Server Massage Block - SMB 3.0

Intensivkurs "PowerServer I"

Windows Server 2016 Administration

ESAE Sicherheitsmodell - SMB over RDMA - Hyper-V SET - Storage Replication - Desired State Configuration (DSC) - Work Folders & ADFS Conditional Access

In diesem Kurs werden ab Oktober 2017 zwei Windows Server 2016 Versionen behandelt: LTSC (Long-Term Service Channel) 1607 und SAC (Semi-Annual-Channel) 1709 und 1803. Darüber hinaus wird die bisherige RPC und SOAP basierte Serververwaltung durch das neue, auf REST API basierende, Webportal "Windows Admin Center" erweitert.
Die neuen Features von Windows Server 2016 wie Storage Replication (SR), Docker Containers, Hyper-V SET (Switch Embedded Teaming) und SMB over RDMA mit DCBQos (Data Center Bridging Quality Of Service) und auch DSC (Desired State Configuration) gehören zur Serveradministration. Mit DSC können mehrere Server, auch Workgroup Member, ihre vordefinierte Konfiguration von einem Pullserver via HTTP/HTTPS oder SMB (nur Domain Member) downloaden und ausführen.
In diesem Kurs wollen wir auch das ESAE (Enhanced Security Administrative Environment) Modell teilweise praktizieren, welches in unserem Kurs ASAI ganzheitlich unterrichtet wird. Windows Server gehören nach ESAE zum Tier 1 und dürfen sicherheitstechnisch nur von T1-ServerAdmins und nicht mehr von T0 Administratoren verwaltet werden.
Storage Replication (Server-To-Server) ist neben der Cluster-To-Cluster und Stretch-Cluster Replikation ein würdiger Nachfolger von DFS-R, die wir gemeinsam mit DFS-N (Namespace) in diesem Server Kurs praktizieren. Neu ist auch das DDA (Discrete Device Assignment), mit dem es zum ersten Mal möglich ist, PCIe Devices wie Grafikkarte und NVMe von Hyper-V Host an VM weiterzureichen.
Die ADFS Authentication erweitert den Zugriff auf interne Ressourcen für externe Benutzer und Workgroup Windows. Mit AD FS 2016 Conditional Access kann eine zusätzliche Zugangskontrolle aufgebaut werden, die mit einer "normalen" NTFS-Berechtigung und SMB-Freigabe nicht möglich ist. Im Kurs praktizieren wir "Work Folders" in Kombination mit AD FS 2016 um externe Zugriffe via HTTPS durch die AD FS Authentication zu ermöglichen und den Zugang durch Conditional Access zu kontrollieren.

ZIELGRUPPE
Das Seminar richtet sich an Serveradministratoren, Support-Ingenieure und Computerhersteller.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

16.04. - 20.04.2018 ausgebucht
25.06. - 29.06.2018 ausgebucht
27.08. - 31.08.2018 noch Plätze frei
15.10. - 19.10.2018 noch Plätze frei
03.12. - 07.12.2018 noch Plätze frei

Zur Anmeldung

PREIS
3.450,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag (Freitag) 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen:

Ab Oktober 2017 existiert neben der bestehenden Windows Server 2016 Version 1607, nun als LTSC (Long-Term Service Channel) bezeichnet, eine weitere SAC (Semi-Annual Channel) Version 1709 und seit April 2018 die zweite Version 1803. Diese Versionen stehen nur als Server Core zur Verfügung. Der Kurs wird daher mit zwei neuen Themen ergänzt: Server Core und Windows Admin Center.

Es ist zu erkennen, dass Microsoft mit Windows Server 2016 gemeinsam mit Windows 10 folgende Ziele hat:

1) Höherer Automatisierungsgrad » durch PowerShell Remoting, PowerShell Direct, PowerShell Workflow, DSC (Desired State Configuration)
2) Mehr Virtualisierung und Cloud » durch Windows Server Container und Hyper-V Container
3) Mehr Software Defined Network (SDN) » Hyper-V RDMA Switch, SET (Switch Embedded Teaming), Network Controller
4) Mehr Software Defined Storage (SDS) » Storage Spaces Direct (S2D), Storage Replication (SR), Storage Quality of Service (SQ)
5) Höhere Performance » SMB 3.1.1, RoCEv2 (RDMA over Converged Ethernet), RDMA Teaming, RDMA Hyper-V Switch
6) Hyper-V VM Performance Steigerung » DDA (Discrete Device Assignment)
7) Höhere Sicherheit » Device & Credential Guard (Virtualization Based Security), TPM 2.0, Host Guardian Service, ELAM Driver und Defender
Wenn man die Kerberos Windows Authentifizierung innerhalb von Active Directory durch AD FS Authentication (Federation Service) erweitert, können interne Ressourcen   wie "Work Folders" auch von externen Workgroup Windows oder Smart Phones (iOS, Android)  via HTTPS sicher zugegriffen werden. Mit Conditional Access kann eine zusätzliche "Zugangskontrolle" konfiguriert werden. Die interne Grenze wird somit sicher nach aussen erweitert, wenn gewünscht auch in die Cloud!
8) Hybrid Authentication + Zugangskontrolle » durch Kombination mit AD FS 2016 Authentication und Conditional Access

Der Flaschenhals beim Transport von größeren Datenmengen (z. B. Deployment von OS, File Service) konnte seit Windows Server 2012 und R2 durch die neue Protokollversion SMB 3.0, durch NDIS 6.30 und umfangreiche Maßnahmen wie SMB-Multichannel, SMB-Direct (SMB over RDMA) mit 10 GB/s NIC weitgehend beseitigt werden. Mit dem stark zunehmenden Virtualisierungsgrad und Einsatz von Software Defined Storage (SDS) ist ein 10 GBit/s Netz allein auch nicht mehr ausreichend. Datenpakete von unterschiedlichen Anwendungen (SAN, LAN, IPC, Management) müssen über ein "kollisionsbehaftetes" Converged Ethernet möglichst "lossless" und mit sehr niedriger Latenzzeit zum Ziel transportiert werden. Mit Windows Server 2016 soll dies durch konsequenten Einsatz von RDMA fähigen Netzwerkkarten und DCB (Data Center Bridging) erreicht werden.

Zusammen mit dem erweiterten Protokoll SMB 3.1.1 von Windows Server 2016 werden RDMA NICs (R-NIC) von Microsoft vorgeschrieben, wenn die neuen 2016 Features Storage Spaces Direct (S2D) und Storage Replication (SR) in einer Produktionsumgebung eingesetzt werden sollen. Auch die Switches müssen DCB fähig sein, sodass Policies für Priority Flow Control (PFC) und optional auch Bandwidth Allocation (ETS) per PowerShell für den SMB Transport angewandt werden können.

In Windows Server 2016 können bis zu 8x R-NICs in einen neuartigen High Performance SET (Switch Embedded Teaming) für Hyper-V Host via PowerShell gebunden werden. Die neuen R-NICs mit NDIS 6.60, die auch den neuen Standard RoCEv2 unterstützen. Die neue Generation von 10 GB/s R-NIC wird alle wichtigen QoS und Offload-Funktionen unterstützen: DCB, RDMA, SR-IOV, VMQ, VXLAN, NVGRE etc. Im Kurs setzen wir bereits diese neuen R-NICs ein.

SMB Multichannel » SMB 3.x Client greift simultan über 2x NICs auf den File Server zu, der auch mind. 2x NICs besitzt.
Der Durchsatz wird nahezu verdoppelt!
SMB Remote File Share » Serveranwendungen wie Hyper-V oder SQL können ihre Daten auf einer SMB-Share eines hochverfügbaren SOFS (Scale-Out File Server) ablegen.
SMB Direct (SMB over RDMA) » Kommunikation zwischen zwei Servern mittels 10-GBit R-NICs, ohne die CPU wesentlich zu belasten.
SMB Transparent Failover » SMB 3.x Clients können über jeden Clusterknoten auf einen Scale-Out File Server zugreifen.
SMB Encryption » Dieses Feature ermöglicht die Verschlüsselung auf SMB-Shares zwischen SMB 3.x Clients und SMB 3.x Server.
Storage Spaces Direct (S2D) » Failover Cluster nutzt lokale Disks und den SMB Bus, um hochverfügbare Storage Pools und Storage Spaces (Virtual Disks) zu bilden.
Storage Replication (SR) » Server Storage (Volume) kann via SMB in Block Mode synchron für Disaster Recovery zum Zielserver repliziert werden.

Beginnend mit der Installation wollen wir gleich die neuesten Features und Technologien kennenlernen, die mit Windows 8 und Windows Server 2012 Eingang finden und durch Windows 10 sowie Server 2016 noch mächtiger werden: UEFI Secure Boot, 10 GBit/S SMB 3.1.1 Multichannel, Storage Spaces Direct und Storage Replication

Die Aktivierung von UEFI 2.3.1 Secure Boot in Zusammenarbeit mit dem "Built-In" ELAM Driver (Early Launch Anti Malware) und dem nun auch bei Windows Server 2016 integrierten Windows Defender (SCCM Endpoint Protection) sorgt für eine nahtlose Sicherheit gegen Root-Kits und Boot-Kits. Wenn TPM 2.0 vorhanden ist, sind weitere Sicherheitsfeatures wie u.a. UEFI Measured Boot möglich. Microsoft schreibt TPM 2.0 für 2016 Serverhardware vor!

Die Serververwaltung mit dem bekannten Server Manager wird durch PowerShell Remoting, PowerShell Direct und PowerShell Workflow erweitert und automatisiert. Dabei dient WinRM / WinRS over HTTP/HTTPS mittlerweile standardmäßig als das Transport Protokoll.

Mit dem winzigen Nano Server Image und der Docker Container Technologie, die Microsoft von der Docker Inc. Ende 2014 lizenziert hat, beginnt mit Windows 10 und Windows Server 2016 ein neues Zeitalter. Im Kurs lernen wir, wie Container angelegt und mit Web-Anwendungen konfiguriert und per PowerShell automatisiert werden können.

Strenge NTFS/ReFS- und Freigabe-Berechtigungen, z. B. für das HOME Verzeichnis, werden im Kurs eingerichtet, sodass Benutzer nur auf ihren Daten zugreifen können. Mit VISTA wurde die UAC (User Account Control) eingeführt, die das Verhalten der NTFS-Berechtigung ziemlich stark beeinflusst. Auch der Volume Shadow Copy Service (VSS) sorgt dafür, dass Snapshots für wichtige Datenlaufwerke erstellt werden, auf die man jederzeit zurückgreifen kann. Mit Symbolic Link, einem NTFS-Feature, kann direkt auf den Inhalt von Volume Shadow zugegriffen werden. Wir kombinieren File Services mit SMB-Multichannel und anderen Features wie Data Deduplication. Mit Windows Server 1709 (Core) ist es erstmals möglich, Data Deduplication auf einem REFS Volumen zu nutzen.

"Work Folders" wird von Microsoft seit Windows 8.1 als weitere Storage betrachtet. Als Nachfolger von "Offline Ordner" kann "Work Folders" vom Domain Benutzer auf einem File Server mit einem Windows 10 Client Lokal Verzeichnis via HTTPS synchronisiert und auch verschlüsselt werden. Benutzer kann dank HTTPS von überall auf seinen Work Folders sicher zugreifen. Ein externer Zugriff benötigt allerdings eine AD FS Struktur mit hochverfügbarer interner AD FS Serverfarm und WAP (Web Application Proxy) in der DMZ. Ein "Work Folder" kann auch eine SMB-Freigabe sein. Somit hat man in einer modernen Umgebung zwei Zugriffsmöglichkeiten auf seine Daten: SMB und HTTPS. Der externe Zugriff, z.b. von zu Hause oder vom Hotel aus, von einem Workgroup Windows oder von Smart Phones (iOS, Android) dank HTTPS ist sicher genug.

Mit Windows Server 2016 treibt Microsoft die Virtualisierung und Cloud Nutzung noch stärker voran. Software Defined Network (SDN) und Software Defined Storage (SDS) sorgen dafür, dass die IT-Landschaft aus physischen und virtuellen Komponenten (VM, Switch, Storage, Netzwerk etc.) vermischt und zentral verwaltet werden kann. Die Kernkompente ist der Hyper-V Host mit seinem Virtual Switch. Um hohe Bandbreite und zugleich hohe Verfügbarkeit für Host und VM zu ermöglichen, werden mit Windows Server 2016 neue Features eingeführt: RDMA Teaming, SET (Switch Embedded Teaming). Während Storage Spaces von 2012 nur lokal auf einem Hyper-V Host anwendbar ist, kann Storage Spaces Direct (S2D) für den gesamten Cluster genutzt werden. Wenn R-NICs und die Netzwerkinfrastruktur für einen 2016 Cluster verfügbar sind, wird keine teure SAN mehr benötigt. In unserem 2016 Cluster-Kurs wird auch der 2016 Hyper-V Cluster und S2D unterrichtet.

4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs
4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs

Ein weiterer Schwerpunkt des Kurses ist die automatische Installation von Windows Servers und Clients durch WDS (Windows Deployment Service). Eine "unattended" Installation wird mit Hilfe einer Antwortdatei ausgeführt, die vorher mit WSIM (Windows System Image Manager) erstellt wurde. WDS und die Erstellung von Installationsantwortdateien bilden die absolute Grundlage für jedes Massendeployment von Clients und Servern. Auch wenn der große Bruder SCCM (System Center Configuration Manager) in einer Enterprise Umgebung zum Einsatz kommt, ist das Wissen um WDS unverzichtbar.

Die Driver Architecture hat sich seit 2008 stark verändert. 64-Bit Kernel Driver müssen signiert werden. Außerdem müssen Driver im Verzeichnis DriverStore deponiert werden, wenn sie vom Plug & Play Service für die Installation genutzt werden sollen. Wir lernen in diesem Modul nicht nur, WDS Gerätetreiber in das Windows Image Winpe.wim bzw. Install.wim zu impfen (Injection), sondern auch wie neue Treiber im DriverStore vor dem Einsatz platziert werden können (Pre-Staging). Auch die Analyse der Setup-Datei INF sowie der Signatur-Datei CAT und der Zusammenhang dieser Dateien mit dem PKI-Zertifikat wird im Kurs behandelt. Administratoren können danach die Fähigkeit einer Netzwerkkarte anhand ihrer *.INF beurteilen.

Mit Windows Server 2016 ist es jetzt möglich, mit DDA (Discrete Device Assignment) PCIe Device wie Grafikkarte und NVMe (Non-Volatile Memory express) eines Hyper-V Hosts zu deaktivieren, zu entfernen (Dismount) und diese an die VM weiterzureichen.

In diesem Kurs wird auch die Grundlage von ETW (Event Tracing for Windows) behandelt. Seit Windows VISTA ist ETW für das gesamte Event-Management von User-Mode und Kernel-Mode Events zuständig. Während die "älteren" Classic Event Provider nur die "legacy" Primary Channel Logs bedienen können, versorgen die neuen Manifest-basierte Event Provider auch die neuen Crimson Channel Logs. Serveradministratoren sollen wissen, wohin ein Event Provider seine Events schreibt, um diese auch verfolgen zu können.

Der Themenblock Serversicherheit befasst sich neben der Firewall auch mit Service Hardening. Ab Windows VISTA und 2008 wurde ein neues Sicherheitsmodell mit mehreren Features und Maßnahmen zur Härtung der Services eingeführt: Session 0, Firewall, Service SID, Service Privilegs, Service Security Type, Windows Mandatory Label und Level etc. Die stark erweiterte Sicherheit ist für Administratoren nicht immer einfach zu durchschauen. Sie wird im Kurs erläutert und anhand von Übungen praktiziert. Das Thema UEFI Secure Boot und ELAM Driver sowie Windows Defender, nun auch in Windows Server 2016 integriert, und Credential Guard runden den Schwerpunk Security ab. Wir lernen im Kurs, wie diese Komponenten eng zusammen arbeiten und warum künftige Sicherheitsfeatures von Microsofts Betriebssystemen TPM 2.0 voraussetzen.

Schließlich lernen Server Administratoren mit dem "Bordmittel" Windows Server Backup, einen 2016 Server und auch Windows 10 Client zu sichern und im Notfall mit Hilfe von Win RE vollständig zu restaurieren. Um das Backup für mehrere Server parallel durchzuführen, wird PowerShell Workflow eingesetzt. PowerShell Workflow ist ein elementarer Baustein der Automation, die künftig in der Windows Welt noch mehr zum Einsatz kommen wird.

Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)
Windows Server 2016 - Windows Server Container & Hyper-V Container (Live im Kurs)

Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service
Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service

Server Massage Block - SMB 3.0
Server Massage Block - SMB 3.x

Dieser Kurs wird durch den Kurs ASAI ergänzt, in dem unterrichtet wird, wie das ESAE Modell mit den 3 Tiers T0, T1 und T2 aufgebaut werden kann.

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
ESAE (Enhanced Security Administrative Environment) mit Tier 0 (AD+PKI), Tier 1 (Server) und Tier 2 (Desktops)

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -