Windows Server 2012 Networking and Remote Access Thomas Detzner Philipp Kuhn Senior Consultant Premier Field Engineer Microsoft Microsoft
Agenda Unified Remote Access Netzwerk Änderungen Übersicht zu Unified Remote Access Neuerungen in DirectAccess Client-seitige Neuerungen Vereinfachtes und flexibleres Deployment Multisite, Hochverfügbarkeit Verwaltbarkeit und Performance Demo, Demo und Demo Netzwerk Änderungen Skalierung und Verwaltung IPAM – IP Adressen Verwaltung SMB Änderungen NIC Teaming
Unified Remote Access Übersicht zu Unified Remote Access
Wann und wo wir arbeiten verändert sich Work-Life blur Immer verbunden Daten in der Cloud Produktiv von überall Wann und wo wir arbeiten verändert sich Wo unsere Daten gespeichert sind und wie wir darauf zugreifen verändert sich
Remote Access Szenarien Windows Nicht-Windows VPN F I R E W A L Unified remote access server Windows Nicht-Windows VPN Verwaltete Windows Clients DirectAccess VPN Von einem beliebigen Gerät Windows to Go + DirectAccess RDS / VDI Remote Desktop Gateway Mobil Telefon VPN
Benutzer: Vereinfachte Bediednung IT: Bessere Verwaltbarkeit FIREWALL DirectAccess SharePoint Apps Intranet Exchange VPN Win XP / Vista / Non-Windows Windows 7 Windows 8 Mobile Broadband Vereinfachter Zugriff auf interne Ressourcen Benutzer: Vereinfachte Bediednung Verbesserte Produktivität Funktioniert ohne Benutzer Interaktion GPOs von remote anwenden IT: Bessere Verwaltbarkeit Clients immer erreichbar Verringert die miss- rate für Patches VPN verbindet den Benutzer mit dem Netzwerk DirectAccess erweitert das Netzwerk zum Benutzer und PC
Unified Remote Access Neuerungen in DirectAccess
Neuerungen in DirectAccess DirectAccess and RRAS coexistence Simplified DirectAccess Deployment Removal of public key infrastructure (PKI) deployment as a DirectAccess prerequisite Built-in NAT64 and DNS64 support for accessing IPv4-only resources Support for DirectAccess server behind a NAT device Simplified network security policy Load balancing support Support for multiple domains NAP integration Support for OTP (token based authentication) Automated support for force tunneling IP-HTTPS interoperability and performance improvements DirectAccess manage-out to clients support Multisite support Support for Server Core Windows PowerShell support User monitoring Server operations status Diagnostics Accounting and reporting Site-to-site IKEv2 IPsec tunnel mode VPN
Neuerungen in DirectAccess Deployment und Überwachung Skalierbarkeit und Performance Vereinfachte Bedienung Neue Szenarien Integrated client experience Unified Remote Access Management Off premise provisioning Optimiert für virtuelle Umgebungen Verbesserte Authentifizierung Funktioniert in bestehenden Netzwerken Hybrid Cloud Hochverfügbarkeit Verbindung zum nächstgelegenen Server VPN Interoperabilität Tausende Benutzer pro Server Reporting und accounting
Client-seitige Neuerungen Integrierter Client in Windows 8 Automatische Verbindung über den effizientesten Weg Einfache Anzeige des Verbindungsstatus Flexible Authentifizierung: Kerberos, PKI, Smartcard, Virtual Smartcard/TPM und OTP
Integriertes Troubleshooting Über die Networks UI erreichbar Detaillierter Verbindungsstatus Benutzer kann auswählen über welchen Zugriffspunkt man sich verbinden möchte Einfaches erstellen von relevanten Logs
Demo Client-seitige Neuerungen
Off Premise Provisioning mit DirectAccess Erstellung des Provisioning package Transfer auf den Client Applizieren des Provisioning package Funktioniert auch mit Windows To Go!
Off Premise Provisioning mit DirectAccess Erstellung des Provisioning package: Djoin /provision /machine NewClient /domain corp /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\files\provision.txt /reuse Applizieren des Provisioning package Djoin /requestodj /loadfile C:\Provision\provision.txt /windowspath %windir% /localos
Multisite 50 ms Automatische Selektion des nächstgelegenen Zugriffpunktes (Windows 8) Windows 7 unterstützt einen Zugriffspunkt Abhängig von der Antwortzeit Unterstützung für GSLB 20 ms 150 ms
Hochverfügbarkeit Integrierte Unterstützung für NLB Unterstützung für HLB Zentrale Konfiguration über die Remote Access Konsole Einfaches hinzufügen und entfernen von Remote Access Servern
Vereinfachtes und flexibleres Deployment
Vereinfachtes und flexibleres Deployment Getting Started Wizard Setzt Windows 8 Clients voraus Funktioniert mit NAT Nur ein IPsec Tunnel Kerberos Proxy Einfache Benutzer Authentifizierung Erfordert keine PKI Assistent erstellt bei Bedarf self-signed Zertifikate Keine Computer Zertifikate oder CRL benötigt
Vereinfachtes und flexibleres Deployment Erweiterte Konfiguration Unterstützt Windows 8 und Windows 7 Clients PKI Integration Computer Zertifikat CRL Zwei IPsec Tunnel Einfache, mehrfache und zertifikatsbasierende Authentifizierung Smartcard, Virtual Smartcard/TPM und OTP Multisite
Demo Vereinfachtes und flexibleres Deployment
Kommunikationsmöglichkeiten DirectAccess verwendet IPv6 – grundsätzlich zwischen Client und DirectAccess Server Kein IPv6 im Intranet erforderlich Wenn kein natives IPv6 zur Verfügung steht: Client tunnelt IPv6 über das Internet oder Intranet DNS64/NAT64 kommt zum Einsatz um reine IPv6 Ressourcen im Intranet zu erreichen Internet Intranet Natives IPv6 IPv6 Tunneling IPv4
Remote Access Sever Überwachung Überwachung des Gesundheitszustands aller Remote Access Server Überwachung aller Verbindungen Anzeige der aktuell verbundenen Benutzer und auf welche Ressourcen zugegriffen wird Historische Anzeige aller Verbindungen für Auditing Zwecke
Demo Remote Access Server Überwachung
Verwaltbarkeit: PowerShell Volle PowerShell Unterstützung Remote Access GUI basiert auf PowerShell cmdlets Beispiele: Get-RemoteAccess Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface "Private Internet" -InternalInterface "Private Corpnet" -ConnectToAddress „ra.contoso.com" -force
Performance Deutliche Performance Steigerung Hardware: CPU: 4 Cores, 2.1 Ghz RAM: 4 GB
Performance RSS (Receive Side Scaling) Unterstützung für UDP Server 2008 R2: Kein RSS für UDP Server 2012: RSS Unterstützung für UDP
Performance IP-HTTPS und Teredo auf gleichem Level Keine doppelte Verschlüsselung mehr IP-HTTPS für DirectAccess bevorzugtes Protokoll SR-IOV – Ermöglich VMs den vollen Zugriff auf alle Prozessor Cores Windows Server 2012 unterstützt IPsec Hardware Beschleunigung in einer VM PS> Set-NetAdapterIPsecOffload –Name Interface1 –Enabled TRUE Kann als Netzwerk Adapter Team betrieben werden
Interop Matrix Windows Server 2012 Windows Server 2008 R2 / UAG 2010 Keine Einschränkungen DirectAccess und VPN auf dem selben Server nicht unterstützt Benötigt eine PKI Kein Multisite DNS64/NAT64 benötigt UAG 2010 (Noch) keine offizielle Unterstützung für UAG 2010 Windows 7 Windows 7 Client verbinden sich zu einem definierten Zugriffspunkt Kein off-premise provisioning oder Windows To Go
Zusammenfassung Unified Remote Access optimal für verschiedene Remote Access Szenarien Verwaltete Clients - DirectAccess Nicht verwaltete Client und Nicht-Windows Systeme - VPN Anbindung an eine Cloud Umgebung – Site-to-Site VPN Zahlreiche Optimierungen in Windows Server 2012 und Windows 8 Vereinfachtes Deployment
Netzwerk Änderungen Skalierung und Verwaltung
DHCP Änderungen Richtlinien und Failover
Einführung in DHCP PBA Policy based assignment (PBA) erlaubt Administoren Guppen von Clients anhand von Attributen zu erstellen. Beispiele von Attributen: Voice over IP (VoIP) Telefone Mobile Geräte Drucker PBA ist nicht kompatibel mit NAP DHCP or split-scope Szenarien (Fail over Fall) Drucker, IP Telefone und Desktop PC benötigen einen unterschiedlichen Adressebereich und Scope Optionen Laptops, Desktop PCs, and Server benötigen unterschiedliche Lease Einstellungen
PBA Implementation Detail Can be defined at server or scope level Define conditions based on the following fields in the DHCP client request: Vendor Class User Class MAC address Client Identifier Relay Agent Information DHCP server delivers the settings configured for the policy: IP address range Standard DHCP options Vendor specific DHCP options Lease duration DNS registration DHCP server evaluates policies sequentially according to an assigned processing order: The DHCP administrator assigns the processing order If policies exist at the server and scope levels, the server applies both sets of policies and evaluates the scope policies before the server policies Processing order for a scope level policy defines the order of evaluation within the scope
Konfigurationseinstellungen Eine neuer Policies Knoten in der DHCP Konsole um die Richtlinien zu verwalten Nur für IPv4 Scopes anwendbar
DHCP Failover Überblick In Windows Server 2008 R2 existierten zwei Hochverfügbarkeitsoptionen: Installation von DHCP mit Hilfe eines Windows failover clusters Speichermedium ist ein “single point of failure” Erfordert zusätzliche Massnahmen und Investitionen in die Redundanz, somit höhere Komplexität und Wartungsaufwand Split scope deployment Bietet keine Möglichkeit IP Adressbereicheskontinuität zu gewährleisten, besonders problematisch bei hoher Auslastung der Scopes DHCP failover mit Windows Server 2012: Bietet ununterbrochene DHCP Dienst Verfügbarkeit Maximal 2 DHCP Server begrenzt auf IPv4 Scopes und Subnetze Erfordert keine zusätzliche Hard- und Software für die Speichermedien Einfach zu konfigurieren
DHCP - Hot Standby Modus Multi-Site Installation – Hub and Spoke Topologie
DHCP - Load Sharing Modus Im Load Sharing Modus liefern zwei DHCP Server gleichzeitig IP Adressen an die Clients
DHCP - Konfugurationssynchronization Stellt sicher das die Konfiguration zwischen den Servern konsistent ist DHCP Failover Internet draft RFC spezifiziert das Verfahren Die DHCP Konsole in Windows Server 2012 erlaubt die Konfiguration wie folgt zu synchronisieren: IPv4 Knoten- Alle Failover Scopes replizieren Einzelner Failover scope Einzelnen Scope replizieren Alle dazugehörigen Scopes replizieren Mehrere failover scopes
IPAM IP Adressen Verwaltung
IPAM – Aufgaben und Vorteile Erlaubt die Analyse der IP Bereichsausnutzung, Trends und Statistiken zu erfassen Statische IP Adressen Verwaltung Konfigurationsänderungsüberwachung für DHCP und IPAM Dienst und Zonenüberwachung von DNS IP Adressen lease und Anmeldeüberwachung Rolenüberwachung ohne Zusatzsoftware GPO basierende Installation Datengruppierungen in Benutzer definierten Gruppen Erweiterte Such-und Filteroptionen Ferwartung mit Hilfe der RSAT Tools
IPAM – Voraussetzungen und Funktionen Limitiert auf einen einzelnen AD forest IPAM Server Mitgliedsserver sein Die IPAM Serverrole ist als ‚Stand-alone‘ Funktion gedacht Es ist nicht empfohlen weitere Netzwerkinfrastuktur Rollen wie DNS oder DHCP auf dem gleichen Server zu installieren IPAM auf einem Domänenkontroller ist nicht unterstützt Windows Server 2012 IPAM besteht aus den folgenden Kernkomponenten: Server-Bestandsführung IP-Adressverwaltung-Raum Verwaltung und Überwachung von DHCP und DNS Ereignis-Katalog/Überwachung IP-Adressen Aufzeichung/Überwachung
IPAM – Server Inventory Management IPAM leverages AD to define scope of infrastructure to be managed Auto-discovers configured server roles from the configured domains Discovery enumerates Microsoft DNS, DHCP and DCs Can also manually add or delete specific servers Manages the security filter list of IPAM GPOs IPAM can be used to discover and manage servers running Windows Server 2008 and above Classify server manageability status as: Managed – IPAM periodic tasks will collect data from the active (checked) roles on these servers. Inactive (unchecked) roles on these servers are ignored Unmanaged - IPAM periodic tasks will not collect data from these servers. IPAM deletes all existing information pertaining to these servers from its database Unspecified - IPAM periodic tasks will not collect data from these servers. However, IPAM retains all existing information pertaining to these servers in its database
IPAM – Architektur
IPAM – Server-Bestandsführung
IPAM – IP Adressenblöcke
IPAM – Nutzungsstatistiken
IPAM – IP-Adressaufzeichung/Überwachung
IPAM – Verwaltung und Überwachung von DHCP und DNS
SMB Änderungen Alles ist schneller und grösser …
SMB Multichannel Definition Failover Durchsatz Beispiel Konfiguration Definition Verwendet mehrere TCP-Verbindungen für eine SMB-Sitzung Failover Ausfall einer NIC wird toleriert, wenn eine andere Verbindung verfügbar ist Durchsatz Mehr Bandbreite mit mehreren NICs Mehrere CPUs verarbeiten Netzwerk unterbricht mit einzelnen RSS-fähige Netzwerkkarte oder mehrere Netzwerkkarten Verbesserte SMB-Durchsatz beim Kombinieren von LBFO Teams und Mehrkanal Automatische Konfiguration SMB erkennt und verwendet mehrere Netzwerkpfade PowerShell-Cmdlets für die Überwachung und Problembehandlung Single 10GbE RSS-capable NIC Multiple 1GbE in LBFO team Multiple 1GbE NICs Multiple 10GbE/IB RSS-capable NICs SMB Client SMB Client SMB Client SMB Client LBFO NIC 10GbE NIC 1GbE NIC 1GbE NIC 1GbE NIC 1GbE NIC 10GbE/IB NIC 10GbE/IB Switch 10GbE Switch 1GbE Switch 1GbE Switch 1GbE Switch 10GbE/IB Switch 10GbE/IB SMB Server NIC 10GbE SMB Server NIC 1GbE NIC 1GbE SMB Server NIC 1GbE NIC 1GbE SMB Server NIC 10GbE/IB NIC 10GbE/IB LBFO Blaue Linien bedeuten logische Verbindungen, keine Kabel
SMB Multichannel PowerShell Event Log Performance Counters Get-SmbServerNetworkInterface Get-SmbClientNetworkInterface Get-SmbMultichannelConnection Event Log Application and Services Log, Microsoft, Windows, SMB Client Performance Counters SMB Client
SMB Direct (SMB über RDMA) Neue Klasse von SMB-Dateispeicher für Unternehmen Minimale CPU-Auslastung für die Dateiverarbeitung Geringe Latenz und grosse Ausnutzung von high speed NICs Fibre Channel-gleichwertige Lösung zu geringeren Kosten Traditionellen Vorteile der SMB-Dateispeicherung Einfach bereitzustellen, zu verwalten und zu migrieren Konvergentes Netzwerk nutzt Keine Änderung oder Administrator Anwendungskonfiguration Erforderliche Hardware RDMA-fähiges Netzwerkkarte (R-NIC) Support für iWARP, InfiniBand und RoCE Verwendet SMB Multichannel für LBFo File Client File Server Application User Kernel SMB Client SMB Server Network w/ RDMA support Network w/ RDMA support NTFS SCSI R-NIC R-NIC Disk
SMB Direct – Was ist RDMA? Remote Direct Memory Access Protocol (RDMA) Beschleunigtes IO-Auslieferungs-Modell welches der Anwendungssoftware erlaubt die meisten Schichten der Software zu umgehen und direkt mit der Hardware zu kommunizieren RDMA Vorteile Geringe Verzögerungszeiten Hoher Datendurchsatz Zero copy Fähigkeiten OS / Stack bypass RDMA Hardware Technologien Infiniband iWARP: Internet Wide Area RDMA protocol (RDMA over TCP/IP) ROCE: RDMA over Converged Ethernet
SMB Scale out – Früher mit 2008 R2 Active-Passive Single File Server 1 logischer File Server 1 virutelle IP Adresse Active/Passive \\FSA\Share1 \\FSA\Share2 Ein einzelner Name Einfach Einfach zu verwalten Active-Passive Multiple File Servers 2+ logische File Server 2+ virtuelle IP Adressen Zugriff auf unterschiedliche Cluster Knoten \\FSA\Share1 \\FSB\Share1 Bessere Hardwarenutzung Komplexer zu verwalten Mehrere Namen FSA=10.1.1.3 FSB=10.1.1.4 FSA=10.1.1.3 Client Client \\FSA\Share1 \\FSA\Share2 \\FSA\Share1 \\FSB\Share1 File Server Cluster File Server Cluster Active Name=FSA IP=10.1.1.3 Passive Active for FSA Name=FSA IP=10.1.1.3 Active for FSB Name=FSB IP=10.1.1.4
SMB Scale out – Was ist neu? Hyper-V Cluster (Up to 64 nodes) Ausgelegt für Server-app-Speicher Beispiele: Hyper-V und SQL Server durch Hinzufügen von Knoten im cluster, Erhöhung der verfügbaren Bandbreite Kernfähigkeiten: Active/Active file shares Fehlertoleranz mit keinerlei Ausfallzeiten Schnelle Wiederherstellung Transparentes CHKDSK Unterstützung für app konsistente snapshots Unterstützung für RDMA aktivierte Netzwerke Optimierung für Server-Anwendungen Einfache Verwaltung Data Center Network (Ethernet, InfiniBand or combination) File Server Cluster (Up to 8 nodes) Single Logical File Server (\\FS\Share) Single File System Namespace Cluster Shared Volumes
SMB Scale out – eine neue Server Rolle Ein neuer File Server Typ Dateiserver für lineares Skalieren der Anwendungsdaten Verwalten Sie alle Knoten wie einen einzelnen Server Benutzt zusätzlich: Clustered Shared Volumes (CSV) Einzelner Dateisystem Namespace – keine Laufwerkbuchstaben CSV-Volumen sind auf allen Knoten im Cluster online Distributed Network Name (DNN name) Verwaltet die DNS Registrierung der DNS einträge Round Robin DNS um die clients zu verteilen Anforderungen: Windows Failover Cluster mit CSV File Server Cluster und Application Cluster müssen mit Windows Server 2012 laufen SMB1 und ältere Clients können sich nicht verbinden
Netzwerkkarten NIC Teaming … endlich
Netzwerkarten Teaming Ermöglicht höheren Durchsatz und gesteigerte Verfügbarkeit dank Failover und Lastenausgleich Vorteil der Netzwerkfehlertoleranz ohne Notwendigkeit einer Teaming-Lösung eines Drittanbieters Gemeinsame Verwaltungs-Tools für alle Adaptertypen
Team interfaces (tNICs) Team interfaces können in den folgenden Modi laufen: Standard modus: verarbeitet jedes Paket das nicht an eine andere VLAN ID gesendet wird VLAN modus: verarbeitet nur den Verkehr für das betreffende VLAN Eingehender Datenverkehr wird immer an höchstens eine Team-Schnittstelle übergeben. TEAM Default Hyper-V switch VLAN=42 Default (all but 42) VLAN=42 VLAN =99 TEAM TEAM Black hole
Team interface – Team Erstellung Wenn ein NIC team erstellt wird, braucht es mindestens ein Interface Team interfaces können wie jedes andere Interface umbeannt warden (Rename-NetAdapter cmdlet) Team interfaces werden in der Get-NetAdapter Ausgabe angezeigt Nur das erste (primäre) team interface kann in den Default Modus gesetzt werden
Teaming in einer VM ist supported Begrenzt auf einen Switch/Network mit Hash Mode Teams von zwei Member ist supported Optimiert für die Unterstützung von SR-IOV vNICs kann aber auch mit normalen vNICs verwendet werden Muss am Vswitch konfiguriert werden
Limitierungen von NIC Teaming Maximale Anzahl der NICs im team: 32 Maximale Anzahl von ge-teamten Interfaces: 32 Maximale Anzahl von teams in einem Server: 32 Systemabhänging können die Limits niedriger ausfallen (Kernel Memory, etc)
TCP High Latency Optimizations HTTP and TCP were designed when the Internet was not the primary exchange for global information TCP stack in Windows 8 is designed to optimize transport in a content distribution model over links with latencies above 30ms Windows 8 includes a collective set of investments in protocol improvements for TCP/HTTP/DNS TCP configuration parameters Smart defaults for the divergence of network environments Windows 8 parameters exposed for tuning TCP: Can be configured through netsh, WMI, or registry settings MinRTO InitialRTO EnableCwndRestart Initial Congestion Window Congestion Provider Algorithm
3/28/2017 6:10 PM © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.