Server Massage Block - SMB 3.0

Intensivkurs "PowerServer I"

Windows Server 2016 Administration

ESAE  Sicherheitsmodell - SMB over RDMA - DcbQos - Hyper-V SET - Storage Replication - Desired State Configuration - Host Guardian Service & Shielded VM

Die neuen Features von Windows Server 2016 wie Storage Replication (SR) , Docker Containers, Hyper-V SET (Switch Embedded Teaming) und SMB over RDMA mit DCBQos (Data Center Bridging Quality Of Service) und auch DSC (Desired State Configuration) werden im Kurs behandelt.
In diesem Kurs wollen wir auch das ESAE (Enhanced Security Administrative Environment) Modell teilweise praktizieren, welches in unserem Kurs ASAI ganzheitlich unterrichtet wird. Windows Server gehören zum Tier 1 und dürfen nur von T1-ServerAdmins und nicht mehr von Tier 0 Domain Administratoren verwaltet werden.
Storage Replication (Server-To-Server) ist neben der Cluster-To-Cluster und Stretch-Cluster Replikation ein würdiger Nachfolger von DFS-R, die wir gemeinsam mit DFS-N (Namespace) in diesem Server Kurs praktizieren. Storage Spaces Direct (S2D) ist Bestandteil des Clusterkurses und wird am Kursende demontriert.
Mit DSC können mehrere Server ihre vordefinierte Konfiguration von einem Pullserver via HTTP/HTTPS oder SMB downloaden und ausführen.
Neu ist auch das DDA (Discrete Device Assignment), mit dem es zum ersten Mal möglich ist, PCIe Device wie Grafikkarte und NVMe von Hyper-V Host an VM weiterzureichen.

ZIELGRUPPE
Das Seminar richtet sich an Serveradministratoren, Support-Ingenieure und Computerhersteller.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

06.11. - 10.11.2017 noch Plätze frei
05.02. - 09.02.2018 noch Plätze frei
16.04. - 20.04.2018 noch Plätze frei
25.06. - 29.06.2018 noch Plätze frei

Zur Anmeldung

PREIS
3.250,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 09:00 - 17:30 Uhr
Am letzten Tag (Freitag) 09:00 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Es ist zu erkennen, dass Microsoft mit Windows Server 2016 gemeinsam mit Windows 10 folgende Ziele hat:

1) Höherer Automatisierungsgrad » durch PowerShell Remoting, PowerShell Direct, PowerShell Workflow, DSC (Desired State Configuration)
2) Mehr Virtualisierung und Cloud » durch Windows Server Container und Hyper-V Container sowie Nano Server
3) Mehr Software Defined Network (SDN) » Hyper-V RDMA Switch, SET (Switch Embedded Teaming), Network Controller
4) Mehr Software Defined Storage (SDS) » Storage Spaces Direct (S2D), Storage Replication (SR), Storage Quality of Service (SQ)
5) Höhere Performance » SMB 3.1.1, RoCEv2 (RDMA over Converged Ethernet), RDMA Teaming, RDMA Hyper-V Switch
6) Hyper-V VM Performance Steigerung » DDA (Discrete Device Assignment)
7) Höhere Sicherheit » Device & Credential Guard (Virtualization Based Security), TPM 2.0, Host Guardian Service, ELAM Driver und Defender

Der Flaschenhals beim Transport von größeren Datenmengen (z. B. Deployment von OS, File Service) konnte seit Windows Server 2012 und R2 durch die neue Protokollversion SMB 3.0, durch NDIS 6.30 und umfangreiche Maßnahmen wie SMB-Multichannel, SMB-Direct (SMB over RDMA) mit 10 GB/s NIC weitgehend beseitigt werden. Mit dem stark zunehmenden Virtualisierungsgrad und Einsatz von Software Defined Storage (SDS) ist ein 10 GBit/s Netz allein auch nicht mehr ausreichend. Datenpakete von unterschiedlichen Anwendungen (SAN, LAN, IPC, Management) müssen über ein "kollisionsbehaftetes" Converged Ethernet möglichst "lossless" und mit sehr niedriger Latenzzeit zum Ziel transportiert werden. Mit Windows Server 2016 soll dies durch konsequenten Einsatz von RDMA fähigen Netzwerkkarten und DCB (Data Center Bridging) erreicht werden.

Zusammen mit dem erweiterten Protokoll SMB 3.1.1 von Windows Server 2016 werden RDMA NICs (R-NIC) von Microsoft vorgeschrieben, wenn die neuen 2016 Features Storage Spaces Direct (S2D) und Storage Replication (SR) in einer Produktionsumgebung eingesetzt werden sollen. Auch die Switches müssen DCB fähig sein, sodass Policies für Priority Flow Control (PFC) und optional auch Bandwidth Allocation (ETS) per PowerShell für den SMB Transport angewandt werden können.

In Windows Server 2016 können bis zu 8x R-NICs in einen neuartigen High Performance SET (Switch Embedded Teaming) für Hyper-V Host via PowerShell gebunden werden. Die neuen R-NICs mit NDIS 6.60, die auch den neuen Standard RoCEv2 unterstützen. Die neue Generation von 10 GB/s R-NIC wird alle wichtigen QoS und Offload-Funktionen unterstützen: DCB, RDMA, SR-IOV, VMQ, VXLAN, NVGRE etc. Im Kurs setzen wir bereits diese neuen R-NICs ein.

Beginnend mit der Installation wollen wir gleich die neuesten Features und Technologien kennenlernen, die mit Windows 8 und Windows Server 2012 Eingang finden und durch Windows 10 sowie Server 2016 noch mächtiger werden: UEFI Secure Boot, 10 GBit/S SMB 3.1.1 Multichannel, Storage Spaces Direct und Storage Replication. Jeder Teilnehmer lernt ganz am Anfang einen bootfähigen USB-Stick sowohl für BIOS als auch für UEFI anzufertigen. Dann wird Windows Server 2016 vom USB-Stick aus auf einem aktivierten UEFI 2.3.1 Secure Boot installiert.

Die Aktivierung von UEFI 2.3.1 Secure Boot in Zusammenarbeit mit dem "Built-In" ELAM Driver (Early Launch Anti Malware) und dem nun auch bei Windows Server 2016 integrierten Windows Defender (SCCM Endpoint Protection) sorgt für eine nahtlose Sicherheit gegen Root-Kits und Boot-Kits. Wenn TPM 2.0 vorhanden ist, sind weitere Sicherheitsfeatures wie u.a. UEFI Measured Boot möglich. Microsoft schreibt TPM 2.0 für 2016 Serverhardware vor!

Die Serververwaltung mit dem bekannten Server Manager wird durch PowerShell Remoting, PowerShell Direct und PowerShell Workflow erweitert und automatisiert. Dabei dient WinRM / WinRS over HTTP/HTTPS mittlerweile standardmäßig als das Transport Protokoll.

Mit dem winzigen Nano Server Image und der Docker Container Technologie, die Microsoft von der Docker Inc. Ende 2014 lizenziert hat, beginnt mit Windows 10 und Windows Server 2016 ein neues Zeitalter. Container mit Anwendungen auf Nano Server können On-Premise entwickelt und rasch in die Cloud umgezogen werden. Im Kurs lernen wir, wie Container angelegt und mit Web-Anwendungen konfiguriert und per PowerShell automatisiert werden können.

Strenge NTFS/ReFS- und Freigabe-Berechtigung z. B. für das HOME Verzeichnis wird im Kurs eingerichtet, sodass Benutzer nur auf ihren Daten zugreifen können. Mit VISTA wurde die UAC (User Account Control) eingeführt, die das Verhalten der NTFS-Berechtigung ziemlich stark beeinflusst. Auch der Volume Shadow Copy Service (VSS) sorgt dafür, dass Snapshots für wichtige Datenlaufwerke erstellt werden, auf die man jederzeit zurückgreifen kann. Mit Symbolic Link, einem NTFS-Feature, kann direkt auf den Inhalt von Volume Shadow zugegriffen werden. Wir kombinieren File Services mit SMB-Multichannel und anderen Features wie Data Deduplication (noch nicht möglich mit ReFS).

Mit Windows Server 2016 treibt Microsoft die Virtualisierung und Cloud Nutzung noch stärker voran. Software Defined Network (SDN) und Software Defined Storage (SDS) sorgen dafür, dass die IT-Landschaft aus physischen und virtuellen Komponenten (VM, Switch, Storage, Netzwerk etc.) vermischt und zentral verwaltet werden kann. Die Kernkompente ist der Hyper-V Host mit seinem Virtual Switch. Um hohe Bandbreite und zugleich hohe Verfügbarkeit für Host und VM zu ermöglichen, werden mit Windows Server 2016 neue Features eingeführt: RDMA Teaming, SET (Switch Embedded Teaming). Während Storage Spaces von 2012 nur lokal auf einem Hyper-V Host anwendbar ist, kann Storage Spaces Direct (S2D) für den gesamten Cluster genutzt werden. Wenn R-NICs und die Netzwerkinfrastruktur für einen 2016 Cluster verfügbar sind, wird keine teure SAN mehr benötigt. Im Kurs werden auf einem 4-Nodes Cluster ein Scale-Out File Server mit S2D eingerichtet, sodass die HyperV-Hosts die VM-Daten über das 10 GBit/s Netzwerk via SMB 3.1.1 remote speichern können. In unserem 2016 Cluster-Kurs und SCVMM 2016-Kurs wird auch der 2016 Hyper-V Cluster und S2D unterrichtet.

4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs
4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs

Ein weiterer Schwerpunkt des Kurses ist die automatische Installation von Windows Servers und Clients durch WDS (Windows Deployment Service). Eine "unattended" Installation wird mit Hilfe einer Antwortdatei ausgeführt, die vorher mit WSIM (Windows System Image Manager) erstellt wurde. WDS und die Erstellung von Installationsantwortdateien bilden die absolute Grundlage für jedes Massendeployment von Clients und Servern. Auch wenn der große Bruder SCCM (System Center Configuration Manager) in einer Enterprise Umgebung zum Einsatz kommt, ist das Wissen um WDS unverzichtbar.

Die Driver Architecture hat sich seit 2008 stark verändert. 64-Bit Kernel Driver müssen signiert werden. Außerdem müssen Driver im Verzeichnis DriverStore deponiert werden, wenn sie vom Plug & Play Service für die Installation genutzt werden sollen. Wir lernen in diesem Modul nicht nur, WDS Gerätetreiber in das Windows Image Winpe.wim bzw. Install.wim zu impfen (Injection), sondern auch wie neue Treiber im DriverStore vor dem Einsatz platziert werden können (Pre-Staging). Auch die Analyse der Setup-Datei INF sowie der Signatur-Datei CAT und der Zusammenhang dieser Dateien mit dem PKI-Zertifikat wird im Kurs behandelt. Administratoren können danach die Fähigkeit einer Netzwerkkarte anhand ihrer *.INF beurteilen.

Mit Windows Server 2016 ist es jetzt möglich, mit DDA (Discrete Device Assignment) PCIe Device wie Grafikkarte und NVMe (Non-Volatile Memory express) eines Hyper-V Hosts zu deaktivieren, zu entfernen (Dismount) und diese an die VM weiterzureichen.

In diesem Kurs wird auch die Grundlage von ETW (Event Tracing for Windows) behandelt. Seit Windows VISTA ist ETW für das gesamte Event-Management von User-Mode und Kernel-Mode Events zuständig. Während die "älteren" Classic Event Provider nur die "legacy" Primary Channel Logs bedienen können, versorgen die neuen Manifest-basierte Event Provider auch die neuen Crimson Channel Logs. Serveradministratoren sollen wissen, wohin ein Event Provider seine Events schreibt, um diese auch verfolgen zu können.

Der Themenblock Serversicherheit befasst sich neben der Firewall auch mit Service Hardening. Ab Windows VISTA und 2008 wurde ein neues Sicherheitsmodell mit mehreren Features und Maßnahmen zur Härtung der Services eingeführt: Session 0, Firewall, Service SID, Service Privilegs, Service Security Type, Windows Mandatory Label und Level etc. Die stark erweiterte Sicherheit ist für Administratoren nicht immer einfach zu durchschauen. Sie wird im Kurs erläutert und anhand von Übungen praktiziert. Das Thema UEFI Secure Boot und ELAM Driver sowie Windows Defender, nun auch in Windows Server 2016 integriert, und Credential Guard runden den Schwerpunk Security ab. Wir lernen im Kurs, wie diese Komponenten eng zusammen arbeiten und warum künftige Sicherheitsfeatures von Microsofts Betriebssystemen TPM 2.0 voraussetzen.

Zum Themenblock Sicherheit gehört auch das Host Guardian Service und Shielded VM, die wir in diesem Kurs vorführen (Demo) um diese neue Möglichkeit zu zeigen, wie VMs auf einem Hyper-V Host sicher verwaltet werden können. Guarded Hosts sind die  von HSG durch Device Health Attestation geprüfte 2016 Hyper-V Server (UEFI Secure Boot, TPM 2.0, Device Guard etc.), die mit BitLocker verschlüsselte VMs hosten. Um zu verhindern, dass ein Hyper-V Manager (Tier 1) Zugriff auf wichtige VMs (DC, CA etc.)  wird der Transport Key zum Unlock einer BitLocker VM von HGS gesteuert, sodass nur Berechtigten per Remote Desktop auf diese VM zugreifen können.

Schließlich lernen Server Administratoren mit dem "Bordmittel" Windows Server Backup, einen 2016 Server und auch Windows 10 Client zu sichern und im Notfall mit Hilfe von Win RE vollständig zu restaurieren. Um das Backup für mehrere Server parallel durchzuführen, wird PowerShell Workflow eingesetzt. PowerShell Workflow ist ein elementarer Baustein der Automation, die künftig in der Windows Welt noch mehr zum Einsatz kommen wird.

Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)
Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)

Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service
Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service

Server Massage Block - SMB 3.0
Server Massage Block - SMB 3.x

Dieser Kurs wird durch den Kurs ASAI ergänzt, in dem unterrichtet wird, wie das ESAE Modell mit den 3 Tiers T0, T1 und T2 aufgebaut werden kann.

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
ESAE (Enhanced Security Administrative Environment) mit Tier 0 (AD+PKI), Tier 1 (Server) und Tier 2 (Desktops)

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -