Intensivkurs "PowerServer I" - Level 4

Windows Server 2019 Administration + Azure Erweiterungen

SMB over RDMA (iWARP) - SMB Multi-Channel - BitLocker - Storage Replication (SR) - Azure File Sync + DFS-N

LIVE CLASS
Mit Microsoft TEAMS

Sehr geehrte Kunden!

Mit Microsoft TEAMS bieten wir hochwertige interaktive Online Kurse an, die gesondert als LIVE CLASS (LC) gekennzeichnet werden.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!
Die sehr gute Erfahrungen mit den ersten LIVE CLASS Kursen verleiten uns dazu beide Arten von Schulungen auch in Zukunft anzubieten:

LIVE CLASS via Microsoft TEAMS
PRÄSENT vor Ort in Böblingen

Nach und nach stellen wir weitere Kurse in LIVE CLASS um, besonders alle AZURE Kurse, die per Internet leicht zu erreichen sind.
Besonders Themenorientierte Trainings werden demnächst als kurze LIVE CLASS Trainings (1 oder 2 Tage) angeboten.
Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.

LIVE CLASS Inhalt

LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen

Welche Kurse werden als LIVE CLASS (LC) angeboten?
Zuerst bieten wir folgende Kurse, Workshops & Consulting sowohl PRÄSENT Kurse (vor Ort) als auch LIVE CLASS (LC) an:
1. Azure für Administratoren (4 Tage)
2. Azure Hybrid (4 Tage)
3. Azure Monitor (4 Tage)
4. Azure SQL (4 Tage)
5. Aufbau & Management von Windows 2019 Active Directory (5 Tage)
6. ESAE ASAI Competence Center (EAC) - Workshops & Consulting (1 Tag)
7. AD Health & Security Check (2 Tage)
8. Microsoft Endpoint Configuration Manager - Deployment OS & Update Management (2 Tage)

Weitere Azure Kurse werden folgen: Azure Automation, Exchange Hybrid, TEAMS und noch mehr AZURE!

Welche Kurse werden nicht als LIVE CLASS angeboten?
On-Premises Kurse wie ASAI, ASAI-2, Windows Hello for Business können nicht als LC angeboten werden.
Diese Kurse nutzen Smart Card und haben auch sehr umfangreiche Installation.

Hardware Voraussetzungen für LIVE CLASS
Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam » Pflicht!
- 2x Bildschirme (1x für TEAMS und 1x für Azure Übungen) » Pflicht!
- Dritter Bildschirm oder iPAD für die PDF-Dokumentation » zu empfehlen.
- Kabelanschluss direkt an Router/Switch anstatt WLAN » zu empfehlen.
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65) » zu empfehlen.

Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist in der Regel 10 Gbit/s.

Trainer im LIVE CLASS
Zwei Trainer plus ein TEAMS Organisator

Dokumentation für LIVE CLASS und PRÄSENT Kurse
1. LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in PDF.
Die personalisierte Doku kann ein paar Tage vorher nach Erhalt der Zugangsdaten heruntergeladen werden.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Print-Version (A4-Ordner), die wir Ihnen zuschicken.
2. PRÄSENT Kursteilnehmer bekommen die gedruckte Kurs-Dokumentation in einem A4-Ordner.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Digital-Version (in PDF) am ersten Kurstag.

Voraussetzung ist Vorkasse
- Erst nach Zahlungseingang können die Zugangsdaten für TEAMS übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS heruntergeladen werden.

Die massive Erweiterung von Microsoft Angeboten in Richtung Azure Cloud und zugleich die Reduzierung der traditionellen "On-Premises" Produkte zwingen uns dazu, schnell umzudenken. Wir erweitern in diesem neu überarbeiteten Kurs den Wirkungsbereich von Windows Server 2019 in Richtung Azure Cloud, dort wo es sinnvoll ist. Besonders interessant ist der Einsatz von Azure File Sync (AFS) als Nachfolger von DFS-R, wobei eine Azure File Share der Zentralhub der Sync-Topologie bildet.

Folgende Erweiterungen wurden in diesem 2019 Kurs eingebaut um uns ein Stück Azure näher zu bringen:

Mehr Azure:		1) Azure File Sync inkl. Azure Backup von File Share
		2) Azure DSC Pull Server
Mehr Security:		3) BitLocker
		4) ATP Demo (Advanced Threat Protection)
RDMA:		5) iWARP anstelle ROCv2

Mit Azure File Sync können lokale NTFS-Verzeichnisse oder Datenvolumen (Server Endpoints) in einer Sync Group mit einer Azure File Share (Cloud Endpoint) via HTTPS (REST API) synchronisiert werden. In diesem Kurs praktizieren wir, wie NTFS-Daten auf mehreren 2019 Servern via Azure File Sync (Hub) über Standorte hinweg synchronisiert und den Benutzern als SMB-Freigabe zur Verfügung gestellt werden. Wir setzen DFS-N ein um einen logischen Namespace für die Freigaben zu erreichen. Der Inhalt der Azure File Share wird mit Azure Backup gesichert.

Mit DSC (Desired State Configuration) können unterschiedliche Serverkonfiguration sehr flexibel gestaltet werden. Die Konfigurationsdateien werden bevorzugt auf einem Azure Pull Server zentral abgelegt und von "On-Premises" Server gezogen.

BitLocker ist bei Domain Controller zwingend notwendig, damit die AD Datenbank nicht so einfach ausgelesen werden kann. Auch wenn wir in einem Serverkurs keinen Domain Controller unterrichten, ist die Einrichtung von BitLocker bei einem normalen Server gleich. BitLocker wird mit TPM 2.0 und UEFI Secure Boot kombiniert.
Alle Domain Controller gehören nach dem ESAE-Modell zu Tier 0, während die "normalen" Windows Server zu Tier 1 gehören. Wenn die Server als VMs auf einem Hyper-V Host liegen, wird HGS Cluster (Host Guardian Service) benötigt, um die Sicherheit der Shielded VMs und der Guarded Hyper-V Host zu überwachen und zu verwalten. Shielded VM sind überwachte mit BitLocker verschlüsselte VMs » HGS Cluster wird in unserem Clusterkurs unterrichtet.

Windows Defender ATP (Advanced Threat Protection) ist die ultimative Sicherheitslösung von Microsoft, um Clients und Server in "fast" realtime gegen Angriffe zu überwachen. In diesem Serverkurs wird ATP nur demonstriert. In Kombination mit INTUNE können Windows 10 Clients flächendeckend durch ATP überwacht werden.
» Siehe Kurs Azure INTUNE Enterprise

Beide Serverversionen LTSC (Long-Term Service Channel) mit GUI und SAC (Semi-Annual-Channel) als Server Core werden im Kurs behandelt. Der Server Core wurde u.a. mit FOD (Feature On Demand) erweitert und wird von Microsoft nun auch für Exchange 2019 und SQL 2019 empfohlen.

Features wie Storage Replication (SR), Docker Containers, Hyper-V SET (Switch Embedded Teaming), SMB over RDMA und auch DSC (Desired State Configuration) gehören zur Serveradministration. Mit DSC können mehrere Server, auch Workgroup Member, ihre vordefinierte Konfiguration von einem Pullserver via HTTP/HTTPS oder SMB downloaden und ausführen. SMB over RDMA wird immer wichtiger und ist unabdingbar für Software Defined SAN wie S2D (Storage Spaces Direct), sowie SR (Storage Replication). RNIC (RDMA Netzwerkadapter) mit mindestens 10 GBit/s wird benötigt, wobei SMB Multichannel mehrere RNIC braucht. Bei den 2019 Hyper-Converged Hochleistungsclustern mit integrierten S2D werden heute bevorzugt 100 GBit/s RDMA Adapter mit RoCE oder iWARP eingesetzt. In Windows Server 2016 haben wir RoCEv2 (RDMA over Converged Ethernet) praktiziert. Mit Windows Server 2019 wird jedoch iWARP (Internet Wide Area RDMA Protocol) wegen der einfacheren Konfiguration und wegen der Verbesserung des 2019 TCP-Stacks durch Features wie LEDBAT [RFC6817] (Low Extra Delay Background Transfer) und TCP Fast Open [RFC7413] sowie vergrößertem Congestion Window [RFC6928] bevorzugt.

SR (Storage Replication - Server-To-Server) ist neben der Cluster-To-Cluster und Stretch-Cluster Replikation ein würdiger Nachfolger von DFS-R, den wir gemeinsam mit DFS-N (Namespace) in diesem Server Kurs praktizieren » S2D ist jedoch Bestandteil des neuen Failover Cluster & HGS Cluster Kurses.

Neu ab 2016 ist auch das DDA (Discrete Device Assignment), mit dem es zum ersten Mal möglich ist, PCIe Devices wie Grafikkarte und NVMe von einem Hyper-V Host an eine VM weiterzureichen.

In diesem Kurs wollen wir auch das wichtige ESAE Tier Modell (Enhanced Security Administrative Environment) praktizieren, welches in unserem Kurs ASAI ganzheitlich unterrichtet wird. In diesem 3-Tier Sicherheitsmodell gehören i.d.R. die Windows Server zum Tier 1 und dürfen aus Sicherheitsgründen nur von T1-ServerAdmins verwaltet werden. Hochsensitive Server, besonders alle Domain Controller müssen mit BitLocker verschlüsselt werden um einen Cold-Start Angriff zu vermeiden. Die Themen UEFI-Secure Boot und Defender ATP sowie Credential Guard müssen die Serveradministratoren unbedingt kennen.

ZIELGRUPPE
Das Seminar richtet sich an Serveradministratoren, Support-Ingenieure und Computerhersteller.

NIVEAU
Level 4 — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

12.10. - 16.10.2020

✓ noch Plätze frei

Zur Anmeldung

PREIS
3.750,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag (Freitag) 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen:

Seit November 2018 gibt es eine neue Windows Server 2019 LTSC Version 1809. Parallel dazu existieren die SAC (Semi-Annual Channel) Versionen 1709, 1803 und 1809.
Die SAC Versionen stehen nur als Server Core zur Verfügung. Für die Verwaltung von Windows Server eignet sich das neue Admin Portal Windows Admin Center (WAC).

Es ist erkennbar, dass Microsoft mit Windows Server 2016/2019 zusammen mit Windows 10 folgende Ziele hat:

1) Höherer Automatisierungsgrad	»	durch PowerShell Remoting, PowerShell Direct, PowerShell Workflow, DSC (Desired State Configuration)
2) Mehr Virtualisierung und Cloud	»	durch Windows Server Container und Hyper-V Container sowie Linux Container
3) Mehr Software Defined Network (SDN)	»	Hyper-V RDMA Switch, SET (Switch Embedded Teaming), Network Controller, VXLAN
4) Mehr Software Defined Storage (SDS)	»	Storage Spaces Direct (S2D), Storage Replication (SR), Storage Quality of Service (SQ)
5) Höhere Performance	»	SMB 3.1.1, RDMA over Ethernet mit ROCEv2 und ab Windows Server 2019 bevorzugt iWARP
6) Hyper-V VM Performance Steigerung	»	DDA (Discrete Device Assignment)
7) Höhere Sicherheit durch VBS	»	Device & Credential Guard (Virtualization Based Security), TPM 2.0, Host Guardian Service, ELAM Driver und Defender
8) Web-basierte Verwaltung	»	Alles geht über HTTPS via WAC (Windows Administration Center)
9) Hybrid Authentication + Zugangskontrolle	»	durch Kombination mit Azure AD Application Proxy (AADAP) und AADAP Connector

Windows Server 2012 R2:
Der Flaschenhals beim Transport von größeren Datenmengen (z. B. Deployment von OS, File Service) konnte seit Windows Server 2012 und R2 durch die neue Protokollversion SMB 3.0, durch NDIS 6.30 und umfangreiche Maßnahmen wie SMB-Multichannel, SMB-Direct (SMB over RDMA) mit 10 GB/s NIC weitgehend beseitigt werden. Mit dem zunehmenden Virtualisierungsgrad und Einsatz von Software Defined Storage (SDS) ist ein 10 GBit/s Netz allein nicht ausreichend. Datenpakete von unterschiedlichen Anwendungen (SAN, LAN, IPC, Management) müssen über ein "kollisionsbehaftetes" Converged Ethernet möglichst "lossless" und mit sehr niedriger Latenzzeit zum Ziel transportiert werden.

Windows Server 2016:
Zusammen mit dem erweiterten Protokoll SMB 3.1.1 von Windows Server 2016 werden RDMA NICs (R-NIC) von Microsoft vorgeschrieben, wenn die neuen 2016 Features Storage Spaces Direct (S2D) und Storage Replication (SR) in einer Produktionsumgebung eingesetzt werden. Unter Windows Server 2016 wird das Protokoll ROCEv2 (RDMA Over Converged Ethernet) bevorzugt, welches allerdings DCB-fähige Switches (Data Center Bridging) und Policies für Priority Flow Control (PFC) und Bandwidth Allocation (ETS) benötigt. In Windows Server 2016 können bis zu 8x R-NICs in einen neuartigen High Performance SET (Switch Embedded Teaming) für Hyper-V Host via PowerShell gebunden werden.

Windows Server 2019:
Der TCP-Stack wurde bereits seit 2016 erweitert und nun fest in den TCP Kernel integriert. Der neue TCP Stack von Windows Server 2019 sorgt gegenüber Windows Server 2016 bereits für ein zügiges Netzwerk mit kürzerer Latenzzeit. Mit den neuen 100 GBit/s R-NIC ist es nicht unbedingt notwendig für RDMA das ROCEv2 Protokoll mit DCB, PFC und ETS einzusetzen. Das unkomplizierte Protokoll iWARP wird daher bevorzugt.
Wir sind dabei 100 GBit/s RNIC mit iWARP (ohne DCB, PFC, ETC) zu testen und im Kurs neben den 10 GBit/s ROCEv2 Netzwerkadaptern (mit DCB, PFC, ETS) zu praktizieren.

SMB 3.x:

SMB Multichannel	»	SMB 3.x Client greift simultan über 2x NICs auf den File Server zu, der auch mind. 2x NICs besitzt. Der Durchsatz wird nahezu verdoppelt!
SMB Remote File Share	»	Serveranwendungen wie Hyper-V oder SQL können ihre Daten auf einer SMB-Share eines hochverfügbaren SOFS (Scale-Out File Server) ablegen.
SMB Direct (SMB over RDMA)	»	Kommunikation zwischen zwei Servern mittels 10-GBit/s bzw. 100 GBit/s R-NICs, ohne die CPU wesentlich zu belasten.
SMB Transparent Failover	»	SMB 3.x Clients können über jeden Clusterknoten auf einen Scale-Out File Server zugreifen.
SMB Encryption	»	Dieses Feature ermöglicht die Verschlüsselung auf SMB-Shares zwischen SMB 3.x Clients und SMB 3.x Server.

Storage Replication (SR)	»	Server Storage (Volume) kann via SMB in Block Mode synchron für Disaster Recovery zum Zielserver repliziert werden.

Storage Spaces Direct (S2D)

Failover Cluster nutzt lokale Disks und den SMB Bus, um hochverfügbare Storage Pools und Storage Spaces (Virtual Disks) zu bilden.
S2D wird nicht in diesem Kurs, sondern im Kurs Hyper-V Converged Cluster "High Speed & High Security" unterrichtet.

Installation:
Beginnend mit der Installation wollen wir gleich die aktuellsten Features und Technologien kennenlernen: UEFI Secure Boot, SMB 3.1.1 Multichannel, Storage Spaces Direct Die Aktivierung von UEFI 2.3.1 Secure Boot in Zusammenarbeit mit dem "Built-In" ELAM Driver (Early Launch Anti Malware) und dem seit Windows Server 2016 integrierten Windows Security Center (SCCM Endpoint Protection) sorgt für eine nahtlose Sicherheit gegen Root-Kits und Boot-Kits. Wenn TPM 2.0 vorhanden ist, sind weitere Sicherheitsfeatures wie u.a. UEFI Measured Boot möglich. Microsoft schreibt TPM 2.0 ab 2016 Serverhardware vor!

Verwaltung:
Die Serververwaltung mit dem bekannten Server Manager soll durch das Windows Admin Center (WAC) ersetzt werden. Dabei dient WinRM / WinRS over HTTP mittlerweile standardmäßig als das Transport Protokoll. Die Remote Verwaltung kann durch PowerShell Remoting, PowerShell Direct und PowerShell Workflow automatisiert werden.
Das Windows Admin Center wird von Microsoft stetig erweitert und verbessert. Mittlerweile ist es sogar möglich Active Directoy und Micrsoft DNS über das Admin Center zu verwalten. Natütlich besitzt das Windows Admin Center auch eine Anbindung an Microsoft Azure um z. B. den Azure File Sync zu betreiben.

UAC & Zugriffsberechtigung - File Service - SMB-Multichannel:
Strenge NTFS/ReFS- und Freigabe-Berechtigungen, z. B. für das HOME Verzeichnis, werden im Kurs eingerichtet, sodass Benutzer nur auf ihre Daten zugreifen können. Mit VISTA wurde die UAC (User Account Control) eingeführt, die das Verhalten der NTFS-Berechtigung ziemlich stark beeinflusst. Auch der Volume Shadow Copy Service (VSS) sorgt dafür, dass Snapshots für wichtige Datenlaufwerke erstellt werden, auf die man jederzeit zurückgreifen kann. Mit Symbolic Link, einem NTFS-Feature, kann direkt auf den Inhalt von Volume Shadow zugegriffen werden. Wir kombinieren File Services mit SMB-Multichannel und anderen Features wie Data Deduplication. Ab Windows Server 1709 (Core) ist es erstmals möglich, Data Deduplication auf einem ReFS Volumen zu nutzen. Die Migration von älteren File Servern, kann nun vom WAC durchgeführt werden. Die Funktion nennt sich Storage Migration Service.

Hyper-V und SET:
Ab Windows Server 2016 treibt Microsoft die Virtualisierung und Cloud Nutzung noch stärker voran. Software Defined Network (SDN) und Software Defined Storage (SDS) sorgen dafür, dass die IT-Landschaft aus physischen und virtuellen Komponenten (VM, Switch, Storage, Netzwerk etc.) vermischt und zentral verwaltet werden kann. Die Kernkomponente der Virtualisierung ist der Hyper-V Host mit seinem Virtual Switch. Um hohe Bandbreite und zugleich hohe Verfügbarkeit für Host und VM zu ermöglichen, wurden mit Windows Server 2016 neue Features eingeführt: RDMA Teaming, SET (Switch Embedded Teaming). Windows Server 2019 ist mit dem optimierten TCP Stack und 100 Gbit/s R-NIC mit iWARP auch ohne DCB Switch und NetQoS Policies PFC und ETS super geeignet für Software Defined Storage wie SR und S2D. Auch die VM und Container auf solchen High Speed Hyper-V Clustern können sehr schnell miteinander kommunizieren.

BitLocker:
Server hosten meist wichtige und sensible Daten, besonders Domain Controller. Aus diesem Grund sollten auch Server mit BitLocker verschlüsselt werden. Es ist möglich Daten oder die Windows Boot Partitionen mit BitLocker abzusichern. Für die Windows Boot Partition wird ein TPM Chip 2.0 empfohlen.In der heutigen Zeit sind die meisten Server virtualisiert und die virtuellen Festplatten wie Konfigurationsdateien liegen ungeschützt auf einem Virtualisierrungshost. Aus diesem Grund sollen auch die virtuellen Festplatten der VMs mit BitLocker verschlüsselt werden oder besser noch mit HGS überwacht werden.

Docker Container:
Microsoft hat die Docker Container Technologie Ende 2014 von der Docker Inc. lizenziert. Im Kurs lernen wir, wie Container angelegt, verwaltet und mit einer Web-Anwendung ausgestattet werden. Mit jeder neuen Server Version kommen zahlreiche neue Funktionen für Container hinzu. Unter Windows Server 2019 können nun auch Linux Container verwaltet werden. Container sind prädestiniert, um Web-Applikation IIS und auch SQL zu hosten, nicht nur für On-Premises, sondern besonders für die Nutzung in der Cloud.

Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)

4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs

4-Nodes Scale-Out File Server mit je 15x lokalen SSDs

Netzwerkkarten Driver:
Die Driver Architecture hat sich seit 2008 stark verändert. 64-Bit Kernel Driver müssen signiert werden. Durch die Aktivierung von UEFI Secure Boot müssen auch alle Start-Treiber korrekt signiert sein. Ab Windows Sever 2019 und Windows 10 1809 geht Microsoft dazu über Universal Windows Treiber zu verwenden.

PCIe DDA:
Ab Windows Server 2016 ist es jetzt möglich, mit DDA (Discrete Device Assignment) PCIe Device wie Grafikkarte und NVMe (Non-Volatile Memory express) eines Hyper-V Hosts zu deaktivieren, zu entfernen (Dismount) und diese an die VM weiterzureichen.

Security - Credential Guard:
Der Themenblock Serversicherheit befasst sich neben der Firewall auch mit Service Hardening. Ab Windows VISTA und 2008 wurde ein neues Sicherheitsmodell mit mehreren Features und Maßnahmen zur Härtung der Services eingeführt: Session 0, Firewall, Service SID, Service Privileges, Service Security Type, Windows Mandatory Label und Level etc. Die stark erweiterte Sicherheit ist für Administratoren nicht immer einfach zu durchschauen. Sie wird im Kurs erläutert und anhand von Übungen praktiziert. Das Thema UEFI Secure Boot und ELAM Driver, sowie Windows Defender (nun auch in Windows Server 2016 / 2019 integriert) und Credential Guard runden den Schwerpunk Security ab. Wir lernen im Kurs, wie diese Komponenten eng zusammen arbeiten und warum künftige Sicherheitsfeatures von Microsofts Betriebssystemen TPM 2.0 voraussetzen.

Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service

Server Massage Block - SMB 3.0
Server Message Block - SMB 3.x

Dieser Kurs wird durch den Kurs ASAI ergänzt, in dem unterrichtet wird, wie das ESAE Modell mit den 3 Tiers T0, T1 und T2 aufgebaut werden kann.

ESAE (Enhanced Security Administrative Environment) mit Tier 0 (AD+PKI), Tier 1 (Server) und Tier 2 (Desktops)

BitLocker OS Drive

Einführung - Überblick
- Überblick: die wichtigsten Änderungen und Erweiterungen von Windows Server 2019 LTSC (1809) und SAC (1809)
- Windows Server 2019 Standard und Datacenter: Core-Lizenzierung, Windows & Hyper-V Container, Security Features
- Windows Admin Center (WAC)
- Docker Containers (Windows und Hyper-V)
- Neuer Windows TCP Stack und TCP Templates
- RDMA und SET (Switch Embedded Teaming)
- Storage Spaces Direct (S2D), Storage Replication (SR)
- PowerShell Direct (over Named Pipe), PowerShell Remote
- Windows Server 2019 System Requirements: TPM 2.0 mit SHA-256 PCR, UEFI 2.3.1c etc.
- Windows Server gehören zum Tier 1 im ESAE Modell.
- Erweiterung: Azure File Sync & Azure Backup.
TCP Templates von Windows Server 2019

Serverinstallation mit UEFI Secure Boot
- Pre-Boot Environment mit UEFI 2.3.1 Secure Boot anstatt BIOS
- Partitionslayout für UEFI/GPT, Partitions-TypeIDs
- UEFI Secure Boot vs. UEFI Measure Boot

Post-Installation - Domänenbeitritt - Service Hardening - Secure Channel
- Vorbereitung für die Domänenaufnahme durch die Serveradministratoren Gruppe T1-ServerAdmins
- Entfernen der Guppe Domain Admins auf jedem Tier 1 Server durch Group Policy Preferences » Ersetzt durch T1-ServerAdmins
- Änderungen vor und nach dem Domänenbeitritt: Netzwerk- und Firewallprofile, Secure Channel, Computerkonto & Passwort
- Grundlagen Dienste (Service Hardening, gMSA, Triggered Service)
- Warum ist das lokale Administrator-Konto so gefährlich? (UAC & WIC)
Delegieren an T1-ServerAdmins - Aufnahme Server in die Domäne

Kein T0 Domain Admins als Server Administrator!

Highspeed Networking - iWARP - RDMA
- 10/100 GBit/s Netwerkkarten Eigenschaften: RSS, SR-IOV, VMQ, RDMA over RoCE, iWARP, VXLAN und NVGRE
- Konfigurieren von RSS für Multi-Core Server, wenn kein RDMA!
- NIC-Teaming Mode und Load Balancing Modes (2012 R2) » Hyper-V SET ersetzt NIC-Teaming
- RDMA over RoCEv2 (2016) mit NetQoS Konfiguration: PFC, ETS, DCBx
- RDMA over iWARP (2019) ohne NetQoS Konfiguration

Hyper-V 2019
- Hyper-V 2019 Architektur und Erweiterungen gegenüber 2016
- Hyper-V SET (Switch Embedded Teaming) und RDMA
- Erstellung und Verwaltung von VMs mit PowerShell
- Nested Virtualization
- PowerShell Direct
Switch Embedded Teaming

VM Networkadapter Settings (vRSS & VMMQ)

DDA - Discrete Device Assignment
- Lokalisieren von aktiven PCIe Devices in einem 2019 Hyper-V Host
- Einbau zusätzlicher PCIe Devices für VM z.B. Grafikkarte oder NVMe
- Deaktivieren und Entfernen eines PCIe-Geräts durch PowerShell
- Ein PCIe Device einer VM durch PowerShell zuweisen
Zusatzgrafikkarte für die VM

Ermittlung der PCIe-Adresse der Grafikkarte

Zusätzliche Cache für die Grafikkarte

Server Core (Semi-Annual Channel 1903)
- Installation und Konfiguration von Server Core weitgehend mit PowerShell
- Netzwerk: IP, DNS & Domain-Join
- Remote Desktop
- Firewall
- Verwaltung über Windows Admin Center
Lokaler Administrator "Servla"

Netzwerkprofil = Firewallprofil "Domain"

Modern Administration mit Windows Admin Center, WinRM/WinRS, PowerShell Remote
- Grundlagen WinRM/WinRS (cmd, PowerShell, HTTPS Listener)
- REST API basiertes Webportal Windows Admin Center (WAC)
- Aufbau und Management eines WAC-Gateways
- Azure File Sync
Thumbprint für das SSL-Gatewayzertifikat

Kerberos Delegation für Single Sign On (SSO)

Active Directory Domain Services Extension

File Service - HOME$ und Berechtigung - Work Folders (Optional)
- File Service und SMB 3.1.1
- HOME-Verzeichnis Einrichtung über WAC
- Optional: Einrichten eines SyncServers (Work Folders Server)
- Optional: Einrichten von Work Folders (Arbeitsordners) unter Windows 10
- Der Zugriff auf die internen private Work Folders erfolgt sicher über HTTPS.
- Private Ordner können alternativ auch auf One Drive for Business (Office 365) gespeichert werden.
Work Folders mit OAUTH2 Authentication

File Systems & Partition Styles
- NTFS, ReFS, ClusterSize
- MBR/GPT

Storage Replication (SR) – SMB 3.1.1 – RDMA - Server-To-Server
- SMB 3.1.1 (Windows Server 2016, Windows 10), SMB 3.0.2 (Windows 8.1, 2012 R2), SMB 2.1 (Windows 7, 2008 R2), SMB 2.0 (Windows Server 2008, Vista)
- Arbeiten mit RDMA (Remote Direct Memory Access)
- Installation der Features File Server und Storage Replica
- Konfigurieren der Festplatten (Volumen) für Daten und Logs
- Konfigurieren Server-To-Server Replication: SRPartnership
- Konfigurieren Domain-Based DFS-N (Namespace) für den globalen Zugriff auf die Freigaben (Share)
- Storage Replication Event Logs
- Desaster Fall - Ausfall des Quellservers (Primary) - Umswitchen des Replikationspartners
- Einrichtung und Verwaltung über WAC
Storage Replica Feature (Windows Server 2019)

Storage Replica Partner

Windows Server 2019 Storage Replica - Server-zu-Server

BitLocker
- Installation von BitLocker mit TPM 2.0 und PIN
- Konfiguration von BitLocker via Gruppenrichtlinien
- Recovery von BitLocker
Eigenschaften eines TPM 2.0 Chip

Policy für BitLocker

Schutzmechanismen eines Volumen

Windows Defender ATP (Demo)
- Microsoft Defender Security Center Dashboards
- Alert Process Tree
- Incident Graph
- Action Center
die betroffenen Computer und die zugehörigen Warnungen auf Incident Page

Alerts für unerwartetes Verhalten eines Prozesses

Azure File Sync mit DFS-N und Azure Backup
- Sync On-Premises NTFS-Daten über Azure File Share
- Anlegen Storage Account - Resource Group
- PowerShell Az.StorageSync
- Storage Sync Services
- Installation Azure File Sync Agent auf File Server bzw. Cluster Nodes
- Server Registration - Trust 1:1 zu Storage Sync Service
- Azure File Sync Group mit Cloud Endpoint (Azure File Share) und Server Endpoints
- Cloud Tiering für Server Endpoints
Azure File Sync (Quelle: Microsoft)

Sync Group - Cloud Endpoint (Azure File Share) und zwei Server Endpoints (NTFS Ordner)

Server Endpoint - File Server Cluster

DFS-N Namespace für UNC-Pfad (Server Endpoints)

Zugriff auf Homeverzeichnis über DFS-N

Windows Server Container & Hyper-V Container (Server 2019)
- Bedeutung von Docker Container Technologie, Windows Server Container und Hyper-V Container
- Download, Erstellen von Container Image
- Einrichten und Verwalten von Container Netzwerken
- Installieren Container Images
- Anlegen Windows Server Container (ServerCore)
- Verwalten eines Containers
- Applikationen in einem Container hosten
- Container über WAC verwalten
Erstellen eines Windows Containers

Container Switch Konfiguration

gMSA für einen Container

Website auf Windows Server Container

Desired State Configuration (DSC) mit Azure Pull Server
- Einführung in DSC
- Konfiguration eines Azure Pull Servers
- Anwendungsbeispiele: Registry Key setzen, Windows Features installieren, Windows Firewall konfigurieren und Software installieren
DSC Konfiguration

Compiled Node configurations in Azure

Security Center (Windows 10 / Windows Server 2019)
- Konfigurieren von Defender
- Defender Early Launch Anti-Malware Detection (ELAM) Boot-Treiber
- Exploit Guard
- Folder Protection
Automatisches und manuelles Update (Windows 10)

Opt. 8: Defender-Schutz durch ELAM-Treiber beim Boot

LSA Cache schützen
- Credential Guard
- Restricted Admin & Remote Guard

Modul: UEFI Secure Boot, UEFI Measured Boot
- Startvorgang und BCD Store, Boot-Menü (F8), Shutdown /r
- Schutz des Boot-Paths durch UEFI 2.3.1 Secure Boot
- Von Microsoft signierter Boot Loader
- Aktivieren / Deaktivieren Secure Boot in UEFI Firmware
- Testen Secure Boot
- UEFI Measured Boot setzt TPM 2.0 mit PCR 0 bis 23 für SHA256 voraus.
Windows Security - UEFI Secure Boot - UEFI Measured Boot - Host Guardian Service

UEFI Secure Boot - Signierter Boot Loader

- Vertrauen Sie unserer Kompetenz -