Novinky ve Windows Serveru 2012 (1. část)

Novinky ve Windows Serveru 2012 (1. část) Miroslav Knotek, Microsoft MVP IT Senior Consultant KPCS CZ, s.r.o. knotek@kpcs.cz www.kpcs.cz www.exchange4u.cz

Agenda Úvodní přehled Licence Edice Správa Novinky v oblasti Active Directory 2

Trendyon 3

IInovace v technologiíchion 4

Cloudový OS 5

Windows Server 2012 Jednotná platforma pro všechny zákazníky Snadno využitelné pro malé firmy po celém světě Zároveň je na této platformě postavena řada světově významných Datových center, které následně poskytují služby pro zákazníky všech velikostí Virtualizace Virtualizace & Management První server Automatizova ná virtualizace & Management Automatizova ná virtualizace & Management privátních cloudů Window Server 2012 Essentials Windows Server 2012 Standard Windows Server 2012 Datacenter + Microsoft System Center 2012 Small business Midmarket Enterprise Hybridní prostředí 7

Windows Server 2012 edice Vysoce virtualizovaný privátní & hybridní cloud Windows Server 2012 Datacenter Neomezená virtualizace Všechny funkce Optimalizováno pro virtualizaci s nízkou hustotou virtuálních serverů Windows Server 2012 Standard Server pro malé firmy s připojením na cloud Windows Server 2012 Essentials Ekonomicky výhodný server Windows Server 2012 Foundation 2 virtuální instance Všechny funkce Do 25 uživatelů Žádná práva na virtualizaci Omezené funkce Do 15 uživatelů Žádná práva na virtualizaci Omezené funkce 8

Zjednodušené licencování pro Standard a Datacenter edice 2 edice, které se liší jen v právech na virtualizaci Datacenter edice nabízí neomezená práva na virtualizaci Standard edice nabízí právo na 2 virtuální instance Společná struktura licencí Obě edice mají licence na procesor+ CAL Každá licence pokrývá 2 fyzické procesory na jednom serveru server Stejné funkce napříč edicemi Vysoká dostupnost jako např. failover clustering je i ve Standard Stejná možnosti v oblasti využití kapacity procesoru i paměti napříč edicemi 9

Vybrané licenční otázky (1) Mohu rozdělit Windows Server 2012 licenci mezi více serverů? Ne. Každá licence může být přiřazena pouze k jednomu fyzickému serveru. Existuje stále Web Server edice Windows Serveru 2012? Ne. Nicméně Windows Server CALy nejsou požadovány pro přístup, pokud je tento přístup pouze k webové aplikaci. Kolik stojí Windows Server 2012 Standard / Datacenter edice? Ceny se mohou lišit dle regionu / prodejce / licenčního kanálu. Orientačně ale v open license: Datacenter 4809$, Standard 882$ 10

Vybrané licenční otázky (2) Mohou použít stávající WS2008 CAL k přístupu na Windows Server 2012? Ne. Je třeba Windows Server 2012 CAL. Potřebuji stále specializovaný CAL pro RDS/RMS? Ano, licenční požadavky pro RDS a RMS jsou beze změny. Ne. Bude další verze Windows SBS 2011 Standard? 11

Windows Server 2012 možnosti nasazení Server Core Výchozí instalační volba RSAT pro vzdálenou GUI správu PowerShell podpora s více než 2300 cmdlety Dostupných více rolí a komponent Server s GUI Ekvivalent Full Server ve Windows Server 2008 R2 Zahrnuto pro zpětnou kompatibilitu

Windows Server 2012 úrovně konfigurac Server s GUI Minimal Server Interface Klasický Full Server Kompletní GUI rozhraní ve stylu Metro Instalace Desktop Experience umožňuje spouštět aplikace ve stylu Metro apps NOVÉ Full Server bez části GUI Není Explorer, Internet Explorer ani další asociované soubory MMC, Server Manager a některé aplety Ovládacího panelu jsou k dispozici Poskytuje mnoho výhod Server Core pro ty aplikace nebo uživatele, kteří ještě nepřešli na Server Core Server Core Server Core NOVÉ Je možné přepínat mezi Server Core a Full Server jednoduše instalací nebo odinstalací komponent

Přechod mezi Server Core a Full Server Server Manager Vzdáleně pouze z Server Core na Full Server PowerShell

Přechod a PS cmdlety Full Server na Server Core POWERSHELL Uninstall-WindowsFeature Server-Gui-Mgmt-Infra - Restart Server POWERSHELL Core to Full Server Vyžadován 1 reboot pro restart všech služeb Install-WindowsFeature Server-Gui-Mgmt-Infra,Server- Gui-Shell -Restart Nově Možnost instalovat více komponent jedním příkazem oddělení čárkou

Možnosti shellu: přehled Server Core Minimal Server Interface Server with a GUI Desktop Experience CMD a a a a PowerShell/.NET a a a a Server Manager x a a a MMC x a a a Control Panel x x a a CPL Applets x Některé a a Explorer Shell x x a a Taskbar x x a a System Tray x x a a Internet Explorer x x a a Help x x a a Themes x x x a Start screen (Metro) x x a a Metro-style apps x x x a Media Player x x x a

Snížení využití místa na disku Všechny role a komponenty jsou během instalace kopírovány do Windows Side by Side store (\windows\winsxs) Diskový prostor je tak využit i pro funkce a komponenty, které třeba nikdy instalovány nebudou Windows Server 2012 má nově Features on Demand Umožňuje správci odebrat nepotřebné role a komponenty Soubory jsou odstraněny z Side by Side store Velmi užitečné pro zmenšení VHD při virtualizaci

Server Core a Features on Demand Server Core instalace používá Features on Demand automaticky Role a komponenty jsou z \windows\winsxs smazané Zobrazují se jako odebrané v PowerShellu Zobrazují se jako Payload Removed v Dism.exe

Reinstalace rolí a komponent Server Manager PowerShell POWERSHELL Install-WindowsFeature <FeatureName> -Source <Source>

Demo: server core vs server s GUI vs Minimal Server Interfac 21

Windows Server Management - filozofie V minulosti byl Windows Server skvělý operační systém pro samotný server a jeho zařízení. Windows Server 2012 je skvělý operační systém pro mnoho serverů a zařízení k nim připojená Ať už jsou fyzické nebo virtuální on premise nebo off premise

Nový Server Manager Dashboard Servery, role, & vlastní skupiny Properties; Events; Services; BPA; Performance; Roles/Features Customization/Personalization Integrovaná správa rolí Bohaté možnosti řízení Filtering; Sorting; Grouping; Custom queries Správa více serverů najednou Optimalizována vzdálená správa Plná podpora Remote Server Administration Tools Vylepšený ISE PowerShell Server Manager Cmdlety

Windows PowerShell 3.0 Features Windows PowerShell Workflow.NET Framework 4 support Add-Member improvements Computer cmdlets CSV handling improvements Get-ChildItem attributes Get-Command improvements Get-Content -Tail Better history support Security cmdlet fixes Select-Object optimizations Select-String improvements Tee-Object -Append Disconnected sessions Idle timeout & server buffering control Invoke-Command in disconnected sessions Disconnected jobs STA mode by default Run with PowerShell context menu Updated console font & branding Console host start perf improvements ETW logging and tracing Module logging New Group Policy settings Output redirection for all streams Dynamic types & formats Word wrap Default properties on custom objects Updatable help system Method overload discovery HelpUri attribute support HelpFile property on FunctionInfo New parser built on DLR Simplified Where and ForEach Remoting local variables via $using Array syntax for scalars Custom parameter value defaults Generic method invocation Typecasting deserialized objects Improved method overload selection New objects from hash tables Ordered hash tables Typecasting for parameter values $PSScriptRoot and $PSCommandPath Improved module discovery & import New module manifest keys Public abstract syntax tree Pipeline paging APIs Nested pipeline APIs Runspace pool cleanup API Public tab completion Windows RT API support Obsolete cmdlet attribute Verb & noun on FunctionInfo Web & REST cmdlets JSON cmdlets CIM cmdlet authoring from WMI v2 CIM.NET APIs Core CIM cmdlets Runtime script compilation Engine reliability improvements Better Get-ChildItem network perf Cmdlet definition files Certificate provider improvements Credentials for FileSystem provider Alternate NTFS data stream support Move-Item across drives Remote module discovery & import Remote session autodisconnect & retry Transport options for remote sessions RunAs and SharedHost support Scheduled jobs Job integration with Task Scheduler Alternate credential support for jobs Session configuration files Module autoloading Command discovery improvements Special character handling LiteralPath support for core cmdlets Improved tab completion Intellisense Windows Management Framework 3.0 WinPE support Windows RT support Windows PowerShell Web Access Windows PowerShell Web Services XAML-based workflows Script-based workflows Control Panel cmdlets Unblock-File cmdlet Workflow help Cmdlet to activity conversion Workflow persistence Improved WMI object formatting Heterogeneous object formatting Workflow logging Workflow extensibility Common workflow parameters Workflow execution environment Snippets ISE Add-ons IntelliSense support Show-Command Get-Help -ShowWindow Restart Manager support Script autosave support Out-GridView -PassThru XML syntax highlighting Block select Collapsible regions Contextual F1 support Script Explorer

Demo: nový server manager 26

Nové funkce a rozšíření Různé Správa Zjednodušené nasazení Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Aktivace pomocí Active Directory Rozšíření možností Kerberos Změny platformy Active Directory - replikace & topologie cmdlety Účty typu Group Managed Service

Nové funkce a rozšíření Různé Zjednodušené nasazení Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Změny platformy

Zjednodušené nasazení Přípravné akce jako byl Adprep /forestprep jsou integrovány do instalačního procesu doménového řadiče Automaticky se provádí detailní kontrola splnění předpokladů před začátkem samotné instalace Integrováno do Server Manageru a plné podporován remoting Postaveno na Windows PowerShellu pro dosažení konzistence Konfigurační průvodce optimalizován pro všechny běžné scénáře

Demo: instalace DC 31

Bezpečně s virtualizací - problém Standardní operace virtualizace (snímkování, kopie VM) způsobují rollback, se kterým si doménové řadiče předchozích verzí Windows Serveru neporadí USN bubbles vznik trvalých nekonzistencí Lingering objekty Nekonzistetní hesla Nekonzistetní hodnoty atributů Konfliktní schéma v případě rollbacku Schema FSMO Existuje také riziko vzniku různých objektů se stejným SIDem

Dopad na doménové řadiče USN rollback nezdetekován: pouze 50 uživatelů se zreplikuje na oba DC Ostatní uživatelé jsou jen na jednom nebo druhém DC 100 uživatelů s RIDs 500-599 má konfliktní SID

Bezpečně s virtualizací - řešení Windows Server 2012 DC umí detekovat: Aplikování snímku (apply snapshot) Zkopírování VM Založeno na VM-generation ID které virtualizační vrstva změní pokud je např. aplikován snímek Windows Server 2012 DC sleduje VM-generation ID a detekuje změny pro ochranu Active Directory Ochrana je zajištěna: zneplatnění RID pool Reset invocationid INITSYNC pro FSMO

Rychlé nasazení: klonování DC a požadavky Windows Server 2012 virtualizovaný DC na virtualizační platformě s podporou VM-Generation-ID PDC FSMO musí být Windows Server 2012 pro autorizaci klonování zdrojový DC musí být autorizovaný pro klonování Allow DC to create a clone of itself Přidání zdrojového DC účtu do nové skupiny Cloneable Domain Controllers DCCloneConfig.XML musí být na DC, které bude klonované v jednom z umístění: Složka s NTDS.DIT Výchozí DIT složka (%windir%\ntds) Přenosná média (virtual floppy, USB, etc.) Windows Server 2012 služby obvykle spojené s DC (DNS, FRS, DFSR) jsou podporované

Off-Premise Domain Join Rozšiřuje offline domain-join směrem ke splnění Direct Access požadavků Certifikáty Group Policy Co to znamená? Počítač může být přidán do domény přes Internet pokud je doména dostupná pomocí Direct Access Získání blobu pro non-domain-joined počítač je offline proces, za který je zodpovědný administrátor

Nové funkce a rozšíření Různé Správa Zjednodušené nasazení Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Aktivace pomocí Active Directory Rozšíření možností Kerberos Změny platformy Active Directory - replikace & topologie cmdlety Účty typu Group Managed Service

Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš Dynamic Access Control Active Directory PowerShell History Viewer Uživatelské rozhraní pro Fine-Grained Password Policy Active Directory - replikace & topologie cmdlety Aktivace pomocí Active Directory Rozšíření možností Kerberos Účty typu Group Managed Service

AD odpadkový koš - GUI Integrováno do ADAC

Aktivace pomocí Active Directory Náhrada KMS Využití stávající infrastruktury Active Directory pro aktivaci klientů Nejsou nutné žádné další servery Žádné RPC požadavky, používá pouze LDAP protokol Kompatibilní s RODC Kromě úvodního nastavení dále již nedochází k zápisu do AD Úvodní aktivace CSVLK (customer-specific volume license key) vyžaduje: Jednorázový kontakt s Microsoft Activation Services přes Internet Klíč se zadává v rámci volume activation server role nebo z příkazové řádky Proces je nutné zopakovat pro každý AD forest Aktivační informace jsou uloženy v konfiguračním oddíle AD Reprezentuje prokázání nákupu Počítače mohou být členem kterékoliv domény v rámci AD forestu Všechny PC s Windows 8 se zaktivují automaticky

Active Directory Windows PowerShell History Viewer Správce může vidět historii Windows PowerShell příkazů vyvolaných pomocí Administrative Center, např. Přidání uživatele do skupiny UI zobrazí the equivalent Active Directory Windows PowerShell command Správce může následně snadno použít syntaxi v rámci svých automatizačních skriptů

Fine-Grained Password Policy Vytváření, editace a přiřazení PSO nově pomocí Active Directory Administrative Center Zásadně zjednodušuje správu FGPP

Demo: GUI pro odpadkový koš, FGPP a poweshell history 49

Souhrn Snadnější správa Windows Server 2012 Managed Service Accounts pro farmy (gmsa) Podpora cross-domain Kerberos Constrained Delegation Spoofování Kerberos protokolu znesnadněno Active Directory UI Podpora ADAC pro Fine Grained Password Policies Možnost vidět Windows PowerShell skripty k akcím v GUI Snadné skriptování replikace a topologie Active Directory Windows PowerShell Cmdlets V minulosti Managed Service Accounts pouze a jednom serveru Kerberos Constrained Delegation (KCD) pouze v rámci jedné domény Kerberos spoofovatelný Žádné GUI pro Recycle Bin ani Fine Grained Password Policies PowerShell se musí psát od základu Různé nástroje pro správu replikací a topologie

Souhrn Snadnější nasazení Windows Server 2012 Bezpečně s virtualizací Snadné nasazení Optimalizovaný instalátor pro různé scénáře Remoting a automatické hledání FSMO Kontroly stávajícího prostředí pro minimalizaci chyb Plná podpora Windows PowerShell pro automatizované nasazení Rychlé nasazení DC pomocí klonování Integrace nasazení AD FS V minulosti Použití snímkování virtualizovaných DC může rozvrátit stav celé AD Příprava Active Directory při migraci je komplexní a zahrnuje několik kroků Instalace DC příliš složitá Nasazení nepodporuje remoting a vyžaduje interaktivní přihlášení na DC Složitá automatizace

Přehled minimálních požadavků S tímto nasazení + První Windows Server 2012 domain-member (nebo Windows 8 s RSAT) + První Windows Server 2012 DC + Windows Server 2012 DC s PDC FSMO... Jsou tyto funkce k dispozici New Active Directory Administrative Center Windows PowerShell History Viewer Graphical Recycle Bin and FGPP management Richer authorization through DAC & FCI Active Directory-based Activation Requires Windows Server 2012 schema extensions Active Directory Replication & Topology Cmdlets AD FS (v2.1) Simplified Deployment and Preparation Dynamic Access Control policies and claims Kerberos Claims in AD FS (v2.1) Cross-domain Kerberos Constrained Delegation Group Managed Service Accounts Virtualization-Safe for the Windows Server 2012 DC requires Hypervisor support for VM-Gen-ID Rapid virtual DC deployment through DC-cloning requires Hypervisor support for VM-Gen-ID