Novinky ve Windows Serveru 2012 (1. část) Miroslav Knotek, Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o.
[email protected] | www.kpcs.cz | www.exchange4u.cz
Agenda Úvodní přehled Licence Edice Správa
Novinky v oblasti Active Directory
2
Trendyon
3
IInovace v technologiíchion
4
Cloudový OS
5
Windows Server 2012
Jednotná platforma pro všechny zákazníky • Snadno využitelné pro malé firmy po celém světě • Zároveň je na této platformě postavena řada světově významných Datových center, které následně poskytují služby pro zákazníky všech velikostí Virtualizace & Virtualizace Management První server Window Server 2012 Essentials
Small business
Windows Server 2012 Standard
Automatizova ná virtualizace & Management
Automatizova ná virtualizace & Management privátních cloudů
Windows Server 2012 Datacenter + Microsoft® System Center 2012
Midmarket
Hybridní prostředí
Enterprise
7
Windows Server 2012 edice Vysoce virtualizovaný privátní & hybridní cloud Windows Server 2012 Datacenter
Optimalizováno pro virtualizaci s nízkou hustotou virtuálních serverů
Neomezená virtualizace Všechny funkce 2 virtuální instance Všechny funkce
Windows Server 2012 Standard
Server pro malé firmy s připojením na cloud Windows Server 2012 Essentials
Ekonomicky výhodný server Windows Server 2012 Foundation
Do 25 uživatelů Žádná práva na virtualizaci Omezené funkce Do 15 uživatelů Žádná práva na virtualizaci Omezené funkce
8
Zjednodušené licencování pro Standard a Datacenter edice 2 edice, které se liší jen v právech na virtualizaci Datacenter edice nabízí neomezená práva na virtualizaci Standard edice nabízí právo na 2 virtuální instance
Společná struktura licencí Obě edice mají licence na procesor+ CAL Každá licence pokrývá 2 fyzické procesory na jednom serveru server
Stejné funkce napříč edicemi Vysoká dostupnost jako např. failover clustering je i ve Standard Stejná možnosti v oblasti využití kapacity procesoru i paměti napříč edicemi
9
Vybrané licenční otázky (1) Mohu rozdělit Windows Server 2012 licenci mezi více serverů? Ne. Každá licence může být přiřazena pouze k jednomu fyzickému serveru. Existuje stále Web Server edice Windows Serveru 2012? Ne. Nicméně Windows Server CALy nejsou požadovány pro přístup, pokud je tento přístup pouze k webové aplikaci. Kolik stojí Windows Server 2012 Standard / Datacenter edice? Ceny se mohou lišit dle regionu / prodejce / licenčního kanálu. Orientačně ale v open license: Datacenter 4809$, Standard 882$ 10
Vybrané licenční otázky (2) Mohou použít stávající WS2008 CAL k přístupu na Windows Server 2012? Ne. Je třeba Windows Server 2012 CAL. Potřebuji stále specializovaný CAL pro RDS/RMS? Ano, licenční požadavky pro RDS a RMS jsou beze změny. Bude další verze Windows SBS 2011 Standard? Ne.
11
Windows Server 2012 – možnosti nasazení Server Core Výchozí instalační volba RSAT pro vzdálenou GUI správu PowerShell podpora s více než 2300 cmdlety Dostupných více rolí a komponent
Server s GUI Ekvivalent Full Server ve Windows Server 2008 R2 Zahrnuto pro zpětnou kompatibilitu
Windows Server 2012 úrovně konfigurac Server s GUI
Klasický “Full Server” • Kompletní GUI rozhraní ve stylu Metro • Instalace Desktop Experience umožňuje spouštět aplikace ve stylu Metro apps NOVÉ Full Server bez části GUI • Není Explorer, Internet Explorer ani další asociované soubory
Minimal Server Interface
• MMC, Server Manager a některé aplety Ovládacího panelu jsou k dispozici • Poskytuje mnoho výhod Server Core pro ty aplikace nebo uživatele, kteří ještě nepřešli na Server Core
Server Core
Server Core • NOVÉ Je možné přepínat mezi Server Core a Full Server jednoduše instalací nebo odinstalací komponent
Přechod mezi Server Core a Full Server Server Manager Vzdáleně pouze z Server Core na Full Server
PowerShell
Přechod a PS cmdlety Full Server na Server Core POWERSHELL
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra Restart Vyžadován 1 reboot pro restart všech služeb POWERSHELL
Server Core to FullServer-Gui-Mgmt-Infra,ServerServer Install-WindowsFeature Gui-Shell -Restart
Nově Možnost
instalovat více komponent jedním příkazem – oddělení čárkou
Možnosti shellu: přehled Server Core
Minimal Server Interface
Server with a GUI
Desktop Experience
CMD
a
a
a
a
PowerShell/.NET
a
a
a
a
Server Manager
x
a
a
a
MMC
x
a
a
a
Control Panel
x
x
a
a
CPL Applets
x
Některé
a
a
Explorer Shell
x
x
a
a
Taskbar
x
x
a
a
System Tray
x
x
a
a
Internet Explorer
x
x
a
a
Help
x
x
a
a
Themes
x
x
x
a
Start screen (Metro)
x
x
a
a
Metro-style apps
x
x
x
a
Media Player
x
x
x
a
Snížení využití místa na disku Všechny role a komponenty jsou během instalace kopírovány do Windows Side by Side store (\windows\winsxs) Diskový prostor je tak využit i pro funkce a komponenty, které třeba nikdy instalovány nebudou
Windows Server 2012 má nově Features on Demand Umožňuje správci odebrat nepotřebné role a komponenty Soubory jsou odstraněny z Side by Side store Velmi užitečné pro zmenšení VHD při virtualizaci
Server Core a Features on Demand Server Core instalace používá Features on Demand automaticky Role a komponenty jsou z \windows\winsxs smazané Zobrazují se jako odebrané v PowerShellu
Zobrazují se jako Payload Removed v Dism.exe
Reinstalace rolí a komponent Server Manager PowerShell POWERSHELL
Install-WindowsFeature
-Source <Source>
Demo: server core vs server s GUI vs Minimal Server Interfac 21
Windows Server Management - filozofie V minulosti byl Windows Server skvělý operační systém pro samotný server a jeho zařízení. Windows Server 2012 je skvělý operační systém pro mnoho serverů a zařízení k nim připojená Ať už jsou fyzické nebo virtuální on premise nebo off premise
Nový Server Manager Dashboard Servery, role, & vlastní skupiny Properties; Events; Services; BPA; Performance; Roles/Features Customization/Personalization Integrovaná správa rolí
Bohaté možnosti řízení Filtering; Sorting; Grouping; Custom queries
Správa více serverů najednou Optimalizována vzdálená správa Plná podpora Remote Server Administration Tools Vylepšený ISE PowerShell
Server Manager Cmdlety
Windows PowerShell 3.0 Features Windows PowerShell Workflow .NET Framework 4 support Add-Member improvements Computer cmdlets CSV handling improvements Get-ChildItem attributes Get-Command improvements Get-Content -Tail Better history support Security cmdlet fixes Select-Object optimizations Select-String improvements Tee-Object -Append Disconnected sessions Idle timeout & server buffering control Invoke-Command in disconnected sessions Disconnected jobs STA mode by default Run with PowerShell context menu Updated console font & branding Console host start perf improvements ETW logging and tracing Module logging New Group Policy settings Output redirection for all streams Dynamic types & formats Word wrap Default properties on custom objects
Updatable help system Method overload discovery HelpUri attribute support HelpFile property on FunctionInfo New parser built on DLR Simplified Where and ForEach Remoting local variables via $using Array syntax for scalars Custom parameter value defaults Generic method invocation Typecasting deserialized objects Improved method overload selection New objects from hash tables Ordered hash tables Typecasting for parameter values $PSScriptRoot and $PSCommandPath Improved module discovery & import New module manifest keys Public abstract syntax tree Pipeline paging APIs Nested pipeline APIs Runspace pool cleanup API Public tab completion Windows RT API support Obsolete cmdlet attribute Verb & noun on FunctionInfo Web & REST cmdlets JSON cmdlets
CIM cmdlet authoring from WMI v2 CIM .NET APIs Core CIM cmdlets Runtime script compilation Engine reliability improvements Better Get-ChildItem network perf Cmdlet definition files Certificate provider improvements Credentials for FileSystem provider Alternate NTFS data stream support Move-Item across drives Remote module discovery & import Remote session autodisconnect & retry Transport options for remote sessions RunAs and SharedHost support Scheduled jobs Job integration with Task Scheduler Alternate credential support for jobs Session configuration files Module autoloading Command discovery improvements Special character handling LiteralPath support for core cmdlets Improved tab completion Intellisense Windows Management Framework 3.0 WinPE support Windows RT support
Windows PowerShell Web Access Windows PowerShell Web Services XAML-based workflows Script-based workflows Control Panel cmdlets Unblock-File cmdlet Workflow help Cmdlet to activity conversion Workflow persistence Improved WMI object formatting Heterogeneous object formatting Workflow logging Workflow extensibility Common workflow parameters Workflow execution environment Snippets ISE Add-ons IntelliSense support Show-Command Get-Help -ShowWindow Restart Manager support Script autosave support Out-GridView -PassThru XML syntax highlighting Block select Collapsible regions Contextual F1 support Script Explorer
Demo: nový server manager
26
Nové funkce a rozšíření Různé
Správa
Zjednodušené nasazení
Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Virtualizace je bezpečná pro doménové řadiče
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Rychlé hromadné nasazení
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Změny platformy
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Nové funkce a rozšíření Různé
Zjednodušené nasazení
Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení
Změny platformy
Zjednodušené nasazení Přípravné akce jako byl “Adprep /forestprep” jsou integrovány do instalačního procesu doménového řadiče Automaticky se provádí detailní kontrola splnění předpokladů před začátkem samotné instalace Integrováno do Server Manageru a plné podporován remoting Postaveno na Windows PowerShellu pro dosažení konzistence Konfigurační průvodce optimalizován pro všechny běžné scénáře
Demo: instalace DC
31
Nové funkce a rozšíření Různé
Zjednodušené nasazení
Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení
Změny platformy
Bezpečně s virtualizací - problém Standardní operace virtualizace (snímkování, kopie VM) způsobují rollback, se kterým si doménové řadiče předchozích verzí Windows Serveru neporadí USN bubbles – vznik trvalých nekonzistencí Lingering objekty Nekonzistetní hesla Nekonzistetní hodnoty atributů Konfliktní schéma v případě rollbacku Schema FSMO
Existuje také riziko vzniku různých objektů se stejným SIDem
Dopad na doménové řadiče
USN rollback nezdetekován: pouze 50 uživatelů se zreplikuje na oba DC Ostatní uživatelé jsou jen na jednom nebo druhém DC 100 uživatelů s RIDs 500-599 má konfliktní SID
Bezpečně s virtualizací - řešení Windows Server 2012 DC umí detekovat: Aplikování snímku (apply snapshot) Zkopírování VM
Založeno na “VM-generation ID” které virtualizační vrstva změní pokud je např. aplikován snímek Windows Server 2012 DC sleduje VM-generation ID a detekuje změny pro ochranu Active Directory Ochrana je zajištěna: zneplatnění RID pool Reset invocationID INITSYNC pro FSMO
Nové funkce a rozšíření Různé
Zjednodušené nasazení
Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení
Změny platformy
Rychlé nasazení: klonování DC a požadavky Windows Server 2012 virtualizovaný DC na virtualizační platformě s podporou VM-Generation-ID PDC FSMO musí být Windows Server 2012 pro autorizaci klonování zdrojový DC musí být autorizovaný pro klonování “Allow DC to create a clone of itself” Přidání zdrojového DC účtu do nové skupiny “Cloneable Domain Controllers”
DCCloneConfig.XML musí být na DC, které bude klonované v jednom z umístění: Složka s NTDS.DIT Výchozí DIT složka (%windir%\NTDS) Přenosná média (virtual floppy, USB, etc.)
Windows Server 2012 služby obvykle spojené s DC (DNS, FRS, DFSR) jsou podporované
Nové funkce a rozšíření Různé
Zjednodušené nasazení
Virtualizace je bezpečná pro doménové řadiče Rychlé hromadné nasazení
Změny platformy
Off-Premise Domain Join Rozšiřuje offline domain-join směrem ke splnění Direct Access požadavků Certifikáty Group Policy
Co to znamená? Počítač může být přidán do domény přes Internet pokud je doména dostupná pomocí Direct Access Získání blobu pro non-domain-joined počítač je offline proces, za který je zodpovědný administrátor
Nové funkce a rozšíření Různé
Správa
Zjednodušené nasazení
Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Virtualizace je bezpečná pro doménové řadiče
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Rychlé hromadné nasazení
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Změny platformy
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
AD odpadkový koš - GUI Integrováno do ADAC
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Aktivace pomocí Active Directory Náhrada KMS Využití stávající infrastruktury Active Directory pro aktivaci klientů Nejsou nutné žádné další servery Žádné RPC požadavky, používá pouze LDAP protokol Kompatibilní s RODC
Kromě úvodního nastavení dále již nedochází k zápisu do AD Úvodní aktivace CSVLK (customer-specific volume license key) vyžaduje: Jednorázový kontakt s Microsoft Activation Services přes Internet Klíč se zadává v rámci volume activation server role nebo z příkazové řádky Proces je nutné zopakovat pro každý AD forest
Aktivační informace jsou uloženy v konfiguračním oddíle AD Reprezentuje prokázání nákupu Počítače mohou být členem kterékoliv domény v rámci AD forestu
Všechny PC s Windows 8 se zaktivují automaticky
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Active Directory Windows PowerShell History Viewer Správce může vidět historii Windows PowerShell příkazů vyvolaných pomocí Administrative Center, např. Přidání uživatele do skupiny UI zobrazí the equivalent Active Directory Windows PowerShell command Správce může následně snadno použít syntaxi v rámci svých automatizačních skriptů
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Fine-Grained Password Policy Vytváření, editace a přiřazení PSO nově pomocí Active Directory Administrative Center Zásadně zjednodušuje správu FGPP
Demo: GUI pro odpadkový koš, FGPP a poweshell history 49
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Nové funkce a rozšíření Správa Uživatelské rozhraní pro odpadkový koš
Dynamic Access Control
Active Directory PowerShell History Viewer
Aktivace pomocí Active Directory
Uživatelské rozhraní pro Fine-Grained Password Policy
Rozšíření možností Kerberos
Active Directory replikace & topologie cmdlety
Účty typu Group Managed Service
Souhrn Snadnější správa Windows Server 2012 Managed Service Accounts pro farmy (gMSA) Podpora cross-domain Kerberos Constrained Delegation Spoofování Kerberos protokolu znesnadněno Active Directory UI Podpora ADAC pro Fine Grained Password Policies Možnost vidět Windows PowerShell skripty k akcím v GUI
Snadné skriptování replikace a topologie Active Directory Windows PowerShell Cmdlets
V minulosti…
Managed Service Accounts pouze a jednom serveru Kerberos Constrained Delegation (KCD) pouze v rámci jedné domény Kerberos spoofovatelný Žádné GUI pro Recycle Bin ani Fine Grained Password Policies PowerShell se musí psát od základu Různé nástroje pro správu replikací a topologie
Souhrn Snadnější nasazení Windows Server 2012
Bezpečně s virtualizací Snadné nasazení Optimalizovaný instalátor pro různé scénáře Remoting a automatické hledání FSMO Kontroly stávajícího prostředí pro minimalizaci chyb Plná podpora Windows PowerShell pro automatizované nasazení
Rychlé nasazení DC pomocí klonování Integrace nasazení AD FS
V minulosti…
Použití snímkování virtualizovaných DC může rozvrátit stav celé AD Příprava Active Directory při migraci je komplexní a zahrnuje několik kroků Instalace DC příliš složitá Nasazení nepodporuje remoting a vyžaduje interaktivní přihlášení na DC Složitá automatizace
Přehled minimálních požadavků S tímto nasazení…
... Jsou tyto funkce k dispozici •
+ První Windows Server 2012 domain-member (nebo Windows 8 s RSAT)
• • • •
• •
+ První Windows Server 2012 DC
+ Windows Server 2012 DC s PDC FSMO
• • •
•
New Active Directory Administrative Center • Windows PowerShell History Viewer • Graphical Recycle Bin and FGPP management Richer authorization through DAC & FCI Active Directory-based Activation • Requires Windows Server 2012 schema extensions Active Directory Replication & Topology Cmdlets AD FS (v2.1)
Simplified Deployment and Preparation Dynamic Access Control policies and claims • Kerberos Claims in AD FS (v2.1) Cross-domain Kerberos Constrained Delegation Group Managed Service Accounts Virtualization-Safe for the Windows Server 2012 DC • requires Hypervisor support for VM-Gen-ID Rapid virtual DC deployment through DC-cloning • requires Hypervisor support for VM-Gen-ID
