Windows Server 2016: waarom overstappen?
De lijst van nieuwe functies in Windows Server 2016 is groot, maar de 10 beste vind je hier.
Nano server
Nano Server beschikt over een 92 procent kleinere installatie footprint vergeleken met de Windows Server grafische gebruikersinterface (GUI). Behalve dat, zou je Nano moeten gebruiken voor ten minste een aantal van je Windows Server workloads om de volgende redenen:
- Bare-metal OS; er zullen veel minder updates en reboots nodig zijn
- Omdat je elke serverrol van buiten Nano administratief moet injecteren, heeft de server een veel lagere attack surface in vergelijking met GUI Windows Server.
- Nano is zo klein dat het gemakkelijk kan worden overgedragen aan andere servers, data centers en fysieke locaties.
- Nano host de meest voorkomende Windows Server workloads, waaronder Hyper-V host
Containers
Microsoft werkt nauw samen met het Docker development team om Docker-gebaseerde containers naar Windows Server te brengen. Tot nu toe werden containers bijna geheel in de Linux / UNIX open-source wereld gelaten. Nu laten ze je applicaties en diensten isoleren op een flexibele en eenvoudig te beheren manier. Windows Server 2016 biedt twee verschillende types van “gecontaineriseerde” Windows Server exemplaren:
- Windows Server Container. Dit type container is bedoeld voor low-trust workloads, waarbij je het niet erg vindt dat de container exemplaren die op dezelfde server staan enige gemeenschappelijke middelen delen.
- Hyper-V Container. Dit is geen Hyper-V-host of VM, maar een gecontaineriseerd Windows Server-exemplaar dat volledig is geïsoleerd van andere containers en eventueel van de host-server. Hyper-V containers zijn geschikt voor high-trust workloads.
LINUX Secure Boot
Secure Boot is een onderdeel van de Unified Extensible Firmware Interface (UEFI) specificatie die de startup-omgeving van een server beschermt tegen de injectie van rootkits of andere ongewenste boot-time malware.
Het probleem met de Windows Server-gebaseerde Secure Boot is dat het, figuurlijk gesproken, je server zou opblazen als je probeert een Linux-gebaseerde Generation 2 Hyper-V VM te maken. De Linux drivers maken in de basis namelijk geen deel uit van het vertrouwde opslag-apparaat. Technisch gezien zal de VM’s UEFI firmware een “Failed Secure Boot Verification” error laten zien en stopt het opstarten.
De Windows Server en Azure engineering teams schijnen tegenwoordig van Linux te houden. We kunnen daarom de Linux VM’s nu zonder problemen onder Windows Server 2016 Hyper-V inzetten; zonder de anders stellaire Secure Boot functie uit te schakelen.
REFS
Het heeft lang geduurd voordat het Resilient File System (ReFS) in Windows Server aanwezig was. In Windows Server 2016 zit eindelijk een stabiele versie. ReFS is bedoeld als een high-performance bestandssysteem met hoge veerkracht voor het gebruik van Storage Spaces Direct en Hyper-V workloads.
Storag Spaces Direct
Storage Spaces is een leuke Windows Server-functie die het meer betaalbaar maakt voor de beheerders om redundante en flexibele schijfruimte te creëren. Storage Spaces Direct in Windows Server 2016 breidt Storage Spaces uit, zodat “failover cluster nodes” hun lokale opslag kunnen gebruiken binnen dit cluster. Hierbij wordt de noodzaak voor een gedeelde opslag vermeden.
ADFS V4
Active Directory Federation Services (ADFS) is een Windows Server rol die “claims-based identity” ondersteunt. Claims-based identity is van cruciaal belang, dankzij de behoefte aan single-sign on (SSO) tussen lokale Active Directory en verschillende cloud-based services.ADFS v4 in Windows Server 2016 brengt eindelijk ondersteuning voor OpenID Connect-based authentication, multi-factor authentication (MFA), en wat Microsoft noemt “hybrid conditional access”. Deze laatste technologie laat ADFS reageren wanneer een gebruiker of apparaat-attribuut het beveiligingsbeleid niet naleeft.
Nested Virtualization
Nested Virtualization verwijst naar het vermogen van een virtuele machine om zichzelf op virtuele machines te hosten. Voorheen was dit een ‘no go’ in Windows Server Hyper-V, maar in Windows Server 2016 hebben we dat vermogen wel.Nested Virtualization is zinvol wanneer een bedrijf extra Hyper-V hosts op wil zetten en daarbij de hardware kosten wil minimaliseren.
HYPER-V Hot-Add Virtual Hardware
Hyper-V Server heeft ons in staat gesteld om virtuele hardware toe te voegen of om de toegewezen RAM aan te passen naar een virtuele machine. Waar het voorheen vereist was eerst de VM uit te schakelen, kunnen we in Windows Server 2016 virtuele hardware toevoegen terwijl de VM’s nog ‘online and running’ zijn. Zo was ik in staat om een extra virtuele Network Interface Card (NIC) toe te voegen aan mijn ‘running’ Hyper-V VM.
Powershell Direct
In Windows Server 2012 R2 werd het Windows PowerShell-based afstandsbeheer van virtuele machines door Hyper-V administrators nog gewoonlijk op dezelfde manier uitgevoerd als bij fysieke hosts. In Windows Server 2016 beschikken PowerShell afstandscommando’s over VM-parameters, die ons toelaten om PowerShell direct naar de VM’s van de Hyper-V host te sturen!
Shielded VMs
De nieuwe Host Guardian Service server rol, die de afgeschermde VM functie host, is veel te complex om te bespreken in dit artikel. Voor nu volstaat het om te zeggen dat de in Windows Server 2016 afgeschermde VM’s zorgen voor een veel diepere en fijnkorrelige controle over de Hyper-V VM toegang. Je Hyper-V host-VM’s kunnen bijvoorbeeld meer dan één huurder hebben. Hierbij zou je er eigenlijk per se voor moeten zorgen dat de verschillende Hyper-V admin groepen alléén toegang kunnen krijgen tot hun aangewezen VM’s. Door gebruik te maken van BitLocker Drive Encryption, om virtuele harde schijven van de VM’s te versleutelen, kunnen afgeschermde VM’s dat probleem oplossen.
