Damit Shielded Virtual Machines auf einem Guarded Hyper-V-Host star­ten können, muss er durch den Host Guardian Service (HGS) als vertrauens­würdig attes­tiert werden. Dieser Dienst arbeitet unter Windows Server 2016 in einem eigens dafür ein­gerich­teten AD-Forest und ver­waltet auch die Keys zum Start der VMs.

Shielded VMs ver­hin­dern den unbe­fugten Zu­griff auf ent­haltene Anwen­dungen und Daten. Ein Hyper-V-Host muss erst als ver­trauens­würdig ein­gestuft werden, damit er solche VMs über­haupt booten kann. Die Ver­schlüs­selung der VHDs schützt zusätzlich vor neu­gierigen Blicken. Für dieses Feature benötigt man jedoch eine Guarded Fabric als Infra­struktur.

Storage Spaces Direct (S2D) in Windows Server 2016 DC unter­stützen auch hyper­konver­gente 2-Node-Cluster. Um das Feature ohne physi­sche Hard­ware zu testen, lässt sich S2D auch in einem virtu­ellen Lab aufsetzen. Die Anlei­tung zeigt, wie Sie dabei vor­gehen.

Neben dem her­kömm­lichen NIC-Teaming ist es mit Server 2016 möglich, NICs direkt am virtu­ellen Hyper-V Layer-2 Switch zu bündeln. Switch-Embedded Teaming (SET) ist auf Hyper-V-Hosts nun die bevor­zugte Alter­native, wenn man R-NICs für Storage Spaces Direct einsetzt.

Storage Spaces Direct (S2D) verbinden zerti­fizierte Standard-Hardware samt lokalen Lauf­werken zu einem Cluster und stellen so hoch­verfügbaren Speicher für Hyper-V bereit­. Die kleinste Konfi­guration für eine Hyper-converged Infra­structure erfordert nur zwei Knoten.

Die meisten Cloud-Dienste von Micro­soft benö­tigen Azure Storage. Der Speicher kann sowohl für Dateien und Backups verwendet werden, als auch für virtu­elle Maschinen und deren Lauf­werke. Diese werden in hoch­verfüg­baren BLOBs abge­legt, wahl­weise redun­dant in einem Datacenter, einer Region oder geo­grafisch verteilt.

Ein wich­tiges neues Feature von Hyper-V 2016 sind Shielded VMs, welche den unbe­fugten Zu­griff auf die darin ent­hal­tenen Daten und Anwen­dungen ver­hindern. Dafür werden diese unter anderem durch BitLocker ver­schlüs­selt. Das geht auch ohne Guarded Fabric, voraus­gesetzt ein virtu­elles Trusted Platform Module (vTPM) wurde in der VM aktiviert.

Zu den signi­fi­kanten Neuerungen in Server 2016 zählen Con­tainer. Sie er­lauben im Ver­gleich zu VMs eine leicht­gewich­tige Virtua­li­sie­rung von Hard­ware und Appli­kationen. Windows Server Con­tainer bauen dabei auf die Docker-Tech­no­logie. Des­halb lassen sie sich mit den bekann­ten Docker-Kom­man­dos ein­richten und ver­walten.

Die Multi-Faktor-Authenti­fizierung (MFA) gilt als zusätz­liche Bar­riere gegen eine unbe­fugte Anmel­dung mit Username und Passwort. Im Azure AD-Man­danten kann der Admini­strator dieses Feature pro User akti­vieren. Die Microsoft Authen­ticator-App dient dann als Software-Token.

Bei Azure AD lassen sich die Domänen­dienste zu­schal­ten, um Proto­kolle wie Ker­beros oder auch Gruppen­richt­linien zu nutzen. Die Azure Active Directory Domain Services (AAD DS) er­lau­ben dann wie das On-Premises-Pendant den Beitritt zu Domä­nen­. Die Verwal­tung von OUs und GPOs ist bis dato einge­schränkt möglich.