Server Longhorn opět blíž

Uvolnění veřejně dostupné verze BETA3 serveru s kódovým jménem Longhorn je již otázkou několika dní a  je tedy čas hovořit o tom co nového lze od něj očekávat.

VELKÝCH novinek a zlepšení bude mnoho a účel tohoto článku je shrnout ty nejvýznamnější a stručně je popsat. Jelikož vychází Windows Vista i server Longhorn ze stejného programového základu, změn celkově je opravdu celá řada a i když si zaslouží pozornost, např. jen v oblasti zabezpečení: UAC, session 0 isolation, service isolation, v tomto článku pro ně není prostor. Každá ze zde popsaných funkcionalit a technologií si zaslouží samostatný článek, ty budou postupně vycházet na našem Technet blogu.

Server Core

V průběhu instalace serveru máte na výběr zvolit instalaci serveru core, což je „ořezaná“ verze operačního systému určená pro specifické služby které má poskytovat. Instalace trvá poměrně krátkou dobu a to co se vám po dokončení instalace zobrazí je tento shell. Klasické GUI vůbec není nainstalováno, nenajdete tu tedy explorer či internetový prohlížeč.

 
..poněkud nezvyklé prostředí pro správu v prostředí Windows

Instaluje se jen jakési „jádro“ serveru což má za následek i nižší HW nároky na server jako takový. Instalace samotná zabere na disku jen okolo 1 GB místa. Použití této instalační možnosti má smysl pro jednoúčelové serverové úkoly, kde není třeba grafického rozhraní a plné podpory aplikačního rozhraní. Na takovém serveru běží jen nezbytně nutné služby a snižuje se prostor pro možné útoky na slabiny OS, zjednodušuje se správa a významně klesá i počet aktualizací, které je třeba instalovat. Navíc má tento mód serveru podporu správy pomocí zásad skupinové politiky, terminal services (cmd řádek) a dalších mechanismů.

Samotná instalace serveru, i s rolemi, lze pomocí odpovědního souboru provést automaticky.

Možné role serveru Core
Server Core je určen pro běh těchto služeb:

  • Dynamic Host Configuration Protocol (DHCP) server
  • Domain Name System (DNS) server
  • File server
  • Domain controller
  • AD LDS (Lightweight Active Directory Services)
  • Media Services
  • Print
  • Windows Virtualization Service

pro úplnost, doplňkově podporuje tyto technologie:

  • Failover Clustering
  • Network Load Balancing
  • Subsystem for UNIX-based applications
  • Backup
  • Multipath IO
  • Removable Storage Management
  • BitLocker Drive Encryption
  • Simple Network Management Protocol (SNMP)

Správa serveru

Správě systému a poskytování informací pro vyhodnocení zdraví a událostí byla a je věnována čím dál tím větší pozornost. Tyto nové edice Windows operačních systémů, tedy Windows Vista a Windows server Longhorn sbírají a vyhodnocují daleko větší množství událostí než doposud. Zmiňované nástroje pro správu vám pomohou získat přehled o tom co se systémem děje a dělo v minulosti.

Server manager
Výchozím místem pro správu a konfiguraci serveru Longhorn je Server Manager.  Server Manager jako takový má za sebou dlouhou historii a také prošel značnými změnami. V serveru Longhorn se využívají tzv. SDM definice (Microsoft System Definition Model, definice v rámci iniciativy Dynamic Systems Initiative (DSI) pro poskytnutí komplexní informace o stavu té které služby či funkcionality. Technologii SDM (a inovaci SML) používá i Windows Vista a produkty rodiny System Center.

Server manager agreguje informace ze systémových a dalších logů, zjišťuje stav služeb a jednotlivé závislosti mezi nimi a poskytuje jednotný přehled stavu rolí a zdraví serveru a také interface pro konfiguraci.

Takto vypadá po spuštění, na levé straně se nachází přehled rolí, které mám instalovány a další nástroje, dole aktuální stav komponent jednotlivých rolí. Následující obrazovka ukazuje proč je např. u Terminal Services žlutý vykřičník:

 
...zjevně nedokončená konfigurace a definice postupu na druhém obrázku

Sledování spolehlivosti a výkonu
Následovník konzole Sledování výkonu ze starších edic Windows serveru. Tato konzola navíc, krom funkcionality sledování zátěže serveru a sběru informací do logu, poskytuje i okamžitý přehled, které procesy potřebují kolik prostředků v tuto chvíli.


Konzola sledování spolehlivosti agreguje události, které se děli v průběhu času a které ovlivnili výkon a stabilitu systému a ty navíc rozděluje do skupin – hardware problémy, aplikační problémy, chyby systému. Na přiloženém obrázku je vidět, že poskytuje i informace o aktualizacích systému a programů.

WinRM (Windows Remote Management)
Jde o Microsoft implementaci management protokolu postaveného na standardu WS* a protokolu SOAP. Jako transportní protokol je použit Http/Https což jej před-určuje pro správu serverů v prostředí mimo interní síť či v prostředí s restrikcemi na síťový provoz. Microsoft spolupracuje s významnými výrobci HW a tento mechanismus lze tak použít i pro správu a diagnostiku vypnutého serveru při použití speciálního HW tzv. BMC (baseboard management controller) a počítá se také s podporou správy non-Windows operačních systémů. Zbývá zmínit, že lze doinstalovat i do Windows serveru 2003 R2 (volitelná komponenta operačního systému).

Více o využití winRM i pro správu HW zde: Hardware Management Introduction

K čemu je to dobré
Možná si řeknete, hm, to zní zajímavě, ale co s tím? Pomocí připojení na rozhraní (listener) lze vzdáleně spouštět příkazy, skripty, nástroje pro správu či třeba příkazový řádek. Více napoví níže uvedené příklady.

Konfigurace winRM
I když je komponenta standardně nainstalovaná, není nakonfigurovaná. Je třeba pomocí utility winrm.exe vytvořit a případně nakonfigurovat tzv. listener. Pokud si vystačíte se standardním nastavením, tedy listener na všech IP adresách a portu 80 stačí tento příkaz: winrm.exe quickconfig. Pro konfiguraci https je navíc třeba serverový certifikát. Nakonec je ještě nutné ve Windows firewallu povolit inbound pravidlo „Windows Remote Management (HTTP-In)“.

Správa pomocí winRM
Na vzdálený winRM listener se lze připojit pomocí utility winrs.exe (Windows Remote Shell) a spouštět požadované procesy či dávkové soubory. Myslím, že jednoduché příklady osvětlí použití vice než slova:

winrs -r:https://myserver.com command
winrs -r:https://169.51.2.101:80 -unencrypted command
winrs -r:https://[::FFFF:129.144.52.38] command
winrs -r:https://[1080:0:0:0:8:800:200C:417A]:80 command
winrs -r:https://myserver.com -t:600 -u:administrator -p:$%fgh7 ipconfig
winrs -r:myserver -env:PATH="%PATH%;c:\tools" -env:TEMP=d:\temp config.cmd
winrs -r:myserver netdom join myserver /domain:testdomain /userd:johns /password d:$%fgh789

Prohlížeč událostí
Pro uživatele Windows Vista nejspíše nic nového, pro správce serveru nepochybně užitečná věc. Na tomto úvodním souhrnu jsou vidět typy událostí a jejich četnost, na levé straně pak standardně před-definované pohledy na aplikační logy a logy jednotlivých služeb. Při spuštění prohlížeče událostí se načítají jednotlivé logy a agregují se do připravených pohledů, což se projevuje i delším spuštěním. Na příkladu je vidět již rozbalená stromová struktura s filtry, není krásné mít pohromadě např. události pro službu Group Policy?


Prohlížeč událostí nabízí také vytvoření tzv. subscriptions (tedy zápisů). Jde o možnost přeposílat vybrané události na jiný počítač, například na centrální správcovskou konzolu a navíc při zaznamenání takové události spustit požadovanou akci pro upozornění administrátora nebo skript pro odstranění příčiny. Přirazení události k určitému typu události se vytvoří kliknutím pravým tlačítkem na dané události a vybráním této možnosti.

Jelikož jsou tyto možnosti obsaženy i ve Windows Vista, je postup pro konfiguraci event subscriptions stejný: https://technet2.microsoft.com/WindowsVista/en/library/4aa6403f-d4b8-43a4-a70d-ceb7f88c524e1033.mspx?mfr=true

Powershell
Ten ve výčtu možností pro správu zkrátka nemůže chybět. Pokud jste se mu ještě nevěnovali, doporučuji začít
https://www.microsoft.com/technet/scriptcenter/hubs/msh.mspx

Virtualizace

Tuto sekci bych nejraději umístil úplně na začátek. V této oblasti měl Microsoft co dohánět a nový server bude mít co nabídnout. Komponenta, či role serveru Longhorn označovaná jako Windows Server virtualization umožní použití virtualizace i pro nejnáročnější nasazení a je dalším krokem k dynamickému IT prostředí (iniciativa DSI zmíněná dříve). Efektivní využití virtuální infrastruktury se přímo váže na možnost spravovat takové prostředí, spravovat virtuální stroje coby zdroje a mít detailní přehled o celkovém stavu takového prostředí, spolu s dalšími komponentami jako např. diskové pole, síťová infrastruktura apod. Tyto oblasti pokrývá a doplňuje rodina produktů System Center, pro virtualizované prostředí pak připravovaný produkt System Center Virtual Machine Manager. Ukázku takového prostředí a správu můžete vidět v tomto 5 minutovém videu:
https://www.microsoft.com/Windowsserver/longhorn/video/virtualization.wvx

Co lze od Windows Virtualization očekávat?
Windows Server Virtualization je postavená na technologii Hypervisor. Windows hypervisor je tenká SW vrstva mezi HW a běžícími instancemi operačních systémů. Umožní paralelní běh několika (omezení jen možnostmi HW) instancí operačních systemů s prakticky přímým přístupem k prostředkům fyzického serveru. Bez zajímavosti jistě není i naše spolupráce se společností Novell na vzájemné podpoře virtualizovaného prostředí. Budeme tak moci nabídnout například podporu pro Linux virtualizované server. Další možnosti budou známy v průběhu času.
Hlavní přednosti Windows Server Virtualization:

  • Podpora 64bit host operačních systémů
  • Až 8 CPU v hostovaném operačním systému
  • Live migration – přesun hostovaného serveru za běhu mezi fyzickými servery
  • Dynamické (hot-add) přidávání prostředků jako RAM, CPU, HDD
  • Snadná migrace fyzických serveru na virtuální
  • Podpora Linuxu v hostovaném serveru
  • Offline manipulace s vhd soubory

To nejlepší na konec. Windows Server Virtualization bude standardní komponenta serveru Longhorn a bude ji možné provozovat i na serveru CORE.

Network Access Protection

Technologie umožňující kontrolovat přístup do vaší interní sítě na základě pravidel, které musí počítač žádající přístup splňovat. Na základě výsledku kontroly požadované konfigurace počítače je počítači poté umožněn neomezený přístup, přístup jen k určitým zdrojům či přístup odmítnut. Jde prakticky o nasazení síťové karantény, kterou možná znáte v souvislosti se vzdáleným přístupem a serverem ISA v rámci interní sítě.
Společnost Microsoft v této oblasti spolupracuje se zhruba 50kou předních výrobců síťových komponent na vzájemné podpoře technologií pro síťovou karanténu.

Více informací lze najít v mém postu z konce minulého roku.

Terminal Services

Důraz na možnost bezpečného přístupu k terminálovým serverům v interní síti bez nutnosti navazovat VPN spojení, publikace samostatných aplikací a přístup k nim například z prostředí WEB portálu a další vylepšení. Ale pěkně popořádku.

Terminal services gateway
Serverová služba umožňující přístup k interním terminal serverům či publikovaným aplikacím při splnění určitých definovaných podmínek. Kombinuje se s Network Policy Serverem (nástupce IAS, používá i technologie NAP) pro vynucení požadovaných pravidel a bezpečnostních zásad. Lze tak vynutit např. ověření pomocí smart karty a po úspěšném ověření přesměrovat RDP provoz na klientem požadovaný interní server. Komunikace mezi klientským terminal klientem a TS gateway službou probíhá pomocí HTTPS (RDP over HTTPS) a je tedy vhodné tento server umístit do prostředí DMZ a do internetu publikovat jen port 443. Tento scénář lze navíc kombinovat se serverem ISA (publikace TSGW služby s ukončením SSL tunelu) či naším novým produktem Intelligent Application Gateway pro potřeby SSL-VPN.

Remote programs
Publikace specifických aplikací instalovaných na Terminal Serveru. Uživatelům takto můžete nabízet jen aplikace, které jsou pro ně určeny, buď přímo pomocí ikony na počítači či v prostředí Intranet/Internet portálu postaveného na technologii Sharepoint. Po spuštění aplikace uživatel nepozná rozdíl oproti lokálně běžící aplikaci.

Další, některé změny jsou popsány v tomto blogu.

Active Directory

Lepší možnosti auditování, Read Only Domain Controller, možnost restartu DC služeb bez restartu serveru, vylepšené certifikační služby, vylepšení spojené s Windows Vista. Tolik asi rychlý výčet několika nových vlastností.

RODC - Read Only Domain Controller
Zvláštní mód doménového řadiče (DC) pro umístění v „méně“ fyzicky zabezpečeném prostředí, například pobočkové sítě společnosti. Tento doménový řadič je plnohodnotným DC, replikuje se na něj kompletní databáze Active Directory (AD) s výjimkou hesel uživatelských účtů. Hesla jsou po ověření uživatelů pouze držena v paměti cache. Při použití tohoto módu DC se dá zamezit offline útoku na databázi AD a navíc lze definovat lokální správce takovýchto serverů, bez nutnosti přidělovat těmto správcům oprávnění v doméně AD!. Použití je tedy zejména pro pobočkové sítě, aplikace vyžadující běh na DC a zabezpečení databáze Active Directory v prostředí s malou fyzickou bezpečností.

Další novinky

Již jen velice okrajově několik dalších vylepšení, na které stojí za to se těšit:

  • Clusterové služby
    Nová konzole vás provede instalací klastru s kontrolou všech náležitostí pro správnou konfiguraci, nabídne přehlednější správu. Vylepší se i spolupráce s diskovými subsystémy, nebudou se již například posílat SCSI reset funkce.
  • IIS 7.0
    Nová verze WEB serveru IIS nabízí instalaci jen těch komponent, které jsou potřebné pro běh aplikací na něm. Máte možnost instalovat a konfigurovat několik desítek komponent pro docílení specifické požadované konfigurace.
  • Backup
  • Služba certifikačního úřadu (Certificate Authority)
    Podpora tzv.auto-enrollmentu x509 certifikátů i pro síťová zařízení jako přepínače, routery.
  • Nový TCP/IP stack a SMB verze 2.0

Zajímavé odkazy:

Online hostované LAB prostředí s Windows serverem Longhorn- https://www.microsoft.com/technet/traincert/virtuallab/longhorn.mspx

Hlavní stránky serveru Longhorn:
https://www.microsoft.com/Windowsserver/longhorn/default.mspx

Prima den,
- Roman Černovský