Miroslav Knotek, Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o.
[email protected] | www.konzultant.net | www.kpcs.cz Karel Florian IT Evangelist | Microsoft, s. r. o.
[email protected] | www.technetblog.cz
Virtualizace Management Webové sluţby Škálovatelnost a spolehlivost Branch Cache, Direct Access Novinky v Active Directory PKI
Následující nová verze 2012? 2 roky
4 roky
Major Release 2008
2 roky Release Update 2005
Major Release 2003
Release update 2009 H2
Dnes
Customer Segment
Consumer
Mid-Size Business
Small Business
Enterprise Business
Users 3
Integrovaná řešení
Servery pro obecné použití
15
50
75
300
500
Role Active Directory Domain Services Active Directory® Lightweight Directory Services Active Directory® Rights Management Services DHCP Server DNS Server File Services
Print Services Fax Server Hyper-V™ Web Services (Internet Information Services [IIS]) Server Core* Direct Access BranchCache Hosted Server
Foundation
Standard
Dostupná pouze jako OEM X64 – Bit Support Only 1 socket Support Only 8GB Memory Support (ECC) No Hyper-V SMB Connections (30) RRAS (50) IAS (10) TSG (50) Language Pack Support** 15 User Limit AD conditions – Foundation Server:
• Should only be added to the root of the Forest • Should not contain forest trusts in current forest
No Virtual Image Use Rights
Virtualizace
Web
Management
Hyper-V s tzv. Live Migration Hot Add/Remove VM Storage Remote Desktop Services
Management napájení PowerShell 2.0 AD Administrative Center Best Practices Analyzer
IIS 7.5 ASP .NET na Server Core Správa webu Publikace webu
Solidní základ pro podniková řešení Škálovatelnost a spolehlivost Podpora >64 Core „Komponentizace“
Better Together with Windows 7 DirectAccess ™ BranchCache ™ Vylepšené skupinové politky Remote Desktop & App Connections
Windows Server 2008 R2
Virtuální stanice
Uţivatel
Cluster Svazek 1
Virtuální stanice
Konfigurační data Synchronizace Obsah paměti RAM VHD
Síťové úloţiště
Cluster Svazek 2
Migrace virtuálních stanic bez přerušení provozu či poskytovaných sluţeb Výhody: Stálá síťová konektivita Vysoká dostupnost pro produkční prostředí Flexibilní správa Umoţňuje dynamické IT prostředí
Hyper-V Management Console Rozhraní PowerShell SC Virtual Machine Manager 2008
Boot z .vhd Poskytuje před-konfiguraci virtuálních či fyzických počítačů Sniţuje mnoţství spravovaných VHD image Zjednodušuje testovací nasazení VHD
Boot
RDS a VDI – Integrované řešení Jeden broker pro připojení uţivatelů k virtuálním stanicím. Hotové a připravené řešení pro scénáře VDI s Hyper-V
Vylepšení uživatelského prostředí Podpora multimédií, integrace VoIP, aero glass, podpora více monitorů
RemoteApp & Desktop Connections Hostované aplikace přítomny ve start menu, na ploše atd. Lze vyuţít k nasazení na nepracovní PC bez nutnosti lokálních instalací.
Vylepšená sada nástrojů pro správu Sníţení rutinních úkonů za pomoci RDS podpory Powershellu, vylepšené instalace aplikací, connection brokera a správy profilů.
Investice do platformy Větší moţnosti rozšíření o řešení partnerů pro RDS & VDI
RDS & VDI – integrované řešení
Remote Application Access
Remote Application Access
Podpora Hyper-V pro virtuální desktopy
RemoteApp & Desktop Connections
Podpora více monitorů
Single discovery, broker & publishing infrastructure
RemoteApp & Desktop & Web Access
Podpora multimédií a audio stopy
SCVMM Support
Vylepšení bezpečnosti RD Gateway
2D and 3D remoting for DirectX 10.1
Platform & Management
Nové API, rozšiřitelnost Connection Brokera.. Podpora Powershellu, Best Practices Analyzer
Remote App Servery Hyper-V Remote Desktop
Autentizace
Klient
Remote Desktop RemoteApp & Desktop Gateway Server Web Access Server
Remote Desktop Connection Broker
Hyper-V Remote Desktop
Remote App Server
Virtuální Desktop
Autentizace
Klient Remote Desktop Gateway Server
RemoteApp & Desktop Web Access Server
Remote Desktop Connection Broker
RemoteApp & Desktop Connections Ikony RemoteApp & Desktops jsou vestavěné ve start menu atd. Ikony se aktualizují automaticky
Podpora multimédií & Zvukového vstupu Přesměrování multimédií VoIP aplikace a rozeznání řeči
Podpora více monitorů Aţ do 10 monitorů s RemoteApp a Desktops Aplikace se pro uţivatele chovají zcela normální (jako lokálně instalované)
Aero efekty pro Remote Desktop Server Díky Remote Desktop Serveru mají uţivatelé stejné prostředí jako v lokálně instalovaných Windows 7
RemoteApp™ podporuje jazyková nastavení Moţnost konfigurace aplikací v jiných jazykových nastaveních (např. RTL apod.) oproti lokálnímu jazyku stanice
RDS a VDI – Integrované řešení Jeden broker pro připojení uţivatelů k virtuálním stanicím. Hotové a připravené řešení pro scénáře VDI s Hyper-V
RemoteApp & Desktop Connections Centrálně spravovaný seznam aplikací a desktopů (RDS & VDI) Automatická publikace, aktualizace a integrace ve Windows 7
RemoteApp & Desktop Web Access Integrované s RemoteApp & Desktop Connection nástroji správy Umoţňuje přístup k aplikacím a plochám z Windows 7, Vista & XP
Integrovaný Single Sign On jediné přihlášení pro spojení k RemoteApp & Desktop Forms based přihlášení pro přístup k RemoteApp & Desktop
Remote Desktop Gateway Session & Idle timeout pro nasazení politik a autoritativní refresh Moţnost autentizace a consent signing
Windows Server 2008 R2
Správa napájení Efektivnější administrace Remote Windows PowerShell Grafické rozhraní PowerShell Rozšíření Windows PowerShell skriptů AD & identity management Best Practice Analyzers
Core Parking Úprava P-states Centralizované úloţiště
2.8 GHz Dual Core Processor P-State Percent Frequency 0 100 2.800 GHz 1 90 2.520 GHz P-State=0 2 85 2.380 GHz Processor Processor 3 75 2.100 GHz Core 1 Active Core 2 Inactive 4 60 SAN1.680 GHz Processor 5 50 1.400 GHz
Core 1
P-State Percent Frequency 0 100 2.800 GHz Processor Processor 1 90 2.520 GHz P-State=4 Core 3 Inactive 2 Core 85 4 Inactive 2.380 GHz 3 75 2.100 GHz 4 60 1.680 GHz Processor 5 50 1.400 GHz
Core 2
Konzola správy Server Manager
Vylepšení • Podpora vzdálené správy počítačů
Active Directory Administrative Center (ADAC)
• Vyuţívá moţnosti PowerShellu • Rozhraní orientované na úkony
IIS Manager
• Vyuţívá moţnosti PowerShellu • Rozhraní orientované na úkony
Hyper-V™
• Nová konzola pro správu VM • Upravená podpora SCVMM
Fan-Out (jeden na více) Poslání skriptu Výběr vlastností – moţnost volby, které vlastnosti se vrátí zpět z výstupu Throttling – omezení souběţně běţících informací Podpora Async – Spouští příkaz u klienta na pozadí
Fan-In (více k jednomu) Hostingový model Sdílení statických dat mezi spojeními (eg: cmdlet metadata from snap-in) Údaje o chodu skriptu na klienta (eg: Connecting, Connected)
Out-GridView
Grafický PowerShell Rozhraní se záložkami Integrované prostředí pro vývoj
Barevná syntaxe
Integrovaný Best Practice Analyzer Ověřuje konfiguraci Vylepšuje stabilitu infrastruktury Napomáhá dosaţení úrovně SLA
Windows Server 2008 R2
Představení IIS 7.5 Rozšíření konzole IIS Manager
Snazší troubleshooting IIS 7.5 FTP Modulární architektura
Spolehlivější
Ovladatelnější
Vyšší dostupnost díky dynamickému vyřizování žádostí, vylepšené cache a novým nástrojům pro řešení problémů.
Zjednodušený a centralizovaný management díky novým nástrojům a možnostem pro vývojáře.
● Škálovatelná infrastruktura webových sluţeb ● Dynamická cache a komprese obsahu ● Diagnostické nástroje
Bezpečnější Vyšší bezpečnost a ochrana serveru za pomoci vylepšených metod publikace obsahu a filtraci jednotlivých žádostí.
Flexibilnější Flexibilní platforma s novými možnostmi podpory vývoje a hostování aplikací a publikování médií.
● Schopné nástroje správy
● Vylepšená ochrana serveru
● Podpora ASP.NET a PHP
● Centralizovaná správa webu
● Publikace bezpečeného obsahu
● Modulární webový server
● Delegovaná vzdálená správa
● Vylepšení kontroly přístupu
● Inteligentní publikací médií
Vylepšený IIS Manager Editor konfigurace IIS Manager UI Extensions Filtrování ţádostí (requestů)
Windows PowerShell Provider Podpora .NET na Server Core
Audit změn a nastavení aplikací Best Practice Analyzer
Podpora nových webových standardů FTP over SSL UTF8 IPv6
Virtual Host Names
Modularita a rozšiřitelnost
Windows Server 2008
Připravená a hotová rozšíření v IIS 7.5 Třetí strana
PowerShell Provider, publikace FTP, WebDAV a nové moduly IIS Administration Packu Windows Server 2008 R2
Extension
RTW
FTP Publishing Service for IIS 7.0
WebDAV for IIS 7.0
IIS 7.0 Manager for Remote Administration
Beta
IIS 7.0 Administration Pack
Windows PowerShell Provider for IIS 7.0
URL Rewriter URL Scan
Web Playlists Bit Rate Throttling
Future
Application Request Routing
Web Deployment Tool
Database Manager
Web Platform Installer
Web Application Installer
Windows Server 2008 R2
Výkon a škálovatelnost Failover Clustering ve WS2008 R2 Výkon úloţiště
256 logických jader (cores)
Méně práce v Server Core prostředí
Výkonné úložiště
Lepší vyuţití zdrojů Podporuje pouze 64bitové procesory Podporuje aţ 256 logických procesorů Windows Server 2008 R2 Hyper-V podporuje aţ 32 fyzických procesorů
Vylepšené prostředky pro virtualizaci Kaţdá VM podporuje aţ 4 logické procesory Podpora CPU Core Parking
OS sloţen z komponent Instalujte pouze to potřebné
Příklad: Server Core, Branch RODC Role = Active Directory Services Sluţby role = BitLocker Server = Kernel, TCP/IP & Security
Monitoring: clustery, svazky a aplikace
PowerShell Provider
Přístup pouze pro čtení
Windows Server 2003
Windows Server 2008 Windows Server 2008 R2
Nové HA role: DFS-Replication, Hyper-V a Terminal Services Session Broker
Windows Server 2008 R2
Souběžný přístup k jednomu disku
SAN
VHD Single volume
VHD
Disk 5
VHD
I/O přesměrováno po síti Přesměrování do Selhání svazku redundantní sítě
Volume sídlí na svazku 1 se Volume přesouvá na zdravý svazek
VM běžící běžící na na VM svazku 22 je je svazku nedotčena nedotčena
SAN
VHD
Výpadek konektivity k do I/O se řadí SAN fronty, než proběhne Nedostupnost změna majitele síťové cesty volume
Vyšší výkon iSCSI
Vyšší výkon pro multi-path SAN
Windows Server 2008 R2
DirectAccess™ BranchCache™
Read-Only DFS pro pobočkovou bezpečnost Provoz virtuálních desktopů Ochrana mobilních dat
Vzdálený přístup je teď doslova všudypřítomný Přístup odkudkoli pro Windows 7 a WS2008 R2 Transparentní zabezpečená konektivita; není třeba sluţeb dalšího klienta Pouţívá síťové technologie Windows Serveru 2008 Není třeba ţádných akcí pro připojení do korporátní sítě. Vyuţívá přístup na bázi politik Umoţňuje správu desktopu nezávislou na poloze či umístění klienta
IPv4 Devices
IPv6 zařízení IT desktop management
AD Group Policy, NAP, aktualizace
Nativní IPv6 s IPSec
Podpora IPv4 skrz 6to4 překladu nebo NAT-PT DirectAccess poskytuje transparentní a zabezpečný přístup k Možná správa intranetu bez nutnosti DirectAccess klientů Sluţby IPv6 VPN překladu
Podpora přímého spojení k IPv6 intranetu DirectAccess
Internet
Server
Umožňuje šifrování IPSec a autentizaci
Podpora řady síťových protokolů Windows 7 Client
Sniţuje zátěţ WAN Vůči uţivateli zcela transparentní Podporuje end-to-end šifrování mezi klientem a serverem Optimalizace protokolů HTTP, SMB a BITS Dva modely nasazení: Distribuovaný reţim Hostovaná cache
2. Klient 2 stahuje identifikátory z centrály Klient 1 Centrála
1. Klient 1 stahuje data z centrály
Pobočka
Klient 2
3. Klient 2 prohledává lokální síť, nachází a stahuje data od prvního klienta
2. Obsah je od Klienta 1 uložen do cache
4. Klient 2 stahuje data z cache
Klient 1 Centrála
1. Klient 1 stahuje data z centrály
Pobočka
Klient 2
3. Klient 2 stahuje indetifikátory z centrály
Povolení BranchCache za pomoci skupinových politik
Instalace volitelné “Windows Branch Cache” komponenty na webový či file R2 server
Hostovaná cache File Server
IIS Group Policy Management
Volitelně lze instalovat hostovanou cache na pobočce. Klienty lze konfigurovat za pomoci GPO.
Regionální datacentrum
Podpora pro read-only DFS Read-only DFS replika
Read/Write DFS replika
Pobočka
Poskytuje DFS repliku pouze pro čtení
Brání možným změnám v datech na pobočce
Mazání není povoleno
Windows Server 2008 R2
PowerShell Cmdlets Active Directory Administrative Center (ADAC) Best Practice Analyzer Koš pro AD Managed services accounts Offline přidání do domény Authentication Assurance
Původní omezení 30+ nástrojů CMD pro administraci AD nejsou při správě konzistentní Obtíţná kombinace těchto nástrojů pro vykonání komplexních úkonů
Co je nového? 85+ AD cmdlets pro jasnou administraci a konfiguraci AD DS a AD LDS Komunikace za pomoci Web Service protokolů Moţné pouţití k administraci Windows Server 2008 a 2003 řadičů; po staţení AD Web Service
Jednotná syntaxe a příkazy Snadná orientace Flexibilní formátování výstupu Cmdlety mohou být kombinovány za pomoci tzv. pipes k provedení komplexní operace End-to-End spravovatelnost s Group Policy, Exchange serverem etc.
Poskytuje spojení, kontexty sluţeb, bezpečnosti a cest Umoţňuje sdílení best practice napříč spojením Kombinace Cmdletů a providerů je známá uţivatelům Provádí v AD operace podobné souborovému systému nebo registrům – přejmenování, přesun apod.
Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership
Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADComputer Remove-ADComputerServiceAccount RemoveADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroup Remove-ADGroupMember Remove-ADObject Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Remove-ADUser Rename-ADObject Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount
Set-ADAccountControl Set-ADAccountExpiration Set-ADAccountPassword Set-ADComputer Set-ADDefaultDomainPasswordPolicy Set-ADDomain Set-ADDomainMode Set-ADFineGrainedPasswordPolicy Set-ADForest Set-ADForestMode Set-ADGroup Set-ADObject Set-ADOrganizationalUnit Set-ADServiceAccount Set-ADUser Uninstall-ADServiceAccount Unlock-ADAccount
Původní omezení Neefektivní rozhraní bez jasné orientace Příklad: nastavení nového hesla uţivatele
Rozloţení v MMC nebylo škálovatelné pro rozsáhlá nasazení
Co je nového? Úkoly prováděny za pomoci PowerShell Cmdletů Nový a přeskupený administrační model v GUI Konzistence mezi CLI a GUI moţnostmi správy Navigace přizpůsobená podpoře multidoménových či multiforestových prostředí
Progresivní zobrazení Orientace na úkoly Zaloţeno na Powershellu Multi-domény, Multi-foresty
Původní omezení Nedostupný nástroj pro automatické ověření správného nasazení AD
Co je nového? Analyzuje nastavení AD, které mohou způsobovat nejčastější problémy Vyuţívá PowerShell Cmdlets k získání dat Doporučuje řešení v rámci daného nasazení Dostupný přímo v Server Manageru
BPA verze 1.0 se zaměřuje hlavně na běţné DNS problémy Ověřuje SRV záznamy pro DC vedené na jeho DNS serveru A/AAAA záznamy DC jsou vedeny na jeho DNS serveru DC má platné jméno Schema Naming Master a Domain Naming Master FSMO jsou dle doporučení vedeny na stejném serveru RID a PDC jsou dle doporučení na stejném serveru Kaţdá doména by měla mít alespoň dva DC
Původní omezení Náhodně či omylem vymazané objekty z AD způsobovaly problémy, produkční omezení Náhodné výmazy jsou hlavním důvodem pro AD Disaster/Recovery scénářů
Co je nového? Koš (Recycle bin) pro AD DS a AD LDS objekty Funguje pouze s nejvyšším forest functional levelem Všechny řadiče ve forestu musí být Windows Server 2008 R2
180 dní Ţivý objekt
Tombstone Object
Windows Server 2008
Odpad
Vrací tombstone
LDAP OID 1.2.840.113556.1.4.417
Windows Server 2008 R2 se zapnutým košem (S vypnutým se chová jako WS2008)
Vrací smazáno
LDAP OID 1.2.840.113556.1.4.2064 Vrací smazané a recyklované
Ţivý objekt
Smazané objekty
180 dní
Tombstone Object
180 dní
Odpad
Původní omezení Správa jednotlivých účtů je zdlouhavá a komplikovaná Výpadky kvůli pravidelné údrţbě Příklad: výmaz hesla účtu pro sluţbu
Co je nového? Spravovatelné řešení pro izolaci sluţeb Vylepšená správa SPN v WS2008 R2 doménovém reţimu Niţší TCO díky absenci výpadků kvůli správě daného účtu Jen jeden účet pro sluţby na jednom serveru Bez nutnosti zásahu při správě hesel!
Původní omezení Nutný restart po přidání stanice do domény Nemoţnost přidání stanice do domény offline
Co je nového? Moţnost před-přípravy účtu stanice v doméně a úprava OS image pro hromadné nasazení Stanice/servery se přidají do domény při prvním startu Redukuje úsilí a čas nutný k nasazení v datacentrech
Windows Server 2008 R2
Nové scénáře PKI vyuţívají certifikáty s krátkou platností Network Access Protection (NAP) OCSP podpisové certifikáty
Existující řešení proti růstu DB: dedikované servery nebo vysoce nákladné čištění DB Windows Server 2008 R2 Administrator nastavuje zda CA zapisuje do DB vystavené certifikáty
Role CA je podporována na Server Core Lokální příkazy pro práci z příkazové řádky Vzdálená správa pomocí GUI Podpora správy klíčů pomocí HSM
Ostatní ADCS sluţby nejsou podporovány na Server Core
CA
3 4
5
1 2
Active Directory (AD)
Klient
CA startuje a načítá si šablony certifikátů z AD Klient načítá šablony certifikátů z AD Klient zasílá ţádost na CA CA doplní informace o subjektu na základě údajů v AD CA vydá certifikát a vrací ho klientovi
Několik AD forestů znamená: Několik CA serverů Několik CA klíčů Několik HSM Několik CA databází Atd.
CA
5 4
3
Active Directory
2
Klient
Account Forest
1
Active Directory (AD)
Klient
Resource Forest
Poţadavky Obousměrný vztah důvěry mezi AD foresty Windows Server 2008 R2 CA Windows XP a vyšší
CA načítá šablony certifikátů ze zdrojového forestu Klient načítá šablony certifikátů ze „svého“ forestu Toto vyţaduje manuální sychronizaci šablon certifikátů mezi AD foresty Úvodní nastavení Synchronizace změn během provozu
Best Practice Whitepaper pro PKI konsolidaci
Zjednodušená správa pro nasazení NAP Podpora instalace CA na Server Core Podpora jednotného PKI v prostředích s více AD foresty
W2K přináší šablony V1 W2K3 přináší šablony V2 Nepodporováno na W2K3 Standard Edition
W2K8 přináší šablony V3 Nepodporováno na W2K8 Standard Edition
CA provozovaná na Windows Server 2008 R2 Standard Edition podporuje všechny verze šablon Podporuje auto enrollment Podporuje archivaci privátních klíčů Atd.
Většina helpdesk incidentů v oblasti PKI je způsobena problémy v nastavení PKI Windows Server 2008 R2 PKI obsahuje vestavěný nástroj Best Practice Analyzer (BPA)
BPA Scan
Windows Vista
Odebrány duplicitní a archivované certifikáty
Ikony pro odlišení certifikátů pro smart karty
Můţeme označit enterprise kořenovou CA příznakem extended validation (EV) root Konfigurovatelné pomocí skupinové politiky
1. 2. 3. 4.
Všechny verze šablon jiţ v edici Standard Best Practice Analyzer Výběr certifikátů Enterprise SSL EV certifikáty
Umoţnit nové scénáře vyuţítí Windows jako PKI klienta Řešení pro správu serverových certifikátů od veřejných CA Vystavování certifikátů pro partnery Vystavování certifikátů pro počítače mimo AD B2C Můj certifikát pro Internetové bankovnictví
A další…
Active Directory (AD) Certificate Enrollment Policy WS
Pouze HTTP
1 2
5 1
Klient 3
7 6 4 Certificate Enrollment WS
CA
Tato sluţba zajistí, ţe systém má vţdy platný certifikát pro kaţdou konfigurovanou politiku vystavení certifikátu Implementace protokolu pro klient i server Udrţuje seznam serverů poskytující tuto HTTP sluţbu pomocí URI’s Funguje i na počítačích mimo doménu Konfigurovatelné pomocí GPO
Přidána další obrazovka s výběrem politiky vystavení
Správce se příhlásí na webový server Správce pomocí IE otevře stránky komerční CA a vytvoří si účet Správce potvrdí UAC dialog: Nastaví se URL k serveru komerční CA Nastaví a uloţí se přihlašovací údaje ke komerční CA Nastaví se pravidla pro vystavení Politika automatického obnovování Je vystaven a nainstalován certifikát pro webový server
Miroslav Knotek, Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o.
[email protected] | www.konzultant.net | www.kpcs.cz Karel Florian IT Evangelist | Microsoft, s. r. o.
[email protected] | www.technetblog.cz