- Поява в публічному доступі 12 жовтня 2016 року в публічному доступі з'явилася операційна система...
- Управління IP-адресами (IPAM)
- Інтеграція даних DNS з IP-адресами
- Управління доступом для управління DNS за допомогою рольової політики
- Управління DNS і DHCP серверів в декількох лісах Active Directory
- PowerShell в управлінні доступом за допомогою ролей
- Віртуалізація мережі за допомогою Windows Server 2016
- Яка від цього користь?
- Чому б просто не використовувати VLAN?
- Покращення в порівнянні з стеком віртуалізації мережі в Windows Server 2012 R2
Поява в публічному доступі
12 жовтня 2016 року в публічному доступі з'явилася операційна система Windows Server 2016. Версію RTM (Release to Manufacturing) можна завантажити через сервіси Microsoft Developer Network (MSDN) і Volume Licensing Service Center (VLSC).
Крім того, доступна ознайомча версія для тих, хто хоче випробувати можливості продукту перед його покупкою. Пробний варіант розрахований на 180 днів тестування.
Windows Server 2016 має кілька версій: Standard, Essentials, MultiPoint Premium Server, Storage Server, Hyper-V Server і Datacenter. Остання відрізняється додатковими функціями реплікації, новим мережевим протоколом з розширеними можливостями віртуалізації і технологією створення закритих віртуальних машин, чий контент захищений від адміністратора хост-системи.
В цілому Windows Server 2016 в порівнянні з попередніми серверними ОС Microsoft стала безпечнішою, отримала розширені механізми захисту, нову функціональність для блокування потенційних загроз і поліпшені можливості управління. Також нова ОС оптимізована для хмарних сервісів і контейнерів.
Одночасно з Windows Server 2016 було випущено рішення System Center 2016, яке спрощує управління програмно-визначеними дата-центрами і хмарою.
Remote Credential Guard
19 серпня 2016 року в блозі TechNet опубліковані відомості про функції Remote Credential Guard, що допомагає запобігти крадіжці облікових даних на Windows 10 / Windows Server 2016, коли користувачі виконують вхід на ПК.
Готується вихід Windows Server 2016 Technical Preview 5 і, смакуючи подія, вендор вирішив підвищити захист облікових даних для Server- і Helpdesk -сценаріев, де до віддаленого робочого столу (RDP) використовується віддалений вхід на ПК.
Компанія створила функцію Remote Credential Guard. Вона діє в Windows RS1 і Windows Server 2016.
Вивчення функцій Remote Credential Guard, (2016)
Remote Credential Guard (RCG) зберігає облікові дані на клієнтській машині і коли користувач виконує вхід до віддаленого робочого столу на цільовій машині (сервер або клієнт), дані не будуть доступні на цільовій машині, тому не можуть бути вкрадені.
Як побічний ефект, який Microsoft розцінила як позитивний, Remote Credential Guard реалізує процедуру Single Sign On для RDP - у користувача при цьому немає потреби вводити пару логін / пароль в RDP -сессіі, а можна застосувати облікові дані, які використовуються для входу на клієнтську машину (будь то смарт-карти або Windows Hello)
Управління IP-адресами (IPAM)
Управління IP-адрес (або IPAM для стислості) являє собою інтегрований набір інструментів, що дозволяють управляти IP-простором, управляти декількома серверами DNS і DHCP, проводити аудит на відповідність вимогам DDI (DNS, DHCP, IPAM).
Після того, як IMAP ввели в Windows Server 2012, він зазнав оновлення і вже в Windows Server 2012 R2 мав широкі можливості:
- управління доступом на основі ролей,
- управління DHCP Failover і політиками DHCP,
- PowerShell Командлети і інтеграцією з Virtual Machine Manager для приватних хмарних середовищ.
IPAM в Windows Server 2016 вдосконалено для підтримки критично важливих можливостей:
- управління DNS,
- підтримка декількох лісів AD
- багато іншого.
Технічне резюме модифікацій 2016 року Управління DNS Можливість управляти DNS-зоні і записами ресурсів на декількох DNS-серверів є критично важливою вимогою для підприємств. IPAM в Windows Server 2016 тепер може виконувати всі завданнями управління DNS, для яких користувач раніше мав використовувати DNS Manager. Управління DNS, доступне в IPAM:
- Створення, видалення, зміна DNS-зони (прямий пошук і зони зворотного перегляду)
- Створення, видалення, зміна записів DNS ресурсів (A, AAAA, CNAME, PTR, MX, а також інші типи записів підтримувані DNS в Windows Server)
- Створення, видалення, зміна умовних пересилань
- Налаштування політики передачі зон і ініціювання передачі зони
Ці операції підтримуються, як Active Directory, інтегрованим з DNS, так і DNS-сервер, які зберігають зони і записи в файлі. Зона DNS, як правило, розміщується на більш ніж одному DNS-сервер з причин високої доступності. При виконанні таких операцій, як створення або зміна DNS -запісі в зоні IPAM виконує операцію на одному з DNS-серверів зони. Механізм синхронізації зони гарантує, що новостворена або оновлена DNS -запис в даний час існує на всіх серверах хостингу зони. IPAM забезпечує установку під назвою «кращий сервер» для зони. Будь-яка операція поновлення на певній зоні буде здійснюватися IPAM на улюбленому сервері, який потім отримує оновлення і реплицируется на інші DNS-сервери.
Інтеграція даних DNS з IP-адресами
IPAM веде облік IP-адрес в базі даних IPAM. В інтерфейсі IPAM цей інвентар можна розглядати в рамках управління простором IP-адрес. Перелік повинен бути занесений вручну або імпортувати за допомогою файлу CSV. У Windows Server 2016 IPAM буде зчитувати DNS записи з DNS-серверів - в тому числі PTR-записи. PTR-записи використовуються IPAM для заповнення IP-адрес і їх інвентаризації. Ця нова можливість забезпечує автоматизовану інвентаризацію IP-адрес. Тепер адміністраторів не будуть більше вручну оновлювати IP-адреси або імпортувати CSV-файли, якщо існують зони зворотного перегляду з PTR-записами.
Іншою важливою можливістю є вкладка для DNS-записів, яка перераховує всі DNS-записи, пов'язані з цим IP-адресою - включаючи AAAA, PTR, CNAME, MX, NS і інші записи. Це дуже корисно, коли використовуються CNAME, MX і інші типи записів, які мають опосередковане відношення до IP-адресою.
Управління доступом для управління DNS за допомогою рольової політики
Контроль доступу на основі ролей вперше ввели в IPAM Windows Server 2012 R2. Це було потрібно для підтримки сценаріїв делегування і адміністрування DNS. Адміністратор повинен мати можливість делегувати управління певною зоною для віддаленого адміністратора при цьому переконавшись, що він / вона не має доступу до інших зон і серверів DNS. Аналогічним чином поштовий адміністратор повинен мати можливість керувати тільки MX-записами. З IPAM 2016 клієнти можуть виконувати такі сценарії делегування і дати той доступ, який необхідний користувачу з певною роллю.
Управління DNS і DHCP серверів в декількох лісах Active Directory
IPAM в Windows Server 2012 R2 підтримує управління DNS і DHCP серверами в одному лісі Active Directory - це ліс, в якому розгорнуто IPAM. Проте багато корпоративних клієнтів мають більше одного лісу Active Directory в своєму середовищі, а також DNS і DHCP сервери у всіх численних лісах AD. Вони хотіли, щоб IPAM для Windows Server підтримував і керував DNS і DHCP-серверами в декількох лісах AD з однієї консолі IPAM. У Windows Server 2016 це реалізовано.
Подання управління IPAM, (2016)
PowerShell в управлінні доступом за допомогою ролей
IPAM 2016 має нові командлети PowerShell, що дозволяє адміністраторам встановити сферу доступу до об'єктів IPAM. Адміністратори можуть встановлювати області доступу для IP-адрес (IP-простір, IP-адреси блоків, IP-адреса підмережі, діапазони IP-адрес), для DNS-об'єктів (DNS-сервери, DNS-зони, DNS умовні форвардери, записи DNS- ресурсів) і для об'єктів DHCP (DHCP-сервери, DHCP-суперобластей і сфери дії DHCP). Це дозволить адміністраторам автоматизувати призначення областей доступу до об'єктів IPAN за допомогою сценаріїв PowerShell.
Віртуалізація мережі за допомогою Windows Server 2016
Подібно до того, як серверне обладнання віртуалізується за допомогою програмного забезпечення, щоб імітувати процесори, пам'ять і диски для створення віртуальних машин, мережеві апаратні засоби також віртуалізувати, щоб імітувати комутатори, маршрутизатори, міжмережеві екрани, шлюзи і балансування навантаження для створення віртуальних мереж. Мало того, що віртуальні мережі забезпечують ізоляцію між робочими навантаженнями або бізнес-підрозділів, але вони також дозволяють мережевим адміністраторам конфігурувати мережі і визначати політику, зберігаючи при цьому гнучкість, вказуючи, де робочі навантаження розгорнуті і як застосовується політика.
Основні характеристики і переваги Hyper-V Network Virtualization дозволяють віртуалізувати топологію базової фізичної мережі.
Яка від цього користь?
- Є можливість додати або видалити політику безпеки на вимогу через Network Security Groups, щоб вона застосувала безпосередньо до віртуальних підмереж або окремим віртуальним мережевим адаптерам.
- Масштабованість для збільшення пропускної здатності ваших робочих навантажень за рахунок розширення вашої віртуальної мережі та підключення їх до Azure.
- Гнучкість в переміщенні віртуальних підмереж і відповідних робочих навантажень між хмарами.
Конкретні функції включають в себе здатність:
- Ізолювати різні центри обробки даних, різні відділи або підрозділи в рамках підприємства або навіть різні послуги і робочі навантаження в рамках унікальних віртуальних мереж.
- Інтеграція з усіма відповідними мережевими функціями і політиками, наприклад, забезпечення балансування навантаження, якість обслуговування і т.д.
- Підтримка VXLAN (за замовчуванням) або NVGRE.
- Можливості зробити свої власні підмережі IPv4 і маршрути з вашої фізичної мережі в хмару.
Всі ці мережеві політики можуть бути легко розгорнуті із застосуванням шаблонів System Center Virtual Machine Manager (SCVMM), Microsoft Azure Stack або сценаріїв PowerShell.
Чому б просто не використовувати VLAN?
Використання віртуальних локальних мереж для забезпечення ізоляції або безпеки може бути досить для SMB середовищ, де швидкість зміни низька. Проте, така модель просто не вкладається на великих підприємствах і сучасних центрах обробки даних, так як вони залежать від статичних конфігурацій. Будь-які оновлення потребують ручного зміни конфігурації на декількох пристроях (наприклад: сервери, комутатори). У міру того як розмір вашого підприємства або центру обробки даних зростає, вона стає все більш громіздкою, щоб управляти всіма різними мережами VLAN і політиками безпеки для кожного логічного сегмента мережі. Ручне оновлення конфігурації комутатора і переміщення політик часто породжують помилки і неминуче забезпечують простий мережі.
Іноді може виникнути необхідність підключати фізичні навантаження, які не можуть бути віртуалізувати. У цих випадках для маршрутизації пакетів між віртуальними і фізичними мережами використовуються шлюзи віртуалізації, що забезпечують доступ до вашої робочої навантаженні.
Покращення в порівнянні з стеком віртуалізації мережі в Windows Server 2012 R2
Ми отримали багато побажань через зворотний зв'язок з клієнтами, які допомогли нам поліпшити дане рішення в Windows Server 2016. Ці поліпшення включають в себе:
- Програмований vSwitch на основі нового розширення Azure Virtual Filtering Platform (VFP), що забезпечує більш ефективну обробку трафіку.
- Зменшення кількості фізичних адрес IP (2x на хост), необхідних для розміщення віртуальних мереж та інкапсуляції трафіку.
- Реалізація коректних Layer 2 Ethernet заголовків для поліпшеної сумісності.
- Покращений пошук і усунення несправностей за допомогою розширених діагностичних скриптів.
- Розподілений маршрутизатор з підтримкою певних користувачем маршрутів.
- Додавання підтримки механізму інкапсуляції VXLAN.
Технологія віртуалізації мережі в Windows Server 2012 R2 (HNVv1 з NVGRE) також підтримується і в Windows Server 2016, що дозволяє без проблем мігрувати на нову операційну систему. Проте, натхненні Azure, ми пропонуємо нашим клієнтам.
джерело: Tadviser
Чому б просто не використовувати VLAN?
Яка від цього користь?
Чому б просто не використовувати VLAN?