 Deduplikace dat požadavky Server Oddíl Windows Server 2012 Dostatečný HW Pouze datový (system ani boot volume ne) NTFS, ReFS není podporován CSV není podporován Failover clustering je podporován 81

79 Deduplikace dat a výkon Optimalizace: Může být zpracováno až 20-35MB/s 100GB/h vyžaduje 1 CPU jádro a 350MB RAM Deduplikace více oddílů může běžet paralelně s více jádry CPU, pamětí a diskovými zdroji Čtení/zápis: Žádný dopad na zápis nových souborů Žádný dopad na přístup k uživateským dokumentům 1-1.5x pomalejší kopírování velkých souborů (např. VHD) No impact VHD copy ( x) VHD update (1.3x)

80 Nepodporováno Boot, System, FAT, ReFS, CSV diskové oddílu Oddíl musí být připojen k Windows Namapované síťové disky nejsou podporovány. Produkční VM nebo VDI relace na Hyper-V hostu Živé SQL DB nebo Exchange úložiště Soubory s rozšířenými atributy, zašifrované soubory, soubory menší než 32KB a reparse point soubory nejsou zpracovávány Klient SKUs

81 Deduplikace dat zajímavá fakta Podpora zálohování včetně WSB Spolehlivost Kritická metadata mají více kopií Chunk, který má více než 100 referencí, je automaticky zdvojen Automatické kontrolní mechanismy Integrace s Branch Cache zrychlení přístupu uživatelů z poboček 84

82 Deduplikace dat správa 85

83 Deduplication Evaluation Tool Není nutný upgrade na 2012 pro zjištění úspor \Windows\System32\ddpeval.exe (Dostupné po instalaci Dedup komponenty) Zjistí úspory bez změny dat Běží na Windows 8, Windows 7, Server 2008 R2 a Server 2012 Zpracovává data na síleních SMB/CIFS i na ne-windows serverech

84 2) SMB

85 SMB Transparent Failover Failover je transparentní pro serverové aplikace Zero downtime jen malá IO prodleva během failoveru Podporuje plánované i neplánované výpadky HW/SW údržba HW/SW chyby Rebalanciování zátěže Hyper-V Bezvýpadkové pro souborové i adresářové operace \\fs1\share \\fs1\share Vyžaduje: Windows Failover Cluster Oba servery s aplikací i se souborovým serverem musí být Windows Server 2012 Sdílení se zapnutým continuous availability File Server Node A File Server Cluster File Server Node B

86 SMB Scale-Out Určeno pro úložiště serverových aplikací Např.: Hyper-V a SQL Server Zvyšuje dostupné přenosové pásmo přidáváním dalších nódů clusteru Klíčové možnosti: Active/Active sdílení souborů Fault tolerance s nulovým výpadkem Ultrarychlá obnova po výpadku CHKDSK s nulovým výpadkem Podpora pro aplikační konzistentní snapshoty Podpora pro RDMA Optimalizováno pro serverové app Jednoduchá správa Data Center Network (Ethernet, InfiniBand or combination) Single Logical File Server (\\FS\Share) Single File System Namespace Cluster Shared Volumes Hyper-V Cluster (Up to 64 nodes) File Server Cluster (Up to 8 nodes)

87 VSS pro SMB sdílení Konzistentní aplikační stínové kopie pro serverová aplikační data uložená na sdíleních Windows Server 2012 s Scénáře pro zálohování i obnovu Plná integrace s VSS infrastrukturou Backup Agent Create Shadow C Copy File Share Shadow Copy Provider Application Server Backup B Coordinate Shadow Copy Volume Shadow Copy Service A Backup Server D Relay Shadow Copy request E Request Shadow Copy Volume Shadow Copy Service \\fs\foo Data volume File Server File Share Shadow Copy Agent Create Shadow Copy G Read from Shadow Copy Share VSS Providers F \\fs\foo@t 1 Shadow Copy

88 SMB Direct (SMB over RDMA) Výhody Škálovatelná a rychlá úložiště dat Vysoká propustnost s nízkou latencí Minimální zátěž CPU pro I/O operace Load balancing, automatický failover a agregace přenosového pásma pomocí SMB Multichannel SMB Client Application User SMB Server Scénáře Vysoce výkonný souborový server pro aplikace jako je Hyper-V, SQL Server, IIS a HPC Použití pro souborové servery a Clustered Shared Volumes (CSV) pro komunikaci s úložištěm v rámci clusteru SMB Client Network w/ RDMA support Kernel Network w/ RDMA support SMB Server NTFS SCSI Požadovaný hardware RDMA kompatibilní síťové rozhraní (R- NIC) Aktuálně 3 typy: iwarp, RoCE and Infiniband R-NIC R-NIC Disk

89 SMB Multichannel Plné přenosové pásmo Agregace přenosového pásma s více síťovými kartami Využití více jader CPU když síťová karta nabízí Receive Side Scaling (RSS) Single 10GbE RSS-capable NIC Vzorová konfigurace Multiple 1GbE NICs Multiple 10GbE in LBFO team Multiple RDMA NICs Automatický failover SMB Multichannel implementuje endto-end detekci chyb Využívá NIC teaming (LBFO) pokud je k dispozici, ale nevyžaduje ho Automatická konfigurace SMB detekuje a využívá více cest SMB Client NIC 10Gb E Switc h 10Gb E NIC 10Gb E SMB Server SMB Client NIC 1Gb E Switc h 1GbE NIC 1Gb E NIC 1Gb E Switc h 1GbE NIC 1Gb E SMB Server SMB Client NIC 10G be Switch 10GbE LBFO NIC 10G be Switc h 10Gb E NIC NIC 10Gb 10G E be LBFO SMB Server SMB Client NIC 10GbE /IB Switch 10GbE/IB NIC 10GbE /IB NIC 10GbE /IB SMB Server Switch 10GbE/I B NIC 10GbE /IB

90 SMB šifrování End-to-end šifrování SMB dat při transportu Chrání data před útoky typu eavesdropping/snooping attacks na nedůvěrychodných síťích Nulové náklady na nasazení Není třeba IPSec, specializovaný hardware ani WAN akcelerátory Client Server Konfigurace na úrovni sdílení nebo celého serveru Může být zapnuto v řadě scénářů, kdy data prochází nedůvěryhodnou cestou Aplikační zátěž na nezabezpečené síti Pobočky na WAN sítích SMB Encryption

91 Další SMB 3.0 novinky SMB PowerShell Kompletní sada cmdletů Výkonnostní čítače Klient (per share) Server (per share a per session) Zlepšené logování událostí Nový kanál logování událostí pro SMB Server, SMB klienta a SMB Direct Server Manager podporuje SMB sdílení Existuje průvodce pro vytvoření sdílení pro Hyper-V a SQL Server

92 3) Dynamic Access Control 95

93 Potřeby Výsledný stav Sdílení pro projekty Potřeby mohou být za začátku jednoduché Přidávání další požadavků přístupové politiky rychle tříští Komplexita zvyšuje riziko úniku informací Jistota, že data neunikají Archivovat data o kontraktech 10 let

94 Složité a nepřehledné politiky neumožňují řízení rizik a nákladů

95 Správa přístupu k datům pomocí DAC Klasifikace dat Aplikování politik na základě klasifikace

96 Srovnání s DAC a bez Pre-2012: OR of groups only Led to group bloat Consider 500 projects, 100 countries, 10 divisions 500,000 total groups to represent every combination: ProjectZ UK Engineering Users ProjectZ Canada Engineering Users [etc ] Windows Server 2012: AND in expressions ACE conditions allow multiple groups with Boolean logic Example: Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering) 610 groups instead of 500,000 Windows Server 2012: with Central Access Policies & Classification 3 User Claims

97 Dynamic Access Control v kostce Identifikace dat Řízení přístupu Auditování přístupu Ochrana dat Manuální klasifikace vlastníkem dat Expression based přístupová práva za použití user claims, device claims a klasifikace dat Expression based auditing za použití user claims, device claims a klasifikace dat Automatizovaná ochrana RMS pro klasifikovaná data Automatická klasifikace Centrální přístupové politiky pro klasifikovaná data Centrální politiky auditingu pro klasifikovaná data Ochrana v reálném čase po klasifikaci data Klasifikace aplikací Řešení pro přístup odepřen Policy staging audit pro simulaci změn v politikách v reálném prostředí Rozšiřitelnost i pro ne MS Office data

98 Dynamic Access Control základní stavební prvky User/Device Claims Uživatelské a počítačové atributy mohou být použity v ACE Expression-Based ACEs Vylepšení klasifikace Centrální přístupové politiky a politiky auditu ACE s podmínkami, zahrnuje Boolean logické a relativní operátory Klasifikace dat využitelná v autorizaci Kontinuální automatická klasifikace Automatická ochrana RMS na základě klasifikace Centrální politiky definované v AD a aplikované globálně na souborové servery Access Denied asistence Uživatelé mohou žádat o přístup Informace pro řešení problému správcem

99 Centrální přístupová politika AD DS File Server User claims User.Department = Finance User.Clearance = High Device claims Device.Department = Finance Device.Managed = True Resource properties Resource.Department = Finance Resource.Impact = High ACCESS POLICY Applies = High Allow Read, Write if (@User.Department AND (@Device.Managed == True) 102

100 Přístup k soborům s centrální přístupovou politikou Share Permissions NTFS Permissions Central Access Policy Access Control Decision

101 Demo: dynamic acess control 104

102 4) Další novinky 105

103 Další novinky - Ckkdsk Vylepšený Chkdsk Detekce poškození online Oprava offline během několika sekund Navrženo pro velká úložiště cca 64TB 106

104 Další novinky - Ckkdsk 107

105 Další novinky - Ckkdsk 108

106 Další novinky - ReFS Metadata integrity with checksums Integrity streams providing optional user data integrity Allocate on write transactional model for robust disk updates (also known as copy on write) Large volume, file and directory sizes Storage pooling and virtualization makes file system creation and management easy Data striping for performance (bandwidth can be managed) and redundancy for fault tolerance Disk scrubbing for protection against latent disk errors Resiliency to corruptions with "salvage" for maximum volume availability in all cases Shared storage pools across machines for additional failure tolerance and load balancing 109

107 Další novinky Storage Spaces Virtualizace úložiště v OS JBOD SAS pro firemní prostředí SATA/USB pro domácí použití Redundance: simple, mirror, parita K dispozici iscsi target jako komponenta OS 110

108

109 Konektivita jde to i bez IPv6 DirectAccess již nevyžaduje nasazení IPv6 Pokud není nativní IPv6 k dispozici Klienti tunelují IPv6 přes Internet nebo intranet Internet IPv6 Options Intranet Používá vestavěné DNS64/NAT64 k přístupu k interním IPv4 zdrojům Native IPv6 IPv6 Tunneling IPv4

110 Multisite Windows 8 automaticky najdou nejvhodnější vstupní bod Probe-based Windows 7 klienti zafixováni na konkrétní vstupní bod GSLB ready

111 Změny v DA (1) Možnost koexistence s RRAS na jednom serveru Odstraněna nutnost nasazení PKI DA server funguje jako Kerberos proxy Přidáno NAT64 a DNS64 Podpora pro nasazení DA za NAT Plná podpora NLB Podpora více doménového prostředí

112 Změny v DA (2) Podpora OTP Automatizovaná možnost nasazení force tunneling Plná podpora konfigurace powershell Monitoring Množství DA clientů Množství všech VPN klientů Množství dat přenesených DA klientem atd.. Průvodce konfigurací Pouze 1 IPSec tunel odpadá správa IP adres IP-HTTPS null encryption pro DirectAccess komunikaci, zrušení redundantního dvojího šifrování Výkon srovnatelný s Teredo

113 Porovnání výkonu Windows Server 2008 R2 vs. Windows Server 2012: Dvojnásobná propustnost! Příklad: CPU: 4 Cores, 2.1 GHz RAM: 4 GB WS 2012 PKI 50 0 Capacity MB/sec

114 Interoperability Matrix Windows 8 Fully supported Windows Server 2012 Windows Server 2008 R2 Supported with the following limitations No DirectAccess and VPN on a single server No access to IPv4 only resources within Corpnet (needs add-on NAT64/DNS64 solution) Requires PKI No multisite deployment Windows 7 Supported with the following limitations Requires PKI Windows 7 clients must connect to preconfigured entry point (no automatic site selection) No off premise provisioning or Windows To Go Supported with the following limitations No DirectAccess and VPN on a single server No access to IPv4 only resources within Corpnet (needs add-on NAT64/DNS64 solution) Requires PKI No multisite deployment No off premise provisioning or Windows To Go