Skip to main content

Что нового в Windows Server 2016

Дата публикации: 17.03.2017

Windows Server 2016, новая версия легендарной серверной операционной системы от Microsoft, теперь доступна всем желающим. В ней представлено множество новых функций, которые делают ее лучшей в своем классе платформой для построения частного облака, самой защищенной версией Windows Server, а также лучшей платформой для микросервисов на базе Windows. В данной публикации содержится краткий обзор нововведений Windows Server 2016. В следующих публикациях мы расскажем об этих нововведениях подробнее. 

Windows Server 2016 является частью платформы для частного облака, которую мы иногда называем Microsoft Datacenter vNext. Решение также включает System Center 2016 и Windows Azure Pack для управления облачной средой. В данный момент эта платформа живет отдельной жизнью от платформы Azure Stack, о которой вы уже могли слышать, но в будущем, после выхода Azure Stack, эти решения смогут дополнять друг друга. System Center 2016 поступил в продажу в один день с Windows Server 2016, а текущая версия Azure Pack уже поддерживает Windows Server 2016.

Существует две «ипостаси» Windows Server 2016: Windows Server на хосте и Windows Server в гостевой виртуальной машине. Многие компании до сих пор используют в своих частных облаках виртуализацию не на основе Hyper-V. Однако это не значит, что Windows Server 2016 будет неинтересен для подобных организаций. Действительно, некоторые новые функции работают только при использовании Hyper-V, но большинству из них не принципиально, какой гипервизор используется.

Windows Server 2016 на хосте

Если ваша компания использует Windows Server 2012 R2 (или более раннюю версию) для виртуализации или частного облака, вам точно стоит задуматься об обновлении Server до новейшей версии. Вы сможете использовать новые функции, сократить стоимость владения, сделать решение более надежным и отказоустойчивым и повысить общий уровень безопасности инфраструктуры.

Microsoft придерживается концепции «Программно определяемого центра обработки данных» (Software-defined Datacenter). Это следующий шаг от традиционного частного облака к решению вроде тех, которые используются в больших публичных облаках. В программно определяемом ЦОД не требуется покупать дорогостоящее проприетарное оборудование. Вычисления (на уровне виртуализации), сеть и системы хранения данных — всем этим можно управлять с помощью программного обеспечения, такого как Windows Server и System Center. Поговорим теперь о новых функциях Windows Server 2016, которые имеют отношение к программно-определяемому ЦОД.

Программно-определяемые вычисления

Термин «вычисления» в наши дни употребляется очень часто. Когда речь идет о программно определяемом ЦОД, он означает «виртуализация». В нашем случае уровень программно определяемых вычислений представлен решением Hyper-V. По сравнению с Windows Server 2012 R2 новая версия гипервизора - Windows Server 2016 Hyper-V («Hyper-V 2016») - предлагает ряд новых функций.

  • Nano Server — облегченная версия OS на хостах Hyper-V (мы еще поговорим о Nano Server позднее).
  • Увеличенный лимит масштабирования: теперь вы можете запускать ВМ с 240 виртуальными ЦП и 16 Тбайт ОЗУ.
  • Новые возможности для ВМ на базе Linux, которые раньше были доступны только для ВМ на базе Windows: Secure Boot, vRSS, Hot-add, изменение размеров виртуальных дисков, улучшенная технология резервного копирования и PowerShell DSC.
  • Поддержка вложенной виртуализации: теперь вы можете запускать виртуальные машины Hyper-V внутри других виртуальных машин Hyper-V. Это может быть полезной функцией для лабораторных сценариев и разработчиков.
  • Production Checkpoints: новый тип контрольных точек (снимков) ВМ, в которых используется служба моментального снимка тома (VSS) внутри гостевых ВМ для корректного создания снимка прикладного ПО, работающего внутри ВМ.
  • «Горячее» добавление сетевых адаптеров: в ВМ второго поколения можно добавлять сетевые адаптеры без простоев.
  • Изменение конфигурации памяти без простоев: теперь не нужно выключать ВМ, чтобы активировать или деактивировать динамическую память или если вы хотите изменить объем выделенной статической памяти.
  • PowerShell Direct позволяет отправлять команды PowerShell напрямую в ВМ. Теперь вы можете управлять ВМ из среды PowerShell хоста, не заботясь о сетевой конфигурации виртуальной машины.
  • Discrete Device Assignment: виртуальная машина получает прямой и эксклюзивный доступ к некоторым устройствам с интерфейсом PCIe (например GPU).
  • Интеграционные компоненты Hyper-V теперь автоматически обновляются через Microsoft Update. Для заказчика это означает, что теперь не нужно тратить время и ресурсы на обновление, поскольку арендатор может сам его выполнить.
  • Shielded VMs: новая технология защиты данных ВМ от администратора фабрики. Это ключевая функция Windows Server 2016 для сервис-провайдеров и крупных организаций, уникальная для Hyper-V.

Shielded VMs

Решение Shielded VMs позволяет владельцам приложений, работающим внутри ВМ, быть уверенными в том, что администраторы сервис-провайдера или администраторы частного облака не смогут получить доступ к конфиденциальной информации внутри ВМ. Некоторые заказчики не пользуются услугами поставщиков IaaS, опасаясь, что конкурент может подкупить администратора сервис-провайдера и попросить его скопировать виртуальную машину заказчика на общедоступный ресурс. Если сервис-провайдер использует не Windows Server 2016, то всегда есть риск того, что администратор фабрики со злым умыслом сможет скопировать ВМ-клиент на флеш-накопитель (или загрузить ее в OneDrive или аналогичный сервис) и передать конкурентам. Если это произойдет, конкурент получит доступ ко всем данным в этой ВМ, например к базе данных CRM с контактами всех клиентов компании. Технически это реализуемо, так как:

  • Администратор фабрики имеет права администратора (root) на хостах виртуализации. Это означает, что он может подключиться к ВМ с помощью консоли, изменить загрузчик операционной системы (bootloader) или внедрить вредоносную программу с помощью интеграционных компонентов гипервизора. Если у вас есть доступ через консоль к Windows Server или ОС Linux, вам не составит труда изменить пароль локального администратора или пользователя root и получить полный доступ в ВМ. Злоумышленники могут сбросить пароль локального администратора через Console Access и заполучить секретные данные из ВМ.
  • Если у вас есть доступ к виртуальному диску ВМ, вы можете внедрить любые скрипты в ВМ. Но это приведет к простою (1-10 секунд), и арендатор обнаружит, что ВМ неожиданно перезагрузилась. Чтобы не вызвать подозрений, администратор фабрики может выполнить эту операцию во время планового технического обслуживания.
  • Даже если виртуальный диск ВМ зашифрован, администратор фабрики может скопировать ВМ, чтобы запустить ее за пределами доверенной среды. ВМ с зашифрованным диском является членом сети, и после запуска ВМ на ноутбуке злоумышленника она может быть взломана посредством виртуализации вместо LAN. Системы безопасности сервис-провайдера не обнаружат это, потому что ВМ будет запущена за пределами контролируемой среды. С помощью технологии создания снимков ВМ можно скопировать без каких-либо простоев. Владелец ВМ ничего даже не заметит. Кроме того, сам процесс копирования ВМ максимально прост: все, что нужно сделать, — это скопировать маленький конфигурационный файл ВМ и файл/файлы виртуального диска ВМ.
  • Шифрование диска ВМ обычно привносит сложности: например, вы не можете обеспечить функциональность TPM внутри ВМ (в версиях до Windows Server 2016). Владельцу ВМ нужно вводить секретные ключи, чтобы разблокировать диск и загрузить ОС после каждой перезагрузки. Это также снижает производительность ВМ, поскольку виртуальные ЦП будут заняты процессом шифрования.
  • ВМ в частном облаке обычно создаются из шаблонов или образов. Злоумышленник может внедрить вредоносный скрипт в шаблон, и ВМ заказчика будет заражена сразу же после создания из шаблона или образа. Этот вредоносный скрипт можно выполнить один раз и отправить секретные данные заказчика во внешнее местоположение, владельцем которого является злоумышленник.

 

 

Shielded VMs — это эффективное решение для защиты конфиденциальных данных заказчика от всех перечисленных выше рисков. Для обеспечения комплексной безопасности данных в Windows Server 2016 используется ряд новых технологий.

  • Режим Shielded VM: в этом режиме отключены некоторые интеграционные компоненты Hyper-V, которыми может воспользоваться злоумышленник (PowerShell Direct, Console Access, Guest File Copy Integration Components).
  • Процесс VMWP, который зашифровывает трафик миграции в реальном времени в дополнение к файлу состояния среды выполнения, сохраненного состояния, контрольных точек и к даже файлам Hyper-V Replica.
  • Host Guardian Service: отдельная служба, владельцем которой является другое подразделение в организации (не администратор фабрики). Она проверяет состояние хоста, где планируется запускать ВМ, и определяет, разрешено ли запускать эту ВМ на этом хосте.
  • Шифрование Bitlocker с помощью vTPM: виртуальный TPM внутри ВМ, который используется для шифрования виртуального диска с ключом, который безопасно хранится внутри чипа TPM.
  • Библиотека доверенных образов Microsoft: владелец ВМ может быть уверен, что он создает ВМ из образов, предоставленных компанией Microsoft, и что эти образы не были изменены (то есть в них не мог быть внедрен вредоносный скрипт).
  • Таким образом, Shielded VMs дает клиентам сервис-провайдеров уверенность в том, что их конфиденциальные данные не будут похищены. У заказчика появляется выбор на портале Azure Pack: создать ВМ в обычном режиме или же использовать механизмы Shielded VMs.

 

Вы можете воспользоваться функцией обновления ОС хостов кластера без его остановки (Cluster OS Rolling Upgrade), чтобы обновить каждый хост Hyper-V с 2012/2012R2 до 2016, не пересоздавая кластер. Теперь выполнять обновление до последней версии Window Server в кластере стало проще, а вероятность простоев значительно снизилась.

Программно определяемая сеть (SDN)

Программно определяемая сеть (Software-defined Network, или просто SDN) появилась в Windows Server еще в версии 2012. Она позволяла администраторам фабрики создавать изолированные сети для разных арендаторов (внешних заказчиков или внутренних потребителей) и управлять ими, не меняя конфигурацию сетевого оборудования. Арендаторы могли использовать виртуальные сети на уровне гипервизора вместо VLAN на уровне сетевого оборудования. Это обеспечивало тот же уровень изоляции, но с возможностями самообслуживания и без ограничений, свойственных VLAN. SDN позволяет управлять сетью и использовать расширения на программном уровне, не изменяя аппаратную конфигурацию сети.

Windows Server 2012 использует NVGRE как протокол для инкапсуляции виртуального сетевого трафика внутри трафика физической сети. Решение System Center Virtual Machine Manager играло роль мозга SDN и отвечало за распределение конфигурации между разными хостами Hyper-V. В Windows Server 2012 R2 был представлен шлюз multi-tenant  на базе RRaS, который обеспечивал внешнее подключение с возможностями VPN типа «точка-точка» и NAT.

Сотрудники компаний, которые использовали SDN на базе Windows Server 2012 R2, говорили о том, что данное решение было очень сложно развернуть, им трудно управлять и оно совместимо не со всеми сетевыми топологиями, которые использовались у них в сети. Но, несмотря на это, все признавали, что SDN — это прорыв по сравнению с традиционными проприетарными сетевыми решениями.

Windows Server 2016 позволяет решить все перечисленные выше проблемы благодаря новым функциям SDN.

  • В Windows Server 2016 добавлена новая роль — контроллер сети (Network Controller). Контроллер сети представляет собой высокодоступный интеллектуальный центр SDN. С его помощью можно управлять изменениями конфигурации и распределять их между хостами, шлюзами и маршрутизаторами Hyper-V. VMM больше не требуется для организации SDN. Контроллер сети значительно упрощает развертывание и эксплуатацию SDN. Эта новая архитектура более стабильна и надежна.
  • Поддержка VXLAN: хотя NVGRE по-прежнему доступен, SDN в Windows Server 2016 по умолчанию использует стандартный протокол VXLAN для трафика виртуальной сети. Это позволяет интегрировать SDN с существующими традиционными сетевыми решениями и другими SDN.
  •  Программный балансировщик нагрузки (L4) — встроенное решение для распределения сетевого трафика в масштабе облака. Оно позволяет выполнять балансировку нагрузки любого трафика в виртуальных сетях, поддерживает зонды HTTP/HTTPS и работает аналогично Azure Load Balancer. Это отличная альтернатива технологии Microsoft Network Load Balancing (которая была представлена в Windows Server 2003 и с тех пор не претерпела изменений) и дорогостоящим балансировщикам нагрузки L4 и L7 сторонних разработчиков. Кроме того, функции NAT были перенесены со шлюза нескольких арендаторов на балансировщик нагрузки.
  • Switch Embedded Teaming (SET): технология объединения, встроенная в коммутатор Hyper-V. Это альтернатива технологии Software Network Teaming (которая была представлена в Windows Server 2012). SET добавляет возможности командной работы в сети непосредственно в коммутатор Hyper-V. Теперь не нужно отделять сети RDMA от объединенных сетей, потому что SET поддерживает RDMA. А поскольку SET более тесно работает с гипервизором, вы можете рассчитывать на улучшение производительности.
  • Межсетевой экран ЦОД.
  • VPN site-to-site по протоколу GRE.
  • Оптимизация производительности сети: более высокая производительность сети на современных интерфейсах 25/50/100GbE с RDMA.

SDN в Windows Server 2016 может работать в двух режимах.

  • SDNv1: то же самое решение SDN, которое использовалось в Windows Server 2012 R2. Оно позволяет быстро обновить Windows Server 2012 R2 до Windows Server 2016 без изменения сетевой архитектуры. Это решение поддерживает только возможности в обратном порядке и не привносит ничего нового.
  • SDNv2: решение SDN по умолчанию, если вы создаете SDN с нуля в Windows Server 2016. Все новые функции, описанные выше, доступны только в SDNv2. Если вы недавно обновили хосты Hyper-V 2012/2012R2 до 2016, следующим логичным шагом будет развернуть SDN в режиме SDNv2.

Программно определяемое хранилище (SDS)

Хранилище данных — важная часть решения IaaS, поскольку виртуальные диски ВМ нужно хранить в надежном месте с необходимым уровнем производительности. Windows Server 2016 поддерживает традиционные системы хранения, подключенные к хостам через Fiber Channel, FCoE или iSCSI. Однако в последнее время наметилась тенденция перехода заказчиков от сложных и дорогих традиционных СХД на надежные программно определяемые системы хранения (Software-defined Storage, или просто SDS). Такие системы работают на базе недорогого серверного оборудования, а управление ими осуществляется с помощью программного обеспечения. Они позволяют создать высокопроизводительные и отказоустойчивые хранилища, оснащенные передовыми функциями, по более низкой цене в сравнении с корпоративными системами хранения.

Microsoft — опытный игрок на рынке систем хранения данных. В 2003 году мы представили решение Windows Storage Server 2003. Некоторые важные функции, такие как дедупликация, были также добавлены в Windows Server 2012. Кроме того, в Windows Server 2012 был реализован новый способ создания программно определяемого хранилища — дисковые пространства (Storage Spaces) как альтернатива традиционным RAID-массивам.

Однако программно определяемое хранилище (SDS) в Windows Server 2012 R2 было не лишено недостатков:

  • Storage Spaces обеспечивали высокую производительность только после тонкой настройки системы, решение не показывало всю свою мощь «из коробки». Кроме того, было нелегко устранять неполадки в работе системы.
  • Для обеспечения высокой доступности дисковых пространств требовались диски SAS, которые стоят больше, чем аналогичные по производительности диски SATA.
  • Трудно было масштабировать решение из-за ограничений шины SAS.
  • Трудно было ограничить количество операций IOPS диска для разных потребителей с целью защиты от скачков производительности. В Windows Server 2012 R2 была добавлена функция Storage QoS. С ее помощью для виртуального диска можно было настроить минимальное количество операций IOPS (если виртуальный диск не мог работать с указанным уровнем производительности, срабатывало предупреждение) и максимальное количество операций IOPS (лимит производительности). Но эти настройки сбрасывались, если ВМ переносилась на другой хост. Все это затрудняло управление конфигурацией Storage QoS в масштабных средах.
  • Чтобы реплицировать данные хранилища с одной площадки на другую, приходилось использовать решения для репликации от сторонних разработчиков. Некоторые заказчики не использовали Windows Server 2012 R2 SDS, потому что отдавали предпочтение решениям «все в одном» от других поставщиков, которые включали средства репликации данных хранилища.

Все описанные выше проблемы удалось решить в Windows Server 2016. Новая реализация SDS предлагает следующие возможности.

  • Добавлена новая функция Storage Spaces Direct (S2D). Она позволяет создавать надежное и высокопроизводительное хранилище на основе локальных дисковых накопителей. Больше не нужно использовать SAS — только SATA SSD, SATA HDD и NVMe SSD. S2D требует, чтобы одни накопители на каждом хосте были выделены под задачи кэширования (SATA SSD или NVMe SSD), а другие — для хранения данных. S2D поддерживает зеркалирование, четность и технологию erasure coding. Теперь SDN выступает в роли SAN. Нет необходимости покупать дорогие решения FC, FCoE или конфигурировать iSCSI. Чтобы увеличить емкость и производительность, можно добавить новые хосты с локальными накопителями в кластер. Вы можете легко достичь показателя 1 млн операций IOPS и даже 5 млн IOPS не предел. Storage Spaces Direct — это революционная функция, которую мы обязательно рассмотрим подробнее в будущих публикациях.
  • Дисковые пространства (классические, не S2D) теперь работают максимально эффективно без предварительной настройки. Все, что нужно сделать, — это нажать «далее», «далее» и еще раз «далее», и вы получите максимальную производительность.
  • Инструмент Windows Server Health поможет вам диагностировать неполадки SDS и найти первопричину проблем с производительностью.
  • Storage QoS Policies позволяют администраторам фабрики централизованно управлять правилами QoS для хранилища. Лимиты IOPS переносятся при миграции ВМ на другой хост, и заказчики могут без труда применять эти политики во всей среде частного облака.
  • Storage Replica — встроенное решение по репликации хранилища, которое работает на уровне блоков с использованием протокола SMB. Теперь заказчики могут без труда реплицировать данные хранилища из одного ЦОД в другой. Поддерживаются синхронный и асинхронный режимы репликации. Storage Replica  можно использовать и для репликации дисков ВМ как альтернативу механизму Hyper-V Replica, если вам нужна синхронная репликация ВМ или если нужна асинхронная репликация, но с задержкой в несколько секунд (вместо минут в случае Hyper-V Replica). Storage Replica  поддерживает возможности SMB 3.0, такие как Multi-path, RDMA, автоматическое аварийное переключение и т. д. Storage Replica  можно использовать для «растянутых кластеров» (Stretched Clusters), то есть отказоустойчивых кластеров, которые растянуты на несколько площадок. 

Гиперконвергентные решения

Гиперконвергентная (Hyper-converged) архитектура — это программно-аппаратный подход, объединяющий вычислительные ресурсы, сетевые ресурсы и ресурсы хранения в один уровень. Как правило, гиперконвергентные решения основаны на серверах с локальными дисками, и диски в нескольких серверах с помощью специального ПО превращаются в единую систему хранения. Преимущества гиперконвергентных систем:

  • нет единой точки отказа — все хосты равны, и сбой одного из них не приводит к отказу всей среды;
  • широкие возможности горизонтального масштабирования — если требуется нарастить ресурсы и производительность кластера для работы дополнительных ВМ Hyper-V, а также увеличить объем и производительность хранилища, то достаточно просто добавить в кластер новые узлы;
  • в качестве SAN используется обычная локальная сеть (в идеале – SDN с использованием RDMA).

Крупные публичные облака уже давно используют как раз гиперконвергентную архитектуру. Подобные системы со временем нашли отклик и у обычных организаций. Мы много раз сталкивались с тем, что клиенты предпочитают гиперконвергентные решения вместо дорогостоящих СХД и сложных сетевых решений.

Благодаря новым функциям SDS и SDN с помощью Windows Server 2016 можно создавать лучшие в своем классе гиперконвергентные решения для частного облака:

  • SDN на основе RDMA Ethernet (25/50/100GbE) — со скоростью гораздо выше, чем у традиционных SAN на основе FC/FCoE;
  • система хранения Storage Spaces Direct (S2D) на основе локальных дисков SATA. Правильно выбрав SSD-диски NVMe для кэширования, SSD-диски SATA для уровня хоста и HDD-диски SATA для «холодного» уровня, клиенты получат очень эффективное хранилище по выгодной цене;
  • Microsoft разрабатывает и тестирует готовые гиперконвергированные решения на базе Windows Server 2016 совместно с ведущими поставщиками серверного и сетевого оборудования. Такие решения — самый простой и экономичный способ внедрения частного облака любого размера на базе Windows Server 2016.

 

Как вы уже поняли, в Windows Server 2016 добавлено множество новых функций на уровне хоста, которые сделали эту ОС лучшей в своем классе платформой для частного облака. Некоторые из этих функций (например, Shielded VMs) уникальны и не доступны в решениях конкурентов.

Windows Server 2016 на гостевой ВМ

А теперь поговорим о гостевой ОС. Даже если вы не используете Hyper-V, то Windows Server 2016 все равно сможет предложить новые возможности, которые можно использовать на любой платформе виртуализации.

Nano Server

Мы уже упоминали Nano Server, когда говорили, что «тонкую» и легкую установку Nano Server можно использовать для узлов Hyper-V. Nano Server — это дополнительный тип установки Windows Server 2016, еще более легкий, чем Server Core. Nano Server не имеет графического пользовательского интерфейса — им управляют дистанционно.

Эта версия Windows Server 2016 быстрее устанавливается, выполняет меньше фоновых процессов, требует меньше обновлений и т. д. Nano Server в Windows Server 2016 идеально подходит для следующих сценариев:

  • хост Hyper-V;
  • сервер для запуска контейнеров;
  • Scale-out File Server;
  • веб-сервер IIS;
  • платформа приложений для микросервисов.

Чем меньше выполняемых процессов, тем меньше возможностей для атаки и меньше уязвимостей в системе безопасности ОС. Nano Server придется по душе любой организации.

Контейнеры

Концепция контейнеров возникла в мире Linux давно, и вы, возможно, уже знакомы с нею. Windows Server 2016 также поддерживает технологию контейнеров на базе самой популярной системы управления контейнерами — Docker.

«Контейнер» — это изолированная среда, в которой можно выполнять приложения, не опасаясь, что они изменят другие приложения или конфигурацию системы. Контейнеры совместно используют ключевые компоненты (ядро, драйверы системы и т.д.). Это ускоряет запуск и позволяет увеличить плотность ВМ.

В Windows Server 2016 доступно два типа контейнеров:

  • контейнеры Windows Server;
  • контейнеры Hyper-V.

Контейнеры Windows Server аналогичны контейнерам Linux. Они изолируют друг от друга приложения, выполняемые на одном хосте. Каждый контейнер обладает собственным представлением системы хоста, включая ядро, процессы, файловую систему, реестр и другие компоненты. Контейнеры Windows Server поддерживают режим пользователя и режим ядра.

Контейнеры Hyper-V основаны на той технологии контейнеров, но дополнительно используют мехинизму гипервизора для создания дополнительного слоя изоляции. Виртуализация создает в Контейнерах Hyper-V полностью изолированную среду для выполнения приложений.

Поверх Контейнеров Windows Server и Контейнеров Hyper-V выполняется модуль платформы Docker. Он предоставляет все средства, необходимые для разработки и выполнения данного модуля поверх контейнеров Windows любого типа. Поэтому приложение, разработанное в контейнере, можно без проблем запустить где угодно.

К выполняемому контейнеру можно подключиться через командную строку, однако идеологически они создавались для работы stateless-сервисов. В контейнерах не предусмотрен пользовательский интерфейс, и, если в контейнере что-то пойдет не так, просто удалите и повторно разверните его из того же шаблона Docker за секунды.

Безопасность

Windows Server 2016 предлагает множество новых и улучшенных функций обеспечения безопасности. Это самый безопасный из всех существующих выпусков Windows Server.

  • Control Flow Guard — это оптимизированная функция защиты платформы, благодаря которой злоумышленнику будет гораздо сложнее выполнять произвольный код через эксплойты (например, переполнения буфера).
  • Device Guard — если активирован, позволяет выполнять только централизованно авторизованные приложения. Эта технология не позволяет драйверам загружать динамический код и блокирует любой драйвер, который отсутствует в списке безопасных программ. На компьютере, защищенном с помощью Device Guard, невозможно запустить подозрительный драйвер, который пытается изменить код in-memory. Device Guard также поддерживает защиту в режиме пользователя (UMCI), позволяя создавать политики целостности кода (CI) для настройки доверенных и авторизованных компонентов, которые разрешено выполнять на отдельных серверах.
  • Credential Guard — технология изоляции, основанная на виртуализации, которая позволяет только привилегированным системам получить доступ к конфиденциальным данным. Credential Guard блокирует технологии кражи учетных данных и средства, которые часто используются для атаки. Благодаря ему вредоносное ПО с правами администратора не сможет извлечь из ОС конфиденциальную информацию.
  • Remote Credential Guard — предотвращает кражу учетных данных, когда конечный пользователь дистанционно подключается к системе с помощью сеанса удаленного рабочего стола (RDP). Если пользователь пытается дистанционно подключиться к рабочему столу на удаленном хосте, на исходный хост передается запрос Kerberos на проверку подлинности. В этом случае учетные данные просто не передаются на удаленный хост, и вредоносный код, который выполняется на этом хосте, не может их получить.
  • Вместе с Windows Server 2016 на компьютер по умолчанию устанавливается модуль защиты от вредоносного ПО «Защитник Windows».
  • AD FS в Windows Server 2016 содержит встроенный адаптер Azure MFA, который упрощает использование технологии Azure Multi-factor Authentication. Чтобы добавить эту технологию в систему проверки подлинности ADFS, больше не нужно развертывать локальный сервер Azure MFA.
  • Just-in-Time (JIT) Administration — удобная функция, которая позволяет ограничить время действия прав администратора. Запрос прав будет отправлен именно тогда, когда они понадобятся. Затем этот запрос будет одобрен, и учетная запись получит нужные ей права на указанный период времени. Предоставленных прав и времени их действия будет ровно столько, сколько необходимо для выполнения поставленной задачи.
  • Just Enough Administration (JEA) — функция, которая позволяет предоставить учетной записи пользователя необходимый минимум прав для выполнения той или иной функции. Благодаря ей вам не придется самостоятельно предоставлять и отменять права администратора. Функцию JEA часто используют в сочетании с JIT.    
  • Nano Server — самый безопасный режим выполнения Windows Server 2016.
  • Shielded VMs — самый безопасный способ защиты ВМ арендаторов от злоумышленников с правами администратора.

Microsoft в преддверии выхода Windows Server 2016 выпустила методологию под названием Securing Privileged Access. Она значительно повышает безопасность инфраструктуры, в которой новые функции Windows Server 2016 используются в сочетании с EMS (Azure AD Premium, ATA) и другими решениями Microsoft. Подробнее о ней рассказано здесь. Рекомендуем всем прочесть эту статью и внедрить эту функцию в своей инфраструктуре.

 

RDS 2016

Службы удаленных рабочих столов в Windows Server 2016 стали еще эффективнее. Теперь нашим клиентам будет гораздо проще создавать фермы VDI и службы терминалов.

  • Connection Broker теперь поддерживает огромное количество подключений конечных пользователей. RDS 2016 может одновременно обработать несколько тысяч подключений без единого сбоя (в то время, как версия RDS 2012 R2 могла эффективно работать на уровне нескольких сотен одновременных подключений).
  • RemoteFX теперь поддерживает Windows Server 2016 внутри гостевых ВМ. Ранее эта технология работала только с клиентской ОС Windows.
  • RemoteFX теперь поддерживает OpenGL и OpenCL в дополнение к Direct3D, а еще до 1 Гбайт видеопамяти, разрешение 4K и работу с пером. Благодаря этому пользователи могут еще эффективнее использовать графические ресурсы оборудования.
  • Поддержка Direct Device Assignment (DDA) — теперь графический процессор можно полностью прокинуть внутрь ВМ. Благодаря этому пользователи гостевых ВМ получают доступ к управлению драйверам видеокарты и настройкам графического процессора, а также к технологиям параллельных вычислений вроде CUDA.
  • Протокол RDPv10 с технологией сжатия данных H.264 AVC гарантирует высокое качество графики (4K, 60 кадров в секунду) даже при нестабильном подключении к сети.
  • Connection Broker может использовать Azure SQL Database в качестве базы. Azure AD Application Proxy позволяет безопасно публиковать ферму RDS во внешнюю сеть.
  • Remote Credential Guard — предотвращает кражу учетных данных, когда конечный пользователь дистанционно подключается к системе с помощью сеанса удаленного рабочего стола (RDP).

PowerShell 5.1

Windows PowerShell — это основная система управления технологиями Microsoft с помощью командной строки. Она настолько популярна, что многие сторонние поставщики добавляют поддержку Windows PowerShell в собственные приложения. Исходный код Windows PowerShell теперь открыт, и любой желающий может принять участие в работе над ним, чтобы сделать его еще лучше. Еще одной приятной неожиданностью для всех стала поддержка Linux, которая была анонсировала в 2016 году. Теперь для управления средами Linux можно использовать те же принципы, что и для Windows. В версию PowerShell 5.1, входящую в состав Windows Server 2016, вошло огромное количество обновлений и новых возможностей.

SMT

Средства управления серверами (SMT) — это оболочка для управления с веб-интерфейсом, размещенная в Azure. С ее помощью можно управлять, например, развернутыми Nano Server или Server Core, не подключаясь к ним локально. В данный момент эти средства предлагают следующий функционал:

  • просмотр и изменение конфигурации системы;
  • просмотр данных о производительности различных ресурсов, а также управление процессами и сервисами;
  • управление устройствами, подключенными к серверу;
  • просмотр журналов событий;
  • просмотр списка установленных ролей и функций;
  • управление повторяющимися задачами и автоматизация их выполнения с помощью консоли Windows PowerShell.

 

SMT — это отличное средство управления средами Windows Server 2016 и хорошая альтернатива классическому Server Manager.

System Center 2016

Windows Server 2016 и System Center 2016 были выпущены в один день. System Center 2016 может управлять новыми функциями Windows Server 2016 — например, с помощью VMM 2016 проще всего развернуть SDN. Поскольку версия System Center 2012 R2 несовместима с Windows Server 2016, предполагается, что для управления Windows Server 2016 будет произведено обновление до System Center 2016. А Windows Azure Pack UR10 (и более поздние выпуски) уже поддерживает Windows Server 2016 – дополнительного обновления не потребуется.

Выводы

Windows Server 2016 — это отличная операционная система, перейдя на которую вы получите огромное количество новых возможностей. Каждый найдет что-то интересное для себя.

  • Пользователи предыдущей версии Hyper-V захотят получить доступ к новым функциям — Shielded VMs, контейнерам Hyper-V, Nano Server и улучшениям SDNv2 и Hyper-V 2016.
  • Даже если вы используете другой гипервизор, вас наверняка заинтересуют новые функции безопасности, которые обеспечат дополнительную защиту вашей среды.
  • Функция Shielded VMs предоставляет сервис-провайдерам и их заказчикам новые уникальные возможности. Благодаря ей клиенты могут без опасений размещать ВМ с конфиденциальными данными во внешних средах.
  • Если вам надоело вкладывать деньги в системы хранения данных бизнес-класса или SDS от других поставщиков, вам помогут Storage Spaces Direct и Storage Replica.
  • Если вы используете решения VDI или службы терминалов от других поставщиков, переход на RDS 2016 позволит вам уменьшить расходы на ПО.
  • Многие разработчики уже знакомы с Nano Server, контейнерами и другими замечательными функциями Windows Server 2016 и рассчитывают на то, что эта ОС будет доступна и в частном облаке их организации.

Если вы хотите узнать больше о новых возможностях Windows Server 2016, рекомендую вам прочесть эту сравнительно небольшую (181 страница), но очень полезную бесплатную электронную книгу: «Введение в Windows Server 2016».