Beiträge von Marcel Küppers

    Anleitung: Host Guardian Service im Admin-trusted Mode installieren

    HGS Shielded VMDamit Shielded Virtual Machines auf einem Guarded Hyper-V-Host star­ten können, muss er durch den Host Guardian Service (HGS) als vertrauens­würdig attes­tiert werden. Dieser Dienst arbeitet unter Windows Server 2016 in einem eigens dafür ein­gerich­teten AD-Forest und ver­waltet auch die Keys zum Start der VMs.

    Überblick: Windows Server 2016 Shielded Virtual Machines

    Hyper-V Shielded VMsShielded VMs ver­hin­dern den unbe­fugten Zu­griff auf ent­haltene Anwen­dungen und Daten. Ein Hyper-V-Host muss erst als ver­trauens­würdig ein­gestuft werden, damit er solche VMs über­haupt booten kann. Die Ver­schlüs­selung der VHDs schützt zusätzlich vor neu­gierigen Blicken. Für dieses Feature benötigt man jedoch eine Guarded Fabric als Infra­struktur.

    Anleitung: Storage Spaces Direct auf Cluster mit zwei Knoten einrichten

    Storage Spaces Direct auf Cluster mit 2 Knoten einrichtenStorage Spaces Direct (S2D) in Windows Server 2016 DC unter­stützen auch hyper­konver­gente 2-Node-Cluster. Um das Feature ohne physi­sche Hard­ware zu testen, lässt sich S2D auch in einem virtu­ellen Lab aufsetzen. Die Anlei­tung zeigt, wie Sie dabei vor­gehen.

    Statt NIC-Teaming: Switch-Embedded Teaming (SET) in Hyper-V 2016

    Switch-Embedded Teaming in Windows Server 2016 Hyper-VNeben dem her­kömm­lichen NIC-Teaming ist es mit Server 2016 möglich, NICs direkt am virtu­ellen Hyper-V Layer-2 Switch zu bündeln. Switch-Embedded Teaming (SET) ist auf Hyper-V-Hosts nun die bevor­zugte Alter­native, wenn man R-NICs für Storage Spaces Direct einsetzt.

    Überblick: Windows Server 2016 Storage Spaces Direct im 2-Node-Cluster

    Storage Spaces Direct auf Cluster mit 2 KnotenStorage Spaces Direct (S2D) verbinden zerti­fizierte Standard-Hardware samt lokalen Lauf­werken zu einem Cluster und stellen so hoch­verfügbaren Speicher für Hyper-V bereit­. Die kleinste Konfi­guration für eine Hyper-converged Infra­structure erfordert nur zwei Knoten.

    Azure Storage: Speicherkonto, Container und BLOBs für virtuelle Maschinen

    Azure Cloud StorageDie meisten Cloud-Dienste von Micro­soft benö­tigen Azure Storage. Der Speicher kann sowohl für Dateien und Backups verwendet werden, als auch für virtu­elle Maschinen und deren Lauf­werke. Diese werden in hoch­verfüg­baren BLOBs abge­legt, wahl­weise redun­dant in einem Datacenter, einer Region oder geo­grafisch verteilt.

    vTPM in Hyper-V 2016 aktivieren und VM-Laufwerke mit Bitlocker verschlüsseln

    Virtual TPM in Hyper-V 2016Ein wich­tiges neues Feature von Hyper-V 2016 sind Shielded VMs, welche den unbe­fugten Zu­griff auf die darin ent­hal­tenen Daten und Anwen­dungen ver­hindern. Dafür werden diese unter anderem durch BitLocker ver­schlüs­selt. Das geht auch ohne Guarded Fabric, voraus­gesetzt ein virtu­elles Trusted Platform Module (vTPM) wurde in der VM aktiviert.

    Anleitung: Windows Server Container mit Docker-Kommandos erstellen

    Windows Server ContainerZu den signi­fi­kanten Neuerungen in Server 2016 zählen Con­tainer. Sie er­lauben im Ver­gleich zu VMs eine leicht­gewich­tige Virtua­li­sie­rung von Hard­ware und Appli­kationen. Windows Server Con­tainer bauen dabei auf die Docker-Tech­no­logie. Des­halb lassen sie sich mit den bekann­ten Docker-Kom­man­dos ein­richten und ver­walten.

    Anleitung: Multi-Faktor-Authentifizierung in Azure Active Directory aktivieren

    Azure AD Multi Factor AuthenticationDie Multi-Faktor-Authenti­fizierung (MFA) gilt als zusätz­liche Bar­riere gegen eine unbe­fugte Anmel­dung mit Username und Passwort. Im Azure AD-Man­danten kann der Admini­strator dieses Feature pro User akti­vieren. Die Microsoft Authen­ticator-App dient dann als Software-Token.

    GPOs, Kerberos: Domänendienste in Azure Active Directory nutzen

    Azure Active Directory Domain Services (ADDS)Bei Azure AD lassen sich die Domänen­dienste zu­schal­ten, um Proto­kolle wie Ker­beros oder auch Gruppen­richt­linien zu nutzen. Die Azure Active Directory Domain Services (AAD DS) er­lau­ben dann wie das On-Premises-Pendant den Beitritt zu Domä­nen­. Die Verwal­tung von OUs und GPOs ist bis dato einge­schränkt möglich.

    Seiten