[Dongclee의 2014년 첫 번째 포스팅] Windows Server 10 Technical Preview의 신규 기능 소개
안녕하세요.. 정말 오래 간만에 블로그에 포스팅합니다. 한 동안 기술적인 일 보다는 다른 업무를 수행하다 보니, 여러분들을 자주 볼 수 없었습니다. 뭐 제 글을 기다려 주신 분이 있다면, 죄송한 마음을 먼저 전합니다. 제가 블로그 포스팅을 한 1년 넘게 중단했지만, 늘 마음 속으로는 포스팅해야 겠다는 의지는 있었습니다. 그러나, 제 의지와는 무관하게 점점 침침한 눈 및 저질 체력으로 점차 technical 지원이 제 일이 아님을 느끼게 되었습니다. 그런데, 지난 9월 30일에 Windows Server 10 Technical Preview 및 Windows 10 Technical Preview 신규 운영체제가 발표되면서 다시 제 마음 속의 의지가 다시 꿈틀대기 시작했습니다. 신규 운영체제의 신규 기능에 대해서 궁금증이 폭발했습니다. 그래서, 부족하지만, 신규 기능을 정리해 보았습니다. 정리된 글 자체는 영어 및 한글이 혼합되어 있고, 또한 제가 정확히 이해하지 못 한 부분도 상당 부분 존재합니다. 또한, Technet 자료를 급하게 정리하다 보니, 매끄럽지 못 한 문장도 많습니다. 그래도, 이러한 부족한 점에도 불구하고, 여러분들과 신규 기능에 대해서 논의하고자 이렇게 글을 적습니다. 제가 잘못 이해한 부분이 있다면, 여러분들의 신랄한 지적 부탁 드립니다. 제가 이번 포스팅에서는 단순히 기능 소개만 했지만, 시간이 허락한다면 예전과 같이 신규 기능에 대한 Step-by-Step 가이드를 제공하도록 하겠습니다. 물론, 이 약속을 지킬 수 있을지는 솔직히 자신할 수가 없네요,,, ㅎㅎㅎㅎ,
아직 RTM 버전이 나오기 위해서는 1년여 정도 시간이 더 필요하다고 합니다. 그 기간 동안, 저도 최대한 여러분들에게 많은 자료 공유할 테니, 여러분들도 저에게 많은 자료 공유 부탁 드립니다.
감사합니다.
---------------------------------------------------------------------------------------------------------------
What's new for Hyper-V in the Technical Preview
기존 Windows Server 2012 R2에서 생성된 VM을 사용하고 있다면, Windows Server 10 Preview의 신규 VM 기능을 사용할려면, 먼저 수동으로 Virtual Machine Configuration Version을 업데이트 해야 합니다. 구성 버전을 업그레이드하기 위하여, VM을 셧다운시킨 후, Windows PowerShell 에서 다음 명령어를 수행합니다.
Update-VmConfigurationVersion vmname or vmobject
Rolling Hyper-V Cluster Upgrade
Windows Server 2012 R2 기반의 Hyper-V 호스트 클러스터 환경에 Window Server 10 Preview 기반의 Hyper-V 호스트를 추가할 수 있습니다. Hyper-V 호스트 클러스터 내의 모든 노드가 Windows Server 10 Preview로 업그레이드되기 前까지, 기존 Hyper-V 호스트 클러스터는 Windows Server 2012 R2 기능 수준으로 동작합니다. 클러스터 기능 수준은 다음 Windows PowerShell 명령어를 사용하여 업그레이드 할 수 있습니다.
Update-ClusterFunctionalLevel
(중요) 클러스터 기능 수준을 Windows Server 10 Preview 클러스터 기능 수준으로 업그레이드 한 후에, 다시 Windows Server 2012 R2 클러스터 기능 수준으로 다운그레이드 할 수는 없습니다.
Hyper-V 호스트 클러스터 내에 Windows Server 2012 R2 기반 노드와 Windows Server 10 Preview 기반 노드가 혼합되어 있을 때, VM들은 Hyper-V 호스트 클러스터 내의 모든 노드들 사이에서 자유롭게 이동(Quick 또는 Live Migration)할 수 있습니다.
클러스터 기능 수준이 Windows Server 2012 R2 일 경우에, Hyper-V 호스트 클러스터에 다음 기능을 적용할 수 있습니다.
클러스터, Hyper-V 및 VM 관리는 Windows Server 10 Preview 노드 상의 관리도구 나 Windows 10 Preview 노드 상의 관리도구를 통해 가능합니다.
Hyper-V 호스트 클러스터 상의 모든 노드가 Windows Server 10 Preview 노드로 업그레이드 되고, 클러스터 기능 수준이 업그레이드되고 난 後에, 새로운 Hyper-V 기능을 사용할 수 있습니다.
기존 VM의 구성 버전은 바로 업그레이드되지 않고, 클러스터 기능 수준이 업그레이드되고 난 후에, 비로소 최종적으로 VM의 구성 버전을 업그레이드 할 수 있습니다.
Windows Server 10 Preview Hyper-V 호스트에서 신규로 생성되는 VM은 “VM 구성 단계 5” 즉, Windows Server 2012 R2 Hyper-V 호스트에서도 호환성을 유지합니다.
클러스터 기능 수준이 Windows Server 10 Preview로 업그레이드 된 後에, 다음과 같은 기능을 사용할 수 있습니다.
신규 VM 기능을 활성화하기 위해서, 관라지는 VM의 구성 단계를 다음 명령어를 사용하여 수동으로 업그레이드해야 합니다; Update-VmConfigurationVersion cmdlet
신규 Hyper-V 기능을 활성화 할 수 있습니다.
신규로 Windows Server 2012 R2 Hyper-V 호스트를 더 이상 Hyper-V 호스트 클러스터에 추가할 수 없습니다.
(중요) Windows 10 클라이언트 Hyper-V 는 장애조치 클러스터링 기능을 지원하지 않습니다.
Storage quality of service (QoS)
Scale-Out 파일 서버 상에서 저장소 QoS 정책을 설정할 수 있습니다. QoS 정책이 설정된 저장소에 Hyper-V VM의 가상 디스크를 하나 또는 그 이상을 위치시킬 수 있습니다. QoS 정책이 설정된 저장소 성능은 저장소 워크로드 변동에 맞게 설정된 QoS 정책에 따라 자동적으로 조정됩니다. 예를 들어, 이러한 기능을 이용하면, 고위임원용 VM 과 일반사원용 VM의 속도를 차별화할 수 있습니다.
Virtual Machine Configuration Version
Windows Server 2012 R2 Hyper-V 호스트 상에서 운영되는 VM을 Windows Server 10 Preview Hyper-V 호스트 상으로 이동 또는 import 할 때, VM의 구성 파일은 자동적으로 업그레이드 되지 않습니다. VM의 구성 파일을 자동적으로 업그레이드 하지 않는 이유 중의 하나의 해당 VM이 Windows Server 2012 R2 Hyper-V 호스트로 다시 roll-back 할 경우를 대비하기 위함입니다. 그러므로, Windows Server 10 Preview Hyper-V 호스트 상의 신규 기능을 사용하기 위해서, 기존 VM의 구성 파일을 수동으로 모두 업데이트해야 합니다.
VM 구성 파일은 VM 구성, 저장 상태 및 스냅샷 파일의 버전 정보를 모두 포함하고 있습니다. “구성 버전 5” 인 VM은 Windows Server 2012 R2와 호환성을 유지하고 있습니다. 그러므로, “구성 버전 5” 인 VM은 Windows Server 2012 R2 및 Windows Server 10 Hyper-V 호스트에서 모두 수행될 수 있습니다. “구성 버전 6” 인 VM은 Windows Server 10 Preview와 호환성을 유지하고 있습니다. 그러므로, “구성 버전 6” 인 VM은 Windows Server 2012 R2 Hyper-T 호스트에서 수행될 수 없습니다.
Hyper-V 상에서 운영되는 VM의 구성 버전 확인 방법
- Get-VM * | Format-Table Name, Version
VM의 구성 버전 업그레이드 방법
- Update-VmConfigurationVersion vmname
또는
-
- Update-VmConfigurationVersion vmobject
(중요)
VM의 구성 버전을 업그레이드 한 후에, 해당 VM은 Windows Server 2012 R2 Hyper-V 호스트 상에서 수행되지 않습니다.
구성 버전 6 에서 구성 버전 5로 다운그레이드 할 수 없습니다.
VM 구성 버전을 업그레이드하기 위해서는 해당 VM을 반드시 turn off 해야 합니다.
클러스터 기능 수준이 Windows Server 2012 R2 인 환경에서, 위에서 수행한 각종 cmdlet은 Hyper-V 호스트 클러스터에서 작동하지 않습니다.
구성 버전을 업그레이드 한 후에, 해당 VM은 신규 구성 파일 포맷을 사용할 수 있습니다.
New virtual machine configuration file format
VM 구성 데이터의 읽기 및 쓰기 효율성을 향상시킨 신규 구성 파일 포맷을 제공합니다. 또한, 저장소 오류로 인한 데이터 손상 가능성을 줄이기 위한 목적으로 신규 구성 파일 포맷을 제공합니다. 신규 구성 파일은 VM 구성 데이터를 위해 .VMCX 확장자를 사용하고, runtime 상태 저장을 위해서 .VMRS 확장자를 사용합니다.
(중요) .VMCX 파일은 binary 형식이고, .VMCX 및 .VMRS 파일의 직접적인 편집 기능은 지원되지 않습니다.
Production Checkpoint
Production Checkpoint 기능을 활용하면, VM의 “point in time” 이미지를 쉽게 생성할 수 있습니다. “point in time” 이미지를 이용하여, VM의 특정 시점 상태로 손 쉽게 복구할 수 있습니다. Production Checkpoint 기능은 saved state 기술을 사용하는 대신에 guest VM 내의 백업 기술을 사용합니다. 즉, Production Checkpoint 는 Windows VM 내의 VSS (Volume Snapshot Service) 기능을 사용합니다. Linux VM은 파일 시스템 일관성 checkpoint를 생성하기 위해서 내부의 파일 시스템 버퍼를 flush 합니다. 관리자가 saved state 기술을 사용하여 checkpoint를 생성하고자 한다면, 관리자는 해당 VM을 위한 표준 checkpoint를 여전히 사용할 수 있습니다.
(중요) 신규 VM은 기본적으로 Production Checkpoint를 생성하기 위하여 표준 checkpoint 를 사용할 수도 있습니다.
Hyper-V Manager Improvements
Alternate credentials support – 원격 Hyper-V 호스트를 연결할 때, Hyper-V 관리자 도구에서 다른 자격증명을 입력할 수 있습니다. 또한, 추후에 다시 동일 원격 Hyper-V 호스트에 연결 시에 사용하기 위하여, 자격 증명을 저장하여 사용할 수 있습니다.
Down-level management – Windows Server 10 Preview Hyper-V 관리자 도구는 다양한 Hyper-V 호스트 버전을 관리할 수 있습니다. Windows Server 10 Preview Hyper-V 관리자 도구는 Windows Server 2012, Windows 8, Windows 2012 R2 및 Windows 8.1 Hyper-V 호스트를 관리할 수 있습니다.
Updated management protocol – CredSSP, Kerberos 및 NTLM 인증을 허용하는 WS-MAN 프로토콜을 사용하여 원격 Hyper-V 호스트와 통신하기 위하여, Hyper-V 관리자는 업데이트됩니다. CredSSP를 사용하여 원격 Hyper-V 호스트에 연결하게 되면, 관리자는 첫 번째AD constrained delegation을 활성화하지 않아도 라이브 마이그레이션을 수행할 수 있습니다. 즉, Windows Server 10 Preview Hyper-V 관리자는 자동으로 WS-MAN 프로토콜을 업데이트하여, 라이브 마이그레이션을 수행할 수 있습니다. 또한, WS-MAN 기반 인프라로의 마이그레이션은 기본적으로 80 포트를 사용하기 때문에, 원격 호스트에 연결하기 위한 관리를 단순화 할 수 있습니다. 즉, 원격 Hyper-V 호스트를 접근하기 위한 방화벽 포트 관리도 단순화 할 수 있습니다.
Integration Services delivered through Windows Update
Windows Server 10 Preview 발표 이후에, Windows Guest를 위한 Integration Service 업데이트는 “Windows Update”를 통해 배포될 것입니다. 이 기능이 제공됨으로써, “Integration Service”의 업데이트는 더 이상 서비스 제공자 및 Private 클라우드 호스팅 업체에게 의존하는 것이 아니라, “Integration Service”의 업데이트 제어는 VM을 소유하는 실제 사용자에게 넘기는 것을 의미합니다. Tenants 들은 단일 방법을 사용하여 Integration Service를 포함한 모든 업데이트를 자신의 VM에 직접 적용할 수 있습니다.
(중요) vmguest.iso 파일은 더 이상 제공되지 않고, 또한 Windows Server 10 Preview Hyper-V에 더 이상 포함되지 않습니다.
Hot add and remove for network adapters and memory
VM이 수행 중인 동안에 다운타임 없이, 관리자는 VM에 네트워크 어댑터를 추가 및 삭제할 수 있습니다. 이 기능은 Windows 및 Linux 운영체제가 수행되는 2세대 VM에서만 가능합니다. 또한, Dynamic Memory 기능이 활성화되어 있지 않더라도, 관리자는 운영 중인 VM에 할당된 메모리의 크기를 수정할 수 있습니다.
(중요) Hot Add Memory 기능은 Windows Server 10 Preview 또는 Window 10 Preview Hyper-V 호스트 상에서 운영 중인 2세대 VM에서 동작합니다.
Linux secure boot
2세대 VM에서 운영 중인 Linux 운영 체제는 secure boot 기능을 활성화하여 부팅할 수 있습니다. Windows Server 10 Preview 및 Windows 10 Preview Hyper-V 호스트 상의 Unbuntu 14.04 및 그 이후 버전 & SUSE Linux Enterprise Server12 버전을 운영하는 VM만이 secure boot 기능을 사용할 수 있습니다. 관리자는 처음에 VM을 부팅하기 前에, VM이 Microsoft UEFI CA를 사용하도록 관리자는 반드시 지정해야만 합니다. 이 작업을 수행하기 위한 cmdlet은 아래와 같습니다:
Set-VMFirmware vmname -SecureBootTemplate MicrosoftUEFICertificateAuthority
Compatible with Connected Standby
Always On/Always Connected(AOAC) 파워 모델을 사용하는 호스트 컴퓨터에서 Hyper-V 역할을 활성화 했을 때, Connected Standby 파워 상태는 사용 가능하고 예상대로 동작합니다.
---------------------------------------------------------------------------------------------------------------
What’s New in Networking in Windows Server Technical Preview
Windows Server 10 Preview에서 아래와 같이 다양한 네트워크 기술이 신규로 추가되거나 향상되었습니다.
DNS Client
DNS Server
GRE Tunneling
Network Controller
DNS Client
DNS Client service binding: Windows 10 Preview 에서, DNS 클라이언트 서비스는 하나 이상의 네트워크 인터페이스를 컴퓨터를 위한 향상된 기능을 제공합니다. Multi-homed 컴퓨터를 위해, DNS resolution은 다음과 같은 방법으로 최적화됩니다:
- 특정 인터페이스에 구성된 DNS 서버가 DNS 질의를 처리하기 위해 사용되었을 때, DNS 클라이언트 서비스는 DNS 질의를 보내기 前에, 질의에 사용될 DNS 서버가 구성된 특정 인터페이스를 사용하도록 지정할 수 있습니다. 특정 인터페이스에 바인딩 함으로써, Name resolution에 사용되는 인터페이스를 DNS 클라이언트에게 분명하게 지정할 수 있습니다.
DNS Server
DNS Logging and Diagnostics: DNS 서버 서비스는 DNS 감사 이벤트 및 DNS 분석 이벤트를 포함한 향상된 로깅 및 진단 기능을 제공합니다.
DNS Policies: DNS 서버 정책은 Windows Server 10 Preview 에 포함된 신규 기능입니다. DNS 정책을 사용하게 되면, 관리자는 DNS 질의에 대한 응답을 제어할 수 있도록 DNS 서버를 구성할 수 있습니다. DNS 정책은 location-aware DNS, 트래픽 관리, 부하 분산 및 다양한 시나리오를 가능하게 합니다.
GRE Tunneling
Windows Server 10 Preview는 Windows Server Gateway를 위한 Generic Routing Encapsulation (GRE) 터널을 사용할 수 있는 기능을 제공합니다.
GRE는 다양하고 광범위한 네트워크 프로토콜 계층을 encapsulate 할 수 있는 lightweight 터널링 프로토콜이다. Microsoft GRE 는 IPv4 및 IPv6 를 encapsulate 할 수 있습니다. GRE 터널은 아래와 같은 이유 때문에 다양한 시나리오에 사용될 수 있습니다:
GRE 터널은 lightweight 이고 RFC 2890 호환입니다. RFC 2890 호환성은 다양한 벤더의 디바이스와 상호 작용할 수 있는 기반을 제공합니다.
BGP는 동적 라우팅에 통합될 수 있습니다.
Multi-tenancy 를 지원합니다.
GRE 터널은 VM 관리자와 함께 관리될 수 있습니다.
6 core VM 상에서 2.0Gbps 속도를 지원합니다.
단일 게이트웨이는 다중 연결 모드를 지원합니다.
터널 기반의 GRE는 “tenant 가상 네트워크” 와 “외부 네트워크” 사이의 연결성을 제공합니다. GRE 프로토콜은 lightweight 이고, GRE 지원이 대부분의 네트워크 디바이스에서 지원되기 때문에, 데이터 암호를 요구하지 않는 터널링에 가장 이상적인 프로토콜이 될 수 있습니다. Site-To-Site (S2S) 터널에서 GRE 지원은 multi-tenant 게이트웨이를 사용하는 “tenant 외부 네트워크” 와 “tenant 가상 네트워크” 사이의 네트워크 패킷 포워딩 문제를 해결할 수 있는 방안을 제공합니다.
GRE 터널 기능은 다음과 같은 요구사항을 해결할 수 있도록 설계되어 있습니다;
호스팅 제공자는 물리적 스위치 구성을 수정하지 않고 네트워크 패킷 포워딩을 위한 가상 네트워크를 생성할 수 있습니다.
호스팅 제공자는 호스팅 제공자 인프라 내의 물리적 스위치 구성을 수정하지 않고 호스팅 업체의 외부 네트워크에 서브넷을 추가할 수 있습니다.
Software Defined Networking을 구현하고자 하는 호스팅 서비스 제공자를 위한 다양한 중요 시나리오에 대한 해결책을 GRE 터널이 제공합니다.
아래는 다양한 중요 시나리오 예제입니다:
Key Scenario
Access from tenant virtual networks to tenant physical networks
호스팅 서비스 제공자 on premise 에 위치하는 tenant 물리 네트워크로부터 tenant 가상 네트워크 사이의 접근 기능을 제공합니다. GRE 터널 끝점은 multitenant 게이트웨이에 연결합니다. 다른 GRE 터널 끝점은 물리 네트워크 상의 third-party 디바이스에 연결합니다. 가상 네트워크 내의 VM 과 물리 네트워크 상의 third-party 디바이스 사이에서 Layer-3 네트워크 트래픽이 라우팅 될 수 있도록 구성됩니다.
High speed connectivity
호스팅 제공자 네트워크 상에 위치하는 가상 네트워크 와 on premise 네트워크 상의 tenant 사이에서 고속의 연결성을 제공합니다. Tenant(Red Enterprise Site 1)는 MPLS (Multiprotocol Label Switching)를 통해 서비스 제공자 네트워크에 연결합니다. “Tenant의 가상 네트워크에 연결된 multitenant 게이트웨이” 와 “호스팅 서비스 제공자의 edge 라우터” 사이에 GRE 터널이 생성됩니다.
Integration with VLAN based isolation
Hyper-V 네트워크 가상화와 VLAN 기반isolation 을 통합할 수 있는 기능을 제공합니다. 호스팅 제공자 네트워크 내의 물리 네트워크는 VLAN 기반 isolation을 사용하는 load balancer를 구성합니다. 물리 네트워크 내의 load balancer 와 가상 네트워크 상의 multitenant 게이트웨이 사이에 GRE 터널을 생성합니다. 다중 GRE 터널은 source 와 destination 사이에 생성됩니다. GRE key는 각기 다른 터널을 구분하기 위하여 사용됩니다.
Access shared resources
호스팅 제공자 네트워크 상에 위치하는 물리 네트워크 내의 공유 자원을 접근할 수 있는 기능을 제공합니다. 호스팅 제공자 네트워크 내에 위치하는 물리 네트워크 상의 특정 서버 공유 자원을 다중 tenant 가상 네트워크 내의 VM들이 접근할 수 있도록 구성할 수 있습니다. Non-overlapping 서브넷이 포함된 tenant 네트워크는 GRE 터널을 통해 공통 네트워크에 접근할 수 있습니다. 단일 tenant 게이트웨이는 GRE 터널들 사이에서 라우팅 할 수 있습니다. 그러므로, 적절한 tenant 네트워크에 패킷이 라우팅됩니다. 이 시나리오에서, 단일 tenant 게이트웨이는 third-party 하드웨어 어플라이언스 제품으로 대체될 수 있습니다.
Services of third party devices to tenants
이 시나리오는 하드웨어 부하 분산기와 같은 third-party 디바이스와 tenant 가상 네트워크 트래픽 흐름을 통합하는 것입니다. 예를 들어, Enterprise 사이트에서 시작된 네트워크 트래픽은 S2S 터널을 통해 multitenant 게이트웨이에 전달됩니다. 이 트래픽은 GRE 터널을 통해 부하 분산기로 라우팅 됩니다. 해당 부하 분산기는 Enterprise 가상 네트워크 상의 다중 VM에 트래픽을 라우팅 합니다. 이와 동일한 트래픽 전송이 다른 tenant 상에서 발생합니다. 이러한 다중 네트워크 트래픽은 VLAN을 사용하는 부하 분산기에 의해 분리되어 집니다.
구성 및 배포
GRE 터널은 S2S 인터페이스 내의 추가적인 프로토콜로 구성됩니다. GRE 터널은 아래 네트워킹 블로그에 설명된 IPSec S2S 터널과 유사한 방식으로 구현됩니다.
신규 GRE 터널 추가 예제
Cloud-side gateway
Add-VpnS2SInterface –Name GreCloudToEnt1 –Destination <Destination IP> -IPv4Subnet “10.1.1.0/24:1000” –GRETunnel –GREKey “12345” –SourceIP: <public interface IP> -RoutingDomain Rd1Enterprise-side gateway
Add-VpnS2SInterface –Name GreEnt1ToCloud –Destination <Destination IP> -IPv4Subnet “10.1.2.0/24:1000” –GRETunnel –GREKey “12345” –SourceIP: <Enterprise_IP>
기존 터널을 수정하는 예제
Cloud-side gateway
Get-VpnS2SInterface –Name GreCloudToEnt1 | Set-VpnS2SInterface –EnableQos Disabled –GRETunnel –RoutingDomain Rd1 (disables QoS)Enterprise-side gateway
Get-VpnS2SInterface –Name GreEnt1ToCloud | Set-VpnS2SInterface –EnableQos Disabled – GRETunnel (disables QoS)
Get-VpnS2SInterface –Name GreEnt1ToCloud | Set-VpnS2SInterface -TxBandwidthKbps 15360 -RxBandwidthKbps 15360 –GRETunnel (Increases rate-limit)
기존 GRE 터널 삭제
Cloud-side gateway
Get-VpnS2SInterface –Name GreCloudToEnt1 | Set-VpnS2SInterface –AdminStatus $false – GRETunnel –RoutingDomain Rd1Enterprise-side gateway
Get-VpnS2SInterface –Name GreEnt1ToCloud | Set-VpnS2SInterface –AdminStatus $false -GRETunnel
추가 정보
New! Windows Server 2012 R2 RRAS Multitenant Gateway Deployment Guide
Deploy Border Gateway Protocol (BGP) with the RRAS Multitenant Gateway
Network Controller
Network Controller는 Windows Server 10 Preview에 신규로 추가된 역할입니다. Network Controller는 데이터센터 또는 클러스터 내의 아래 기능을 구성, 모니터 및 트러블슈팅 할 수 있도록 자동화 기능을 제공하는 highly available 및 scalable 서버 역할입니다:
Virtual Networks
Physical Networks
Network Services
Network Topology
IP Address Management
SCVMM 20102 R2 및 SCCM 2012 R2와 같은 관리 어플리케이션과 Network Controller 를 동시에 사용하여 데이터센터 네트워크를 관리할 수 있습니다. Network Controller는 데이터센터 내의 네트워크 인프라를 구성, 모니터, 프로그램 및 트러블슈팅 할 수 있는 기능을 제공합니다.
관리자는 Network Controller와 직접적으로 상호 작용할 수 있는 관리 도구를 사용합니다. Network Controller는 네트워크 인프라에 관련된 정보를 제공합니다.
---------------------------------------------------------------------------------------------------------------
Windows Defender Overview for Windows Server 10 Preview
Windows Server 10 Preview는 Windows Defender를 포함합니다. Windows Defender는 이미 알려진 malware에 대해서 Windows Server 10 Preview를 즉각적이고 적극적으로 보호할 수 있는 malware protection 입니다. Windows Defender는 Windows Update를 통해 정기적으로 antimalware definition를 업데이트합니다.
Using Windows Defender
기본적으로, Windows Defender는 Windows Server 10 Preview에 설치되어 있습니다. 그러나, 사용자 인터페이스는 기본적으로 설치되어 있지 않습니다. 관리자는 WMI, Windows PowerShell 또는 그룹 정책을 통해 Windows Defender를 관리할 수 있습니다.
Windows Defender의 사용자 인터페이스를 설치하고자 한다면, 관리자는 Add Roles and Features Wizard 또는 Install-WindowsFeature cmdlet 를 사용하여 설치합니다.
(Tip) Windows Defender를 비활성화 할려면, 관리자는 Remove Roles and Features Wizard 또는 Remove-WindowsFeature cmdlet를 사용하여 제거해야만 합니다.
Malware 검사의 기본 배제 영역은 Windows Defender에 포함되어 있습니다. 컴퓨터의 성능을 최적화하기 위하여, 배제 영역은 Malware Scan으로부터 배제된 파일, 폴더, 설정 및 프로세스 항목입니다.
(Tip) Windows Defender에 포함된 antimalware 엔진을 위한 Windows Defender 이벤트 메시지는 이벤트 페이지에서 확인할 수 있습니다.
Verify Windows Defender is running
Windows Defender가 서버에서 수행되는 것을 확인하기 위해서, 다음 명령어를 수행합니다:
sc query Windefend
sc query 명령어는 Windows Defender 서비스에 관한 정보를 반환합니다. Windows Defender가 수행 중이면, STATE 값은 RUNNINGS 를 반환합니다.
Update antimalware definitions
업데이트된 antimalware definitions을 설치하기 위해서, 관리자는 Windows Update 서비스를 수행해야 합니다. 관리자가 WSUS와 같은 업데이트 관리 서비스를 사용한다면, Windows Defender definitions 업데이트가 승인 상태임을 확인해야 합니다.
기본적으로, Windows Update는 Windows Server 10 Preview에 업데이트 정의를 자동적으로 다운로드 또는 설치하지 않습니다. 아래 방법 중의 하나를 사용하여 definitions의 다운로드 및 설치 방법을 구성할 수 있습니다:
제어판의 Windows Update
Install updates automatically: Windows Defender 정의 업데이트를 포함하여 모든 업데이트 항목을 자동적으로 설치하는 option 입니다.
Download updates but let me choose whether to install them: Windows Defender 정의 업데이트를 자동으로 다운로드하고 설치할 수 있는 option 입니다. Windows Defender 정의 업데이트를 제외한 나머지 모든 업데이트 항목은 자동적으로 설치되지 않는 option 입니다.
그룹 정책 : 관리자는 그룹 정책에서 사용 가능한 다양한 option을 사용하여 Windows Update를 관리 및 설정할 수 있습니다. 그룹 정책 경로는 다음과 같습니다: Administrative Templates\Windows Components\Windows Update\Configure Automatic Updates
AUOptions 레지스트리 키: 정의 업데이트 자동적으로 다운로드 및 설치할 수 있도록 다음 1개의 값을 구성할 수 있습니다
4 (Install updates automatically): 4는 Windows Defender 정의 업데이트를 포함하여 모든 업데이트 항목을 설치합니다.
3 (Download updates but let me choose whether to install them): Windows Defender 정의 업데이트를 자동으로 다운로드하고 설치할 수 있는 option 입니다. Windows Defender 정의 업데이트를 제외한 나머지 모든 업데이트 항목은 자동적으로 설치되지 않는 option 입니다.
Malware로부터 보호됨을 확인하기 위해서, 다음 서비스를 활성화하는 것을 권장합니다:
Windows Defender Network Inspection service
Windows Error Reporting service
Windows Update service
Windows Defender 서비스 및 종속 서비스의 항목은 아래 표와 같습니다.
Service Name |
File Location |
Description |
Windows Defender Service (Windefend) |
C:\Program Files\Windows Defender\MsMpEng.exe |
This is the main Windows Defender service that needs to be running at all times. |
Windows Defender Network Inspection Service (Wdnissvc) |
C:\Program Files\Windows Defender\NisSrv.exe |
This service is invoked when Windows Defender encounters a trigger to load it. |
Windows Error Reporting Service (Wersvc) |
C:\WINDOWS\System32\svchost.exe -k WerSvcGroup |
This service sends error reports back to Microsoft. |
Windows Firewall (MpsSvc) |
C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork |
We recommend leaving the Windows Firewall service enabled. |
Windows Update (Wuauserv) |
C:\WINDOWS\system32\svchost.exe -k netsvcs |
Windows Update is needed to get definition updates and antimalware engine updates |
Disable Windows Defender real-time monitoring
실시간 모니터링은 기본적으로 Windows Server 10 Preview 에서 활성화되어 있습니다.
(중요) Windows Defender 실시간 모니터링 비활성화는 Windows Defender가 사용하는 파일 및 프로그램에 대한 스캔을 금지할 수 있습니다. 그러나, 예정된 antimalware 스캔을 중지할 수는 없습니다. Windows Server 10 Preview 컴퓨터는 antimalware 스캔에 의해 여전히 보호됩니다만, antimalware 스캔이 수행되지 않는 기간 동안 malicious 소프트웨어에 의해 잠재적인 위험을 노출될 수 있습니다.
실시간 모니터링을 비활성화하기 위해, 관리자 권한으로 Windows PowerShell 콘솔에서 아래 명령어를 수행합니다:
Set-MpPreference -DisableRealtimeMonitoring $true
Enable Windows Defender real-time monitoring
실시간 모니터링을 활성화하기 위해, 관리자 권한으로 Windows PowerShell 콘솔에서 아래 명령어를 수행합니다:
Set-MpPreference -DisableRealtimeMonitoring $false
Submit Samples
Sample Submission기능은 Microsoft 사가 잠재적인 malicious 소프트웨어의 샘플 수집을 할 수 있도록 합니다. Provide continued & up-to-date 보호에 도움을 주기 위하여, Microsoft 연구자는 잠재적인 malicious 소프트웨어의 의심되는 행위를 분석하기 위해 이러한 샘플을 사용합니다.
Microsoft 사는 EXE 파일 및 DLL 파일과 같은 프로그램 수행 파일들을 수집합니다. Microsoft 사는 Microsoft 워드 문서 및 PDF 파일과 같은 개인 데이터가 포함된 파일을 수집하지 않습니다.
Enable automatic sample submission
관리자 권한으로 regedit 를 시작합니다.
다음 키를 찾습니다: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\SpyNet
다음 설정 중의 하나를 구성하기 위해 SubmitSampleConsent 값을 설정합니다.
0: 항상 데이터 전송 전에 질의합니다. Windows Defender 서비스는 모든 요구되는 파일의 submission을 확인하기 위해 사용자에게 전송 여부에 대한 질의를 합니다. 이 값은 Windows Defender의 기본 설정입니다. 그러나, GUI 환경 없는 Windows Defender 10 Preview 사용을 권장하지 않습니다.
1: safe 샘플은 자동적으로 전송합니다. Windows Defender 서비스는 “safe”로 마크된 모든 파일을 전송하고, 나머지는 파일에 대해서는 전송 여부에 대해서 질의합니다.
2: 어떠한 파일도 결코 전송하지 않습니다. Windows Defender 서비스는 어떠한 파일도 전송하지 않고, 전송 여부에 대한 질의조차 하지 않습니다.
3: 모든 샘플 파일을 자동적으로 전송합니다. Windows Defender 서비스는 전송 여부에 대한 질의 없이 바로 모든 파일을 전송합니다.
Exclusion
Windows Defender가 스캔하지 않는 파일, 디렉토리 및 프로세스는 Windows Server 10 Preview에 기본적으로 설정되어 있습니다. 이러한 기본 스캔 배제 설정을 변경하지 않기를 권장합니다. Window Defender는 각 서버 역할에 맞게 기본 스캔 배제 설정이 자동 및 최적화되어 구성됩니다.
스캔 배제 영역을 추가하기 위하여, 관리자 권한으로 Windows PowerShell 콘솔에서 아래 명령어를 수행합니다:
Add-MpPreference -ExclusionPath "c:\temp"
(경고) Windows Server 10 Preview 환경에서는, 스캔 배제 영역 추가 작업이 성능에 영향을 미칠 수도 있습니다.
스캔 배제 영역을 제거하기 위하여, 관리자 권한으로 Windows PowerShell 콘솔에서 아래 명령어를 수행합니다:
Remove-MpPreference -ExclusionPath "c:\temp"
(경고) Windows Server 10 Preview 환경에서는, 스캔 배제 영역 제거 작업이 성능에 영향을 미칠 수도 있습니다.
Default exclusions
Windows Defender 기본 배제 영역은 다음 레지스트리에 정의되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths
Registry Key |
Value |
%allusersprofile% \\NTUser.pol |
dword:00000000 |
%systemroot% \\system32\\GroupPolicy\\registry.pol |
dword:00000000 |
%windir% \\Security\\database\\*.chk |
dword:00000000 |
%windir% \\Security\\database\\*.edb |
dword:00000000 |
%windir% \\Security\\database\\*.jrs |
dword:00000000 |
%windir% \\Security\\database\\*.log |
dword:00000000 |
%windir% \\Security\\database\\*.sdb |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Datastore.edb |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\edb.chk |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\edb*.log |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\Edbres00001.jrs |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\Edbres00002.jrs |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\Res1.log |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\Res2.log |
dword:00000000 |
%windir% \\SoftwareDistribution\\Datastore\\Logs\\tmp.edb |
dword:00000000 |
%systemdrive% \\clusterstorage |
dword:00000000 |
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
Registry Key |
Value |
DisableScriptScanning |
dword:00000001 |
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Scan
Registry Key |
Value |
AvgCPULoadFactor |
dword:0000001e |
CheckForSignaturesBeforeRunningScan |
dword:00000001 |
DisableHeuristics |
dword:00000000 |
DisableScanningNetworkFiles |
dword:00000001 |
DisableArchiveScanning |
dword:00000001 |
DisableScanningMappedNetworkDrivesForFullScan |
dword:00000001 |
DisableRemovableDriveScanning |
dword:00000001 |
DisableRestorePoint |
dword:00000001 |
DisableCatchupQuickScan |
dword:00000001 |
DisableCatchupFullScan |
dword:00000001 |
PurgeItemsAfterDelay |
dword:00000000 |
ScanParameters |
dword:00000001 |
ScanOnlyIfIdle |
dword:00000001 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\SpyNet
Registry Key |
Value |
SpyNetReporting |
dword:00000001 |
---------------------------------------------------------------------------------------------------------------
What’s New in Remote Desktop Services in the Windows Server Technical Preview
Enabling engineering and designer applications with OpenGL and OpenCL Support
Windows Server 2012 및 R2 버전의 Remote Desktop Service 에서, 최종 사용자 경험 측면에서 RemoteFX 그래픽 구현에 최적화되어 있었습니다. 이제 Windows Server 10 Preview 의 Remote Desktop Service 에서, Windows VDI 환경에서의 경험을 향상시키고, OpenGL 및 고용량의 메모리 지원과 같은 최적의 RemoteFX 기능을 제공합니다. 특히, 아래와 같은 기능을 지원합니다:
OpenGL 4.4 & OpenCL 1.1 API 지원
구성 가능하고 더 큰 전용 비디오 메모리 지원. 더 큰 전용 VRAM 및 구성 가능한 VRAM 지원
어플리케이션 호환성 및 안정성의 향상
MultiPoint Services role in Windows Server
임시로 “MultiPoint Services” 라는 새로운 역할이 Windows Server 배포에 추가되어, Windows MultiPoint 서버 역할을 수행할 수 있습니다. MultiPoint 서비스는 물리적 단일 컴퓨터를 사용하면서, 다수의 사용자들이 자신 만의 Windows 환경을 유지할 수 있는 기능입니다. 이러한 사용자들이 공유 컴퓨터에 로그인 했을 때, 사용자들은 표준 및 공유 테스크탑 환경이 아닌 자신만의 데스크탑 환경을 유지할 수 있습니다.
기술적인 관점에서, 관리자가 MultiPoint 서비스 역할을 설치했을 때, 관리자는 또한 RDSH 역할을 설치해야 합니다. MultiPoint 서비스와 RDSH 조합은 최저의 TCO 를 제공합니다. 또한, RDSH 세션 및 다른 디바이스의 관리를 위해 orchestration 도구를 사용할 수 있는 장점도 제공합니다.
---------------------------------------------------------------------------------------------------------------
What’s New in Storage Services in Windows Server Technical Preview
Storage Quality of Service
관리자가 Storage QoS 기능을 사용하면, end-to-end 스토리지 성능을 중앙집중적으로 모니터링 할 수 있습니다. 또한, Windows Server 10 Preview 내의 Hyper-V 및 Scale-Out File Server 기능에 대해서 Storage QoS 정책을 적용할 수 있습니다.
Storage QoS 의 추가된 기능
Scale-Out File Server 기능에 Storage QoS 정책을 생성하고, Scale-Out File Server 상의 Hyper-V VM의 가상 디스크에 Storage QoS 정책을 할당합니다. QoS 정책이 설정된 저장소 성능은 저장소 워크로드 변동에 맞게 설정된 QoS 정책에 따라 자동적으로 조정됩니다.
각 정책은 단일 VM 또는 VM 그룹에 적용할 수 있는 예약(최소) 및 제한(최대) 값을 지정할 수 있습니다.
Window PowerShell 또는 WMI를 사용하여 다음 작업을 수행할 수 있습니다:
Scale-Out File Server 에 정책 생성
Scale-Out File Server 상에 가용한 정책에 대한 평가
Hyper-V 호스트 상의 가상 하드 디스크에 정책 할당
각 정책 내의 flow 및 status의 성능 모니터링
다중 가상 하드 디스크가 동일한 정책을 공유한다면, 성능은 정책의 최소 및 최대 값 내에서 요구되는 사용량에 맞게 분산될 것입니다. 그러므로, Storage QoS정책은 아래 단위로 생성 및 할당합니다:
단일 VM
특정 서비스를 구성하는 다중 VM
동일 tenant 내의 모든 VM
Storage QoS 기능은 Windows Server 10 Preview 에 새롭게 추가된 기능입니다. 그러므로, 이전 버전의 Windows Server에서는 이 정책을 구성할 수 없습니다.
Storage Replica
Storage Replica(SR)은 Disaster Recovery 를 위해 서버 사이의storage-agnostic(스토리지 업체 무관), block-level, 동기 복제를 가능하게 하는 신규 기능입니다. 이러한 기능을 사용하여 Failover Clustering 기능을 확장할 수 있습니다. 스토리지가 손상되는 경우에도, 동기 복제는 파일 시스템 단계에서 데이터 손실이 전혀 없는 데이터 미러링을 가능하게 합니다. 비동기 복제는 데이터 손실 가능성이 있는 원거리 사이트 복제에 적합합니다.
Storage Replica는 다음과 같은 장점을 제공합니다:
Mission-Critical 워크로드의 정상 및 비정상 장애를 대비하기 위한 Microsoft Disaster Recovery 솔루션입니다.
검증된 안정성, 확장성 및 성능을 제공하는 SMB3 기술을 사용합니다.
Metropolitan 사이에 위치하는 두 서버 사이에서 Failover Clustering을 확장할 수 있습니다.
Hyper-V, Storage Replica, Storage Spaces, Cluster, Scale-Out File Server, SMB3, Deduplication, and ReFS/NTFS 와 같은 저장소 및 클러스터링에 Storage Replica를 적용할 수 있습니다.
다음과 같은 경우에 비용 및 복잡성을 제거합니다:
DAS 또는 SAN과 같은 특정 스토리지 구성에 대한 특별한 요구사항이 필요 없습니다. 즉, 하드웨어에 대한 종속성이 없습니다.
보편적인 스토리지 및 네트워킹 기술 사용
Failover Clustering Manager 관리도구를 사용하여 각 노드 및 클러스터 내의 Storage Replica 기능을 손 쉽게 관리할 수 있습니다.
Windows PowerShell을 사용하여 Storage Replica 기능을 손 쉽게 관리할 수 있습니다.
다운타임 최소화, 고유의 안정성 및 생산성 향상을 제공
---------------------------------------------------------------------------------------------------------------
What’s New in Failover Clustering in Windows Server Technical Preview
Cluster Operating System Rolling Upgrade
Hyper-V 또는Scale-Out File Server 워크로드를 중지하지 않고, Windows Server 2012 R2 에서 Windows Server 10 Preview 로 클러스터 노드를 업그레이드할 수 있는 “Cluster Operating System Rolling Upgrade” 기능을 제공합니다. 이 기능을 사용하면, SLA 기반의 다운타임 벌금을 피할 수 있습니다.
What value does this change add?
Hyper-V 또는Scale-Out File Server 워크로드가 운영되는 클러스터 노드 운영체제를 Windows Server 2012 R2로부터 Windows Server 10 Preview로 업그레이드하는 과정은 더 이상 다운타임이 필요 없습니다. 해당 클러스터의 모든 노드가 Windows Server 10 Preview로 업그레이드 되기 전까지, 클러스터 기능 수준은 Windows Server 2012 R2로 동작합니다.
클러스터 기능 수준을 Windows Server 10 Preview 로 업그레이드하기 위해서, 아래 Windows PowerShell cmdlet를 사용합니다:
Update-ClusterFunctionalLevel
(경고)
클러스터 기능 수준을 Windows Server 10 Preview 클러스터 기능 수준으로 업그레이드 한 후에, 다시 Windows Server 2012 R2 클러스터 기능 수준으로 다운그레이드 할 수는 없습니다.
What works differently?
Hyper-V 또는 Scale-Out File Server 클러스터는 더 이상 다운타임 없이 업그레이드를 할 수 있습니다. 기존 Windows Server 2012 R2 기반의 클러스터의 마이그레이션 과정은 기존 클러스터 오프라인, 각 노드에 신규 운영 체제 설치 후에 클러스터를 온라인 하는 작업으로 진행됩니다. 즉, 기존 마이그레이션 과정은 무겁고 반드시 다운타임이 필요합니다. Windows Server 10 Preview 에서, 클러스터는 어떠한 다운타임도 필요하지 않습니다.
Windows Server 10 Preview로의 클러스터 마이그레이션 과정에서 각 노드에서는 아래와 같은 작업이 발생합니다:
노드는 pause되고, 해당 노드에서 운영되는 모든 VM은 drain 상태로 전환됩니다.
VM (또는 다른 워크로드)은 클러스터 내의 다른 노드로 이동합니다.
기존 운영체제는 제거되고, Windows Server 10 Preview 신규 운영체제 설치가 수행됩니다.
Windows Server 10 Preview 운영체제가 수행되는 노드가 클러스터에 추가됩니다.
이 시점에, 클러스터는 혼합 모드로 운영됩니다.
클러스터가 혼합 모드로 운영되는 시점에, 클러스터 기능 수준은 Windows Server 2012 R2 로 유지됩니다. Windows Server 2012 R2 클러스터 기능 수준에서, Windows Server 10 Preview 클러스터 기능 수준에서 제공되는 신규 기능을 사용할 수 없습니다.
최종적으로, 클러스터 내의 모든 노드가 Windows Server 10 Preview 운영 체제로 업그레이드 됩니다.
마지막으로, 클러스터 기능 수준을 Windows Server 10 Preview 기능 수준으로 업그레이드 하는 작업을 수행합니다. “Update-ClusterFunctionalLevel” Windows PowerShell cmdlet를 사용하여 클러스터 기능 수준을 업그레이드 합니다.
---------------------------------------------------------------------------------------------------------------
What’s New in Web Application Proxy in Windows Server Technical Preview
아래와 같이 Web Application Proxy의 신규 기능을 제공합니다. 기존 TMG 및 UAG에서 제공되는 기능을 Windows Server 10 Preview의 Web Application Proxy 에서 제공합니다.
- Preauthentication for HTTP Basic application publishing: 스마트폰을 포함한 다양한 클라이언트가 Exchange 메일 사서함에 연결하기 위해 사용되는 ActiveSync와 같은 다양한 프로토콜에서 사용하는 인증 방법이 HTTP Basic 입니다. 기존 Web Application Proxy는 ActiveSync 클라이언트를 지원하지 않는 redirection 방식을 사용하는 AD FS와 동작합니다. 그러나, 신규 Web Application Proxy는 HTTP 어플리케이션을 활성화함으로써 HTTP Basic 인증 방식을 사용하는 어플리케이션을 외부에 공개할 수 있습니다.
- Wildcard domain publishing of applications: SharePoint 2013와 같은 어플리케이션의 외부 공개 시나리오를 지원하기 위하여, 예를 들어, https://*.sp-apps.contoso.com 와 같은 특정 도메인 내의 다중 어플리케이션을 외부에 공개하기 위해서 wildcard 도메인 지원이 필요합니다. 이러한 wildcard 도메인을 지원하면, SharePoint 어플리케이션의 외부 공개를 단순화 할 수 있습니다.
- HTTP to HTTPS redirection: URL에서 HTTPS를 입력하더라도, 자동으로 HTTP로 리디렉션 할 수 있는 HTTP to HTTPS redirection 기능을 제공합니다.
- HTTP publishing: pass-through preauthentication 기능을 사용하여 HTTP application 을 외부에 공개할 수 있습니다.
- Publishing of Remote Desktop Gateway apps: Remote Desktop Gateway 어플리케이션의 외부 공개 기능을 제공합니다.
- New debug log for better troubleshooting and improved service log for complete audit trail and improved error handling: 좀 더 향상된 트러블슈팅을 위해 새로운 debug 로그를 제공합니다.
- Administrator Console UI improvements
- Propagation of client IP address to backend applications
---------------------------------------------------------------------------------------------------------------