Server Massage Block - SMB 3.0

Intensivkurs "PowerServer I"

Windows Server 2019 Administration + Azure Erweiterungen

SMB over RDMA (iWARP) - SMB Multi-Channel - BitLocker - Storage Replication (SR) - Azure File Sync + DFS-N 

Die massive Erweiterung von Microsoft Angeboten in Richtung Azure Cloud und zugleich die Reduzierung der traditionellen "On-Premises" Produkte zwingen uns dazu, schnell umzudenken. Wir erweitern in diesem neu überarbeiteten Kurs den Wirkungsbereich von Windows Server 2019 in Richtung Azure Cloud, dort wo es sinnvoll ist. Besonders interessant ist der Einsatz von Azure File Sync (AFS) als Nachfolger von DFS-R, wobei eine  Azure File Share der Zentralhub der Sync-Topologie bildet.

Folgende Erweiterungen wurden in diesem 2019 Kurs eingebaut um uns ein Stück Azure näher zu bringen:

Mehr Azure:
1) Azure File Sync inkl. Azure Backup von File Share
 
2) Azure DSC Pull Server
Mehr Security:
3) BitLocker
 
4) ATP Demo (Advanced Threat Protection)
RDMA:
5) iWARP anstelle ROCv2

Mit Azure File Sync können lokale NTFS-Verzeichnisse oder Datenvolumen (Server Endpoints) in einer Sync Group mit einer Azure File Share (Cloud Endpoint) via HTTPS (REST API) synchronisiert werden. In diesem Kurs praktizieren wir, wie NTFS-Daten auf mehreren 2019 Servern via Azure File Sync (Hub) über Standorte hinweg synchronisiert und den Benutzern als SMB-Freigabe zur Verfügung gestellt werden. Wir setzen DFS-N ein um einen logischen Namespace für die Freigaben zu erreichen. Der Inhalt der Azure File Share wird mit Azure Backup gesichert.

Mit DSC (Desired State Configuration) können unterschiedliche Serverkonfiguration sehr flexibel gestaltet werden. Die Konfigurationsdateien werden bevorzugt auf einem Azure Pull Server zentral abgelegt und von "On-Premises" Server gezogen.

BitLocker ist bei Domain Controller zwingend notwendig, damit die AD Datenbank nicht so einfach ausgelesen werden kann. Auch wenn wir in einem Serverkurs keinen Domain Controller unterrichten, ist die Einrichtung von BitLocker bei einem normalen Server gleich. BitLocker wird mit TPM 2.0 und UEFI Secure Boot kombiniert.
Alle Domain Controller gehören nach dem ESAE-Modell zu Tier 0, während die "normalen" Windows Server zu Tier 1 gehören. Wenn die Server als VMs auf einem Hyper-V Host liegen, wird HGS Cluster (Host Guardian Service) benötigt, um die Sicherheit der Shielded VMs und der Guarded Hyper-V Host zu überwachen und zu verwalten. Shielded VM sind überwachte mit BitLocker verschlüsselte VMs » HGS Cluster wird in unserem Clusterkurs unterrichtet.

Windows Defender ATP (Advanced Threat Protection) ist die ultimative Sicherheitslösung von Microsoft, um Clients und Server in "fast" realtime gegen Angriffe zu überwachen. In diesem Serverkurs wird ATP nur demonstriert. In Kombination mit INTUNE können Windows 10 Clients flächendeckend durch ATP überwacht werden.
» Siehe Kurs Azure INTUNE Enterprise

Beide Serverversionen LTSC (Long-Term Service Channel) mit GUI und SAC (Semi-Annual-Channel) als Server Core werden im Kurs behandelt. Der Server Core wurde u.a. mit FOD (Feature On Demand) erweitert und wird von Microsoft nun auch für Exchange 2019 und SQL 2019 empfohlen.

Features wie Storage Replication (SR), Docker Containers, Hyper-V SET (Switch Embedded Teaming), SMB over RDMA und auch DSC (Desired State Configuration) gehören zur Serveradministration. Mit DSC können mehrere Server, auch Workgroup Member, ihre vordefinierte Konfiguration von einem Pullserver via HTTP/HTTPS oder SMB downloaden und ausführen. SMB over RDMA wird immer wichtiger und ist unabdingbar für Software Defined SAN wie S2D (Storage Spaces Direct), sowie SR (Storage Replication). RNIC (RDMA Netzwerkadapter) mit mindestens 10 GBit/s wird benötigt, wobei SMB Multichannel mehrere RNIC braucht. Bei den 2019 Hyper-Converged Hochleistungsclustern mit integrierten S2D werden heute bevorzugt 100 GBit/s RDMA Adapter mit RoCE oder iWARP eingesetzt. In Windows Server 2016 haben wir RoCEv2 (RDMA over Converged Ethernet) praktiziert. Mit Windows Server 2019 wird jedoch iWARP (Internet Wide Area RDMA Protocol) wegen der einfacheren Konfiguration und wegen der Verbesserung des 2019 TCP-Stacks durch Features wie LEDBAT [RFC6817] (Low Extra Delay Background Transfer) und TCP Fast Open [RFC7413] sowie vergrößertem Congestion Window [RFC6928] bevorzugt.

SR (Storage Replication - Server-To-Server) ist neben der Cluster-To-Cluster und Stretch-Cluster Replikation ein würdiger Nachfolger von DFS-R, den wir gemeinsam mit DFS-N (Namespace) in diesem Server Kurs praktizieren » S2D ist jedoch Bestandteil des neuen Failover Cluster & HGS Cluster Kurses.

Neu ab 2016 ist auch das DDA (Discrete Device Assignment), mit dem es zum ersten Mal möglich ist, PCIe Devices wie Grafikkarte und NVMe von einem Hyper-V Host an eine VM weiterzureichen.

In diesem Kurs wollen wir auch das wichtige ESAE Tier Modell (Enhanced Security Administrative Environment) praktizieren, welches in unserem Kurs ASAI ganzheitlich unterrichtet wird. In diesem 3-Tier Sicherheitsmodell gehören i.d.R. die Windows Server zum Tier 1 und dürfen aus Sicherheitsgründen nur von T1-ServerAdmins verwaltet werden. Hochsensitive Server, besonders alle Domain Controller müssen mit BitLocker verschlüsselt werden um einen Cold-Start Angriff zu vermeiden. Die Themen UEFI-Secure Boot und Defender ATP sowie Credential Guard müssen die Serveradministratoren unbedingt kennen.

ZIELGRUPPE
Das Seminar richtet sich an Serveradministratoren, Support-Ingenieure und Computerhersteller.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
  5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

16.12. - 20.12.2019 noch Plätze frei

Zur Anmeldung

PREIS
3.750,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag (Freitag) 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen:

Seit November 2018 gibt es eine neue Windows Server 2019 LTSC Version 1809. Parallel dazu existieren die SAC (Semi-Annual Channel) Versionen 1709, 1803 und 1809.
Die SAC Versionen stehen nur als Server Core zur Verfügung. Für die Verwaltung von Windows Server eignet sich das neue Admin Portal Windows Admin Center (WAC).

Es ist erkennbar, dass Microsoft mit Windows Server 2016/2019 zusammen mit Windows 10 folgende Ziele hat:

1) Höherer Automatisierungsgrad » durch PowerShell Remoting, PowerShell Direct, PowerShell Workflow, DSC (Desired State Configuration)
2) Mehr Virtualisierung und Cloud » durch Windows Server Container und Hyper-V Container sowie Linux Container
3) Mehr Software Defined Network (SDN) » Hyper-V RDMA Switch, SET (Switch Embedded Teaming), Network Controller, VXLAN
4) Mehr Software Defined Storage (SDS) » Storage Spaces Direct (S2D), Storage Replication (SR), Storage Quality of Service (SQ)
5) Höhere Performance » SMB 3.1.1, RDMA over Ethernet mit ROCEv2 und ab Windows Server 2019 bevorzugt iWARP
6) Hyper-V VM Performance Steigerung » DDA (Discrete Device Assignment)
7) Höhere Sicherheit durch VBS » Device & Credential Guard (Virtualization Based Security), TPM 2.0, Host Guardian Service, ELAM Driver und Defender
8) Web-basierte Verwaltung » Alles geht über HTTPS via WAC (Windows Administration Center)
9) Hybrid Authentication + Zugangskontrolle » durch Kombination mit Azure AD Application Proxy (AADAP) und AADAP Connector

Windows Server 2012 R2:
Der Flaschenhals beim Transport von größeren Datenmengen (z. B. Deployment von OS, File Service) konnte seit Windows Server 2012 und R2 durch die neue Protokollversion SMB 3.0, durch NDIS 6.30 und umfangreiche Maßnahmen wie SMB-Multichannel, SMB-Direct (SMB over RDMA) mit 10 GB/s NIC weitgehend beseitigt werden. Mit dem zunehmenden Virtualisierungsgrad und Einsatz von Software Defined Storage (SDS) ist ein 10 GBit/s Netz allein nicht ausreichend. Datenpakete von unterschiedlichen Anwendungen (SAN, LAN, IPC, Management) müssen über ein "kollisionsbehaftetes" Converged Ethernet möglichst "lossless" und mit sehr niedriger Latenzzeit zum Ziel transportiert werden.

Windows Server 2016:
Zusammen mit dem erweiterten Protokoll SMB 3.1.1 von Windows Server 2016 werden RDMA NICs (R-NIC) von Microsoft vorgeschrieben, wenn die neuen 2016 Features Storage Spaces Direct (S2D) und Storage Replication (SR) in einer Produktionsumgebung eingesetzt werden. Unter Windows Server 2016 wird das Protokoll ROCEv2 (RDMA Over Converged Ethernet) bevorzugt, welches allerdings DCB-fähige Switches (Data Center Bridging) und Policies für Priority Flow Control (PFC) und Bandwidth Allocation (ETS) benötigt. In Windows Server 2016 können bis zu 8x R-NICs in einen neuartigen High Performance SET (Switch Embedded Teaming) für Hyper-V Host via PowerShell gebunden werden.

Windows Server 2019:
Der TCP-Stack wurde bereits seit 2016 erweitert und nun fest in den TCP Kernel integriert. Der neue TCP Stack von Windows Server 2019 sorgt gegenüber Windows Server 2016 bereits für ein zügiges Netzwerk mit kürzerer Latenzzeit. Mit den neuen 100 GBit/s R-NIC ist es nicht unbedingt notwendig für RDMA das ROCEv2 Protokoll mit DCB, PFC und ETS einzusetzen. Das unkomplizierte Protokoll iWARP wird daher bevorzugt.
Wir sind dabei 100 GBit/s RNIC mit iWARP (ohne DCB, PFC, ETC) zu testen und im Kurs neben den 10 GBit/s ROCEv2 Netzwerkadaptern (mit DCB, PFC, ETS) zu praktizieren.

SMB 3.x:

SMB Multichannel » SMB 3.x Client greift simultan über 2x NICs auf den File Server zu, der auch mind. 2x NICs besitzt.
Der Durchsatz wird nahezu verdoppelt!
SMB Remote File Share » Serveranwendungen wie Hyper-V oder SQL können ihre Daten auf einer SMB-Share eines hochverfügbaren SOFS (Scale-Out File Server) ablegen.
SMB Direct (SMB over RDMA) » Kommunikation zwischen zwei Servern mittels 10-GBit/s bzw. 100 GBit/s R-NICs, ohne die CPU wesentlich zu belasten.
SMB Transparent Failover » SMB 3.x Clients können über jeden Clusterknoten auf einen Scale-Out File Server zugreifen.
SMB Encryption » Dieses Feature ermöglicht die Verschlüsselung auf SMB-Shares zwischen SMB 3.x Clients und SMB 3.x Server.



Storage Replication (SR) » Server Storage (Volume) kann via SMB in Block Mode synchron für Disaster Recovery zum Zielserver repliziert werden.
Storage Spaces Direct (S2D) » Failover Cluster nutzt lokale Disks und den SMB Bus, um hochverfügbare Storage Pools und Storage Spaces (Virtual Disks) zu bilden.
S2D wird nicht in diesem Kurs, sondern im Kurs Hyper-V Converged Cluster "High Speed & High Security" unterrichtet.

Installation:
Beginnend mit der Installation wollen wir gleich die aktuellsten Features und Technologien kennenlernen: UEFI Secure Boot, SMB 3.1.1 Multichannel, Storage Spaces Direct Die Aktivierung von UEFI 2.3.1 Secure Boot in Zusammenarbeit mit dem "Built-In" ELAM Driver (Early Launch Anti Malware) und dem seit Windows Server 2016 integrierten Windows Security Center (SCCM Endpoint Protection) sorgt für eine nahtlose Sicherheit gegen Root-Kits und Boot-Kits. Wenn TPM 2.0 vorhanden ist, sind weitere Sicherheitsfeatures wie u.a. UEFI Measured Boot möglich. Microsoft schreibt TPM 2.0 ab 2016 Serverhardware vor!

Verwaltung:
Die Serververwaltung mit dem bekannten Server Manager soll durch das Windows Admin Center (WAC) ersetzt werden. Dabei dient WinRM / WinRS over HTTP mittlerweile standardmäßig als das Transport Protokoll. Die Remote Verwaltung kann durch PowerShell Remoting, PowerShell Direct und PowerShell Workflow automatisiert werden.
Das Windows Admin Center wird von Microsoft stetig erweitert und verbessert. Mittlerweile ist es sogar möglich Active Directoy und Micrsoft DNS über das Admin Center zu verwalten. Natütlich besitzt das Windows Admin Center auch eine Anbindung an Microsoft Azure um z. B. den Azure File Sync zu betreiben. 

UAC & Zugriffsberechtigung - File Service - SMB-Multichannel:
Strenge NTFS/ReFS- und Freigabe-Berechtigungen, z. B. für das HOME Verzeichnis, werden im Kurs eingerichtet, sodass Benutzer nur auf ihre Daten zugreifen können. Mit VISTA wurde die UAC (User Account Control) eingeführt, die das Verhalten der NTFS-Berechtigung ziemlich stark beeinflusst. Auch der Volume Shadow Copy Service (VSS) sorgt dafür, dass Snapshots für wichtige Datenlaufwerke erstellt werden, auf die man jederzeit zurückgreifen kann. Mit Symbolic Link, einem NTFS-Feature, kann direkt auf den Inhalt von Volume Shadow zugegriffen werden. Wir kombinieren File Services mit SMB-Multichannel und anderen Features wie Data Deduplication. Ab Windows Server 1709 (Core) ist es erstmals möglich, Data Deduplication auf einem ReFS Volumen zu nutzen. Die Migration von älteren File Servern, kann nun vom WAC durchgeführt werden. Die Funktion nennt sich Storage Migration Service.

Hyper-V und SET:
Ab Windows Server 2016 treibt Microsoft die Virtualisierung und Cloud Nutzung noch stärker voran. Software Defined Network (SDN) und Software Defined Storage (SDS) sorgen dafür, dass die IT-Landschaft aus physischen und virtuellen Komponenten (VM, Switch, Storage, Netzwerk etc.) vermischt und zentral verwaltet werden kann. Die Kernkomponente der Virtualisierung ist der Hyper-V Host mit seinem Virtual Switch. Um hohe Bandbreite und zugleich hohe Verfügbarkeit für Host und VM zu ermöglichen, wurden mit Windows Server 2016 neue Features eingeführt: RDMA Teaming, SET (Switch Embedded Teaming). Windows Server 2019 ist mit dem optimierten TCP Stack und 100 Gbit/s R-NIC mit iWARP auch ohne DCB Switch und NetQoS Policies PFC und ETS super geeignet für Software Defined Storage wie SR und S2D. Auch die VM und Container auf solchen High Speed Hyper-V Clustern können sehr schnell miteinander kommunizieren.

BitLocker:
Server hosten meist wichtige und sensible Daten, besonders Domain Controller. Aus diesem Grund sollten auch Server mit BitLocker verschlüsselt werden. Es ist möglich Daten oder die Windows Boot Partitionen mit BitLocker abzusichern. Für die Windows Boot Partition wird ein TPM Chip 2.0 empfohlen.In der heutigen Zeit sind die meisten Server virtualisiert und die virtuellen Festplatten wie Konfigurationsdateien liegen ungeschützt auf einem Virtualisierrungshost. Aus diesem Grund sollen auch die virtuellen Festplatten der VMs mit BitLocker verschlüsselt werden oder besser noch mit HGS überwacht werden.

Docker Container:
Microsoft hat die Docker Container Technologie Ende 2014 von der Docker Inc. lizenziert. Im Kurs lernen wir, wie Container angelegt, verwaltet und mit einer Web-Anwendung ausgestattet werden. Mit jeder neuen Server Version kommen zahlreiche neue Funktionen für Container hinzu. Unter Windows Server 2019 können nun auch Linux Container verwaltet werden. Container sind prädestiniert, um Web-Applikation IIS und auch SQL zu hosten, nicht nur für On-Premises, sondern besonders für die Nutzung in der Cloud.

Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)
Windows Server 2016 - Windows Server Container & Hyper-V Container - Nano Server (Live im Kurs)

4-Nodes Scale-Out File Server (2016 TP5) mit je 15x lokalen SSDs
4-Nodes Scale-Out File Server mit je 15x lokalen SSDs

Netzwerkkarten Driver:
Die Driver Architecture hat sich seit 2008 stark verändert. 64-Bit Kernel Driver müssen signiert werden. Durch die Aktivierung von UEFI Secure Boot müssen auch alle Start-Treiber korrekt signiert sein. Ab Windows Sever 2019 und Windows 10 1809 geht Microsoft dazu über Universal Windows Treiber zu verwenden.

PCIe DDA:
Ab Windows Server 2016 ist es jetzt möglich, mit DDA (Discrete Device Assignment) PCIe Device wie Grafikkarte und NVMe (Non-Volatile Memory express) eines Hyper-V Hosts zu deaktivieren, zu entfernen (Dismount) und diese an die VM weiterzureichen.

Security - Credential Guard:
Der Themenblock Serversicherheit befasst sich neben der Firewall auch mit Service Hardening. Ab Windows VISTA und 2008 wurde ein neues Sicherheitsmodell mit mehreren Features und Maßnahmen zur Härtung der Services eingeführt: Session 0, Firewall, Service SID, Service Privileges, Service Security Type, Windows Mandatory Label und Level etc. Die stark erweiterte Sicherheit ist für Administratoren nicht immer einfach zu durchschauen. Sie wird im Kurs erläutert und anhand von Übungen praktiziert. Das Thema UEFI Secure Boot und ELAM Driver, sowie Windows Defender (nun auch in Windows Server 2016 / 2019 integriert) und Credential Guard runden den Schwerpunk Security ab. Wir lernen im Kurs, wie diese Komponenten eng zusammen arbeiten und warum künftige Sicherheitsfeatures von Microsofts Betriebssystemen TPM 2.0 voraussetzen.

Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service
Windows Security - UEFI Secured Boot - UEFI Measured Boot - Host Guardian Service

Server Massage Block - SMB 3.0
Server Message Block - SMB 3.x

Dieser Kurs wird durch den Kurs ASAI ergänzt, in dem unterrichtet wird, wie das ESAE Modell mit den 3 Tiers T0, T1 und T2 aufgebaut werden kann.

Enhanced Security Administrative Environment mit Tier 0, Tier 1 und Tier 2
ESAE (Enhanced Security Administrative Environment) mit Tier 0 (AD+PKI), Tier 1 (Server) und Tier 2 (Desktops)

BitLocker OS Drive
BitLocker OS Drive

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit, wenn Sie eine spezielle Sprachversion wie z.B. " Französisch" wünschen. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -