Monthly Archives: August 2016

Hyper-V ve Windows Serveru 2016 – přehled novinek

Do vydání další verze Windows Serveru – tentokrát s číslovkou 2016 zbývá už jen něco málo přes měsíc ( https://blogs.technet.microsoft.com/windowsserver/2016/07/12/windows-server-2016-new-current-branch-for-business-servicing-option/ ) a proto přichází čas podívat se na novinky, které nás v nové verzi čekají.

Oblast, ve které v novém serveru přichází asi nejvíce změn je virtualizace datových center, a proto není divu, že se o novinkách v Hyper-V a funkcích s ním souvisejících mluví v poslední době snad na každém blogu. Jaké novinky to jsou? Jaké změny se chystají? To se postupem času podrobně dozvíte v seriálu věnovaném Hyper-V 2016, který bude od vydání Windows Server 2016 pravidelně vycházet na tomto blogu. Příští týden se také koná konference CoRestart (https://www.corestart.cz/) na které je celý den věnován právě všem novinkám o Hyper-V ve Windows Server 2016.

V tomto článku se Vám pokusím zevrubně nastínit, na co všechno se můžeme těšit.

 

Z čeho vychází nová verze Hyper-V?

Na úvod se sluší si říct, čím vlastně IT v posledních letech prochází. Služby se stávají komplexnějšími, hledají se možnosti automatizace a zjednodušení správy a nasazení systémů a služeb, vzrůstá poptávka po možnosti práce odkudkoliv a z čehokoliv, dochází k tlaku na snížení nákladů za IT, nepřestává se mluvit o zvýšení zabezpečení, vzrůstá poptávka po cloud řešeních a zvyšují se nároky na znalosti a přehled IT specialistů.

Situace v oblasti datacenter předurčila další směřování vývoje Hyper-V hned v několika klíčových oblastech:

  • Security:
    • Při vzrůstající komplexitě služeb a systémů je téměř nemožné zajistit správu v omezeném kruhu specialistů – je proto nutné zajistit zabezpečení prostředků a služeb, ke kterým mohou správci přistupovat.
    • Množící se útoky na služby a jejich zranitelnosti představují riziko větších škod v komplexnějších prostředích – je proto nutné zajistit izolaci služeb k snížení dopadů úspěšných útoků.
    • Zvyšující se počet zákazníků service providerů vede k riziku konfliktů služeb, většího množství bezpečnostních incidentů a problémům s komplexitou správy sítě – je nutné tyto zákazníky od sebe zcela izolovat.
    • S narůstajícím počtem případů uniklých dat je stále důležitější data zabezpečit pomocí šifrování.
  • Management:
    • S přibývajícím množstvím spravovaných služeb a systémů se stále zvyšuje potřeba automatizovat jejich správu.
    • Při stále větším důrazu na maximální dostupnost služeb je nutné zajistit co nejjednodušší řešení problémů a bezvýpadkové provádění změn.
    • Zvyšující se množství různorodých prostředí klade nároky na podporu širšího množství standardů a služeb.
    • Pro vyšší nezávislost na hardware vzrůstá potřeba abstrakce prostředků ať už sítí, nebo úložišť.
  • Performance:
    • Zvyšující se koncentrace provozovaných služeb vyžaduje optimalizace zátěže na hardware a virtualizační prostředí.
    • S blížícími se limity existujících řešení vzrůstá poptávka po nových technologiích a standardech.

Toto a ještě další se snaží nová verze Hyper-V řešit. A má k tomu spoustu nových nástrojů, technologií a možností. Jednotlivé oblasti si rozebereme níže.

 

Přehled novinek

Management

Standalone Hyper-V hosty:

  • Možnost nasazení na Nano server
    • Hyper-V je podporováno pro nasazení na Nano server a to včetně nasazení do clusterového prostředí.
  • Vylepšení Hyper-V manager konzole
    • Podpora zadání alternativních přihlašovacích údajů.
    • Podpora správy starších Hyper-V hostů až do Windows 6.2.
    • Podpora WS-MAN protokolu pro správu hostů umožňující využití CredSSP.
  • Hot Add/Remove paměti a síťových adaptérů ve VM
    • Za běhu VM lze přidávat i odebírat síťové adaptéry.
    • Za běhu VM lze měnit staticky nastavenou velikost RAM.
  • Production checkpoints
    • Vzpomínáte si, jak Vám na každém školení/blogu/přednášce říkali, ať nepoužíváte v produkčním prostředí checkpointy?! Tak to už není pravda. Nyní je používat můžete, protože u Production checkpoints dochází k vytváření checkpointů takovým způsobem, že by již neměl být problém v produkčním prostředí takový checkpoint aplikovat.
  • Verzování konfigurace VM
    • VM při vytvoření na Hyper-V hostu nabízí určitou sadu funkcí podle dané verze hosta. Je proto nutné odlišovat VM vytvořené na různých verzích Hyper-V pomocí různých verzí konfigurace. Nově se tyto verze konfigurace neaktualizují automaticky na nejnovější při spuštění na novějším hostu. Lze je díky tomu migrovat zpětně i na starší hosty. Mimo jiné se této novinky využívá i pro další významnou funkci: “Rolling cluster upgrade“.
  • Nový formát souboru konfigurace VM
    • Konfigurace VM se od nové verze konfigurace VM ukládá v binárním formátu souboru s příponou .VMCX .
  • Windows Powershell Direct
    • Umožňuje připojit se k Powershellu uvnitř VM bez účasti síťové konektivity skrze VMBus
  • Doručení Integration services pomocí Windows update
    • Vmguest.iso image už není součástí Hyper-V role, protože k instalaci a aktualizaci Integration services dochází pomocí Windows update
    • Linuxové VM již mají Linux Integration Services (LIS) zabudovány do jádra. Pro starší verze linuxových VM nabízí Microsoft ke stažení instalační package.
  • Kompatibilita s Connected Standby
    • Na základě mnohých požadavků od uživatelů a vývojářů využívajících Hyper-V na zařízeních jako je Surface Pro přidal Microsoft podporu pro Connected Stanby.
  • Discrete Device Assignment
    • Umožňuje zpřístupnit některá PCIe zařízení exkluzivně jedné VM. Díky tomu lze obejít virtualizační stack a zajistit tak rychlejší práci se zařízením. Mezi zamýšlená zařízení spadají GPU, NVMe SSD, RAID/SAS řadiče a další. Ze začátku se však na oficiální podporu dostane pouze u NVMe SSD a vybraných GPU.
  • Nested Hyper-V
    • Tato novinka necílí na uplatnění v běžném produkčním prostředí, ale je ideální do test labů, na školení a podobně. Umožňuje provozovat Hyper-V ve virtuální mašině. Můžete tak jednoduše simulovat rozsáhlejší virtualizační prostředí na jednom fyzickém stroji.

Hyper-V clustery:

  • Rolling cluster upgrade
    • Umožňuje upgrade clusteru ze starší verze Windows Serveru na nejnovější bez výpadku virtuálních mašin.
    • Podobně jako u verzování konfigurace VM i tady dochází k manuálnímu verzování úrovně clusteru. Lze také přirovnat k forest/domain functional level u AD.
    • V případě problémů při upgrade je možné provést rollback hostů bez výpadku virtuálních mašin.
  • Shared Virtual Hard disks
    • Tato funkce byla dostupná už v Hyper-V 2012 R2, ale nyní došlo k jejímu vylepšení. Je tedy nově možné sdílené VHDX disky zálohovat, replikovat v rámci Hyper-V repliky, ale dokonce i zmenšovat či zvětšovat za běhu.
  • Priorita pořadí spouštění clusterovaných VM
    • Nově můžete vytvářet sety do kterých lze umisťovat jednotlivé VM a specifikovat závislosti setů na jiných.

Performance

  • Remote Direct Memory Access (RDMA) a Switch Embedded Teaming (SET)
    • RDMA adaptéry je nyní možné připojit do virtuálního switche a snížit tím množství síťových adaptérů na hostu, které bylo dřív nutné provozovat.
    • SET umožňuje vytvářet teamy síťových adaptérů přímo nad virtuálním switchem z jednotlivých fyzických NIC. Není tedy už nutné vytvářet NIC team a nad ním virtuální switch.
    • Spojením obou výše popsaných funkcí docílíte zvýšení propustnosti sítí jak pro VM, tak pro live migrace a zároveň snížíte náklady na adaptéry a zjednodušíte správu.
  • Virtual Machine Multi Queues (VMMQ)
    • Vylepšují propustnost virtuálních adaptérů alokováním několika hardwarových front. Díky tomu lze rozprostřít provoz do přiřazených front a snížit tím délku fronty provozu.
  • Quality of Service (QoS) for Software-Defined Networks (SDN)
    • Umožňuje spravovat priority síťového provozu pomocí definovaných pravidel v rámci SDN.
  • Storage Quality of Service (Storage QoS)
    • Umožňuje nově definovat politiky na více úrovních než jen disk a tyto politiky pak zajišťují předvídatelné a vynutitelné využití pásma propustnosti na Scale-Out File Server(SOFS) clusteru
  • Resilient File System (ReFS)
    • Nově přináší dramatické změny ve výkonnosti při práci s virtuálními disky oproti NTFS. Operace které dříve trvaly desítky minut až hodiny jsou nyní hotové v jednotkách až desítkách sekund.

Security

  • Linux Secure boot
    • U vybraných linuxových distribucích provozovaných ve VM generace 2 je nyní podporován Secure boot.
  • Host resource protection
    • Umožňuje aktivovat ochranu před závadným nadužíváním systémových prostředků virtuální mašinou. V případě že VM vykazuje závadné chování, je jí přiděleno méně prostředků. Tato funkce je by default vypnuta.
  • Shielded Virtual Machines
    • Poskytují vlastníkům virtuálních mašin bezpečí díky možnosti využívat virtuální TPM a definovat zdravé hosty na kterých lze VM provozovat. Díky tomu lze VM šifrovat pomocí Bitlockeru a zabránit jejímu spuštění na neoprávněných hostech. Při zapnutí Shielded VM je také Hyper-V administrátorům odepřen přístup na konzoli VM a k diskům. Můžete tak provozovat své VM i na hostech nad kterými nemáte kontrolu, aniž byste se museli obávat kompromitace dat a služeb ze strany správců hostů.
  • Windows Containers
    • Umožňují provozování spousty vzájemně izolovaných aplikací na jednom operačním systému. K dispozici jsou dva typy kontejnerů – “Windows Server Container” a “Hyper-V Container“. Liší se mírou izolace.

 

Kam dál?

Pokud Vás novinky v Hyper-V 2016 zaujali a chcete se o nich dozvědět více, přijďte 17. 8. na konferenci CoreStart (povinná registrace: https://www.corestart.cz/#!/register), kde se těmto novinkám budeme podrobně celý den věnovat.

Od konce září se s vydáním Windows Server 2016 můžete těšit na seriál novinek v Hyper-V 2016, kde se těmto jednotlivým funkcím budu podrobně věnovat.

Na Technetu už jsou k dispozici také články popisující jednotlivé funkce a lze už také dohledat nějaké blog posty napříč MVP komunitou.

Pište mi prosím do komentářů případné dotazy a také které funkce Vás nejvíce zajímají.

Těším se na setkání na konferenci!

 

Kamil Roman

Nezávislý konzultant a lektor

Windows 10 Anniversary update – novinky pro adminy!

Od včerejšího dne můžete stahovat a instalovat nejnovější verzi Windows 10 na Vaše domácí i firemní počítače. Mnozí z Vás už měli možnost seznámit se s novinkami pro uživatele (https://www.microsoft.com/en-us/windows/features), ale málokdo se zatím zaměřil na novinky z pohledu IT profesionálů. Pojďme to tedy napravit!

Novinek pro IT profesionály je ve Windows 10 1607 opravdu hodně – některé přidávají nové možnosti správy, vylepšují zabezpečení, případně zjednodušují nasazení.

 

Deployment

Windows Imaging and Configuration Designer (ICD)

Zásadní změnou je, že už nyní nemusíte instalovat kvůli ICD také další komponenty (deployment tools, USMT a Windows PE), které zabíraly na disku něco přes 3GB. Stačí tak instalovat pouze odlehčenou “Configuration Designer” komponentu z WADK 1607 (https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit). Důležitá informace – pokud zvolíte “Imaging and Configuration Designer”, je nutné instalovat i ostatní výše zmíněné komponenty.

Dále došlo k zjednodušení práce s provisioning packagemi:

Za zmínku také stojí, že WADK 1607 obsahuje oproti starší verzi také nové nástroje zvýrazněné na screenshotu níže.

Windows ADK 1607 install components

Windows ADK 1607 install components

Windows Upgrade Analytics

Cloudová služba Microsoftu, která umožňuje vyhodnotit připravenost firemních zařízení na nový build Windows 10. Tato služba je založená na analýze dat sesbíraných z firemních zařízení pomocí telemetriky. V rámci analýzy jsou vyhodnocována data o systému, aplikacích a ovladačích.

Analyzovaná data lze následně použít k:

  • Vizualizaci procesu přechodu z pilotu do produkce
  • Prohlížení detailních informací z inventarizace
  • Sledování využití aplikací
  • Zjišťování problémů s kompatibilitou aplikací a ovladačů, ke kterým Vám mohou být doporučena různá řešení.
  • Exportům dat do deployment toolů
  • A další…

Pro více informací o Windows Upgrade Analytics: https://technet.microsoft.com/en-us/itpro/windows/deploy/manage-windows-upgrades-with-upgrade-analytics

 

Bezpečnost

Credential Guard a Device Guard

Při ruční aktivaci těchto funkcí už není nutné samostatně doinstalovávat componentu systému „IsolatedUserMode“, protože je nyní součástí Hyper-V (ani dříve to nebylo nutné, pokud byly funkce Credential Guard a Device Guard aktivovány přes GPO). Nová je také funkce Remote Credential Guard pro ochranu credentials při vzdáleném připojení.

Více informací o Credential Guard: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard

Více informací o Remote Credential Guard: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/remote-credential-guard

 

Windows Hello a Windows Hello for Business

První změnou je sjednocení dvou technologií a to Windows Hello a Microsoft Passport pod jeden název. Od verze 1607 se tedy o obou bude mluvit jako o Windows Hello.

Druhou novinkou je právě zavedení Windows Hello for Business, které se aktivuje pomocí GPO a využívá autentizace založené na klíčích anebo certifikátech.

Pro podrobnější informace o Windows Hello for Business: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/manage-identity-verification-using-microsoft-passport

 

VPN

  • VPN client lze integrovat s „Conditional Access Framework“ který je součástí Azure Active Directory k zajištění compliance zařízení pro vzdálené klienty.
  • Nový configuration service provider „VPNv2“ přidává další konfigurační nastavení pro lepší nastavení VPN v rámci MDM.
  • VPN clienta lze integrovat s Windows Information Protection (WIP) – dříve známé jako Enterprise Data Protection (EDP) – k zajištění vyšší ochrany dat.
  • Microsoft Intune: VPN profil šablona politik nyní zahrnuje podporu pro nativní VPN pluginy.

 

Windows Information Protection (WIP)

Enterprise Data Protection (EDP) přerostl do Windows Information Protection (WIP), aby Vám umožnil chránit firemní data před nechtěnými i chtěnými úniky dat pomocí definovaných politik. Bližší informace o WIP: https://technet.microsoft.com/itpro/windows/keep-secure/protect-enterprise-data-using-wip

 

Windows Defender

Windows Defender byl vylepšen o několik velmi příjemných změn.

Zejména se jedná o:

Windows Defender Advanced Threat Protection (ATP)

Tato vestavěná bezpečnostní funkce umožní odhalovat enterprise zákazníkům bezpečnostní hrozby v jejich prostředí pomocí analýzy chování na koncových stanicích, které je následně analyzováno pomocí cloudové služby Microsoftu na základě získaných znalostí pomocí machine-learningu nad Big Data zdroji. Díky tomu lze odhalit útoky, které prošly všemi ostatními prvky ochrany. Tyto útoky lze podrobně lokalizovat a následně na základě získaných znalostí eliminovat.

Více informací o Windows Defender Advanced Threat Protection (ATP): https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-advanced-threat-protection

 

Management

Remote Desktop na počítače připojené do Azure Active Directory

Od Windows 10 1607 bude možné připojovat se pomocí Remote Desktopu na zařízení připojené do Azure Active Directory. Podmínkou je, že zařízení na obou stranách mají alespoň Windows 10 1607 a že je vypnuta funkce “Remote Credential Guard”.

Více informací o Remote Desktop pro Azure AD joined zařízení: https://technet.microsoft.com/en-us/itpro/windows/manage/connect-to-remote-aadj-pc

Více informací o Remote Credential Guard: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/remote-credential-guard

 

Konfigurace Taskbaru

Enterprise administrátoři nyní mohou definovat pomocí XML souborů aplikace, které se uživatelům připíchnou na jejich Taskbar. Více info o Taskbar pinning: https://technet.microsoft.com/en-us/itpro/windows/manage/configure-windows-10-taskbar

 

MDM a configuration service providery

Do Windows 10 1607 byla přidána spousta dalších nastavení configuration service providerů, aby bylo možné rozšířit možnosti správy zařízení pomocí MDM. Jaká nastavení (a je jich opravdu hodně!) byla přidána se dozvíte zde: https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056%28v=vs.85%29.aspx#whatsnew_1607

Nově taky přibyl koncept sdíleného PC, který umožňuje definovat politiky pro počítače na sdílených pracovištích. Bližší info o Shared PC mode: https://technet.microsoft.com/en-us/itpro/windows/manage/set-up-shared-or-guest-pc

 

Application Virtualization (App-V) pro Windows 10

Od verze Windows 10 1607 je App-V zahrnuto přímo instalačního image a proto již není nutné dodatečně instalovat App-V z MDOP balíku. Podrobnější informace o App-V: https://technet.microsoft.com/en-us/itpro/windows/manage/appv-getting-started

 

User Experience Virtualization (UE-V) pro Windows 10

Stejně jako v případě App-V se Microsoft rozhodl začlenit UE-V do instalační image a není proto nutné jej dodatečně instalovat. Bližší info o UE-V: https://technet.microsoft.com/en-us/itpro/windows/manage/uev-for-windows

 

Závěr

Závěrem Vás chci ještě odkázat na stránku na webu Microsoft support, kde se nachází přehled kumulativních aktualizací (CU) pro všechny verze Windows 10 od února 2016 a kde také naleznete popis oprav v nich řešených. Také zde naleznete odkaz pro stažení Windows 10 1607.

https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Změn v nové verzi Windows 10 je opravdu hodně a proto neváhejte naučit se o novinkách co nejdříve. Zdrojem Vám mohou být mimo jiné výše odkazované články, případně blogy Microsoftu (například https://blogs.windows.com ), nebo také Twitter účty @thurrott , @windowsblog . Pokud preferujete získání informací mluvenou formou, přijďte na kurz GOC201 do Počítačové školy Gopas.

 

Zdroj a více informací: https://technet.microsoft.com/en-us/itpro/windows/whats-new/whats-new-windows-10-version-1607