Nicola Ferrini info@nicolaferrini.it

Who Am I ? Trainer Technical Writer Systems Engineer Server & Application Virtualization Technology Specialist Enterprise Administrator More on: http://www.nicolaferrini.it/curriculum.shtml http://www.windowserver.it/ChiSiamo/Staff/tabid/71/Default.aspx

Outline day 1 Introduzione a Windows Server 2008 Module 0: Introduction Course 6429A Outline day 1 Introduzione a Windows Server 2008 Principali novità e differenze rispetto a Windows Server 2003 Ruoli e Features Server Core Active directory e Read Only DC Network Access Protection Deployment Services

Outline day 2 Virtualizzazione: Microsoft Hyper-V Failover clustering Module 0: Introduction Course 6422A Outline day 2 Virtualizzazione: Microsoft Hyper-V Failover clustering Servizi Terminal Da SBS 2003 a SBS 2008/EBS 2008 Windows Server 2008 R2 (Windows 7 Server)

Più pressione che mai sull’ IT… Cambi della Tecnologia Conformità alle leggi Competizione Sicurezza Riduzione Costi Mantenere attiva la produzione Connessione dei clienti Produttività dell’utente finale Risultati gestionali e valore aggiunto

I Fondamenti di Windows Server 2008 Più Controllo Protezione Migliorata Maggiore Flessibilità Scripting avanzato e Automazione dei Task Installazione e Gestione basata sui Ruoli Miglior Sicurezza e Conformità Protezione dell’accesso alla rete (NAP) Soluzioni di Accesso Remoto e Centralizzazione delle Applicazioni Virtualizzazione Server Integrata Impiegare minor tempo nei Task giornalieri Hardening del Sistema Operativo e Protezione ambiente di lavoro Rispondere velocemente alle modifiche del Business

Gli scenari di Windows Server 2008 Più Controllo Protezione Migliorata Maggiore Flessibilità Piattaforma Web e Applicativa Forzatura dei Criteri di Sicurezza Server Virtualization Server Management Alta Disponibilità Accesso Centralizzato alle Applicazioni Sedi Distaccate

Windows Server: edizioni

Windows Server: versioni e caratteristiche 4/16/2017 8:06 PM Windows Server: versioni e caratteristiche Edizioni x86 e x64 4 GB (32-bit) e 32GB (x64) RAM Supporto fino a 4 processori Istanza virtuale o fisica Edizioni x86 e x64 4 GB (32-bit) e 32GB (x64) RAM Supporto fino a 4 processori Include 1 istanza virtuale Edizioni x86 e x64 64 GB (32-bit) e 2 TB (x64) RAM Supporto fino a 8 processori Include 4 istanze virtuali

I requisiti di sistema Processore Memoria Disco Minimo 512 Mb 8 Gb 1 Ghz 1,4 Ghz (X64) 512 Mb 8 Gb Raccomandato 2 Ghz 1 Gb 40 Gb (Full) 10 Gb (Server Core) Ottimale 3 Ghz + 2 Gb (Full) 1 Gb (Server Core) 80 Gb (Full) 40 Gb (Server Core) Massimo Standard : 4 Enterpr. : 8 Datac. : 64 4 Gb (Standard X86) 64 Gb (Enterprise X86) 32 Gb (Standard X64) 2 Tb (Enterprise X64)

Windows Server Manager, Server Core Minor tempo per i Task giornalieri Scripting Avanzato e Automazione dei Task Più Controllo Gestione Server Web Windows PowerShell IIS 7 Networking basato su Policy Configurazione e Gestione dei Ruoli Windows Server Manager, Server Core Windows Firewall

Più Controllo I Ruoli di Windows Server 2008 DHCP Server DNS Server Fax Server File Services Network Policy and Access Services Print Services Active Directory Certificate Services Active Directory Domain Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services Application Server Streaming Media Services Terminal Services UDDI Services Web Server Windows Deployment Services Windows SharePoint Services

Gestire Windows Server 2008 Più Controllo Server Manager Initial Configuration Product Installation

Server Core : la situazione attuale Più Controllo Windows Server è spesso impiegato per eseguire una singola funzione Gli amministratori sono comunque costretti a installare diversi servizi “inutili”… …perchè installati per default durante il Setup I servizi “inutili” consumano risorse e rendono meno sicuro un server Le performance del server non sono ottimali e dedicate alla funzione voluta

Cos’è Server Core Più Controllo Una “opzione di installazione” minima di Windows Server 2008 Inclusa nelle versioni Standard, Enterprise e Datacenter (x86 e x64) Fornisce : Minime funzionalità del sistema operativo Ridotta superficie di attacco Riduzione delle patch di circa il 60% 7 Ruoli standard Opzionali : Failover Clustering, Backup, Telnet Client, SNMP, Bitlocker Driver Encryption, HyperV

Cosa si propone “Server Core” Più Controllo Ridurre la superficie di servizio e di attacco, installando solo ciò che è richiesto Rendere i server più facili da gestire e più performanti Meno patch… Ciclo di vita del server orientato sui ruoli… Lo staff IT può specializzarsi sul/sui ruolo/i… Rendere i server più sicuri Meno servizi, meno esecuzioni, meno attacchi…

I Ruoli di Server Core Server Core Più Controllo Server Core Sicurezza, TCP/IP, File System, RPC, più altri Core Server Sub-Systems AD AD LDS DNS DHCP WMS Web (IIS) GUI, CLR, Shell, IE, OE, etc. File Hyper-V Print Solo un sottoinsieme di files eseguibili e DLL installati Nessuna interfaccia grafica installata Disponibili diversi ruoli Server Può essere gestito con strumenti remoti

Sedi remote | Windows Server Core Caratteristiche Benefici Limits the server roles used. Installazione solo Features selezionate Copia dei soli files necessari. Command line, no shell GUI 1 GB spazio disco Software Maintenance Ridotta Ridotta superficie di attacco Amministrazione ridotta Minor spazio disco

Configurare Server Core Module 03: Server Core and PowerShell Configurare Server Core Impostazione password Adm Indirizzo IP statico 192.168.0.1 Join dominio Attivare il server Configurare il firewall

Configurazione iniziale Settare la password di Administrator CTRL+ALT+CANC e “Change Password” Net user administrator * Attivazione (se necessaria) Slmgr.vbs –ato (senza parametri per help) Configurazione IP statico (se necessario) Netsh Interface ipv4 Show interface Set address name=“ID” source=static address=“IP” mask=“SM” gateway=“Default Gateway” AddDNSserver name=“ID” address=“DNSIP” index=1 Joining al dominio (se necessario) Netdom join srvname /domain:domname /userd:usrname /passwordD:*

Aggiungere ruoli Solo linea di comando, no Server Manager Comando “OCList” per vedere cosa è già installato Comando “start /w ocsetup NomePackage” per installare DHCP = DHCPServerCore DNS = DNS-Server-Core-Role File Replication Service = FRS-Infrastructure Distributed File System Service = DFSN-Server Distributed File System Replication = DFSR-Infrastructure-ServerEdition Print Services = Printing-ServerCore-Role Network File System = ServerForNFS-Base LPD = Printing-LPDPrintService

Aggiungere Features Solo linea di comando, no Server Manager Comando “OCList” per vedere cosa è già installato Comando “start /w ocsetup NomePackage” per installare Failover Cluster = FailoverCluster-Core NLB =NetworkLoadBalancingHeadlessServer Multipath IO = MultipathIO Subsystem for Unix-based Applications = SUACore Removable Storage Management = Microsoft-Windows-RemovableStorageManagementCore BitLocker Drive Encryption = BitLocker Backup = WindowsServerBackup SNMP = SNMP-SC Telnet Client = TelnetClient WINS = WINS-SC QoS = QWAVE

Installazione di Active Directory Si usa DCPromo (non è valido “start /w ocsetup”) DCPROMO /unattend:unattend file “DCPROMO /?:unattend” elenca tutti i parametri utilizzabili con dcpromo Alcuni parametri : /InstallDNS:<Yes | No> /ConfirmGC:<Yes | No> /DatabasePath:”path” /DomainNetBiosName:”NetbiosName” /NewDomain:<Tree | Child | Forest> /ParentDomainDNSName:”ParentName” /SafeModeAdminPassword:”password” (default “blank”) /SiteName:”SiteName” /UserName:”UserName” (anche /UserDomain, se di dominio) /DomainLevel:<0 | 2 | 3>

Rimuovere Ruoli e Features Start /w Ocsetup NomePackage /Uninstall …ad eccezione di Active Directory Si usa sempre DCPROMO Vengono rimossi tutti i binaries di Active Directory Un parametro da usare nella demotion è : /IsLastDCInDomain:<Yes | No> (default “No”)

Gestione di Server Core Linea di comando per esecuzione di comandi locali Terminal Server usando CMD WinRS (Windows Remote Shell) WMI Control Panel con funzionalità limitate Task Scheduler Event Logging e Event Forwarding RPC e DCOM per supporto MMC remoto

Attivare la gestione remota Per attivare gestione remota via TS Cscript c:\windows\system32\scregedit.wsf /ar 0 Se si usa un client terminale vecchio Cscript c:\windows\system32\scregedit.wsf /cs 0 Per attivare gestione remota con WinRS WinRM Quickconfig Sul pc remoto, eseguire winrs –r:SC command Esempi : WinRS –r:MyServer dir c:\windows\system32\*.dll WinRS -? (per l’help)

Deploying di Server Core Più Controllo Dal Setup si può selezionare : “Windows Server” con la shell e tutti i ruoli server “Server Core” con Command Prompt e solo i ruoli supportati La configurazione iniziale di Server Core può essere fatta : Manualmente usando la linea di comando Usando un file unattended Supportata solo un’installazione nuova Non si aggiorna da Windows Server 2003 Non si aggiorna da “Server Core” a “Server”

Gestione di Server Core Più Controllo Linea di comando per esecuzione di comandi locali WinRS (Windows Remote Shell) WMI Control Panel con funzionalità limitate Task Scheduler Event Logging e Event Forwarding RPC e DCOM per supporto MMC remoto

Pannello di Controllo? Presenti solo limitate funzionalità Data, Ora e Fuso Orario Eseguire : Control timedate.cpl Regional Options Eseguire : Control intl.cpl

Nuova Command-line shell & Linguaggio di Scripting Windows PowerShell Più Controllo Nuova Command-line shell & Linguaggio di Scripting Migliora produttività e controllo Accelera l’automazione dell’amministrazione Facile da utilizzare Lavora con gli script esistenti Partners Il futuro Inserita in Windows Console grafiche basate sui comandi Powershell Gestione remota con tecnologia WS-MGMT

Le risorse di Windows PowerShell Più Controllo TechNet ScriptCenter Exchange Server 2007 Terminal Server WMI, Registro, Hardware, ecc. Script creati dalla comunità MyITForum.com Centinaia di Script Libri e Materiale Formativo Pubblicazioni “Manning” O’Reilly Media Sapien Press & altri… MS MVPs PowerShell Team Blog Newsgroup attivi IIS.net Supporto della Comunità

Module 03: Server Core and PowerShell PowerShell Features Object-Oriented Data Handling Namespaces Pipelining Access to CMD Commands Trusted Scripts

Automating Management Module 03: Server Core and PowerShell Automating Management Combinazione molteplici tasks Tasks e scripts possono essere richiamati da “managed code” Esempi di scripts disponibili nelle community e su molti siti Scripts riutilizzabili

Module 03: Server Core and PowerShell New Command Line Tools BCDedit–manages BCD stores Wbadmin–performs backup from the command line Wceutil and Wevutil–collect event information Winsat–assesses system performance

Reliability and Performance Monitor 4/16/2017 8:06 PM Reliability and Performance Monitor Unisce le funzioni di diversi tool Traccia I cambiamenti nel sistema Fornisce nuove funzionalità

Nuovo Design del TCP/IP Più Controllo Winsock User Mode Kernel Mode WSK Clients AFD TDI Clients TDI WSK Next Generation TCP/IP Stack (tcpip.sys) IPv4 802.3 WLAN Loop-back IPv4 Tunnel IPv6 Tunnel IPv6 RAW UDP TCP TDX Next Generation TCP/IP Stack (tcpip.sys) IPv4 802.3 WLAN Loop-back IPv4 Tunnel IPv6 Tunnel IPv6 RAW UDP TCP Inspection API NDIS Architettura Dual-IP layer per supporto nativo IPv4 e IPv6 Performance migliorate con accelerazione hardware e autotuning Integrazione IPSEC Completamente gestibile tramite Group Policy 36

Le caratteristiche chiave Più Controllo Receive Window Autotuning Windows Filtering Platform Rileva automaticamente l’ambiente di rete e regola i settaggi di performance Permette l’aumento della grandezza della “TCP/IP receive window” Fornisce capacità di filtering a tutti i livelli dello stack dei protocolli TCP/IP Si integra e fornisce supporto alle caratteristiche dei firewall di futura generazione Receive Side Scaling Policy-based Quality of Service I precedenti Sistemi Operativi Windows limitavano il processing dei protocolli in ricezione a una singola CPU RSS risolve questo problema distribuendo il carico di lavoro di una scheda di rete su multiple CPU Prioritizza o gestisce il “Sending Rate” per il traffico di rete uscente Sia il marking che il throttling DSCP possono essere usati insieme per gestire il traffico in maniera efficiente

Cosa arriva… Next Generation TCP/IP Stack Più Controllo Next Generation TCP/IP Stack Server Message Block (SMB) 2.0 Migliorie del driver Http.sys Migliorie di Windows Sockets Migliorie di Windows Firewall Migliorie di IPSEC

… e cosa se ne va! Bandwidth Allocation Protocol (BAP) Supporto X.25 Più Controllo Bandwidth Allocation Protocol (BAP) Supporto X.25 Serial Line Interface Protocol (SLIP) Services for Macintosh (SFM) Il protocollo di routing Open Shortest Path First (OSPF) in Routing and Remote Access Basic Firewall in Routing and Remote Access (rimpiazzato da Windows Firewall) Le API di Static IP filter in RRAS (rimpiazzate dalle API di “Windows Filtering Platform”) Per una comparazione funzionale http://www.microsoft.com/downloads/details.aspx?FamilyID=173e6e9b-4d3e-4fd4-a2cf-73684fa46b60&DisplayLang=en Circa 350 pagine!

Windows Firewall Network Profiles in Vista & Server 2008 Più Controllo Network Profiles in Vista & Server 2008 Firewall e IPSec Management integrati Riduce conflitti e lavoro di coordinazione tra le tecnologie Regole firewall più intelligenti Specificano requisiti di sicurezza come autenticazione e crittazione Specificano utenti, computer o gruppi di Active Directory Filtering in uscita Caratteristica di tipo Enterprise

Windows Firewall & Advanced Security Più Controllo Policy-based networking Gestione combinata Firewall e IPsec Le regole Firewall diventano più intelligenti

Features di Protezione del Server Protezione Migliorata Sicurezza Conformità Protezione Migliorata Development Process Avvio sicuro e protezione dell’installazione Integrità del codice Hardening dei servizi di Windows Regole di firewall inbound e outbound Restart Manager Auditing migliorato Network Access Protection Event Forwarding Policy Based Networking Server e Domain Isolation Removable Device Installation Control Active Directory Rights Management Services

Hardening di Windows Server 2008 Protezione Migliorata Windows® XP SP2/Server 2003 R2 Windows Vista/Server 2008 LocalSystem Ristretto dal Firewall LocalSystem LocalSystem Network Service Network Service Totalmente ristretto Local Service Network Service Ristretto alla Rete Local Service Nessun Accesso di rete Local Service Totalmente ristretto

BitLocker™ Drive Encryption Protezione Migliorata Full Volume Encryption Key (FVEK) Criterio di Crittazione Le Group Policy forniscono criteri di crittazione centralizzati e protezione delle sedi distaccate BitLocker DE fornisce protezione dei dati, anche se il sistema finisce in mani non autorizzate o si esegue su di lui un differente sistema operativo Usa un flash drive TPM v1.2 o USB per la memorizzazione delle chiavi

Network Access Protection Protezione Migliorata Policy Servers come: Patch, AV Cos’è Network Access Protection? Validazione dei Criteri aziendali Conformità ai Criteri aziendali Non conforme ai criteri Restricted Network Remediation Servers Esempio: Patch Windows Client DHCP, VPN Switch/Router NPS Conforme ai criteri Abilità di fornire Accesso Limitato Sicurezza Avanzata Corporate Network Aumento del valore del Business Integrazione fra Microsoft e Cisco

I quattro pilastri del NAP 4/16/2017 8:06 PM Validazione delle policy Verifica della conformità dei computer alle policy di sicurezza dell’organizzazione. I computer conformi sono considerati “in salute” Restrizione di rete Restrizione dell’accesso alla rete in base allo “stato di salute” dei computer Rimedi Fornitura dei necessari aggiornamenti di software e configurazione per rendere i computer conformi alle policy di sicurezza aziendale Quando i computer sono conformi le restrizioni di accesso sono rimosse Conformità dinamica Modifiche alle policy di sicurezza o allo stato di conformità dei computer può portare a modifiche dinamiche dei diritti di accesso alla rete aziendale

4/16/2017 8:06 PM 4/16/2017 8:06 PM Componenti del NAP Componenti per la forzatura delle policy (Enforcement Components) Quarantine Enforcement Clients (QEC) = Negozia l’accesso con i device di accesso alla rete: DHCP, VPN, 802.1X, IPSec Network Access Devices = Forniscono l’accesso alla rete ai computer conformi Health Registration Authority = Rilascia i certificati ai client che risultano conformi Componenti di piattaforma (Platform Components) Quarantine Agent (QA) = Riporta lo stato di salute dei client, coordina SHA e QEC Quarantine Server (QS) = Restringe l’accesso alla rete in base a quanto certificato da SHV QA/QS = sono componenti di Windows Componenti per la validazione della conformità (Health Components) System Health Agents (SHA) = Dichiara lo stato di salute (patch, virus signature, configurazione, ...) System Health Validators (SHV) = Certifica la dichiarazione fatta dall’health agent System Health Server = Definisce gli health requirement per i componenti sul client Remediation Server = Installano le patch, modificano le configurazioni, … portando il client alla conformità System Health Server Remediation Server Update Health policy Network Access Requests Statements Of Health (SoH) Client Network Policy Server SHA 1 SHA 2 Health Certificate SHV 1 SHV 2 Quarantine Agent (QA) Network Access Device & Health Registration Authority QEC 1 QEC 2 Quarantine Server (QS) 47

Usare Network Access Protection Protezione Migliorata Policy Servers come : Patch, AV 3 1 2 Non conforme ai criteri Restricted Network 4 Remediation Servers Esempio: Patch Windows Client DHCP, VPN Switch/Router NPS Conforme ai criteri 5 Corporate Network Se non conformi ai criteri, i client sono messi in una VLAN ristretta ed è loro dato accesso solo a risorse di “fix-up”, ad es. per download di patch, script di configurazione, certificati… (Ripete 1 - 4) DHCP, VPN o Switch/Router trasmettono lo stato di configurazione a un Microsoft Network Policy Server (RADIUS) I Client richiedono accesso alla rete e presentano il loro attuale stato di configurazione Il Network Policy Server (NPS) valida i client analizzando le policy di compliance definite dal reparto IT Se conformi ai critery, ai client è dato accesso completo alla rete 3 1 2 4 5

Active Directory Nuove terminologie… Active Directory Domain Services Protezione Migliorata Active Directory Domain Controller Active Directory Domain Services AD DS Active Directory Application Mode Active Directory Lightweight Directory AD LDS Windows Rights Management Active Directory Rights Management AD RMS Windows Certificate Services Active Directory Certificate Services AD CS Identity Integration Feature Pack Active Directory Metadirectory AD MS

Read-Only Domain Controller Protezione Migliorata RODC Sede Centrale Sede Distaccata Caratteristiche Database di Active Directory di Sola Lettura Solo le password degli utenti “autorizzati” sono memorizzate sui RODC Replica Mono-direzionale Separazione dei Ruoli Benefici Aumenta la sicurezza dei Domain Controller remoti dove la sicurezza fisica non può essere garantita

Domain Controller Windows Server 2008 Come lavora un RODC Protezione Migliorata Domain Controller Windows Server 2008 Read Only DC Sede Distaccata 3 4 2 RODC Sede Centrale 5 6 1 6 Inoltra la richiesta al Domain Controller Windows Server 2008 Il Domain Controller Windows Server 2008 autentica la richiesta RODC consegna un TGT all’utente ed esegue un caching delle credenziali (Opzione) Il RODC : cerca nel database : “Non ho le credenziali dell’utente" Restituisce al RODC una risposta di autenticazione e il TGT 1 3 2 4 5 6 L’utente si logga e si autentica

I RODC mitigano i rischi (es. furto) Protezione Migliorata Prospettiva dell’Admin di Sede Centrale Prospettiva dell’Hacker

Avanzamenti della PKI Enterprise PKI (PKIView) Protezione Migliorata Enterprise PKI (PKIView) Ora è uno snap-in di Microsoft Management Console (MMC) Supporto per Unicode characters Online Certificate Status Protocol (OCSP) Online Responders Responder Arrays Network Device Enrollment Service (NDES) Implementazione Microsoft del protocollo Simple Certificate Enrollment Protocol (SCEP) Aumenta la sicurezza delle comunicazioni usando IPsec Web Enrollment Rimosso il precedente controllo ActiveX® di enrollment - XEnroll.dll Nuovo controllo COM avanzato di enrollment - CertEnroll.dll

Maggiore Flessibilità Windows Server Backup Maggiore Flessibilità Rimpiazza Ntbackup.exe I settaggi di Ntbackup.exe non vengono migrati Disco separato per Backup schedulati Non più Backup verso tape Non si ripristinano backup eseguiti con Ntbackup Scaricare una nuova versione di Ntbackup per Windows Server 2008 (non si può usare per eseguire nuovi backup in Windows Server 2008) Volumi di sistema sempre inclusi nel backup Linea di comando estensiva

Agenda Introduzione a Windows Server 2008 e novità rispetto a Windows Server 2003 Deployment Services Virtualizzazione: Microsoft Hyper-V e clustering Servizi Terminal Da SBS 2003 a SBS 2008/EBS 2008 Windows Server 2008 R2 (Windows 7 Server)

Panoramica I problemi attuali in per i produttori Operazioni di installazione di Windows destinate agli utenti Le installazioni del sistema operativo sono lunghe e inefficienti Le installazioni automatiche richiedono grande esperienza L’architettura dell’OS manca di flessibilità necessaria per gli OEMs Dipendenza dall’hardware Servizi limitati di acquisizione dell’immagine del OS Immagini multiple richieste per il supporto MUI e HAL 56

Panoramica Obiettivi della preinstallazione di Windows Server 2008 Suite di strumenti integrati Deployment più veloce e più affidabile Riduzione significativa del numero di immagini Creazione e gestione di immagini Best practices Best Practices Investimenti nuovi e significativi in tre aree chiave Strumenti di deployment Sistema Operativo

Preinstallazione di Windows Server 2008 Panoramica: fasi per la preinstallazione Fase 1 – Pianificazione della preinstallazione Fase 2 – Preparazione della preinstallazione Fase 3 – Personalizzazione della preinstallazione Fase 4 – Deployment dell’immagine Fase 5 – Manutenzione dell’immagine

Preinstallazione di Windows Server 2008 Fase 1 Pianificazione della preinstallazione

Preinstallazione di Windows Server 2008 Fase 1 – Pianificazione della preinstallazione Obiettivi: acquisire familiarità con le nuove tecnologie di deployment e sviluppare un piano di implementazione Pianificazione dei processi e degli strumenti esistenti

Preinstallazione di Windows Server 2008 Fase 2 Preparazione della preinstallazione

Preinstallazione di Windows Server 2008 Fase 2 – Preparazione della preinstallazione Obiettivi: Costruire infrastrutture e sviluppare processi necessari Costruzione di un ambiente di deployment Generalmente in laboratorio Stumenti installati sul computer del tecnico Definizione delle misure per la gestione dei cambiamenti Definizione di un processo per la replica della configurazione del laboratorio in produzione

Preinstallazione di Windows Server 2008 Fase 3 Personalizzazione della preinstallazione

Preinstallazione di Windows Server 2008 Fase 3 – Personalizzazione della preinstallazione Obiettivi: Creare un’immagine personalizzata di Windows image per distribuire ai nuovi computer Montaggio dell’hardware e setup di Windows Server 2008 Costruzione di un file di risposte per la personalizzazione dell’installazione di Windows Installazione di Windows utilizzando quel file di risposte Realizzazione di personalizzazioni OS aggiuntive Preparazione dell’installazione per essere riprodotta in un’immagine Acquisizione dell’immagine utilizzando gli strumenti adeguati

Preinstallazione di Windows Server 2008 Fase 3 – Strumenti – Windows SIM Windows System Image Manager (Windows SIM) Interfaccia UI per authoring Unattend.xml Semplificazione nella creazione e gestione Configurazione delle impostazioni e personalizzazione dei deployment Integrazione degli help sensibili al contesto Creazione dell’impostazioni di configurazione con Unattend.xml più i driver packages, language packs, e $OEM

Preinstallazione di Windows Server 2008 Fase 3 – Strumenti – Immagini Quattro maggiori componenti Windows Imaging Format (WIM) Tools (ImageX) APIs Enabling technologies ImageX WIMGAPI WIM File Enabling Technologies WIM file-system filter WIM boot filter

Preinstallazione di Windows Server 2008 Fase 4 Deployment delle immagini

Preinstallazione di Windows Server 2008 Fase 4 –Deployment delle immagini Obiettivi: Deployment di Windows Server 2008 sui nuovi computer Deployment dell’immagine sui computer client Aggiornamento dell’immagine Cambiamento o aggiornamento delle impostazioni Aggiunta di drivers Aggiunta di hotfixes Personalizzazioni delle immagini Offline = eseguire le personalizzazioni prima di caricare l’immagine Online = caricare l’immagine su tutti I computer aziendali, personalizzare, ed eseguire Sysprep /generalize (equivalente di “resealing” in Windows XP)

Preinstallazione di Windows Server 2008 Fase 4 – Strumenti – Windows PE Windows Preinstallation Environment (Windows PE) Caratteristiche analoghe a Windows Server 2003 SP1 più … Boot da WIM Driver injection e “hot” PnP 32-MB RAM Drive (spazio scrivibile) Componenti nuovi opzionali Nuovo strumento - PEImg

Preinstallazione di Windows Server 2008 Fase 5 Manutenzione dell’immagine

Preinstallazione di Windows Server 2008 Fase 5 – Manutenzione dell’immagine Obiettivi: mantenere aggiornata l’immagine di Windows Aggiornamento di un’immagine = servicing Gli aggiornamenti sono Drivers Hotfixes Applicazioni

Preinstallazione di Windows Server 2008 Fase 5 – Strumenti – Package Manager Package Manager (Pkgmgr.exe) Strumenti per l’aggiunta di Hotfixes di Windows e service packs Drivers Language packs Diminuzione della complessità / rischi associati con l’aggiunta manuale di drivers

Windows Deployment Services Preinstallazione di Windows Server 2008 Review delle fasi di preinstallazione OPK Fase 1 – Pianificazione della preinstallazione Fase 2 – Preparazione della preinstallazione Fase 3 – Personalizzazione della preinstallazione Fase 4 – Deployment dell’immagine Fase 5 – Manutenzione dell’immagine Setup Windows SIM Sysprep Imaging Windows PE Windows Deployment Services Imaging Package Manager

L’installazione di Windows Server 2008 Fase 3 Preparazione al deployment Fase 4 Deployment dell’immagine

Preparazione al Deployment di Windows Fase 3 – Strumenti di Windows Server 2008 – Imaging WIM è un formato file-based Applicazione non distruttiva dell’immagine del sistema Una sola istanza per ogni file Differenti immagini all’interno dello stesso file WIM Applicabile a volumi di dimensione variabile

Deployment di Windows Server 2008 Fase 4 Deployment delle immagini Stumenti = Windows PE, ImageX, Windows Deployment Services 76

Deployment di Windows Fase 4 – Windows Server 2008 Experience Windows PE Funzioni aggiuntive Configurazione di boot HD, USB, CD, DVD, network (PXE) Windows DS Sostituzione per RIS

Deployment Services Possibilità di installare Vista/2008 Win Pe 2.0 per il boot Installazione Image based (formato WIM) Installazione multicast Ottimizzazioni per PXE boot e TFTP Interfaccia di gestione rinnovata e via command line

Deployment services: componenti Deployment server Transport server DHCP Immagini di boot, installazione, capture e discovery

Deployment services: funzionamento Un client (bare metal) effettua il boot via PXE oppure con una immagine di discovery Viene caricata l’immagine di boot che consente la selezione del sistema da installare Il sistema selezionato viene installato Cattura: il client viene avviato con l’apposita immagine che ne effettua lo snapshot in un file .WIM

Deployment services: installazione (single server) Installazione di Windows Server 2008 Aggiunta del ruolo DHCP Aggiunta del ruolo Deployment Server Configurazione integrazione DHCP Caricamento immagini

Microsoft Windows Server 2008 In pratica… Microsoft Windows Server 2008 Deployment Services

Image Servicing & Personalizzazione Panoramica: Language Packs I Language Packs (LP) sono: Pacchetti di aggiornamento Una collezione di risorse di linguaggio per le funzioni di Windows Edition Neutral 83

Maggiore Flessibilità Windows Deployment Services Maggiore Flessibilità WDS Installazione rapida dei sistemi operativi Windows Versione aggiornata e ridisegnata di “Remote Installation Services” (RIS) Componenti Server Componenti Client Componenti di Gestione Windows Deployment Services fornisce molti avanzamenti rispetto a RIS Windows Server 2008 Windows Server 2008

Agenda Introduzione a Windows Server 2008 e novità rispetto a Windows Server 2003 Deployment Services Virtualizzazione: Microsoft Hyper-V e clustering Servizi Terminal Da SBS 2003 a SBS 2008 /EBS 2008 Windows Server 2008 R2 (Windows 7 Server)

Maggiore Flessibilità Clustering : le terminologie Maggiore Flessibilità Windows NT 4.0 Microsoft Cluster Service (MSCS) Windows 2000 Server / Windows Server 2003 Server Clustering Windows Server 2008 Failover Clustering

Maggiore Flessibilità Failover Clustering Maggiore Flessibilità Node A Node B Heartbeat Nodo Attivo Nodo Passivo Nuovo “Validation Wizard” Supporto per i dischi GUID partition table (GPT) nel cluster storage Setup del cluster e migrazione migliorati Migliorie alla stabilità e sicurezza – nessun “single point of failure” Supporto IPv6 Cluster Geograficamente Dispersi

La piattaforma di Virtualizzazione Microsoft User State Virtualization Folder Redirection Offline files Presentation Virtualization Server Virtualization Management Desktop Virtualization Application Virtualization

Hyper-V e Microsoft Hyper-V Server Una feature di Windows Server 2008 x64 presente nelle versioni Standard Enterprise Datacenter Microsoft Hyper-V Server È un server standalone di virtualizzazione basato su hypervisor Versione alleggerita del kernel di Windows Server 2008 di dimensioni inferiori rispetto a Windows Server 2008 Server Core

Maggiore Flessibilità Windows Server Hyper-V Maggiore Flessibilità Maggiore Scalabilità e performance migliorate Supporto x64 bit host e guest Supporto SMP Affidabilità e Sicurezza aumentate Miglior flessibilità e gestibilità Aggiunge dinamicamente risorse virtuali (memoria, CPU, NIC) Interfaccia di gestione e integrazione con SCVMM VM 2 “Child” VM 3 “Child” VM 2 VM 3 VM 1 “Parent” Virtual Server 2005 R2 Windows Hypervisor Windows Server 2003 AMD-V / Intel VT Hardware Virtual Hard Disks (VHD)

Stack di virtualizzazione Hyper-V Partizione parent Partizione child Stack di virtualizzazione WMI VM Service VM Worker Applicazioni guest Ring 3 Windows (core) Windows VSPs VSCs Kernel Kernel VMBus Driver Enlightments Ring 0 Hyper-V Ring "-1" Hardware

Pre-requisiti e Funzionalità Hardware x64 Supporto HW alla virtualizzaione (AMD-V o Intel VT) Bit Non-Execution abilitato Funzioni ad alto livello VM a 32-bit e 64-bit Fino a 64 GB per VM Fino a 4 CPU per VM API WMI per gestione e controllo Salvataggio/Ripristino e Snapshot Controllo delle risorse CPU e I/O Facile transizione da VirtualServer 2005 92

Configurazione del server Host Configurazione consigliata per supportare 15/30 VM: 64-bit server (obbligatoria per Hyper-V) 2 CPU dual-core 16 GB di RAM (fino a 2TB) 4 schede di rete 1 Gbit Ehternet 2 per iSCSI con MPIO (in alternativa: HBA) 1 per traffico dalle VM (anche in numero maggiore in funzione dei servizi erogati) 1 per gestione Se supportato dal vendor: Boot da SAN No DAS Pensare all’alta disponibilità e alla mobilità dei workload Cluster active-active

Scelta dello stack di virtualizzazione Download libero Solo VM a 32 bit 1 vCPU per VM 3,6 GB RAM per VM 64 VM per Host Quick Migration Host a 32/64bit Non richiede supporto hw alla virtualizzaizione Fino a 64GB RAM fisica Gestione via COM Gestione via VMM Licenza VM a 32/64 bit 1-4 vCPU per VM 64 GB RAM per VM 192 VM per Host Quick Migration Solo host a 64bit Fino a 2TB RAM fisica Richiede supporto hw alla virtualizzazione Gestione via WMI Gestione via VMM Download libero VM a 32/64 bit 1 vCPU per VM 31 GB RAM per VM 192 VM per Host NO Quick Migration Solo host a 64bit Fino a 31GB RAM fisica Richiede supporto hw alla virtualizzaizione Gestione via WMI Gestione via VMM

Installazione di Hyper-V Installazione di Windows Server 2008 x64 Da Server Manager aggiunta del ruolo Hyper-V

Virtualizzazione e alta disponibilità Ambiente tradizionale non virtualizzato I fermi macchina sono un problema ma affliggono un solo ruolo Ambienti virtualizzati Il valore del server fisico aumenta I fermi macchina sono molto più problematici perché affliggono più ruoli Virtualizzazione e alta disponibilità viaggiano insieme

Alta disponibilità e Hyper-V 4/16/2017 8:06 PM Fornisce una soluzione per fermi macchina pianificati e non pianificati Fermi pianificati Spostamento veloce delle VM per manutenere il sottostante HW È il caso più comune Fermi non pianificati Spostamento automatico su altri nodi (per problemi hardware o di alimentazione) Caso meno comune e di più difficile gestione

Quick Migration 4/16/2017 8:06 PM Possibilità di spostare macchine virtuali accese da un host all’altro Per fermi pianificati Quick Migration significa pochi secondi di fermo dei servizi In alcuni casi possono bastare 3 (tre) secondi per spostare una VM Il tempo di disservizio dipende dalla velocità di connessione allo storage e dalla quantità di memoria della VM Fermi non pianificati Quick Migration significa il riavvio delle VM su altri server fisici

Fondamenti di Quick Migration 4/16/2017 8:06 PM Fondamenti di Quick Migration Salvataggio dello stato della VM Spostamento della VM Spostamento della connettività allo storage dall’host originario a quello di destinazione Ripristino dello stato della VM Fatto VHD Sistema SAN Connesione di rete

Quick Migration: fermi pianificati 4/16/2017 8:06 PM Quick Migration: fermi pianificati Server di virtualizzazione (3 + 1) Server attivo necessita di manutenzione Spostamento delle VM su un server in standby ~4 secondi di fermo per VM Domain Controller Ethernet System Center Virtual Machine Manager Connessione allo storage VHD su SAN

Quick Migration: fermo non pianificato 4/16/2017 8:06 PM Quick Migration: fermo non pianificato Server di virtualizzazione (3 + 1) Server attivo perde alimentazione Le VM automaticamente si riavviano sul successivo nodo del cluster Se non c’è sufficiente memoria il servizio di clustering sposta la VM su un altro nodo Domain Controller Ethernet System Center Virtual Machine Manager Connessione allo storage VHD su SAN

Quick Migration: quanto è veloce 4/16/2017 8:06 PM Quick Migration: quanto è veloce Memoria delle VM 1 GbE iSCSI 2 Gb FC 4 Gb FC 512 MB ~8 secondi ~ 4 secondi ~2 secondi 1 GB ~16 secondi 2 GB ~32 secondi 4 GB ~64 secondi 8 GB ~2 minuti

Maggiore Flessibilità Application Virtualization Maggiore Flessibilità Application Isolation Dynamic Streaming Integrazione con System Center Software come servizio gestito centralmente Disponibile tramite…

Dati Applicazioni Sistema Operativo Hardware

Combined Virtual Environment

Agenda Introduzione a Windows Server 2008 e novità rispetto a Windows Server 2003 Deployment Services Virtualizzazione: Microsoft Hyper-V e clustering Servizi Terminal Da SBS 2003 a SBS 2008/EBS 2008 Windows Server 2008 R2 (Windows 7 Server)

Maggiore Flessibilità Servizi Terminal : novità principali Maggiore Flessibilità Design Goals Miglior “Prima impressione” nell’uso della tecnologia Stretta integrazione con i sistemi operativi client per fornire la massima facilità d’uso Le soluzioni studiate Terminal Services Gateway Terminal Services Web Access Terminal Services RemoteApp Singolo Sign-On (SSO) per i client Miglior uso, sicurezza e gestione Maggiore Flessibilità

Scenari di utilizzo dei Terminal Services Accesso centralizzato alle Applicazioni Gestione centralizzata delle Applicazioni Maggiore sicurezza Semplificazione della gestione IT Miglioramento della produttività degli utenti Scenari di branch office – sedi distaccate

Installazione e Configurazione I ruoli del Terminal Services installabili sono: Terminal Server TS Licensing TS Session Broker TS Gateway TS Web Access Passaggi per la configurazione dei TS: Installazione dei ruoli e dei componenti nei server Configurazione dei ruoli Configurazione delle connessioni remote Configurazione dei client per la connessione ai server

Remote Desktop Experience Risoluzioni video personalizzate Max res 4096 x 2048 Supporto multi-monitor Stessa risoluzione per ogni monitor Desktop Experience Temi Windows Media Player Gestione Foto Desktop Composition Una sessione Aero Font Smoothing Display Data Prioritization Banda riservata a tastiera, mouse, video

Gestione delle risorse utilizzate dai TS Windows System Resource Manager Funzionalità inclusa in Windows Server 2008 Va installata manualmente Permette di controllare: Allocazione di CPU e memoria ad applicazioni, servizi e processi Permette di ottimizzare le risorse e le performance del sistema Permette di mantere costanti le risorse disponibili Per User Per Session (Novità!)

Terminal Services Gateway 4/16/2017 8:06 PM Terminal Services Gateway Internet DMZ Corp LAN Passes RDP traffic to TS Terminal Server External Firewall Internal Firewall Home Strips off HTTPS Tunnels RDP over HTTPS Terminal Server Internet HTTPS / 443 Hotel Terminal Services Gateway Server Other RDP Hosts Network Policy Server Business Partner/ Client Site Active Directory DC 112

Benefici del TS Gateway Evita la creazione di VPN quando non necessarie Non serve l’accesso ai dati, ma alle applicazioni Bandwidth ridotta Connessione più rapida Consente la connessione attraverso firewall e NAT Permette di controllare l’accesso alle risorse Permette di centralizzare le policy di accesso tramite Network Policy Server Include strumenti di monitoring delle connessioni

Gestione del TS Gateway Snap-in della MMC 3.0 Punto di accesso per la configurazione delle regole e delle policy per utenti/client che si connettono al TS Gateway Permette di monitorare gli eventi relativi al TS Gateway Permette di vedere lo stato delle connessioni attive Nessun server TS o computer interno viene esposto sulla rete esterna I dati aziendali restano all’interno della Rete Aziendale

Funzionamento TS RemotApp Programs Sono programmi eseguiti in una sessione TS ma integrati con il desktop dell’utente Pulsanti nella barra delle applicazioni Integrazione con la SysTray Notifiche nel Desktop Utente Sono di utilizzo immediato per gli utenti Permettono di ottimizzare l’utilizzo delle risorse Deployment e Accesso: File .RDP File. MSI Terminal Services Web Access

TS Web Access

Maggiore Flessibilità Best Practices per TS Gateway Maggiore Flessibilità Usare certificati SSL root-signed Non basarsi su TS Gateway per bloccare i dispositivi Usare un TS Gateway Server dedicato Considerare di posizionarlo dietro ISA Server Usare un terminatore SSL in DMZ e posizionare il TS Gateway Server in LAN Quando TS Gateway dovrebbe essere utilizzato al posto della VPN? Quando non è richiesta una copia locale dei dati Quando la larghezza di banda o la grandezza dei dati applicativi rendono difficoltoso e lento l’uso della VPN

Maggiore Flessibilità Altre Novità… Maggiore Flessibilità Risoluzione fino a 4098 X 2048 e monitor multipli Framework di redirezione dei dispositivi PnP Colori a 32 bit e migliore compressione RDP Integrazione con NAP, autenticazione di rete, SSO per i client di dominio Possibilità di bloccare client pre-RDP 6.0 Completo supporto IPV6 Logon e Logoff delle sessioni più veloci Auto-riparazione dagli scenari più comuni di corruzione dei profili

Terminal Services RemoteApp Maggiore Flessibilità I programmi appaiono come se fossero in esecuzione localmente Sono richiamabili in diversi modi Supportato solo da Remote Desktop client 6.0, o superiori Client : Vista, XP SP2, 2003 SP1, 2008 La console RemoteApp è usata per rendere disponibili le applicazioni Usata anche per rendere disponibili i programmi via TS Web Access I programmi remoti sono integrati con il computer locale Configurare centralmente un Server Terminale con la console “Terminal Server Configuration” Remote Desktop Client richiesto Terminal Services Gateway Server 119

Maggiore Flessibilità demo Servizi Terminal

Agenda Introduzione a Windows Server 2008 e novità rispetto a Windows Server 2003 Deployment Services Virtualizzazione: Microsoft Hyper-V e clustering Servizi Terminal Da SBS 2003 a SBS 2008/EBS 2008 Windows Server 2008 R2 (Windows 7 Server)

Windows Essentials Business Server 2008 Windows Server Essentials Solo 64 bit Windows Small Business Server 2008 (fino a 75 utenti) Windows Essentials Business Server 2008 (fino a 300 utenti)

Windows Small Business Server 2008 Standard Edition Windows Server 2008 Microsoft Exchange 2007 Microsoft Office Sharepoint v. 3.0 Windows Server Update Services v. 3.0 Forefront Security for Exchange (120 gg) Office Live OneCare for Server (120 gg)

Windows Small Business Server 2008 Premium Edition Installazione su due server Seconda copia di Windows Server 2008 SQL Server 2008 (Premium)

Windows Small Business Server 2008: Requisiti Small Business Server (applies to Standard and Premium editions): Processor: Recommended: 2 GHz (x64 processor) or faster Memory: Minimum: 4 GB RAM Maximum: 32 GB Available Disk Space: Minimum: 60 GB Fax Modem: Fax Services require fax modem Additional Server (applies to Premium edition only): Processor: Recommended: 2 GHz (x86 and x64 processors) Memory: Recommended: 2 GB RAM Maximum 32GB (x64) or 4GB (x86) Available Disk Space: Minimum: 10 GB Recommended: 40 GB

Windows Essentials Business Server 2008 Fino a 300 utenti Installazione su 3 (Standard) server Management (System Center Essentials) Messaging (Exchange+ForeFront) Security (Exchange+ForeFront Threat Management Gateway) o 4 (Premium) server Aggiunge SQL Server 2008 1 Anno Microsoft Forefront Security for Exchange Server 1 Anno Web Antimalware Subscription for Forefront Threat Management Gateway, Medium Business Edition http://www.microsoft.com/windowsserver/essential

Windows Server Essentials: requisiti (estratto) Processors Systems with a Single Core CPU – x64 with a 2.5 GHz minimum clock speed; Systems with a Multi Core CPU – x64 with a 1.5 GHz minimum clock speed; Systems with Multiple Physical CPUs – x64 with a 1.5 GHz minimum clock speed; RAM Management Server – 4 GB of RAM; Security Server – 2 GB of RAM; Messaging Server – 4 GB of RAM;

Agenda Introduzione a Windows Server 2008 e novità rispetto a Windows Server 2003 Deployment Services Virtualizzazione: Microsoft Hyper-V e clustering Servizi Terminal Da SBS 2003 a SBS 2008/EBS 2008 Windows Server 2008 R2 (Windows 7 Server)

Our Approach to Server Releases Customers continue to tell us they want regular, compatible, and consistent server releases with great targeted innovation Our roadmap anticipates a 2-3 year cadence of Windows Server releases Each major update followed by a minor “R2” update (e.g., Windows Server 2003, followed by WS 2003 R2; Windows Server 2008, followed by WS 2008 R2) R2 strategy enables release refinement and delivery of high value feature enhancements, while enabling Windows to adapt more quickly to changing industry landscape (hardware advances, new paradigms, etc.) Optional nature of R2 releases give IT the flexibility to leverage the latest server technology without feeling forced to upgrade their entire infrastructure Of note with R2 64-Bit only release 2nd time client and server jointly developed

Technology Investment Areas Virtualization Management Web Hyper-V™ 2.0 Live Migration Remote Desktop Services Power Management AD Administrative Center PowerShell 2.0 Best Practices Analyzer IIS 7.0 & Integrated Extensions .NET on Server Core Configuration Tracing Service-Oriented Architecture Solid Foundation for Enterprise Workloads Scalability and Reliability Better Together with Windows 7 >64 Core Support Componentization DHCP Failover DNSSEC Direct Access Branch Cache Enhanced Group Policies BitLocker on Removable Drives

Live Migration Overview Benefits How Live-migration of VMs between servers with no loss of service Clustered Shared Volumes facilitates LM Benefits No dropped network connections Leverages Failover Clustering Enables dynamic IT environment How SCVMM is recommended and can provide additional Live Migration management and orchestration scenarios such as Live Migration via policy Moving from Quick to Live Migration: Changes to VMs: No Changes to Storage infrastructure: No Changes to Network Infrastructure: No Update to Hyper-V 2.0 : Yes

Quick Migration vs. Live Migration (Windows Server 2008 Hyper-V) Save state Create VM on the target Write VM memory to shared storage Move virtual machine Move storage connectivity from source host to target host via Ethernet Restore state & Run Take VM memory from shared storage and restore on Target Run Live Migration (WS08R2 Hyper-V) VM State/Memory Transfer Create VM on the target Move memory pages from the source to the target via Ethernet Final state transfer and virtual machine restore Pause virtual machine Move storage connectivity from source host to target host via Ethernet Un-pause & Run Host 2 Host 1 Host 1 Host 2

Hyper-V 2.0 Feature Overview Logical Processor Support Support for 32 logical processors on host computer Hot Add/Remove Storage Add and remove VHD disks to a running VM without requiring a reboot Second Level Translation (SLAT) Leverage new processor features to improve performance and reduce load on Windows Hypervisor Boot from VHD Allows any VHD to work on physical hardware