Záznamy, prezentace a Q&A z TechDays Online – Windows Server 2012

WinServer12_Blu286_M_rgbPřinášíme vám záznamy, prezentace a otázky a odpovědi  z celodenní online konference TechDays Online 2013 s hlavním tématem Windows Server 2012, která se konala v polovině dubna.

V rámci přímého přenosu jsme se potýkali s technickými potížemi, proto vám přinášíme nově natočenou první část (Hyper-V), v dalších záznamech jsme doplnili chybějící dema. Videa jsou k dispozici na MSTV.cz, přímé odkazy jsou následující:

Prezentace, použité během přednášek, naleznete všechny v tomto umístění.

Během přednášek padaly i otázky, zde jsou spolu s odpověďmi jednotlivých přednášejících:

Hyper-V (odpovídá Jan Marek):

A funguje memory weight? Zkusili jste v praxi?
Ano, Memory Weight funguje perfektně. Zákazníci ji při implementacích poměrně v hojném počtu využívají a to především ve VDI prostředích.
V případě jedné virtuální infrastruktury pro produkční a testovací prostředí se Memory Weight dá použít pro zajištění dostatečného množství zdrojů pro prioritní systémy.

Když použiju HW síťovku kartu a přidám ji do Hyper-V a zaškrtnu "sdilet s OS", tak mi přestane fungovat síťovka v hostitelském systému. Je to chyba ve Windows 8? Našel jsem spoustu diskuzí, ale žádné řešení.
Pokud se nejedná o špatnou konfiguraci (IP adresace, apod.) pak se tento problém zřídka vyskytuje u některých typů síťových karet. Většinou se dá vyřešit aktualizací ovladače karty.

Novinky v souborových službách (odpovídá Miroslav Knotek):

Lze na existujících datech nějak vyzkoušet účinnost deduplikace bez jejího provedení?
Ano, je to snadno možné pomocí nástroje Deduplication Evaluation Tool (DDPEval.exe). Tento nástroj najdete na Windows Serveru 2012 s nainstalovanou funkcí datové deduplikace v adresáři \Windows\System32\. DDPEval je možné použít oproti namapované sdílené složce či si ho zkopírovat na starší operační systém Windows Server 2008 R2 nebo Windows 7. Po spuštění Vám nástroj provede analýzu stávajících dat a spočítá predikovanou úsporu při zapnutí datové deduplikace.

Lze deduplikace nasadit na disky chráněné BitLockerem a soubory chráněné EFS?
Datová deduplikace je plně kompatibilní s technologií BitLocker. Naopak soubory šifrované pomocí EFS není možné deduplikovat.

Proč deduplikace není vhodná pro produkční VM? Myslel jsem, že je to block level deduplikace, u které by to nemělo vadit... tohle vypadá jako file level...? Děkuji za objasnění.
První důvod je ten, že datová deduplikace zpracovává soubory, které jsou po několik dní nezměněné. Je možné nastavit datovou deduplikace s reakcí ihned, kdy se nečeká na stabilizaci dat. Nicméně toto s hlediska výkonu není doporučený scénář a navíc konkrétně u produkčního Hyper-V narazíme na další nepřekonatelný problém. Ten spočívá v tom, že Hyper-V má na spuštěných VM resp. jejich VHDX/VHD souborech umístěn zámek a zamčené soubory nejsou datovou deduplikací zpracovávány. V tomto smyslu je tedy datová deduplikace souborové, přestože na nižší úrovni algoritmus pracuje s bloky dat tzv. chunky.

Je možné nějakým způsobem ovlivnit chování SMB úložiště co se týče restartů serveru, na kterém jsou uložené VHDX soubory virtuálních systémů? Pokud restartuji hostitelský server, mám možnost nastavit akci, která se provede s virtuálními servery (např. uložení jejich stavu a po naběhnutí hostitele obnovení stavu). Pokud ale plánovaně restartuji server s SMB share, na kterém leží virtuální disky virtuálních systémů, virtuální servery havarují. Líbilo by se mi, kdyby se to chovalo stejně jako u hostitelů, tedy nějaký pokyn ze strany server s SMB share a až po provedení požadované akce (například opět save state) restart serveru. Jedná se o Hyper-V Server 2012 a Windows Storage Server 2012 Standard, k dispozici mám i SCVMM.
Pokud bychom restartovali server s SMB share bez předchozího vypnutí virtuálních serverů v Hyper, je to obdobné jako bychom za běhu odpojili celé diskové pole. S tímto systém jednoduše nepočítá. Nabízejí se 2 řešení: 1) nasadit souborový server v režimu s vysokou dostupností. Poté díky technologii SMB 3.0 Transparent Failover mohu bez dopadu na produkci, klidně jeden ze členů souborového clusteru restartovat. 2) Celou akci (vypnutí VM a následný restart souborového serveru) by bylo možné díky plné podpoře PowerShellu zautomatizovat jako plánovanou atomickou operaci.

Dynamic Access Control (odpovídá Ondřej Ševeček):

Fungují v zadávání hodnot, na které se porovnávají atributy, wildcards nebo regulární výrazy?
K těmhle věcem je jen velmi sporadická dokumentace. V podstatě existuje na technetu jenom jeden ukázkový návod, navíc ještě dost chaotický. Ale ne, nevím o tom, že by tam šlo dávat hvězdičky, nebo regulární výrazy. Zkoušel jsem to, ale nejde :-) Je možné, že tam existuje nějaká „tajná“ možnost, ale spíš o tom pochybuji. Můžete použít jen Any Of (seznam hodnot), Not Any Of, Equals a Not Equals. Ale to není asi ani tak moc potřeba. Většinou máte v AD právě jenom výčet několika hodnot, které chcete konkrétně zkontrolovat.

Kam se podmínky ukládají - disk.registr, ad.?
To normální NTFS zabezpečení (záložka permissions) je to uloženo přímo v NTFS metadatech toho oddílu. Takže se to například přenáší s USB HDD i na jiné systémy, stejně jako se přenáší ostatní bezpečnostní položky – tzn. když dáte disk s doménovými oprávněními do pracovní skupiny, tak tam uvidíte jenom SIDy. Tady, pokud dáte ten disk do staršího OS, se vám ta tabulka vůbec nezobrazí a hlásí chybu. Pokud ho dáte do jiného Windows 2012 nebo 8, tak se zobrazí v pořádku. Ty centrální politiky jsou definované v Active Directory, takže na disku přímo nejsou, podle mých výzkumů. Je tam jen odkaz na „jméno“ té centrální politiky.

Jak to je s přenositelností politik (mezi stanicemi/servery/doménami)?
Jestli myslíte ty centrální v ADčku, tak to jsou prostě jenom AD objekty umístěné v Configuration oddílu, v CN=Claims Configuration,CN=Services,CN=Configuration,DC=vaseRootDomena,DC... Takže předpokládám, že by to mělo stačit vyexportovat a zase naimportovat.

Funguje v tomto případě most restrictive princip ?
Musíte nejprve projít normálně přes Share oprávnění. Potom přes Central Access Policies. A teprve potom ještě přes NTFS oprávnění. Takže to nejmenší definuje možný přístup. Central Access Policies tomu prostě přidává jenom další vrstvu. Ale pozor. Uvnitř té Central Access Policy, té kterou tam vyberete, můžete mít více různých pravidel (Rule). A tu je to trošku horší. Každé pravidlo je dalším filtrem. Pravidla tedy nejsou OR, ale AND. Takže vlastně je tam těch vrstev tolik, kolik je tam Central Access Rules. To znamená, že v každém Rule byste měli mít Administrators FULL Control, jinak se tam nedostanete.

Failover clustering (odpovídá Martin Pavlis):

Čo keď update nie je úspešný?
Pokud se podíváte např. na tuto stránku, zjistíte, že tento proces obsahuje celou řadu kontrolních mechanismů, díky kterým by k zásadnímu selhání nikdy nemělo dojít. Maximálně se může proces zastavit v některé ze jeho kontrolních částí – v tom případě máme ale k dispozici celou řadu logů, díky kterým jsme schopni situaci analyzovat, problém odstranit a aktualizační proceduru dokončit.

PowerShell 3.0 (odpovídá David Moravec) :

Dobrý den, plánujete pokračování čtyř dílů výborné PowerShell akademie?
Ano, plánujeme, ale v tuto chvíli nemáme určeno kdy a v jaké formě. Jakmile nastane správný čas, na TechNet blogu se to dozvíte.