Windows Server 2012 Networking and Remote Access

Präsentation zum Thema: "Windows Server 2012 Networking and Remote Access"—  Präsentation transkript:

1 Windows Server 2012 Networking and Remote Access
Thomas Detzner Philipp Kuhn Senior Consultant Premier Field Engineer Microsoft Microsoft

2 Agenda Unified Remote Access Netzwerk Änderungen
Übersicht zu Unified Remote Access Neuerungen in DirectAccess Client-seitige Neuerungen Vereinfachtes und flexibleres Deployment Multisite, Hochverfügbarkeit Verwaltbarkeit und Performance Demo, Demo und Demo Netzwerk Änderungen Skalierung und Verwaltung IPAM – IP Adressen Verwaltung SMB Änderungen NIC Teaming

3 Unified Remote Access Übersicht zu Unified Remote Access

4 Wann und wo wir arbeiten verändert sich
Work-Life blur Immer verbunden Daten in der Cloud Produktiv von überall Wann und wo wir arbeiten verändert sich Wo unsere Daten gespeichert sind und wie wir darauf zugreifen verändert sich

5 Remote Access Szenarien
Windows Nicht-Windows VPN F I R E W A L Unified remote access server Windows Nicht-Windows VPN Verwaltete Windows Clients DirectAccess VPN Von einem beliebigen Gerät Windows to Go + DirectAccess RDS / VDI Remote Desktop Gateway Mobil Telefon VPN

6 Benutzer: Vereinfachte Bediednung IT: Bessere Verwaltbarkeit
FIREWALL DirectAccess SharePoint Apps Intranet Exchange VPN Win XP / Vista / Non-Windows Windows 7 Windows 8 Mobile Broadband Vereinfachter Zugriff auf interne Ressourcen Benutzer: Vereinfachte Bediednung Verbesserte Produktivität Funktioniert ohne Benutzer Interaktion GPOs von remote anwenden IT: Bessere Verwaltbarkeit Clients immer erreichbar Verringert die miss- rate für Patches VPN verbindet den Benutzer mit dem Netzwerk DirectAccess erweitert das Netzwerk zum Benutzer und PC

7 Unified Remote Access Neuerungen in DirectAccess

8 Neuerungen in DirectAccess
DirectAccess and RRAS coexistence Simplified DirectAccess Deployment Removal of public key infrastructure (PKI) deployment as a DirectAccess prerequisite Built-in NAT64 and DNS64 support for accessing IPv4-only resources Support for DirectAccess server behind a NAT device Simplified network security policy Load balancing support Support for multiple domains NAP integration Support for OTP (token based authentication) Automated support for force tunneling IP-HTTPS interoperability and performance improvements DirectAccess manage-out to clients support Multisite support Support for Server Core Windows PowerShell support User monitoring Server operations status Diagnostics Accounting and reporting Site-to-site IKEv2 IPsec tunnel mode VPN

9 Neuerungen in DirectAccess
Deployment und Überwachung Skalierbarkeit und Performance Vereinfachte Bedienung Neue Szenarien Integrated client experience Unified Remote Access Management Off premise provisioning Optimiert für virtuelle Umgebungen Verbesserte Authentifizierung Funktioniert in bestehenden Netzwerken Hybrid Cloud Hochverfügbarkeit Verbindung zum nächstgelegenen Server VPN Interoperabilität Tausende Benutzer pro Server Reporting und accounting

10 Client-seitige Neuerungen
Integrierter Client in Windows 8 Automatische Verbindung über den effizientesten Weg Einfache Anzeige des Verbindungsstatus Flexible Authentifizierung: Kerberos, PKI, Smartcard, Virtual Smartcard/TPM und OTP

11 Integriertes Troubleshooting
Über die Networks UI erreichbar Detaillierter Verbindungsstatus Benutzer kann auswählen über welchen Zugriffspunkt man sich verbinden möchte Einfaches erstellen von relevanten Logs

12 Demo Client-seitige Neuerungen

13 Off Premise Provisioning mit DirectAccess
Erstellung des Provisioning package Transfer auf den Client Applizieren des Provisioning package Funktioniert auch mit Windows To Go!

14 Off Premise Provisioning mit DirectAccess
Erstellung des Provisioning package: Djoin /provision /machine NewClient /domain corp /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\files\provision.txt /reuse Applizieren des Provisioning package Djoin /requestodj /loadfile C:\Provision\provision.txt /windowspath %windir% /localos

15 Multisite 50 ms Automatische Selektion des nächstgelegenen Zugriffpunktes (Windows 8) Windows 7 unterstützt einen Zugriffspunkt Abhängig von der Antwortzeit Unterstützung für GSLB 20 ms 150 ms

16 Hochverfügbarkeit Integrierte Unterstützung für NLB
Unterstützung für HLB Zentrale Konfiguration über die Remote Access Konsole Einfaches hinzufügen und entfernen von Remote Access Servern

17 Vereinfachtes und flexibleres Deployment

18 Vereinfachtes und flexibleres Deployment Getting Started Wizard
Setzt Windows 8 Clients voraus Funktioniert mit NAT Nur ein IPsec Tunnel Kerberos Proxy Einfache Benutzer Authentifizierung Erfordert keine PKI Assistent erstellt bei Bedarf self-signed Zertifikate Keine Computer Zertifikate oder CRL benötigt

19 Vereinfachtes und flexibleres Deployment Erweiterte Konfiguration
Unterstützt Windows 8 und Windows 7 Clients PKI Integration Computer Zertifikat CRL Zwei IPsec Tunnel Einfache, mehrfache und zertifikatsbasierende Authentifizierung Smartcard, Virtual Smartcard/TPM und OTP Multisite

20 Demo Vereinfachtes und flexibleres Deployment

21 Kommunikationsmöglichkeiten
DirectAccess verwendet IPv6 – grundsätzlich zwischen Client und DirectAccess Server Kein IPv6 im Intranet erforderlich Wenn kein natives IPv6 zur Verfügung steht: Client tunnelt IPv6 über das Internet oder Intranet DNS64/NAT64 kommt zum Einsatz um reine IPv6 Ressourcen im Intranet zu erreichen Internet Intranet Natives IPv6 IPv6 Tunneling IPv4

22 Remote Access Sever Überwachung
Überwachung des Gesundheitszustands aller Remote Access Server Überwachung aller Verbindungen Anzeige der aktuell verbundenen Benutzer und auf welche Ressourcen zugegriffen wird Historische Anzeige aller Verbindungen für Auditing Zwecke

23 Demo Remote Access Server Überwachung

24 Verwaltbarkeit: PowerShell
Volle PowerShell Unterstützung Remote Access GUI basiert auf PowerShell cmdlets Beispiele: Get-RemoteAccess Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface "Private Internet" -InternalInterface "Private Corpnet" -ConnectToAddress „ra.contoso.com" -force

25 Performance Deutliche Performance Steigerung
Hardware: CPU: 4 Cores, 2.1 Ghz RAM: 4 GB

26 Performance RSS (Receive Side Scaling) Unterstützung für UDP
Server 2008 R2: Kein RSS für UDP Server 2012: RSS Unterstützung für UDP

27 Performance IP-HTTPS und Teredo auf gleichem Level
Keine doppelte Verschlüsselung mehr IP-HTTPS für DirectAccess bevorzugtes Protokoll SR-IOV – Ermöglich VMs den vollen Zugriff auf alle Prozessor Cores Windows Server 2012 unterstützt IPsec Hardware Beschleunigung in einer VM PS> Set-NetAdapterIPsecOffload –Name Interface1 –Enabled TRUE Kann als Netzwerk Adapter Team betrieben werden

28 Interop Matrix Windows Server 2012 Windows Server 2008 R2 / UAG 2010
Keine Einschränkungen DirectAccess und VPN auf dem selben Server nicht unterstützt Benötigt eine PKI Kein Multisite DNS64/NAT64 benötigt UAG 2010 (Noch) keine offizielle Unterstützung für UAG 2010 Windows 7 Windows 7 Client verbinden sich zu einem definierten Zugriffspunkt Kein off-premise provisioning oder Windows To Go

29 Zusammenfassung Unified Remote Access optimal für verschiedene Remote Access Szenarien Verwaltete Clients - DirectAccess Nicht verwaltete Client und Nicht-Windows Systeme - VPN Anbindung an eine Cloud Umgebung – Site-to-Site VPN Zahlreiche Optimierungen in Windows Server 2012 und Windows 8 Vereinfachtes Deployment

30 Netzwerk Änderungen Skalierung und Verwaltung

31 DHCP Änderungen Richtlinien und Failover

32 Einführung in DHCP PBA Policy based assignment (PBA) erlaubt Administoren Guppen von Clients anhand von Attributen zu erstellen. Beispiele von Attributen: Voice over IP (VoIP) Telefone Mobile Geräte Drucker PBA ist nicht kompatibel mit NAP DHCP or split-scope Szenarien (Fail over Fall) Drucker, IP Telefone und Desktop PC benötigen einen unterschiedlichen Adressebereich und Scope Optionen Laptops, Desktop PCs, and Server benötigen unterschiedliche Lease Einstellungen

33 PBA Implementation Detail
Can be defined at server or scope level Define conditions based on the following fields in the DHCP client request: Vendor Class User Class MAC address Client Identifier Relay Agent Information DHCP server delivers the settings configured for the policy: IP address range Standard DHCP options Vendor specific DHCP options Lease duration DNS registration DHCP server evaluates policies sequentially according to an assigned processing order: The DHCP administrator assigns the processing order If policies exist at the server and scope levels, the server applies both sets of policies and evaluates the scope policies before the server policies Processing order for a scope level policy defines the order of evaluation within the scope

34 Konfigurationseinstellungen
Eine neuer Policies Knoten in der DHCP Konsole um die Richtlinien zu verwalten Nur für IPv4 Scopes anwendbar

35 DHCP Failover Überblick
In Windows Server 2008 R2 existierten zwei Hochverfügbarkeitsoptionen: Installation von DHCP mit Hilfe eines Windows failover clusters Speichermedium ist ein “single point of failure” Erfordert zusätzliche Massnahmen und Investitionen in die Redundanz, somit höhere Komplexität und Wartungsaufwand Split scope deployment Bietet keine Möglichkeit IP Adressbereicheskontinuität zu gewährleisten, besonders problematisch bei hoher Auslastung der Scopes DHCP failover mit Windows Server 2012: Bietet ununterbrochene DHCP Dienst Verfügbarkeit Maximal 2 DHCP Server begrenzt auf IPv4 Scopes und Subnetze Erfordert keine zusätzliche Hard- und Software für die Speichermedien Einfach zu konfigurieren

36 DHCP - Hot Standby Modus
Multi-Site Installation – Hub and Spoke Topologie

37 DHCP - Load Sharing Modus
Im Load Sharing Modus liefern zwei DHCP Server gleichzeitig IP Adressen an die Clients

38 DHCP - Konfugurationssynchronization
Stellt sicher das die Konfiguration zwischen den Servern konsistent ist DHCP Failover Internet draft RFC spezifiziert das Verfahren Die DHCP Konsole in Windows Server 2012 erlaubt die Konfiguration wie folgt zu synchronisieren: IPv4 Knoten- Alle Failover Scopes replizieren Einzelner Failover scope Einzelnen Scope replizieren Alle dazugehörigen Scopes replizieren Mehrere failover scopes

39 IPAM IP Adressen Verwaltung

40 IPAM – Aufgaben und Vorteile
Erlaubt die Analyse der IP Bereichsausnutzung, Trends und Statistiken zu erfassen Statische IP Adressen Verwaltung Konfigurationsänderungsüberwachung für DHCP und IPAM Dienst und Zonenüberwachung von DNS IP Adressen lease und Anmeldeüberwachung Rolenüberwachung ohne Zusatzsoftware GPO basierende Installation Datengruppierungen in Benutzer definierten Gruppen Erweiterte Such-und Filteroptionen Ferwartung mit Hilfe der RSAT Tools

41 IPAM – Voraussetzungen und Funktionen
Limitiert auf einen einzelnen AD forest IPAM Server Mitgliedsserver sein Die IPAM Serverrole ist als ‚Stand-alone‘ Funktion gedacht Es ist nicht empfohlen weitere Netzwerkinfrastuktur Rollen wie DNS oder DHCP auf dem gleichen Server zu installieren IPAM auf einem Domänenkontroller ist nicht unterstützt Windows Server 2012 IPAM besteht aus den folgenden Kernkomponenten: Server-Bestandsführung IP-Adressverwaltung-Raum Verwaltung und Überwachung von DHCP und DNS Ereignis-Katalog/Überwachung IP-Adressen Aufzeichung/Überwachung

42 IPAM – Server Inventory Management
IPAM leverages AD to define scope of infrastructure to be managed Auto-discovers configured server roles from the configured domains Discovery enumerates Microsoft DNS, DHCP and DCs Can also manually add or delete specific servers Manages the security filter list of IPAM GPOs IPAM can be used to discover and manage servers running Windows Server 2008 and above Classify server manageability status as: Managed – IPAM periodic tasks will collect data from the active (checked) roles on these servers. Inactive (unchecked) roles on these servers are ignored Unmanaged - IPAM periodic tasks will not collect data from these servers. IPAM deletes all existing information pertaining to these servers from its database Unspecified - IPAM periodic tasks will not collect data from these servers. However, IPAM retains all existing information pertaining to these servers in its database

43 IPAM – Architektur

44 IPAM – Server-Bestandsführung

45 IPAM – IP Adressenblöcke

46 IPAM – Nutzungsstatistiken

47 IPAM – IP-Adressaufzeichung/Überwachung

48 IPAM – Verwaltung und Überwachung von DHCP und DNS

49 SMB Änderungen Alles ist schneller und grösser …

50 SMB Multichannel Definition Failover Durchsatz
Beispiel Konfiguration Definition Verwendet mehrere TCP-Verbindungen für eine SMB-Sitzung Failover Ausfall einer NIC wird toleriert, wenn eine andere Verbindung verfügbar ist Durchsatz Mehr Bandbreite mit mehreren NICs Mehrere CPUs verarbeiten Netzwerk unterbricht mit einzelnen RSS-fähige Netzwerkkarte oder mehrere Netzwerkkarten Verbesserte SMB-Durchsatz beim Kombinieren von LBFO Teams und Mehrkanal Automatische Konfiguration SMB erkennt und verwendet mehrere Netzwerkpfade PowerShell-Cmdlets für die Überwachung und Problembehandlung Single 10GbE RSS-capable NIC Multiple 1GbE in LBFO team Multiple 1GbE NICs Multiple 10GbE/IB RSS-capable NICs SMB Client SMB Client SMB Client SMB Client LBFO NIC 10GbE NIC 1GbE NIC 1GbE NIC 1GbE NIC 1GbE NIC 10GbE/IB NIC 10GbE/IB Switch 10GbE Switch 1GbE Switch 1GbE Switch 1GbE Switch 10GbE/IB Switch 10GbE/IB SMB Server NIC 10GbE SMB Server NIC 1GbE NIC 1GbE SMB Server NIC 1GbE NIC 1GbE SMB Server NIC 10GbE/IB NIC 10GbE/IB LBFO Blaue Linien bedeuten logische Verbindungen, keine Kabel

51 SMB Multichannel PowerShell Event Log Performance Counters
Get-SmbServerNetworkInterface Get-SmbClientNetworkInterface Get-SmbMultichannelConnection Event Log Application and Services Log, Microsoft, Windows, SMB Client Performance Counters SMB Client

52 SMB Direct (SMB über RDMA)
Neue Klasse von SMB-Dateispeicher für Unternehmen Minimale CPU-Auslastung für die Dateiverarbeitung Geringe Latenz und grosse Ausnutzung von high speed NICs Fibre Channel-gleichwertige Lösung zu geringeren Kosten Traditionellen Vorteile der SMB-Dateispeicherung Einfach bereitzustellen, zu verwalten und zu migrieren Konvergentes Netzwerk nutzt Keine Änderung oder Administrator Anwendungskonfiguration Erforderliche Hardware RDMA-fähiges Netzwerkkarte (R-NIC) Support für iWARP, InfiniBand und RoCE Verwendet SMB Multichannel für LBFo File Client File Server Application User Kernel SMB Client SMB Server Network w/ RDMA support Network w/ RDMA support NTFS SCSI R-NIC R-NIC Disk

53 SMB Direct – Was ist RDMA?
Remote Direct Memory Access Protocol (RDMA) Beschleunigtes IO-Auslieferungs-Modell welches der Anwendungssoftware erlaubt die meisten Schichten der Software zu umgehen und direkt mit der Hardware zu kommunizieren RDMA Vorteile Geringe Verzögerungszeiten Hoher Datendurchsatz Zero copy Fähigkeiten OS / Stack bypass RDMA Hardware Technologien Infiniband iWARP: Internet Wide Area RDMA protocol (RDMA over TCP/IP) ROCE: RDMA over Converged Ethernet

54 SMB Scale out – Früher mit 2008 R2
Active-Passive Single File Server 1 logischer File Server 1 virutelle IP Adresse Active/Passive \\FSA\Share1 \\FSA\Share2 Ein einzelner Name Einfach Einfach zu verwalten Active-Passive Multiple File Servers 2+ logische File Server 2+ virtuelle IP Adressen Zugriff auf unterschiedliche Cluster Knoten \\FSA\Share1 \\FSB\Share1 Bessere Hardwarenutzung Komplexer zu verwalten Mehrere Namen FSA= FSB= FSA= Client Client \\FSA\Share1 \\FSA\Share2 \\FSA\Share1 \\FSB\Share1 File Server Cluster File Server Cluster Active Name=FSA IP= Passive Active for FSA Name=FSA IP= Active for FSB Name=FSB IP=

55 SMB Scale out – Was ist neu?
Hyper-V Cluster (Up to 64 nodes) Ausgelegt für Server-app-Speicher Beispiele: Hyper-V und SQL Server durch Hinzufügen von Knoten im cluster, Erhöhung der verfügbaren Bandbreite Kernfähigkeiten: Active/Active file shares Fehlertoleranz mit keinerlei Ausfallzeiten Schnelle Wiederherstellung Transparentes CHKDSK Unterstützung für app konsistente snapshots Unterstützung für RDMA aktivierte Netzwerke Optimierung für Server-Anwendungen Einfache Verwaltung Data Center Network (Ethernet, InfiniBand or combination) File Server Cluster (Up to 8 nodes) Single Logical File Server (\\FS\Share) Single File System Namespace Cluster Shared Volumes

56 SMB Scale out – eine neue Server Rolle
Ein neuer File Server Typ Dateiserver für lineares Skalieren der Anwendungsdaten Verwalten Sie alle Knoten wie einen einzelnen Server Benutzt zusätzlich: Clustered Shared Volumes (CSV) Einzelner Dateisystem Namespace – keine Laufwerkbuchstaben CSV-Volumen sind auf allen Knoten im Cluster online Distributed Network Name (DNN name) Verwaltet die DNS Registrierung der DNS einträge Round Robin DNS um die clients zu verteilen Anforderungen: Windows Failover Cluster mit CSV File Server Cluster und Application Cluster müssen mit Windows Server 2012 laufen SMB1 und ältere Clients können sich nicht verbinden

57 Netzwerkkarten NIC Teaming … endlich

58 Netzwerkarten Teaming
Ermöglicht höheren Durchsatz und gesteigerte Verfügbarkeit dank Failover und Lastenausgleich Vorteil der Netzwerkfehlertoleranz ohne Notwendigkeit einer Teaming-Lösung eines Drittanbieters Gemeinsame Verwaltungs-Tools für alle Adaptertypen

59 Team interfaces (tNICs)
Team interfaces können in den folgenden Modi laufen: Standard modus: verarbeitet jedes Paket das nicht an eine andere VLAN ID gesendet wird VLAN modus: verarbeitet nur den Verkehr für das betreffende VLAN Eingehender Datenverkehr wird immer an höchstens eine Team-Schnittstelle übergeben. TEAM Default Hyper-V switch VLAN=42 Default (all but 42) VLAN=42 VLAN =99 TEAM TEAM Black hole

60 Team interface – Team Erstellung
Wenn ein NIC team erstellt wird, braucht es mindestens ein Interface Team interfaces können wie jedes andere Interface umbeannt warden (Rename-NetAdapter cmdlet) Team interfaces werden in der Get-NetAdapter Ausgabe angezeigt Nur das erste (primäre) team interface kann in den Default Modus gesetzt werden

61 Teaming in einer VM ist supported
Begrenzt auf einen Switch/Network mit Hash Mode Teams von zwei Member ist supported Optimiert für die Unterstützung von SR-IOV vNICs kann aber auch mit normalen vNICs verwendet werden Muss am Vswitch konfiguriert werden

62 Limitierungen von NIC Teaming
Maximale Anzahl der NICs im team: 32 Maximale Anzahl von ge-teamten Interfaces: 32 Maximale Anzahl von teams in einem Server: 32 Systemabhänging können die Limits niedriger ausfallen (Kernel Memory, etc)

63 TCP High Latency Optimizations
HTTP and TCP were designed when the Internet was not the primary exchange for global information TCP stack in Windows 8 is designed to optimize transport in a content distribution model over links with latencies above 30ms Windows 8 includes a collective set of investments in protocol improvements for TCP/HTTP/DNS TCP configuration parameters Smart defaults for the divergence of network environments Windows 8 parameters exposed for tuning TCP: Can be configured through netsh, WMI, or registry settings MinRTO InitialRTO EnableCwndRestart Initial Congestion Window Congestion Provider Algorithm

64 3/28/2017 6:10 PM © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.