Windows Server 8 se představuje

S novou verzí serverového operačního systému Windows Server 8 přichází mnoho zajímavých novinek a příjemných rozšíření funkcí.

Jedním z prvních velmi viditelných rozdílů mezi novým Windows Server 8 a stávajícími servery 2008/R2 je bezesporu nové grafické rozhraní, které se prolíná celou správou systému.

Metro Design

Grafické rozhraní Metro je primárně určeno a navrženo pro tablety, mobilní telefony a jiná přenosná zařízení. Je však také obsaženo ve Windows Server 8. Celé ovládání není pouze v režimu Metro, ale stále je využito i rozhraní Aero, na které jsme zvyklí z Windows 7 a Windows Server 2008 R2. První razantní změnou pro systémové správce je absence menu Start, které je nahrazeno dlaždicovým menu, známým z mobilních telefonů Windows Phone.

Klepněte pro větší obrázek

Nového dlaždicového rozhraní se dočkal i Server Manager, ve kterém je nyní možné ovládat nejen jeden server, ale celé skupiny serverů. Z jednoho místa tak je možné přidávat role a funkce jednotlivým skupinám, včetně požadavků na restart atd.

Klepněte pro větší obrázek

Management IP adres

Novou funkcí Windows Server 8 je možné vyhledávat s síti jednotlivé servery a klientské stanice, a vytvořit si tak databázi IP adres využíváných v rámci sítě. Tím se velmi zjednodušuje IP management, protože správce systému získává přehled využitých adres a může bez problémů u nových serverů a služeb přidělit volné IP adresy, pokud nebude využita služba DHCP. IP address management (IPAM) také pomáhá s dodžováním standarů jako je HIPAA nebo Sarbane-Oxley díky možnostem reportingu využití. V rámci IPAM jsou dle active directory členství dohledávány DNS, DC, NPS a DHCP servery, které mohou být automaticky spravované IPAM serverem. Do IPAM je samozřejmě možné dodat i servery a klientské stanice ručně (tj. unmanaged machines). IPAM vyhledávání je limitováno v rámci active directory forestu, a je možné sledovat až 3 miliony IP adres (stejně tak 3 miliony IPv6).

Vysoká dostupnost pro DHCP

DHCP servery jsou jednou z klíčových služeb pro IT infrastrukturu, zajišťující správnou adresaci jednotlivých stanic. Pro zajištění jejich vysoké dostupnosti existovaly u předchozí verze Windows Server 2008 R2 dvě možnosti a to split-scope konfigurace (kdy část dhcp scope byla povolena na jednom serveru a druhá část povolena na druhém, s tzv. exclusions konfigurovanými zrcadlově) nebo failover cluster. S novým serverem je možné využít DHCP failover ve dvou dostupných konfiguracích. V případě Hot Standby jsou využívány dva servery DHCP, kdy primární odpovídá na požadavky stanic a druhý, sekundární, pouze vyčkává na výpadek. Primární a sekundární servery jsou konfigurovány na úrovni DHCP scopes. V případě LoadSharing jsou požadavky stanic rozdělovány mezi dva servery, které navzájem v jednom scope rozdělují IP adresy dle požadavků.

NIC Teaming

V rámci rozšíření síťové funkcionality ve Windows Server 8 byla představena funkce NIC Teaming, která je dostupná z konzole Server Manager. NIC Teaming nebo také Load Balancing and Failover feature dovoluje vytvořit team z několika síťových rozhraní pro zajištění vysoké dostupnosti a také pro agregaci celkové rychlosti. Velkou výhodou této funkce v rámci Windows Server 8 je její nezávislost na aplikaci dodané výrobcem síťových rozhraní a možnost kombinovat síťové karty různých výrobců, rychlostí a způsobu připojení (např Ethernet a WiFi).

Klepněte pro větší obrázek

 Spojením 2 adaptérů o rychlosti 1GB/s takto získáme konektivitu 2GB/s s rozložením zátěže dle vybraných algoritmů, které jsou ve Windows Server 8 k dispozici. V rámci konfigurace je možné vybrat mezi možnostmi – switch dependent a switch independent. Jejich volba vyplývá ze samotné konfigurace síťové infrastruktury a způsobu konektivity. Jsou-li obě síťová rozhraní zapojena mezi různé switche, nelze použít switch independent režim. Celkem do jednoho teamu můžeme zařadit až 32 síťových rozhraní.

Klepněte pro větší obrázek

Pokud zvolíme static teaming (switch dependent model) je nutné zajistit konektivitu obou (případně vícero) adaptérů do stejného switche. Následnou změnou konektivity (zapojením adaptéru do jiného síťového prvku) dojde k výpadku teamu.

V případě switch independent režimu máme na výběr 2 možnosti a to Switch Independent nebo LACP. V případě switch independent používá Windows Server 8 protokol 802.1ax.

Klepněte pro větší obrázek

Při tvorbě teamu je možné vybrat nejen teaming protocol, ale také způsob distribuce dat mezi jednotlivými rozhraními. Windows Server 8 podporuje 2 režimy a to Hyper-V port a address hashing. První z nich je využíván při virtualizaci s Hyper-V, kdy jsou v rámci posílaných dat na switchi identifikovány jednotlivé virtuální počítače dle svých MAC adres a data jsou takto zasílána po několika linkách pro snížení zatížení síťové konektivity. Pro lepší identifikaci je použit Hyper-V port místo MAC adresy.

Při druhé variatně tj. address hashing se pro jednotlivé komponenty (MAC, IP a porty) paketu spočítá hash, podle které se pak pakety zasílají neustále na jednom z adaptérů.

NIC teaming přináší řadu nových možností pro nastavení síťové infrastruktury, ale zároveň je nutné dávat pozor na situace, kdy není možné LBFO využít. Jedná se zejména o funkce SR-IOV (SingleRoot IO Virtualization) a RDMA (Remote Direct Memory Access) kdy je datový proud zasílán rovnou do virtuálních počítačů a obchazí takto teaming. Dále není při použití NIC Teaming podporován TCP Chimney.

Instalace Active Directory role

V rámci nového Windows Server 8 přichází i několik výrazných změn v Active Directory. Jednou z prvních je již samotná instalace role Active Directory, ve které není využito rozhraní dcpromo, na které jsme si za ta léta již zvykli. Dnes je celá instalace Active Directory role přesunuta do konzole Server Manager. V této konzoli je neprve nutné přidat roli Active Directory Domain Services a po dokončení instalace je možné spustit pomocí odkazu promote wizard pro instalaci doménového řadiče.

Klepněte pro větší obrázek Klepněte pro větší obrázek

V rámci nového wizardu jsou zachovány klasické možnosti instalace doménového řadiče, které byly obohaceny o nové možnosti jako je výběr aplikačních partitions, které na nový řadič replikovat nebo například možnost replikovat pouze kritická data, či zvolit instalaci ze zálohovacího média.

Klepněte pro větší obrázek

Odpadkový koš

Odpadkový koš nepatří mezi novinky Windows Server 8. Tato funkcionalita byla představena už se serverem 2008 R2, kdy bylo nutné nejprve pomocí PowerShell příkazu zapnout Active Ddirectory feature Recycle Bin pomocí příkazu

Enable-ADOptionalFeature –Identity „CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=local“ –Scope ForestOrConfigurationSet –Target „contoso.local“

Následně bylo možné v případě smazání objektu tento objekt obnovit včetně všech atributů, které byly u daného objektu uloženy. Již tato varianta v mnohém správcům usnadňovala obnovu smazaných objektů ve srovnání s nástroji jako ldp.exe.

Get-ADObject -Filter {displayName -eq "Marek Chmel"} -IncludeDeletedObjects | Restore-ADObject

Přínosem Windows Server 8 v této oblasti je integrace Odpadkového koše (Recycle Bin) do nástroje Active Directory Administrative Center. Celé Administravice Center je mírně přepracováno a u mnoha objetků (např. uživatel nebo skupina) je nyní možné editovat více atributů. V této konzoli je možné nejen funkci Recycle Bin zapnout, ale také dohledávat smazané objekty a tyto obnovit na jejich původní umístění nebo dokonce zvolit umístění nové.

Klepněte pro větší obrázek 

Klepněte pro větší obrázek

Nastavení politik pro heslo

Mezi další rozšíření konzole Active Directory Administrative Center patří možnost nastavit tzv. Password Setting Object pro jednotlivé uživatele a skupiny a samozřejmě také grafické rozhraní pro tvorbu samotných PSO. A k čemu vlastně můžeme toto nastavení využít? V rámci serverů 2000 a 2003 byla politika pro heslo nastavena na úrovni domény (délka, kdy vyprší, jestli využít komplexní heslo atd.) U serverů 2008 a 2008 R2 bylo možné využít takzvané FineGrained Password Policies, kdy tato nastavení mohla být aplikována přímo na uživatele či skupinu. Bohužel však celé nastavení bylo nutné řešit přes AdsiEdit nebo nástroje třetích stran. Nyní s Windows Server 8 je vše na jednom místě v konzoli Active Directory Administrative Center.

Klepněte pro větší obrázek

Spravované účty

Velmi zajímavou možností pro práci se službami běžícími na Windows Serveru byly spravované účty. Jedná se o identity v Active Directory, které je nutné vytvořit pomocí PowerShell příkazů a následně nainstalovat na jednotlivé servery. Tyto účty je poté možno využít pro běh služeb jako je SQL Server 2012. Jednou z výhod těchto účtů je jejich automatický password management nebo registrace SPN (service principal name). V případě Windows Serveru 8 je možné využít i skupinové spravované účty (Group Managed Service Accounts), které mohou být využity na vícero serverech. Hlavním rozdílem proti běžným spravovaným účtům je opět password management, kdy změnu hesla nového druhu spravovaných účtů nemá na starosti samotný počítač, na kterém je servisní účet využit, ale doménový řadič Windows Server 8.

Certifikační autorita

Ve srovnání s Windows Server 2008 R2 umožnuje Windows Server 8 instalaci všech jednotlivých komponent certifikační autority na libovolnou edici server systému. Díky tomu můžeme už na standartní edici Windows Server 8 řešit scénaře oddělených rolí v rámci certifikační autority. Nově může také certifikační autorita běžet na Windows core instalaci, tedy instalaci s minimálním grafickým rozhraním. Velkou výhodou server core instalace je menší množství windows updates, větší bezpečnost systému a také větší rychlost a stabilita. Velkou novinkou CA na Windows Server 8 je možnost automatické obnovy certifikátů pro počítače, které nejsou připojeny do domény (Exchange Edge, Threat Management Gateway, Lync Edge atd.). Pro vydávání nejen těchto certifikátů je možné pomocí příkazu

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

zajistit zabezpečení přenášených informací mezi klientem a certifikační autoritou. Toto nastavení není bohužel podporováno u Windows XP, je tedy nutný upgrade na novější OS nebo je nutné tuto funkci nevyužívat.

Cluster-aware updates

Velmi užitečnou funkcí přidanou do Windows Server 8 je Cluster Aware Updating, který výrazně zjednodušuje správu FailOver clusteru. Pomocí CAU je možné instalovat windows updates nebo service packs na jednotlivé nody clusteru automatizovanou cestou, včetně případných restartů jednotlivých nodů.

Klepněte pro větší obrázek

BitLocker

Nástroj BitLocker, který je dostupný od Windows Server 2008, umožňuje šifrovat diskové oddíly a zabezpečit nejen pevné disky, ale také přenosné zažízení jako jsou flash disky, paměťové karty nebo externí disky.

Klepněte pro větší obrázek

Mezi roršíření BitLocker na Windows Server 8 patří možnost nastavit šifrování ještě před samotnou instalací operačního systému v Windows PE. Následně po instlaci je nutné v ovládacích panelech aktivovat ochranu diskové jednotky pomocí již známých možností jako je heslo, TPM, čipová karta nebo startup klíč (jednotlivé možnosti se liší dle chráněného zařízení). Při práci s BitLocker ve Windows Server 8 (a také Windows 8) je možné zvolit, zda-li má být šifrována celá jednotka, nebo pouze využité místo. Při druhé volbě se může výrazně zkrátit čas potřebný pro zašifrování velkých disků. Navíc je zde podpora i pro tzv. Encrypted Hard Drives, které opět výrazně zkracují dobu nutnou pro šifrování a navíc snižují zátěž systému, protože šifrování má na starosti samotný diskový řadič. V takovém případě je zašifrován disk jako celek (tedy FullDisk Encryption) místo jednotlivých oddílů (FullVolume Encryption).

Data Deduplication

Mezi funkce nového Windows Serveru 8, z kterých bude IT oddělení velmi rychle profitovat určitě patří Data Deduplication. Jedná se o součást File Server role, která po své aktivaci v Server Manager umožňuje pravidelnou optimalizaci diskového úložiště. Jedná se o možnost vyhledávat duplicitní data na úložišti a možnost bez narušení integrity tyto duplicitní data tzv. deduplikovat. Deduplikace dat přináší několik zásadních výhod:

  • Optimalizace diskové kapacity, která je dosažena pomocí deduplikace dosahuje mnohem lepších výsledků než NTFS komprese nebo SingleInstanceStorage. Díky proměnlivé velikosti bloků a kompresi je možné dosáhnout optimalizace až 1:20 u virtuálních serverů.
  • Deduplikace je dobře škálovatelná s minimálním dopadem na systémové prostředky. Může být využita na mnoha discích zároveň bez následného ovlivnění dalších spuštěných aplikací. Nízká zátěž serveru je dosažena pomocí omezování CPU a pamětových prostředků pro službu deduplikace a navíc je možné stanovit časové plány pro procházení a optimalizaci úložiště.
  • Díky integraci s funkcí BranchCache je dosaženo i snížení celkové zátěže internetové konektivity, a tím i snížení času pro stažení jednolivých souborů do lokální cache.
Klepněte pro větší obrázek

Nastavení Data Deduplication probíhá přes Server Manager, kdy je nutné zvolit časový rozvrh pro deduplikaci, jednotlivé diskové oddíly a případné výjimky pro deduplikaci. Deduplikace tedy běží jako plánovaná úloha, je však možné ji pomocí PowerShell příkazů pouštět interaktivně. Celý systém je postaven nad vyhledáváním shodných bloků dat na úrovni disku o velikosti 32 – 128kB (v průměru 80kB). A jejich nahrazením pomocí odkazů na již existující blok identických dat.

Pomocí deduplikace je možné dosáhnout značných úspor na diskovém úložišti (v závislosti na typu uložených dat se využitelnost deduplikace může měnit).

Klepněte pro větší obrázek 
Klepněte pro větší obrázek

Velkou nevýhodou deduplikace dat je nekompatibilita s cluster shared volumes, není tedy možné tuto funkci využít např. pro Hyper-V cluster, u kterého bychom chtěli využít live migration virtuálních počítačů. Je však možné použít deduplikaci pro běžné cluster oddíly. V případě zápisu na disk nedochází k žádnému zpomalení, protože deduplikace je proces, který běží plánovaně v pozadí, při čtění však může ke zpomalení v řádu 2 – 5% docházet. Optimalizována mohou být pouze datová NTFS úložiště, boot a system oddíly deduplikaci využívat nemohou. Při využití deduplikace není možné zároveň využívat NTFS kompresi či NTFS šifrování.

Závěrem

Nová verze serverového operačního systému vždy přinesla zásadní novinky a rozšíření pro jednotlivé segmenty nasazení serveru. Ne jinak je tomu u Windows Server 8, který přináší mnoho novinek nejen v oblasti správy – active directory, sítě, souborové servery, bezpečnost atd, ale také v oblasti virtualizace s novým Hyper-V 3.0. S nasazením nového serveru se můžeme opravdu těšit na mnoho nových funkcí.

Autor: Marek Chmel

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Evropští piráti budou v červnu opět protestovat. Tuzemští už dnes

Témata článku: Nové úložiště, DCP, Wizard, Síťová IP, Hashing, Nový Switch, Windows Core, Windows +, NPS, Diskový oddíl, Switche, Nová funkce, Caa, RDMA, Řadič, Cluster, Active, Windows Server, Celá jednotka, Čipová karta, Rozhraní, Switch, Celé nastavení, Nízká zátěž, Grafický objekt, Tablet windows na Mall.cz