Server Massage Block - SMB 3.0

Intensivkurs "PowerServer I"

Windows Server 2019/2016 Administration

SMB over RDMA (RoCEv2 - iWARP) - Storage Replication - Desired State Configuration (DSC) - Work Folders & ADFS Conditional Access - ESAE 3-Tier Modell

In diesem 5 Tage Kurs werden ab 2019 zwei Windows Server 2019 Versionen behandelt: LTSC (Long-Term Service Channel) 1809 mit GUI und SAC (Semi-Annual-Channel) 1809 als Server Core. Der Server Core wurde u.a. mit FOD (Feature On Demand) erweitert und wird von Microsoft nun auch für Exchange 2019 und SQL 2019 empfohlen.
Das neue, auf REST API basierende, Webportal "Windows Admin Center" ersetzt nach und nach die "alte" RPC und SOAP basierte Serververwaltung.

Features wie Storage Replication (SR), Docker Containers, Hyper-V SET (Switch Embedded Teaming), SMB over RDMA und auch DSC (Desired State Configuration) gehören zur Serveradministration. Mit DSC können mehrere Server, auch Workgroup Member, ihre vordefinierte Konfiguration von einem Pullserver via HTTP/HTTPS oder SMB downloaden und ausführen. SMB over RDMA wird immer wichtiger und ist unabdingbar für Software Defined SAN wie S2D (Storage Spaces Direct), sowie SR (Storage Replication). RNIC (RDMA Netzwerkadapter) mit mindestens 10 GBit/s wird benötigt, wobei SMB Multichannel mehrere RNIC braucht. Bei den 2019 Hyper-Converged Hochleistungsclustern mit integrierten S2D werden heute bevorzugt 100 GBit/s RDMA Adapter mit RoCE oder iWARP eingesetzt.

In Windows Server 2016 haben wir RoCEv2 (RDMA over Converged Ethernet) praktiziert. Mit Windows Server 2019 wird jedoch iWARP (Internet Wide Area RDMA Protocol) wegen der einfacheren Konfiguration und wegen der Verbesserung des 2019 TCP-Stacks durch Features wie LEDBAT [RFC6817] (Low Extra Delay Background Transfer) und TCP Fast Open [RFC7413] sowie vergrößertem Congestion Window [RFC6928] bevorzugt.

SR (Storage Replication - Server-To-Server) ist neben der Cluster-To-Cluster und Stretch-Cluster Replikation ein würdiger Nachfolger von DFS-R, den wir gemeinsam mit DFS-N (Namespace) in diesem Server Kurs praktizieren. S2D ist jedoch Bestandteil des neuen Hyper-V Converged Cluster Kurses.

Neu ab 2016 ist auch das DDA (Discrete Device Assignment), mit dem es zum ersten Mal möglich ist, PCIe Devices wie Grafikkarte und NVMe von einem Hyper-V Host an eine VM weiterzureichen.

In diesem Kurs wollen wir auch ein wenig das wichtige ESAE Tier Modell (Enhanced Security Administrative Environment) praktizieren, welches in unserem Kurs ASAI ganzheitlich unterrichtet wird. In diesem Modell gehören i.d.R. die Windows Server zum Tier 1 und dürfen aus Sicherheitsgründen nur von T1-ServerAdmins verwaltet werden.

Die ADFS Authentication erweitert den Zugriff vom Internet aus via HTTPS auf die internen Ressourcen, wie z. B. Workfolders, für externe Benutzer und Workgroup Windows. Mit AD FS 2016 Conditional Access kann eine zusätzliche Zugangskontrolle aufgebaut werden, die mit einer "normalen" NTFS-Berechtigung und SMB-Freigabe nicht möglich ist.

ZIELGRUPPE
Das Seminar richtet sich an Serveradministratoren, Support-Ingenieure und Computerhersteller.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
  5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

15.07. - 19.07.2019 fällt aus wegen Umbau/Erweiterung!
02.09. - 06.09.2019 noch Plätze frei
04.11. - 08.11.2019 noch Plätze frei

Zur Anmeldung

PREIS
3.750,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag (Freitag) 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen:

Seit November 2018 gibt es eine neue Windows Server 2019 LTSC Version 1809. Parallel dazu existieren die SAC (Semi-Annual Channel) Versionen 1709, 1803 und 1809.
Die SAC Versionen stehen nur als Server Core zur Verfügung. Für die Verwaltung von Windows Server eignet sich das neue Admin Portal Windows Admin Center (WAC).

Es ist erkennbar, dass Microsoft mit Windows Server 2016/2019 zusammen mit Windows 10 folgende Ziele hat:

1) Höherer Automatisierungsgrad » durch PowerShell Remoting, PowerShell Direct, PowerShell Workflow, DSC (Desired State Configuration)
2) Mehr Virtualisierung und Cloud » durch Windows Server Container und Hyper-V Container sowie Linux Container
3) Mehr Software Defined Network (SDN) » Hyper-V RDMA Switch, SET (Switch Embedded Teaming), Network Controller, VXLAN
4) Mehr Software Defined Storage (SDS) » Storage Spaces Direct (S2D), Storage Replication (SR), Storage Quality of Service (SQ)
5) Höhere Performance » SMB 3.1.1, RDMA over Ethernet mit ROCEv2 und ab Windows Server 2019 bevorzugt iWARP
6) Hyper-V VM Performance Steigerung » DDA (Discrete Device Assignment)
7) Höhere Sicherheit durch VBS » Device & Credential Guard (Virtualization Based Security), TPM 2.0, Host Guardian Service, ELAM Driver und Defender
8) Web-basierte Verwaltung » Alles geht über HTTPS via WAC (Windows Administration Center)
9) Hybrid Authentication + Zugangskontrolle » durch Kombination mit AD FS 2016 Authentication und Conditional Access

Windows Server 2012 R2:
Der Flaschenhals beim Transport von größeren Datenmengen (z. B. Deployment von OS, File Service) konnte seit Windows Server 2012 und R2 durch die neue Protokollversion SMB 3.0, durch NDIS 6.30 und umfangreiche Maßnahmen wie SMB-Multichannel, SMB-Direct (SMB over RDMA) mit 10 GB/s NIC weitgehend beseitigt werden. Mit dem zunehmenden Virtualisierungsgrad und Einsatz von Software Defined Storage (SDS) ist ein 10 GBit/s Netz allein nicht ausreichend. Datenpakete von unterschiedlichen Anwendungen (SAN, LAN, IPC, Management) müssen über ein "kollisionsbehaftetes" Converged Ethernet möglichst "lossless" und mit sehr niedriger Latenzzeit zum Ziel transportiert werden.

Windows Server 2016:
Zusammen mit dem erweiterten Protokoll SMB 3.1.1 von Windows Server 2016 werden RDMA NICs (R-NIC) von Microsoft vorgeschrieben, wenn die neuen 2016 Features Storage Spaces Direct (S2D) und Storage Replication (SR) in einer Produktionsumgebung eingesetzt werden. Unter Windows Server 2016 wird das Protokoll ROCEv2 (RDMA Over Converged Ethernet) bevorzugt, welches allerdings DCB-fähige Switches (Data Center Bridging) und Policies für Priority Flow Control (PFC) und Bandwidth Allocation (ETS) benötigt. In Windows Server 2016 können bis zu 8x R-NICs in einen neuartigen High Performance SET (Switch Embedded Teaming) für Hyper-V Host via PowerShell gebunden werden.

Windows Server 2019:
Der TCP-Stack wurde bereits seit 2016 erweitert und nun fest in den TCP Kernel integriert. Der neue TCP Stack von Windows Server 2019 sorgt gegenüber Windows Server 2016 bereits für ein zügiges Netzwerk mit kürzerer Latenzzeit. Mit den neuen 100 GBit/s R-NIC ist es nicht unbedingt notwendig für RDMA das ROCEv2 Protokoll mit DCB, PFC und ETS einzusetzen. Das unkomplizierte Protokoll iWARP wird daher bevorzugt.
Wir sind dabei 100 GBit/s RNIC mit iWARP (ohne DCB, PFC, ETC) zu testen und im Kurs neben den 10 GBit/s ROCEv2 Netzwerkadaptern (mit DCB, PFC, ETS) zu praktizieren.

SMB 3.x:

SMB Multichannel » SMB 3.x Client greift simultan über 2x NICs auf den File Server zu, der auch mind. 2x NICs besitzt.
Der Durchsatz wird nahezu verdoppelt!
SMB Remote File Share » Serveranwendungen wie Hyper-V oder SQL können ihre Daten auf einer SMB-Share eines hochverfügbaren SOFS (Scale-Out File Server) ablegen.
SMB Direct (SMB over RDMA) » Kommunikation zwischen zwei Servern mittels 10-GBit/s bzw. 100 GBit/s  R-NICs, ohne die CPU wesentlich zu belasten.
SMB Transparent Failover » SMB 3.x Clients können über jeden Clusterknoten auf einen Scale-Out File Server zugreifen.
SMB Encryption » Dieses Feature ermöglicht die Verschlüsselung auf SMB-Shares zwischen SMB 3.x Clients und SMB 3.x Server.



Storage Replication (SR) » Server Storage (Volume) kann via SMB in Block Mode synchron für Disaster Recovery zum Zielserver repliziert werden.
Storage Spaces Direct (S2D) » Failover Cluster nutzt lokale Disks und den SMB Bus, um hochverfügbare Storage Pools und Storage Spaces (Virtual Disks) zu bilden.
S2D wird nicht in diesem Kurs, sondern im Kurs Hyper-V Converged Cluster "High Speed & High Security" unterrichtet.

Installation:
Beginnend mit der Installation wollen wir gleich die aktuellsten Features und Technologien kennenlernen: UEFI Secure Boot, SMB 3.1.1 Multichannel, Storage Spaces Direct Die Aktivierung von UEFI 2.3.1 Secure Boot in Zusammenarbeit mit dem "Built-In" ELAM Driver (Early Launch Anti Malware) und dem seit Windows Server 2016 integrierten Windows Security Center (SCCM Endpoint Protection) sorgt für eine nahtlose Sicherheit gegen Root-Kits und Boot-Kits. Wenn TPM 2.0 vorhanden ist, sind weitere Sicherheitsfeatures wie u.a. UEFI Measured Boot möglich. Microsoft schreibt TPM 2.0 ab 2016 Serverhardware vor!

Verwaltung:
Die Serververwaltung mit dem bekannten Server Manager soll durch das Windows Admin Center (WAC) ersetzt werden. Dabei dient WinRM / WinRS over HTTP mittlerweile standardmäßig als das Transport Protokoll. Die Remote Verwaltung kann durch PowerShell Remoting, PowerShell Direct und PowerShell Workflow automatisiert werden.

UAC & Zugriffsberechtigung - File Service - SMB-Multichannel:
Strenge NTFS/ReFS- und Freigabe-Berechtigungen, z. B. für das HOME Verzeichnis, werden im Kurs eingerichtet, sodass Benutzer nur auf ihre Daten zugreifen können. Mit VISTA wurde die UAC (User Account Control) eingeführt, die das Verhalten der NTFS-Berechtigung ziemlich stark beeinflusst. Auch der Volume Shadow Copy Service (VSS) sorgt dafür, dass Snapshots für wichtige Datenlaufwerke erstellt werden, auf die man jederzeit zurückgreifen kann. Mit Symbolic Link, einem NTFS-Feature, kann direkt auf den Inhalt von Volume Shadow zugegriffen werden. Wir kombinieren File Services mit SMB-Multichannel und anderen Features wie Data Deduplication. Ab Windows Server 1709 (Core) ist es erstmals möglich, Data Deduplication auf einem ReFS Volumen zu nutzen. Die Migration von älteren File Servern, kann nun vom WAC durchgeführt werden. Die Funktion nennt sich Storage Migration Service.

Hyper-V und SET
:
Ab Windows Server 2016 treibt Microsoft die Virtualisierung und Cloud Nutzung noch stärker voran. Software Defined Network (SDN) und Software Defined Storage (SDS) sorgen dafür, dass die IT-Landschaft aus physischen und virtuellen Komponenten (VM, Switch, Storage, Netzwerk etc.) vermischt und zentral verwaltet werden kann. Die Kernkomponente der Virtualisierung ist der Hyper-V Host mit seinem Virtual Switch. Um hohe Bandbreite und zugleich hohe Verfügbarkeit für Host und VM zu ermöglichen, wurden mit Windows Server 2016 neue Features eingeführt: RDMA Teaming, SET (Switch Embedded Teaming). Windows Server 2019 ist mit dem optimierten TCP Stack und 100 Gbit/s R-NIC mit iWARP auch ohne DCB Switch und NetQoS Policies PFC und ETS super geeignet für Software Defined Storage wie SR und S2D. Auch die VM und Container auf solchen High Speed Hyper-V Clustern können sehr schnell miteinander kommunizieren.

Docker Container:
Microsoft hat die Docker Container Technologie Ende 2014 von der Docker Inc. lizenziert. Im Kurs lernen wir, wie Container angelegt, verwaltet und mit einer Web-Anwendung ausgestattet werden. Mit jeder neuen Server Version kommen zahlreiche neue Funktionen für Container hinzu. Unter Windows Server 2019 können nun auch Linux Container verwaltet werden. Container sind prädestiniert um Web-Applikation IIS und auch SQL zu hosten, nicht nur für On-Premises, sondern besonders für die Nutzung in der Cloud.

Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)
Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)

Authentifizierung:
Wenn man die Kerberos Windows Authentifizierung innerhalb von Active Directory durch AD FS Authentication (Federation Service) erweitert, können auf interne Ressourcen wie "Work Folders" auch von externen Workgroup Windows oder Smart Phones (iOS, Android) via HTTPS sicher zugegriffen werden. Mit Conditional Access kann eine zusätzliche "Zugangskontrolle" konfiguriert werden. Die interne Grenze wird somit sicher nach außen erweitert, wenn gewünscht auch in die Cloud!

Work Folders:
Durch "Work Folders" wird ein lokales Verzeichnis auf einem Windows 10 Client erzeugt. Dieses Verzeichnis wird mit einem File Server via HTTPS synchronisiert. Es ist auch möglich die Dateien auf dem Client zu verschlüsseln. Ein Benutzer kann dank HTTPS von überall auf seinen Work Folder sicher zugreifen. Ein externer Zugriff benötigt allerdings eine AD FS Struktur mit hochverfügbarer interner AD FS Serverfarm und WAP (Web Application Proxy) in der DMZ. Ein "Work Folder" kann auch eine SMB-Freigabe sein. Somit hat man in einer modernen Umgebung zwei Zugriffsmöglichkeiten auf seine Daten: SMB und HTTPS. Der externe Zugriff, z.B. von zu Hause oder vom Hotel aus, von einem Workgroup Windows oder von Smart Phones (iOS, Android) ist dank HTTPS sicher genug.

4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs
4-Nodes Scale-Out File Server mit je 15x lokalen SSDs

Netzwerkkarten Driver:
Die Driver Architecture hat sich seit 2008 stark verändert. 64-Bit Kernel Driver müssen signiert werden. Durch die Aktivierung von UEFI Secure Boot müssen auch alle Start-Treiber korrekt signiert sein. Ab Windows Sever 2019 und Windows 10 1809 geht Microsoft dazu über Universal Windows Treiber zu verwenden.

PCIe DDA:
Ab Windows Server 2016 ist es jetzt möglich, mit DDA (Discrete Device Assignment) PCIe Device wie Grafikkarte und NVMe (Non-Volatile Memory express) eines Hyper-V Hosts zu deaktivieren, zu entfernen (Dismount) und diese an die VM weiterzureichen.

Security - Credential Guard:
Der Themenblock Serversicherheit befasst sich neben der Firewall auch mit Service Hardening. Ab Windows VISTA und 2008 wurde ein neues Sicherheitsmodell mit mehreren Features und Maßnahmen zur Härtung der Services eingeführt: Session 0, Firewall, Service SID, Service Privileges, Service Security Type, Windows Mandatory Label und Level etc. Die stark erweiterte Sicherheit ist für Administratoren nicht immer einfach zu durchschauen. Sie wird im Kurs erläutert und anhand von Übungen praktiziert. Das Thema UEFI Secure Boot und ELAM Driver, sowie Windows Defender (nun auch in Windows Server 2016 / 2019 integriert) und Credential Guard runden den Schwerpunk Security ab. Wir lernen im Kurs, wie diese Komponenten eng zusammen arbeiten und warum künftige Sicherheitsfeatures von Microsofts Betriebssystemen TPM 2.0 voraussetzen.

Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service
Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service

Server Massage Block - SMB 3.0
Server Message Block - SMB 3.x

Dieser Kurs wird durch den Kurs ASAI ergänzt, in dem unterrichtet wird, wie das ESAE Modell mit den 3 Tiers T0, T1 und T2 aufgebaut werden kann.

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
ESAE (Enhanced Security Administrative Environment) mit Tier 0 (AD+PKI), Tier 1 (Server) und Tier 2 (Desktops)

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit, wenn Sie eine spezielle Sprachversion wie z.B. " Französisch" wünschen. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -