Proč se vyplatí přemýšlet o nasazení Windows Server 2012? Přibyla spousta novinek a důraz je kladen na přístup k dosažení vysoké dostupnosti.
V následujících řádcích bych vás rád seznámil s novinkami v oblastech sítě ve Windows serveru 2012. Vybral jsem z mého pohledu ty nejzásadnější, ale novinek je v každém případě více a tento výčet není kompletní. Berte následující článek především jako výčet změn, díky kterým se vyplatí přemýšlet o nasazení Windows server 2012.
DHCP Server
V oblasti DHCP serveru se změnil především přístup k dosažení vysoké dostupnosti. Nebojte se, SplitScope z předchozí verze zůstávají, ale nově je zde možnost replikace DHCP DB. Nově máme tedy mimo Windows FailoverCluster, SplitScope i DHCP Failover. Dle mého trošku matoucí název, který může napovídat využívání Windows Failover Clusteru, ale není tomu tak.
Při této možnosti vysoké dostupnosti máme na výběr ze dvou módů fungování:
- Hot standby mode
- Load Sharing
Jak názvy napovídají, máme na výběr z možnosti, kde druhý server funguje jako pasivní replika, nebo kdy je „zátěž“ rozkládána mezi oba servery. Určení primárního serveru se vztahuje ke každému scope.
Pokud máte ve správě větší síťové prostředí a řešíte nyní vysokou dostupnost, určitě doporučuji tuto technologii prozkoumat a spustit.
Výhody pro toto nasazení:
- Bez Windows Clusteru
- Servery nemusí být blízko sebe
- Efektivní správa
- Replikace na úrovni DB, zabraňuje přenosu chyb
Další změny v DHCP serveru nejsou z mého pohledu tak významné, ale jistě potěší. Nově je možné celý DHCP server spravovat pomocí powershell commandletů, máme jich zde kolem stovky.Celou konfiguraci DHCP serveru a jednotlivých scope můžete scriptovat a velmi jednoduše automatizovat.
Poslední novinkou, kterou jste na jiných DHCP serverech mohli také vidět je přiřazení IP adres na základě politik. Osobně nejsem zastáncem tohoto přístupu, jsem rád, když vím co se na síti děje, ale v jistých scénářích může být tato funkčnost zajímavá.
Celá konfigurace spočívá ve vytvoření pravidel, které můžete vytvářet na základě různých atributů. Pro zařízení, které vyhovuje danému pravidlu, můžete nastavit tyto vlastnosti:
- IP rozsah, z kterého má DHCP server přidělit IP (např. druhá polovina SCOPE)
- Běžné DHCP nastavení (DNS server, gateway, NTP a další)
- Tzv. Vendor specific nastavení (může se hodit pro IP telefony, kamery a podobně)
Změn v DHCP serveru je tedy více než dost, ale z mého pohledu replikace DB je asi ta nejzásadnější a je důvodem k přechodu.
RRAS & DirectAccess
Části remote accessu a DirectAccessu byly přepracovány naprosto zásadně. Řekl bych, že zde nezůstal kámen na kameni. Podívejme se, jaké novinky jsou v této oblasti a proč se vyplatí přemýšlet o implementaci nebo migraci.
V minulosti byl DirectAccess a Remote Access oddělen do samostatných součástí a jedna o druhé vůbec nevěděla. Instalace obou rolí na jeden server byla v podstatě nemožná, pokud se vám to přeci jen povedlo, znamenalo to hodně zásahů do standardních konfigurací. Nově je Direct Access a RRAS sjednocen do role Remote Accessu. Instalace se provádí pomocí velmi dobře navrženého průvodce, který obsahuje spousty kontrol a dle konfigurace serveru navrhuje vhodné možnosti implementace obou rolí.
Nejvíce změn bylo zapracováno do úžasné technologie DirectAccessu.Proto se podíváme detailně na to, co se v této oblasti změnilo. Některé změny lze uplatnit pouze v případě, že máte Windows 8 klienty, ale ani Windows 7 nepřijdou o některé bezvadné změny (např. DNS64 a NAT64).
Technologie DirectAccessu funguje nad IPv6, ale nemusíte se bát. V minulosti jste se bez základní implementace IPv6 neobešli. Pokud se spolehnete pouze na průvodce, v podstatě s IPv6 nesetkáte. Díky technologiím NAT64 a DNS64, které byly dříve dostupné pouze v UAG, vám bude fungovat i velká část vašich interních služeb bez nutnosti nasazení IPv6.
Nejzásadnější změny v DirectAccess technologii:
- Jednoduché nasazení DA
- Pokud se chcete podívat, jak rychle se dá nasadit DA, zde je odkaz na MS TV http://www.mstv.cz/player/822/Serial-Windows-Server-2012---Direct-Access-1-2
http://www.mstv.cz/player/823/Serial-Windows-Server-2012---Direct-Access-2-2 - Odstranění nutnosti nasazení PKI
- Pouze v případě nasazení s Windows 8, ale tuto změnu určitě vítám. Nejvíce chyb se při nasazeních dělalo právě v PKI - DA server za NATem
- Konečně podporovaná možnost jak vyřešit problém z předchozí verze, kdy musel být DA server adresován dvěma IP z externího rozsahu - Podpora NLB
- Odstranění další bolesti Windows 2008 R2 nasazení. Nyní je možné DA server instalovat jako vysoce dostupný - Podpora k OTP
- podpora k přihlašování pomocí tokenů, další krok ke zvýšení bezpečnosti DA - Podpora k jednoduššímu nasazení force tunnelingu
- Bohužel stále velmi problematická vlastnost, ale ne kvůli špatné implementaci. Diagnostika a Monitoring - Propracovaný monitoring v konzoli DA. Vždy máte přesný přehled o chování DA klientů. Z mého pohledu jedna z nejlepších změn DA.
- Podpora PowerShell
- Celý DA můžete konfigurovat pomocí powershellu, v některých implementacích se bez něho neobejdete. Konečně podporovaný způsob jak modifikovat některé vlastnosti DA. - Optimalizace IP-HTTPS
- Obrovské zlepšení v rychlosti tunelovacího adaptéru
Jak vidíte změn je opravdu hodně, myslím, že můžu říci, že DirectAccess je opravdu dobře použitelný ve většině prostředí. Nejlepší vlastností DA vidím v možnosti vzdálené správy všech klientů, ať jsou kdekoli. Nezapomínejme na největší benefit DA již od první verze, tunely ke klientům jsou obousměrné a bude vám fungovat kompletní správa těchto klientů včetně vzdálené pomoci.
Novinky v oblasti sítě
NIC Teaming
Z mého pohledu asi nejlepší novinka v celém Windows 2012 serveru. Jistě část IT administrátorů má v čerstvé paměti řešení různých problému s různými softwary třetích stran na nastavení teamingu nebo failoveru síťových adaptérů. Nově je implementována většina této funkcionality přímo ve Windows serveru.Díky tomu by měla odpadnout většina problémů s těmito SW. Z vlastní zkušenosti z několika posledních implementací Hyper-V clusterů můžu říci, že veškeré sliby byly dodrženy a vše funguje jak má. Využívá se především ve scénářích pro vysokou dostupnost v nastavení (Failover) nebo ve scénářích pro vysokou dostupnost s potřebou vyšší propustnosti (Agregace).
Jsou zde dvě varianty nastavení network teamingu :
- Nasazení, která nevyžadují konfiguraci síťového přepínače (switch independent)
- Nasazení, která vyžadují konfiguraci síťového přepínače (switch dependent)
Switch independent
Ve většině případů je vyžadováno, aby byly síťové adaptéry zapojené do stejného síťového prvku.
Switch dependent
Je zde několik možných konfigurací, ale ve většině případů budeme vybírat mezi:
- Static teaming (IEEE 802.3ad draft 1)
- Dynamic teaming (IEEE802.3ax, LACP) – někdy také pojmenováno jako 802.3ad
Nad konfigurací síťových teamů pak volíme způsob distribuce sítového provozu. Obecně se dá říci, že by se měl volit algoritmus, který zajistí ideální rozkládání zátěže. Na výběr máme ve Windows serveru 2012 opět několik možností. V těchto možnostech je krásně vidět, jak implementace této technologie prochází celým OS. Jednou z možností je totiž i volba, která nám umožňuje rozdělovat zátěž dle Hyper-V switch portu.
- Hyper-V switch port
- Hashing
- Dle zdrojové a cílové MAC adresy
- Dle zdrojové a cílové IP
- Dle zdrojového a cílového portu spolu s IP adresou
Vše je možné kombinovat s konfigurací VLAN. Celá konfigurace je plně integrována do Server Manageru. Pro konfiguraci je také možné využít powershell cmdletů.
BranchCache
Poslední technologií, na kterou se ještě v našem článku podíváme, je BranchCache. Většina z vás jistě tuto technologii zná z předchozí verze Windows serveru resp. Windows 7. V nové verzi serveru a Windows 8 klientů bylo zapracováno velké množství vylepšení. Většina novinek se týká automatizovanějšího a jednoduššího nasazení celé technologie. Za zmínku jistě stojí automatické nastavení všech klientů na pobočce pomocí GPO. Dále byly odstraněny limity na počty a velikosti poboček. BranchCache je nově velmi úzce integrována s Windows File server rolí. Windows 8 klientské PC umí využít služeb deduplikace z Windows 2012 serveru, tímto se ušetří CPU a vše je tak rychlejší.
Další novinkou je implementace deduplikace, kdy jsou duplicitní data uchovávána v cache pouze jednou, tímto se ušetří diskového prostoru a rychlosti. Změnou prošlo i nastavení šifrování, kdy jsou nyní všechny soubory šifrovány bez dalšího nastavení, tato volba je výchozí a je tedy lépe zajištěna bezpečnost dat. Veškeré nastavení je nyní možné provádět přes PowerShell a WMI – NETSH část pro BranchCache zůstala bez dalších změn, proto doporučuji nově používat pouze powershell. GPO politiky byly v hodně případech přepracovány, aby nasazení bylo jednodušší. Je zde spousty dalších vylepšení, které můžete prohlédnout na následujících stránce:
http://technet.microsoft.com/en-us/library/jj127252.aspx
Jan Slavík - KPCS CZ, s.r.o., slavik@kpcs.cz
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.