Egy évtized eredményei - avagy mit adhat nekünk egy új platform? Farkas Attila Tanácsadó Microsoft Magyarország Kovács Zoltán Architect Microsoft Magyarország
A Windows Server fejlesztés fókusz területei Szervervirtualizáció Adattárolás Hálózat Felügyelet, automati- záció Web és alkalmazás platform Hozzáférés és információ biztonság Virtuális desktop infrastruktúra
Szervervirtualizáció Skálázhatóság, teljesítmény Biztonság, elszigetelés Flexibilitás Rendelkezésre állás Massive Scale Extensible Switch Live Migration NIC Teaming Virtual NUMA ARP/ND Protection LM with Compression 64 Node Clusters 64TB VHDX File Format Virtual Port ACLs LM over RDMA Enhanced Guest Clustering Online VHDX Resize Trunk Mode to VMs Storage Live Migration Shared VHDX Offloaded Data Transfer Network Traffic Monitoring Shared Nothing LM Virtual Machine Monitoring Virtual Fiber Channel VM Live Cloning Teljesítmény: Óriási diszkek, óriási memóriák Jó erőforrás kihasználás (QoS) Mérhetőség Biztonság: Cloud igények Felxibilitás Live migration Linux support Rendelkezésre állás Clusterek Guest clusterek Azure backup Replica PVLANS vRSS & DVMQ Enhanced Linux Support Cluster Aware Updating BitLocker Drive Encryption SR-IOV Priority & Affinity Network Virtualization Dynamic Memory Windows Server Backup Multi-Tenant HNV Gateway Resource Metering Windows Azure Backup Network QoS Hyper-V Replica Storage QoS Hyper-V Recovery Manager
Távoli asztal, Virtual Desktop Infrastructure Felügyelet Flexibilitás Felhasználói érzet Simple deployment User profile disk RemoteApp Consolidated admin UI Fair share RemoteFX (WAN) Common conception (Session, Pool, Personal) Flexible storage options GPU support VDI elnevezés (Session, Pooled, Personal) Egyszerű kialakítás RemoteApp Deduplikáció Extensible Gateway Authentication Single server deployment USB Redirection Deduplication Multitouch Session host upgrade Tiered storage Quick reconnect
Felügyelet és automatizáció Szabványok követése PowerShell 4.0 Új admin felületek Open Management Infrastructure Network Switch management Physical Server management Desired State Configuration Declarative, repeatable deployment Defining exact configuration of target nodes Server Manager IPAM & virtual network management Essentials Experience Standard mgmt Hálózati eszközök, szerverek fizikai szintje WinRM PS Új parancsok, paraméterek Admin Server manager IPAM Declarative syntax extensions WinRM (WS-Man) Schema validation 16 new modules 652 new cmdlets 3603 new parameters
Web és alkalmazás platform Nagy sűrűségű multitenant website-ok Konzisztens és ismételhető konfiguráció Nagy teljesítményű web alkalmazások Kiterjeszthetőség, együttműködés Server Name Indication (SNI) Shared configuration Application initialization Embraces web standards Configuratiion editor CPU throttling Common development platform across clouds Non-Uniform Memory Architecture (NUMA) Dynamic FTP and IP restrictions SNI Centralized SSL Store
Hálózat Szoftverből definiált hálózatok (SDN) Rendelkezésre állás Hálózati teljesítmény Adatközponti hálózat Hyper-V Network Virtualization SMB Multichannel SMB Direct IP Address Management DHCP Failover Virtual RSS Hyper-V Switch Extensibility Windows PowerShell Resource Metering QoS DVMQ Multi-tenant S2S VPN Gateway Network Management with System Center VMM NIC teaming SR-IOV Network Monitoring with System Center Operations Manager Remote Live Capture
A jól ismert hálózati szolgáltatások evolúciója
DHCP elvárások, megoldások Failover Szolgáltatás folytonosság IP Cím folytonosság Alacsony költség Több telephelyes megoldás Korábbi megoldások Különálló szerverek Split scope DHCP cluster Új megoldás: DHCP Failover
DHCP failover (Aktív-Aktív) A kérések eloszlanak a 2 szerver között A bérletek replikációja Az egyik szerver elérhetetlenné válik Minden kérést kiszolgál a másik szerver
További kihívások a DHCP-vel szemben „Az IP telefonok számára speciális opciókat szeretnék kiosztani a MAC Address prefix alapján” „A hálózatunkhoz történő hozzáférést korlátozzuk, és a biztonsági megoldásaink mellett azt is szeretnénk ha az idegen eszközök nem kapnának automatikusan IP címet” „A szükséges QoS beállításaim IP tartományokhoz kötődnek, így az érintett eszközöknek innen kell címet kapniuk” „Többféle eszközt használunk a hálózatunkon, egyszerűsítené a menedzsmentet, ha ezek adott IP tartományokat használnának”
DHCP házirendek (DHCP Policy) Tech Ready 15 2/24/2017 DHCP házirendek (DHCP Policy) Smart Phone Policy 192.168.1.11 Feltétel Vendor Class = “SmartPhones” Beállítások IP Tartomány: 192.168.1.10-192.168.1.20 Bérleti idő: 4 óra DNS regisztráció: Nincs 192.168.1.10 © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Régi/új kihívások az IP címek kezelésében „Szükségem van egy szabad IP címre, és egy DNS rekordra ami arra a címre mutat” „Követni szeretném a használt címtér állapotát, naprakészen látni a foglalt és elérhető címeket” „Szeretnék megváltoztatni egy DHCP opciót több scope-on, akár több szerveren” „Betelt egy scope, szeretném azt kiterjeszteni” „Nyomon kell követnem egy felhasználó vagy számítógép aktivitását” „Új részleget nyitunk, és IP subneteket kell ehhez allokálnom a címterünkből”
IP Address Management (IPAM) WS 2012 R2 IPAM Virtuális hálózatok kezelése Infrastruktúra szolgáltatás menedzsment . Fizikai és virtuálsi címtartományok egységes menedzsmentje SCVMM integráció Szerepkör alapú adminisztráció támogatása az IP címtérhez, a DHCP-hez és a DNS-hez Automatikus szerver felderítés Egy konzolból adminisztrálható DHCP több adatközpont esetén is DNS Konfiguráció Heterogén infrastruktúra menedzsment Delegált adminisztráció Skálázhatóság & Automatizáció Visszaállíthatóság Több példányos kialakítás SQL adatbázis PS felület Hálózati Audit & Átláthatóság Audit konfiguráció IP/felhasználó aktivitás követése IP felhasználás & trend
IPAM – Szerepkör alapú hozzáférés Az üzemeltetési feladatok szerepkörökhöz (Role) rendelődnek. Pl.: A DHCP Administrator lehet a gyűjtő szerepköre a címekre vonatkozó Create, Read, Update, Delete (C.R.U.D) műveleteknek A hálózati szolgáltatásokhoz tartozó elemekből képezzük a hatóköröket (Scope). Ezek üzemeltetési szempontból szeparált „szigeteket” alkotnak. Pl.: Minden DHCP scope ami a Budapesti telephelyhez tartozik a „Budapest” access scope-ot alkotja. Hatókör (Access Scope) Házirend Policy) Szerepkör (User Role) Felhasználó + Szerepkör + Hatókör Házirend
Demo IPAM
Az irodai fájlszolgáltatástól az adatközponti megoldásokig
Adattárolás Beépített nagyvállalati kategóriájú tároló megoldás a Windowsban Adat integritás A meglevő tárolók jobb kihasználása Egyszerűbb menedzsment Storage Tiering Live storage migration Mirrored and Parity Storage Spaces ODX Windows PowerShell Storage Spaces Cluster Shared Volume 2 Virtual Fibre Channel in Hyper-V SMI-S / SM-API SC DPM Persistent write-back cache Thin and trim provisioning SC Management Packs Windows Azure Backup Windows Cluster in a Box Data Deduplication iSCSI Software Target BPA JBOD storage + Windows = Nagyvállalati kategóriájú storage RAID, Tiering, QoS Meglevő investmentek védelme Hyper-V Recovery Manager SMB application support NFS enhancements SC VMM Management ReFS/NTFS enhancements VHDX online resize SMB Direct Storage QoS SMB Multichannel SMB transparent failover
Szükségünk van még fájlszerverre? 67% 2011-ben a világon elérhető tároló kapacitást ilyen arányban nem strukturált adat tárolására használjuk 79% A becsült arány 2017-re. Azaz kb 100,000 PB. IDC 2014 - Structured Versus Unstructured Data: The Balance of Power Continues to Shift
Hol tárolhatunk ma felhasználói adatokat? Személyes Személyhez kötődő vállalati Vállalati Saját eszközök Az adatok hely OneDrive Publikus felhő OneDrive for Business SharePoint / Office 365 Work Folders Fájlszerver Folder Redirection & CSC
Fájl szerver képességek (IW nézőpont) 2/24/2017 3:26 PM Fájl szerver képességek (IW nézőpont) DFS Replikáció Dynamic Access Control SMB 3.02 Work Folder User Experience Virtuali-zation DFS Névterek Általános használatú File Server Cluster BranchCache Mappa átirányítás és Kapcsolat nélküli fájlok File Server Resource Manager DFSN BranchCache © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Fájl szerver képességek (Adatközpont nézőpont) 2/24/2017 3:26 PM Fájl szerver képességek (Adatközpont nézőpont) Scale-Out File Server Cluster SMB Multichannel SMB Direct iSCSI NFS Storage Spaces SMB Encryption SMB Transparent Failover Data Deduplication StorSimple Scale-Out Depup SMB Transparent Failover © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Demo SMB Transparent Failover
Biztonsági szint növelése
Hozzáférés és információ biztonság Domain Services Rights Management Services Certificate Services DC Cloning Simplified SQL requirements Network Device Enrollment Virtualization just works Powershell support TPM Offline domain join Mobile device support Powershell support Server Core support ADFS 2.1 Easier private key backup Recycle bin GUI Simplified delegation Certificate lifecycle notifications AD based activation Stronger encryption Certificate renewal on workgrooup machines Group Managed Service Accounts
Új szolgáltatások Web Application Proxy (WAP) Workplace Join Work Folder DirectAccess Remote Desktop Gateway SSTP VPN
Biztonsági funkciók és képességek Kernel szintű újítások Security Auditing Applocker BitLocker Cryptography Next Generation támogatás Kerberos Virtual Smart Card Access Control Új Internet Explorer verzió …
BitLocker Nem megfelelő fizikai védelem, vagy annak hiánya BitLocker újdonságok (Windows Server 2012 / R2) Network Unlock CSV kötetek védelme Provisioning Használt tárterület titkosítás FIPS kompatibilis titkosítási algoritmus
Hagyományos FS jogosultság kiosztás Megszokás Ki (személy, csoport) Mivel (mappa, fájl) Mit (olvas, ír, töröl stb.) Ha nincs jog -> Igények A pénzügy tagjai férjenek hozzá a tartalomhoz Csak menedzselt gépről lehessen elérni a fájlt Csak a szegedi fiókból férjenek a tartalomhoz Ha nincs jogom, kitől kérhetek?
Dynamic Access Control User europe\attilf / S-1-5-21-12345-12345-12345 Groups MktgFTE / S-1-5-21-23456-23456-23456-23456-23456 RemoteAccess / S-1-5-21-34567-34567-34567-34567 High-PII / S-1-5-21-45678-45678-45678-45678 Claims “Szervezet” Dept_4329617375 String “Services” “Ország” Country_54927768 String “HU” Services HU Attilf HU
Dynamic Access Control Active Directory Domain Services Fájl szerver Felhasználó claims User.Department = Pénzügy User.Clearance = C típusú Eszköz claims Device.Department = Pénzügy Device.Managed = Igen Fájl tulajdonságok Resource.Department = Pénzügy Resource.Impact = Bizalmas Hozzáférési szabály A pénzügy bizalmas adataihoz történő hozzáféréshez a felhasználónak a pénzügyi osztályon kell dolgoznia, C típusú minősítéssel kell rendelkeznie és a pénzügy számára kiadott menedzselt gépről kell csatlakoznia.
Dynamic Access Control DAC előnyei Kevesebb csoporttagság kezelési feladat Központi, globális kontroll lehetőség Lehetőség van gép alapú korlátozásra Lehetőség van adat besorolása (klasszifikáció) Egyszerűbb jogosultság igénylés
Demo Dynamic Access Control
Példa: egy flexibilis, központosított fájlszolgáltatás DFSN \\Contoso\Home\zkovacs \\Contoso\Hungary\Marketing megosztás, Volume, dedup (Quota, Screening, Classification, Report) File Server Resource Manager Hozzáférés szabályozás (NTFS+DAC) SMB Work Folders Branch Cache Cluster Storage spaces Mirror Space Parity Space Storage HDD SSD Eszközök
© 2013 Microsoft Corporation. All rights reserved © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
IPAM - Architektúra
DHCP failover A replikációs kapcsolat beállítása A kliens címet kap az Scope replikáció Kapcsolat beállítása A replikációs kapcsolat beállítása A kliens címet kap az egyik szervertől „Binding Update” DHCP2 DHCP 1 A cím bérlet replikálódik a másik szerverre „Binding Ack” Az első szerver elérhetetlenné válik A kliens megpróbálja megújítani a címét IP kérés/megújítás IP kérés/megújítás IP kérés/megújítás IP kérés/megújítás A második szervertől megkapja a korábbi címet
DHCP failover (Aktív-Passzív) DHCP 1 (Aktív) DHCP 2 A bérletek replikációja Minden kérést az aktív szerver szolgál ki Az aktív szerver elérhetetlenné válik A tartalék szerver kiszolgálja a kérést
DHCP Házirendek (DHCP Policy) Tech Ready 15 2/24/2017 DHCP Házirendek (DHCP Policy) Printer Policy Feltétel Vendor Class = “HP Printer” Beállítások IP Tartomány: 192.168.1.30-192.168.1.40 Bérleti idő: 30 nap DNS Regisztráció: Igen 192.168.1.30 192.168.1.31 © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.