Embed Size (px)
Citation preview
IT Pro Day
Windows Server 2012 Networking and Remote Access
Thomas Detzner Philipp KuhnSenior Consultant Premier Field EngineerMicrosoft Microsoft
Agenda
Agenda
Unified Remote AccessÜbersicht zu Unified Remote AccessNeuerungen in DirectAccess
Client-seitige Neuerungen Vereinfachtes und flexibleres Deployment Multisite, Hochverfügbarkeit Verwaltbarkeit und Performance Demo, Demo und Demo
Netzwerk ÄnderungenSkalierung und VerwaltungIPAM – IP Adressen VerwaltungSMB ÄnderungenNIC Teaming
Unified Remote AccessÜbersicht zu Unified Remote Access
Work-Lifeblur
Immer verbunden
Produktivvon
überall
Daten in der Cloud
Wann und wo wir arbeiten verändert sichWo unsere Daten gespeichert sind und wie wir darauf
zugreifen verändert sich
FIREWALL
VPN
VPN
VPN
WindowsNicht-Windows
WindowsNicht-Windows
Mobil Telefon
DirectAccessVPN
Verwaltete WindowsClients
Windows to Go + DirectAccess
Von einembeliebigen Gerät
Unified remote accessserver
RDS / VDI
Remote Desktop Gateway
Remote Access Szenarien
VPN verbindet den Benutzer mit dem Netzwerk
DirectAccess erweitert das Netzwerk zum Benutzer und PC
GPOs von remote anwenden
IT: Bessere Verwaltbarkeit
Clients immer erreichbar
Verringert die miss-rate für
Patches
Vereinfachter Zugriff auf interne
Ressourcen
Benutzer: Vereinfachte Bediednung
Verbesserte Produktivität
Funktioniert ohne Benutzer
Interaktion
FIREWALL
DirectAccess
SharePoint
Apps Intranet
Exchange
VPN
Win XP / Vista / Non-Windows
Windows 7Windows 8
Mobile Broadband
Unified Remote AccessNeuerungen in DirectAccess
Neuerungen in DirectAccessDirectAccess and RRAS coexistenceSimplified DirectAccess DeploymentRemoval of public key infrastructure (PKI) deployment as a DirectAccess prerequisite Built-in NAT64 and DNS64 support for accessing IPv4-only resourcesSupport for DirectAccess server behind a NAT deviceSimplified network security policyLoad balancing supportSupport for multiple domainsNAP integrationSupport for OTP (token based authentication)Automated support for force tunnelingIP-HTTPS interoperability and performance improvementsDirectAccess manage-out to clients supportMultisite supportSupport for Server CoreWindows PowerShell supportUser monitoringServer operations statusDiagnosticsAccounting and reportingSite-to-site IKEv2 IPsec tunnel mode VPN
Neuerungen in DirectAccess
Vereinfachte Bedienung
Verbesserte Authentifizierung
Verbindung zum nächstgelegenen
Server
Deployment und
Überwachung
Integrated client experience
Reporting und accounting
Unified Remote Access
ManagementFunktioniert in bestehenden Netzwerken
Skalierbarkeit und
Performance
Neue Szenarien
Optimiert für virtuelle
Umgebungen
Tausende Benutzer pro
Server
HochverfügbarkeitHybrid Cloud
Off premise provisioning
VPN Interoperabilität
Client-seitige Neuerungen
• Integrierter Client in Windows 8• Automatische Verbindung über den
effizientesten Weg • Einfache Anzeige des Verbindungsstatus• Flexible Authentifizierung: Kerberos, PKI,
Smartcard, Virtual Smartcard/TPM und OTP
Integriertes Troubleshooting
• Über die Networks UI erreichbar• Detaillierter Verbindungsstatus• Benutzer kann auswählen über
welchen Zugriffspunkt man sich verbinden möchte
• Einfaches erstellen von relevanten Logs
Demo
Client-seitige Neuerungen
Off Premise Provisioning mit DirectAccess
Erstellung des
Provisioning package
Transfer auf den Client
Applizieren des
Provisioning package
Funktioniert auch mit Windows To Go!
Off Premise Provisioning mit DirectAccess• Erstellung des Provisioning package:
Djoin /provision /machine NewClient /domain corp /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\files\provision.txt /reuse
• Applizieren des Provisioning packageDjoin /requestodj /loadfile C:\Provision\provision.txt /windowspath %windir% /localos
Multisite
• Automatische Selektion des nächstgelegenen Zugriffpunktes (Windows 8)
• Windows 7 unterstützt einen Zugriffspunkt
• Abhängig von der Antwortzeit
• Unterstützung für GSLB
50 ms
20 ms
150 ms
Hochverfügbarkeit
• Integrierte Unterstützung für NLB• Unterstützung für HLB• Zentrale Konfiguration über die Remote
Access Konsole• Einfaches hinzufügen und entfernen von
Remote Access Servern
Vereinfachtes und flexibleres Deployment
Vereinfachtes und flexibleres DeploymentGetting Started Wizard• Setzt Windows 8 Clients voraus• Funktioniert mit NAT• Nur ein IPsec Tunnel• Kerberos Proxy
• Einfache Benutzer Authentifizierung• Erfordert keine PKI• Assistent erstellt bei Bedarf self-signed Zertifikate• Keine Computer Zertifikate oder CRL benötigt
Vereinfachtes und flexibleres DeploymentErweiterte Konfiguration• Unterstützt Windows 8 und Windows 7 Clients• PKI Integration• Computer Zertifikat• CRL
• Zwei IPsec Tunnel• Einfache, mehrfache und zertifikatsbasierende
Authentifizierung• Smartcard, Virtual Smartcard/TPM und OTP
• Multisite
Demo
Vereinfachtes und flexibleres Deployment
Kommunikationsmöglichkeiten• DirectAccess
verwendet IPv6 – grundsätzlich zwischen Client und DirectAccess Server
• Kein IPv6 im Intranet erforderlich
• Wenn kein natives IPv6 zur Verfügung steht:
• Client tunnelt IPv6 über das Internet oder Intranet
• DNS64/NAT64 kommt zum Einsatz um reine IPv6 Ressourcen im Intranet zu erreichen
IntranetInternet
Natives IPv6
IPv6 Tunneling
IPv4
Remote Access Sever Überwachung• Überwachung des Gesundheitszustands
aller Remote Access Server• Überwachung aller Verbindungen• Anzeige der aktuell verbundenen Benutzer und auf welche Ressourcen
zugegriffen wird• Historische Anzeige aller Verbindungen für Auditing Zwecke
Demo
Remote Access Server Überwachung
Verwaltbarkeit: PowerShell
• Volle PowerShell Unterstützung• Remote Access GUI basiert auf
PowerShell cmdlets• Beispiele:• Get-RemoteAccess• Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -
InternetInterface "Private Internet" -InternalInterface "Private Corpnet" -ConnectToAddress „ra.contoso.com" -force
Performance
• Deutliche Performance Steigerung
• Hardware:CPU: 4 Cores, 2.1 GhzRAM: 4 GB
Capacity MB/sec0
50
100
150
200
250
300
350WS 2012
WS 2008 R2
Performance
RSS (Receive Side Scaling) Unterstützung für UDP
Server 2008 R2: Kein RSS für UDPServer 2012: RSS Unterstützung für UDP
Performance
• IP-HTTPS und Teredo auf gleichem Level• Keine doppelte Verschlüsselung mehr• IP-HTTPS für DirectAccess bevorzugtes Protokoll
• SR-IOV – Ermöglich VMs den vollen Zugriff auf alle Prozessor Cores
• Windows Server 2012 unterstützt IPsec Hardware Beschleunigung in einer VM
• PS> Set-NetAdapterIPsecOffload –Name Interface1 –Enabled TRUE• Kann als Netzwerk Adapter Team betrieben werden
Interop MatrixWindows Server 2012 Windows Server 2008 R2 / UAG
2010
Windows 8
Keine Einschränkungen • DirectAccess und VPN auf dem selben Server nicht unterstützt
• Benötigt eine PKI• Kein Multisite• DNS64/NAT64 benötigt UAG 2010• (Noch) keine offizielle
Unterstützung für UAG 2010
Windows 7
• Benötigt eine PKI• Windows 7 Client verbinden sich
zu einem definierten Zugriffspunkt
• Kein off-premise provisioning oder Windows To Go
• DirectAccess und VPN auf dem selben Server nicht unterstützt
• Benötigt eine PKI• Kein Multisite• DNS64/NAT64 benötigt UAG 2010• Kein off-premise provisioning oder
Windows To Go
Zusammenfassung
• Unified Remote Access optimal für verschiedene Remote Access Szenarien
• Verwaltete Clients - DirectAccess• Nicht verwaltete Client und Nicht-Windows Systeme - VPN• Anbindung an eine Cloud Umgebung – Site-to-Site VPN
• Zahlreiche Optimierungen in Windows Server 2012 und Windows 8
• Vereinfachtes Deployment
Netzwerk ÄnderungenSkalierung und Verwaltung
DHCP Änderungen
Richtlinien und Failover
Einführung in DHCP PBA
Policy based assignment (PBA) erlaubt Administoren Guppen von Clients anhand von Attributen zu erstellen. Beispiele von Attributen:
Voice over IP (VoIP) TelefoneMobile GeräteDrucker
PBA ist nicht kompatibel mit NAP DHCP or split-scope Szenarien (Fail over Fall)
Drucker, IP Telefone und Desktop PC benötigen einen unterschiedlichen Adressebereich und Scope OptionenLaptops, Desktop PCs, and Server benötigen unterschiedliche Lease Einstellungen
Konfigurationseinstellungen
Click icon to add pictureEine neuer Policies Knoten in der DHCP Konsole um die Richtlinien zu verwalten
Nur für IPv4 Scopes anwendbar
DHCP Failover Überblick
In Windows Server 2008 R2 existierten zwei Hochverfügbarkeitsoptionen:Installation von DHCP mit Hilfe eines Windows failover clusters
Speichermedium ist ein “single point of failure”Erfordert zusätzliche Massnahmen und Investitionen in die Redundanz, somit höhere Komplexität und Wartungsaufwand
Split scope deploymentBietet keine Möglichkeit IP Adressbereicheskontinuität zu gewährleisten, besonders problematisch bei hoher Auslastung der Scopes
DHCP failover mit Windows Server 2012:Bietet ununterbrochene DHCP Dienst VerfügbarkeitMaximal 2 DHCP Server begrenzt auf IPv4 Scopes und SubnetzeErfordert keine zusätzliche Hard- und Software für die SpeichermedienEinfach zu konfigurieren
DHCP - Hot Standby ModusMulti-Site Installation – Hub and Spoke Topologie
DHCP - Load Sharing ModusIm Load Sharing Modus liefern zwei DHCP Server gleichzeitig IP Adressen an die Clients
DHCP - Konfugurationssynchronization
Click icon to add picture• Stellt sicher das die Konfiguration zwischen den Servern konsistent ist
• DHCP Failover Internet draft RFC spezifiziert das Verfahren
• Die DHCP Konsole in Windows Server 2012 erlaubtdie Konfiguration wie folgt zu synchronisieren:• IPv4 Knoten- Alle Failover Scopes replizieren• Einzelner Failover scope
• Einzelnen Scope replizieren• Alle dazugehörigen Scopes
replizieren• Mehrere failover scopes
IPAM
IP Adressen Verwaltung
IPAM – Aufgaben und Vorteile
• Erlaubt die Analyse der IP Bereichsausnutzung, Trends und Statistiken zu erfassen
• Statische IP Adressen Verwaltung• Konfigurationsänderungsüberwachung für DHCP und IPAM • Dienst und Zonenüberwachung von DNS• IP Adressen lease und Anmeldeüberwachung• Rolenüberwachung ohne Zusatzsoftware• GPO basierende Installation• Datengruppierungen in Benutzer definierten Gruppen• Erweiterte Such-und Filteroptionen• Ferwartung mit Hilfe der RSAT Tools
IPAM – Voraussetzungen und FunktionenLimitiert auf einen einzelnen AD forestIPAM Server Mitgliedsserver seinDie IPAM Serverrole ist als ‚Stand-alone‘ Funktion gedacht
Es ist nicht empfohlen weitere Netzwerkinfrastuktur Rollen wie DNS oder DHCP auf dem gleichen Server zu installierenIPAM auf einem Domänenkontroller ist nicht unterstützt
Windows Server 2012 IPAM besteht aus den folgenden Kernkomponenten:Server-BestandsführungIP-Adressverwaltung-RaumVerwaltung und Überwachung von DHCP und DNSEreignis-Katalog/ÜberwachungIP-Adressen Aufzeichung/Überwachung
IPAM – Architektur
IPAM – Server-Bestandsführung
IPAM – IP Adressenblöcke
IPAM – Nutzungsstatistiken
IPAM – IP-Adressaufzeichung/Überwachung
IPAM – Verwaltung und Überwachung von DHCP und DNS
SMB Änderungen
Alles ist schneller und grösser …
SMB Multichannel
Click icon to add pictureDefinitionVerwendet mehrere TCP-Verbindungen für eine SMB-Sitzung
FailoverAusfall einer NIC wird toleriert, wenn eine andere Verbindung verfügbar ist
DurchsatzMehr Bandbreite mit mehreren NICsMehrere CPUs verarbeiten Netzwerk unterbricht mit einzelnen RSS-fähige Netzwerkkarte oder mehrere NetzwerkkartenVerbesserte SMB-Durchsatz beim Kombinieren von LBFO Teams und Mehrkanal
Automatische KonfigurationSMB erkennt und verwendet mehrere NetzwerkpfadePowerShell-Cmdlets für die Überwachung und Problembehandlung
Multiple 10GbE/IB RSS-capable NICs
Multiple 1GbE NICs
Single 10GbE RSS-capable
NIC
SMB Server
SMB Client
SMB Server
SMB Client
SMB Server
SMB Client
Beispiel Konfiguration
Multiple 1GbE in LBFO team
SMB Server
SMB ClientLBFO
LBFO
Switch
10GbE
NIC10Gb
E
NIC10GbE
Switch10GbE/
IB
NIC10GbE/
IB
NIC10GbE/
IB
Switch10GbE/
IB
NIC10GbE/
IB
NIC10GbE/
IB
Switch1GbE
NIC1Gb
E
NIC1Gb
E
NIC1Gb
E
NIC1Gb
E
Switch
1GbE
NIC1Gb
E
NIC1Gb
E
Switch
1GbE
NIC1Gb
E
NIC1Gb
E
Blaue Linien bedeuten logische Verbindungen, keine Kabel
SMB Multichannel
PowerShellGet-SmbServerNetworkInterfaceGet-SmbClientNetworkInterfaceGet-SmbMultichannelConnection
Event LogApplication and Services Log, Microsoft, Windows, SMB Client
Performance CountersSMB Client
SMB Direct (SMB über RDMA)
Click icon to add pictureNeue Klasse von SMB-Dateispeicher für UnternehmenMinimale CPU-Auslastung für die DateiverarbeitungGeringe Latenz und grosse Ausnutzung von high speed NICsFibre Channel-gleichwertige Lösung zu geringeren Kosten
Traditionellen Vorteile der SMB-DateispeicherungEinfach bereitzustellen, zu verwalten und zu migrierenKonvergentes Netzwerk nutztKeine Änderung oder Administrator Anwendungskonfiguration
Erforderliche HardwareRDMA-fähiges Netzwerkkarte (R-NIC)Support für iWARP, InfiniBand und RoCE
Verwendet SMB Multichannel für LBFo
File Client File Server
SMB ServerSMB Client
User
Kernel
Application
DiskR-NIC
Network w/RDMA
support
NTFSSCSI
Network w/RDMA
support
R-NIC
SMB Direct – Was ist RDMA?
Remote Direct Memory Access Protocol (RDMA)Beschleunigtes IO-Auslieferungs-Modell welches der Anwendungssoftware erlaubt die meisten Schichten der Software zu umgehen und direkt mit der Hardware zu kommunizieren
RDMA VorteileGeringe VerzögerungszeitenHoher DatendurchsatzZero copy FähigkeitenOS / Stack bypass
RDMA Hardware TechnologienInfinibandiWARP: Internet Wide Area RDMA protocol (RDMA over TCP/IP)ROCE: RDMA over Converged Ethernet
SMB Scale out – Früher mit 2008 R2
File Server Cluster
Active Passive
Active-Passive Single File Server
1 logischer File Server1 virutelle IP Adresse
Active/Passive
\\FSA\Share1\\FSA\Share2
Ein einzelner NameEinfach
Einfach zu verwalten
Active-Passive Multiple File Servers2+ logische File Server2+ virtuelle IP AdressenZugriff auf unterschiedliche Cluster Knoten
\\FSA\Share1\\FSB\Share1
Bessere HardwarenutzungKomplexer zu verwaltenMehrere Namen
Name=FSA
IP=10.1.1.3
FSA=10.1.1.3
Client
File Server Cluster
Active for FSA Active for FSB
Name=FSA
IP=10.1.1.3
FSA=10.1.1.3
FSB=10.1.1.4
Client
Name=FSB
IP=10.1.1.4
\\FSB\Share1
\\FSA\Share1
\\FSA\Share2
\\FSA\Share1
SMB Scale out – Was ist neu?
Click icon to add pictureAusgelegt für Server-app-SpeicherBeispiele: Hyper-V und SQL Serverdurch Hinzufügen von Knoten im cluster, Erhöhung derverfügbaren Bandbreite
Kernfähigkeiten:Active/Active file sharesFehlertoleranz mit keinerlei AusfallzeitenSchnelle WiederherstellungTransparentes CHKDSKUnterstützung für app konsistente snapshotsUnterstützung für RDMA aktivierte NetzwerkeOptimierung für Server-AnwendungenEinfache Verwaltung
Single File System Namespace
Cluster Shared Volumes
Single Logical File Server (\\FS\Share)
Hyper-V Cluster(Up to 64 nodes)
File Server Cluster
(Up to 8 nodes)
Data Center Network
(Ethernet, InfiniBand or combination)
SMB Scale out – eine neue Server Rolle
Click icon to add pictureEin neuer File Server TypDateiserver für lineares Skalieren der AnwendungsdatenVerwalten Sie alle Knoten wie einen einzelnen Server
Benutzt zusätzlich:Clustered Shared Volumes (CSV)
Einzelner Dateisystem Namespace – keine LaufwerkbuchstabenCSV-Volumen sind auf allen Knoten im Cluster online
Distributed Network Name (DNN name)Verwaltet die DNS Registrierung der DNS einträgeRound Robin DNS um die clients zu verteilen
Anforderungen:Windows Failover Cluster mit CSVFile Server Cluster und Application Cluster müssen mit Windows Server 2012 laufenSMB1 und ältere Clients können sich nicht verbinden
Netzwerkkarten
NIC Teaming … endlich
Netzwerkarten Teaming
Ermöglicht höheren Durchsatz und gesteigerte Verfügbarkeit dank Failover und Lastenausgleich
Vorteil der Netzwerkfehlertoleranz ohne Notwendigkeit einer Teaming-Lösung eines Drittanbieters
Gemeinsame Verwaltungs-Tools für alle Adaptertypen
Team interfaces (tNICs)Team interfaces können in den folgenden Modi laufen:Standard modus: verarbeitet jedes Paket das nicht an eine andere VLAN ID gesendet wirdVLAN modus: verarbeitet nur den Verkehr für das betreffende VLAN
Eingehender Datenverkehr wird immer an höchstens eine Team-Schnittstelle übergeben.
TEAM
VLAN=42
Default
(all but 42)
TEAM
VLAN=42
VLAN=99
Black
hole
TEAM
Default
Hyper-V switch
Team interface – Team ErstellungWenn ein NIC team erstellt wird, braucht es mindestens ein InterfaceTeam interfaces können wie jedes andere Interface umbeannt warden (Rename-NetAdapter cmdlet)Team interfaces werden in der Get-NetAdapter Ausgabe angezeigtNur das erste (primäre) team interface kann in den Default Modus gesetzt werden
Teaming in einer VM ist supportedBegrenzt auf einen Switch/Network mit Hash ModeTeams von zwei Member ist supported Optimiert für die Unterstützung von SR-IOV vNICs kann aber auch mit normalen vNICs verwendet werdenMuss am Vswitch konfiguriert werden
Limitierungen von NIC Teaming
Maximale Anzahl der NICs im team: 32Maximale Anzahl von ge-teamten Interfaces: 32Maximale Anzahl von teams in einem Server: 32
Systemabhänging können die Limits niedriger ausfallen (Kernel Memory, etc)
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
