In einem Satz
Windows Server 2016 ist das „Cloud-optimierte” Serverbetriebssystem. Mit Windows Server 2016, dem Kern der Microsoft Cloud Plattform-Vision, fließt die Erfahrung von Microsoft bei der Bereitstellung globaler Clouddienste in Ihre Infrastruktur ein.
Verfügbarkeit und Roadmap
- 26. September 2016: RTM – finale Version
- 01. August 2016: Verfügbar für OEMs
- 01. Oktober 2016: Verfügbar als System Builder-Version
- 17. Oktober 2016: Verfügbar im VLSC
- 01. November 2016: Verfügbar über die Volumenlizenz-Preislisten
Ausführliche Beschreibung
Windows Server with Desktop Experience
Normalerweise erschien in den letzten Jahren die Windows Server Version zeitgleich und auch architekturgleich mit dem Windows Client. Der Windows Server 2016 ist beinahe ein Jahr nach dem Client fertiggestellt. Was wohl daran liegt, dass einige Neuerungen wie Container und Nano Server etwas mehr Entwicklungszeit benötigten. Nichts desto trotz sieht man dem Windows Server 216 das Windows 10 an. Auch schon an der Oberfläche:
Microsoft nennt den Windows Server, der mit Grafischer Oberfläche (GUI) installiert wird auch:
“Windows Server with Desktop Experience”
Server Manager
Den vor einigen Versionen entwickelten Server Manager, der als zentrale Verwaltungskonsole für die Admins dient, gibt es immer noch und hier sind bereits (von mir) einige Rollen installiert:
Lizenzierung
Die Lizenzierung hängt nun nicht mehr an je zwei CPU-Sockeln, sondern an je zwei CPU-Kernen. Damit passt Microsoft das Modell an andere Produkte wie SQL-Server an. Für Server mit bis zu 4 Prozessoren und bis zu acht 8 Kernen ändern sich die Lizenzkosten nicht. Licensing Datasheet zu Server 2016.
Microsoft hat im OEM Kompetenzclub einen Lizenzkalkulator veröffentlicht (erfordert eine Registrierung im OEM-Bereich):
https://www.windows-server-kompetenz-club.de/de/lizenzkonfigurator
Für unsere Abonnenten haben wir den Microsoft Lizenzkalkulator als Excel-Datei in unserem geschützten Extranet-Bereich zum Download gelegt.
Editionen
Mit Windows Server 2016 werden sich die Editionen Standard und Datacenter wieder voneinander unterschieden:
Datacenter: Die Version für unlimitierte Virtualisierung mit den neuen Shielded Virtual Machines, Software-defined Storage und Software-defined Networking.
Standard: Die Standard-Version mit den Windows Core-Diensten, mit begrenzter Virtualisierung.
In der Software Assurance für Windows Server 2016 ist die Nutzung des Microsoft Identity Manager 2016 enthalten (benötigt zusätzliche CALs und ist eine Rolle)
Systemgrenzen
Schneller, höher, weiter gilt auch für die Version 2016. Die technischen Grenzen liegen derzeit weniger bei der Grenze von Windows Server 2016 sondern eher an der verfügbaren Hardware. Will sagen, es gibt keine Hardware, die mehr bereitstellt. Der Windows Server 2016 könnte ggf. sogar mehr:
Lebenszyklus und Support
Bislang war der Produktlebenszyklus auch für Windows Server als „5+5“ definiert: 5 Jahre Mainstream Support und danach noch 5 Jahr Extended Support. Dies ändert sich nun.
Auch für den Windows Server werden die Begrifflichkeiten Current Branch for Business CBB und Long Term Servicing Branch LTSB eingeführt.
Der klassische Produktlebenszyklus bleibt bestehen und entspricht dem LTSB analog wie bei Windows 10. Die Variante gilt für die volle Installation von Windows Server 2016 mit Desktop Experience oder Server Core.
Neu ist die Möglichkeit, häufiger in Funktionsupgrades zu kommen für Kunden, die Nano Server einsetzen möchten, macht das auch Sinn, da es häufiger zu schnelleren Neuentwicklungen kommt:
Demnach ist auch nur konsquent, dass für CBB eine Software Assurance nötig ist (Nano Server). Allerdings gestattet Microsoft hier wenigstens eine manuelle Update-Variante. Und Kunden müssen nicht sofort mit gehen.
Hier mal der Original-Text von Microsoft: „customers can be no more than two Nano Server CBB releases behind. Only two CBB releases will be serviced at any given time, therefore when the third Nano Server release comes out, you will need to move off of #1 as it will no longer be serviced. When #4 comes out, you will need to move off of #2, and so on.“ (Quelle)
Unter dem Titel „Semi-annual Channel“ erhalten alle Kunden, die über eine Lizenz für Windows Server Standard oder Datacenter mit Software Assurance verfügen, Zugriff auf halbjährliche Updates. Parallel bleibt aber auch der bisherige Release-Zyklus bestehen. Über den Long Term Servicing Channel wird es wie bisher alle 2 bis 3 Jahre eine neue Windows Server-Version geben.
Wichtigste Funktionen
Neuerungen im Active Directory
- Active Directory Federation Services (ADFS) Verbesserungen: Die neue ADFS-Version beherrscht OpenIDConnect Web SignOn sowie OAuth2, um noch besser SingleSignOn-Anwendungen zu connecten.
Microsoft nennt dazu folgende Beispiele: AD LDS, Apache DS, IBM Tivoli DS, Novell DS, Open LDAP, Open DJ, Open DS, Radiant LogicVirtual DS, Sun ONE v6, v7, v11 - Lightweight Directory Access Protocol (LDAP) Verbesserungen: So lassen sich jetzt auch LDAP-Verzeichnisse via ADFS föderieren.Beispiel dafür sind X.500 kompatible LDAP-Verzeichnisse oder auch SQL-Datenbanken
- Single Sign-On (SSO) Verbesserungen
- Neue Richtlinien zur Zugriffskontrolle
- Privileged Access Management
– Lokale Admin Passwörter auf Servern schützen
– aka.ms/privsec und aka.ms/cyberPAW - Azure AD Join
- Microsoft Passport
- Function Level von Windows Server 2003 wird nicht mehr unterstützt. (WS 2003 kann Member Server sein, aber kein Domain Controller mehr, wenn WS 2016 genutzt werden soll.)
Serververwaltung und -automatisierung
- Grafische Oberfläche ähnlich wie Windows 10, allerdings ohne z.B. Cortana
- Neuerungen in den Remote Desktop Services
– Durchgängiger Support für Generation 2 VMs
– Remote FX Support für OpenGL 4.4 und OpenCL 1.1 API
– Konfigurierbarer und größerer dedizierter Bereich für Grafikspeicher
– Verbesserungen in den Bereichen Performance, Stabilität und Anwendungskompatibilität
– Personal Session Desktops
– Vollständige Pen-Unterstützung
– Edge-Unterstützung
– Neuer Bereitstellungsassistent
– Neuer RDS Client (Universal App für Windows 10)
– 4 Rollen auf 2 VMs - MultiPoint Services: der frühere MultiPoint Server ist nun als Rolle enthalten. Basis sind die Remotedesktopdienste. MultiPoint Services eignen sich beispielsweise für Schulen und Bildungseinrichtungen, die ihren Usern mit geringem Budget eine eigene Umgebung auf gemeinsam genutzten Computern bereitstellen möchten. Dadurch können auf einem Monitor, den sich zwei User/Schüler teilen, zwei Windows-Desktops nebeneinander angezeigt werden.
- Neuerungen in PowerShell 5.0
– PowerShell ist jetzt Open Source - Remote Serververwaltung mit RSAT für Windows 10
- Better with Linux
– Viele Linux Distributionen für Hyper-V: Red Hat, SUSE, OpenSUSE, CentOS, Ubuntu, Debian and Oracle Linux.
– Secure Boot
Nano-Server
Nano Server ist keine extra Edition, sondern eine völlig neue Deployment-Option für Windows Server 2016. Er sorgt für mehr Security und Peformance:
- Zero-Footprint (400 MB Installationsgröße)
- nur 64-Bit
- Textbasierte Oberfläche (keine GUI)
- Full Windows Server Driver Support
Im Vergleich zu einem Windows Server
- 93% kleinere VHD-Größe
- 92% weniger Critical Updates
- 80% weniger Reboots
- Schnelle Reboots, kaum Patches
- Extrem RAM und Storage effizient
- PXE Installation in weniger als 3 Minuten
- Antimalware inkludiert
Der Nano Server wird als .WIM-Datei mitgeliefert, die vor der Installation angepasst wird mit den gwünschten Rollen und Features.
Alle Treiber, die mit Server Core funktionieren lassen sich im Nano-Server einbinden (Microsoft- und Third Party Treiber).
Windows Defender ist im Nano Server aktivierbar.
Verwaltung über Server Manager auf anderem Rechner oder z.B. über SCVMM oder OMS, über Server Management Tools, PowerShell, Hyper-V Manager, Event Viewer,…
Nano Server Image Builder
Mit dem Tool können eigene Nano Server Images und bootfähige USB-Medien generiert werden. Der Image Builder ist auch in der Lage, wiederverwendbare PowerShell-Skripte zur Installation von Nano Server zu erstellen. Downlaod hier: https://www.microsoft.com/en-us/download/details.aspx?id=54065
Einsatzbereiche
Der Fokus liegt auf Compute/Storage/Fabric und Clustering/Hyper-V, aber auch ASP.NET
- Optimiert für die Cloud (=Azure)
- Hyper-V Host – einzeln oder im Cluster
- File Server Host – einzeln oder im Cluster (SoFS)
- Failover Clustering
- Nano as a VM
- Reverse Forwarders
- DNS Server
- Web Server mit Internet Information Services (IIS)
- als Host (Foundation) für Container
Einschränkungen: nicht jede VM ist Nano geeignet, z.B: kein AD, kein Domain Controller oder Exchange Server im Nano Server möglich.
Anwendungsvirtualisierung mit Windows Server Container
Im Oktober 2014 hatte Microsoft angekündigt mit der Firma Docker zu kooperieren, um deren Container-Technologie in Windows Server 2016 zu implementieren.
Grundsätzlich ist ein Container ein isolierter Ort, wo eine Anwendung ohne Auswirkungen auf den Rest des Systems und das System ohne Auswirkung auf die Anwendung ausgeführt werden kann. Container sind die nächste Evolutionsstufe im Bereich der Virtualisierung. Technologisch sind Container mit App-V vergleichbar, nur eben auf der Serverseite. Ein Windows Server Container hat allerdings ein Betriebssystem, hat ein Dateisystem und es kann über ein Netzwerk darauf zugegriffen werden, so als ob es ein physikalisches oder virtuelles System wäre.
- Windows Server Container laufen auf Azure.
- Windows Server Container laufen auf existierenden Virtuellen Maschinen.
- Windows Server Container laufen auf physikalischen Windows Server Installationen (z.B. Nano Server).
Windows Server Container lassen sich mit der PowerShell oder dem Docker-Client installieren und verwalten und sind mandantenfähig, also z.B. für zwei verschiedene Kunden.
Docker ist ein Verwaltungstool, es kann beispielsweise auch die gesamte Lebenszeit eines Containers verwalten. Die Docker-Lizenz ist in der Container-Lizenz von WS2016 enthalten, also damit free. Unter einer Docker-Oberfläche können damit die vorhandenen Linux-Container als auch die neuen Windows Container verwaltet werden.
Die Anwendungen in den Containern sind nicht gedacht für z.B. Exchange oder SQL Server, sondern für Web-basierte Microservices.
Neuerungen in Hyper-V
Jede Menge neue Funktionen, die teilweise separat beschrieben werden!
- Neues Dateiformat für die Konfigurationsdatei von virtuellen Maschinen .VMCX-Datei
– Besseres Lesen und Schreiben des ConfigFiles
– Beim Ausfall einer Disk bleiben die Daten konsistent (lesbar) - Verbinden mit verschiedenen Authentifizierungsprotokollen (CredSSP, Kerberos, NTLM)
- Remote FX für Gen2 VMs
– Support für OpenGL 4.4 and OpenCL 1.1 API - Änderungen an virtuellen Maschinen im laufenden Betrieb
– Hot-Add von Arbeitsspeicher und Netzwerkkarten(keineCPUs)
– Ändern von statischem Arbeitsspeicher für VMs im laufenden Betrieb
– Online Resize, Host Backup und Hyper-V Replika von Shared VHDX
– Device Naming: Netzwerk-Adapter vom Host aus umbenennen
– Discrete Device Assignment (DDA): Direktes Durchreichen von PCIe Devices an eine VM; Gast-OS hat vollen Zugriff auf die GPU des Hosts. inkl. Hardware Encoder (DirectX, OpenGL, OpenCL, CUDA). - VM Configuration Version und Upgrades
– Cross-Version / Down-Level Management von Windows 2012 und R2 Hyper-V Servern
– VMs können zwischen Hyper-V 2012 R2 und 2016 verschoben werden
– Update der Integration Services über Windows Update bzw. WSUS - Secure Boot für Linux VMs z.B. Ubuntu 14.04 und Suse Linux Enterprise Server 12
- Energieverwaltung (bessere Energiesparmethoden und Connected Standby)
- Hyper-V Replica Verbesserungen
- Host Resource Protection: Dynamically identify virtual machines that are not “playing well” and reduce their
resource allocation - Neu: Production Checkpoints (ersetzen Snapshots)
– Windows-basierte Virtual Machines verwenden Volume Snapshot Service (Volumenschattenkopien)
– (Linux VMs verwenden dazu ihre System Buffer)
– Checkpoints nutzen die gleichen Mechanismen wie Backup-Software - Nested Virtualization: VMs innerhalb von VMs erstellen
- Und natürlich neue Grenzwerte:
– physikalischer Host RAM: bis zu 24 TB
– physikalischer Host Logische Prozessoren: bis zu 512
– Virtueller Gast RAM: bis zu 16 TB pro VM
– Virtueller Gast Virtuelle CPU: bis zu 240 pro VM
Microsoft und Citrix
Microsoft und Citrix bestärken ihre Partnerschaft einmal mehr in Sachen Windows Server 2016, aber auch Azur z.B. über Azure Remote App, welches seitens Microsoft eingestellt wird und mit Citrix XenApp „express“ ersetzt werden soll. Auch Windows 10 wird durch Citrix gepusht.
Windows Server 2016 ist interessant im Hinblick auf XenApp und XenMobile User:
- Neue Security-Funktionen, wie z.B. Nano Server.
- Identity and Access Management für on-prem & Cloud Deployments, z.B. durch Azure AD Integration.
- UX Verbesserungen für die Graphics Virtualization auf RDS-Plattform.
Updates & Migration
- Cluster Rolling Upgrades: ermöglichen Hyper-V- und Storage-Cluster ohne Ausfallzeiten auf die neue Windows-Version von Windows Server 2012 R2 (und nur von dieser Version, also nicht älter…) zu aktualisieren. Dabei werden die Clusterknoten nach und nach migriert. Hier kann z.B. auch ein Tausch auf den Nano Server migriert werden.
Egal ob Zwei Knoten oder 64. Zwischendrin befindet sich das Cluster im Mixed Mode.
System Center Virtual Machine Manager VMM zuerst auf 2016 updaten, dann kann dies hierüber geschehen.
Software Defined Storage / Software Defined Networking
- Hot-Add/Tauschen von Speicher und Netzwerkkarten im laufenden Betrieb
- Neu: Netzwerk Controller
Eine neue Rolle für die Zentrale Sicht auf alle physischen und virtuellen Netzwerkkomponenten (Hyper-V VMs & vSwitches, Physical Network Switches, Physical Network Routers, Firewall Software, VPN Gateways inkl. RRAS, Load Balancers…). Canary Network Diagnostics ist dabei ein neues Feature, mit dem die Inventarisierung für den Netzwerk Controller erstellt wird.
- Neu: Storage Quality of Service (QoS) legt mit Hilfe von Policies die Priorisierung, minimale und maximale Bandbreite und Geschwindigkeit von VMs bzw. Storage fest.
- Neu: Storage Replica (SR):
– Synchrone Replikation für die Datenspiegelung mit ausfallresisten Volumes (Zero Data Loss) zwischen einzelnen Servern eines Standorts oder für einen Failover-Cluster auf mehrere Standorte (Stretching)
– Asynchrone Replikation bei hohen Distanzen/Latenzen mit der Möglichkeit des Datenverlusts für Server zu Server standortübergreifend oder Cluster zu Cluster - Verbesserungen bei Storage Spaces Direct S2D (Software-Defined-Storage-(SDS-)Funktion für hyperkonvergente Systeme): Speicher zu einem virtuellen Pool (Storage Pooling, bereits in WS2012 R2 dabei) zusammenfassen und besser im Netzwerk verteilen. So lassen sich z.B. lokale SAS-, SATA- und NVMe-Speichermedien von mindestens drei Servern zu einem ausfallsicheren Verbund von ReFS-Volumes koppeln. Jetzt auch auf verschiedene Server.
– nur mit Windows Server 2016 Datacenter Edition, dann aber kein Limit
– 2 bzw. 3 bis 16 Server
– bis zu 400 Laufwerke
– derzeit getestetes Limit bei 3 PB
– keine spezielle Hardware, aber nur via Ethernet - Scale-Out File Server (SoFS) (Storage Spaces Direct)
– Bis zu 16 Hostsysteme können zu einem SoFS zusammengebunden werden
– mit lokalen gemischten Platten (HDD, SDD, NVMe, SATA, bis 400)
– Redundanz von 3 Systemen (hohe Verfügbarkeit) (es geht aber auch minimal 2 Systeme seit Technical Preview 5)
Neuerungen in Internet Information Server 10.0 (IIS)
- HTTP/2:
- Schutz vor Denial-of-Service Attacken (DoS)
- Weitere Verbesserungen beim Web-Schutz
- Web Application Proxy (WAP): agiert als Reverse-Proxy und ermöglicht den Zugriff von außerhalb auf interne Webanwendungen. Nun lassen sich durch Erweiterungen mehr Anwendungen veröffentlichen, wozu auch die verbesserte Vorauthentifizierung mittels HTTP beiträgt.
Security Funktionen
- Windows Defender integriert.
- Credential Guard (innerhalb von einer VM) und Device Guard wie Windows 10
- Authentifizierung über Microsoft Passport über öffentlichen/privaten Schlüsselpaare in Microsoft Azure oder über lokales Public-Key-Management oder hardwareseitig über TPM-Chips (Trusted Platform Module).
- Identity Management: z.B. bestimmte Rechte für einen bestimmten Zeitraum einzurichten
– Just Enough Administration (JEA): Ein PowerShell-Tool, um bestimmte Admin-Aufgaben nur bestimmten Usern zu erlauben.
– Just In Time Administration (JIT): Zeitlich begrenzter Zugriff für Admins. - Host Guardian Service kontrolliert legitimierte Fabrics und encrypted Virtual Machines. Host Guardian Service ist eine neue Rolle, die verifiziert, ob eine VM vertrauenswürdig ist. Läuft am besten in einer separaten Domäne und kann selbst auch eine Virtuelle Maschine sein.
- Host Resource Protection: Der Host überwacht die VMs, ob alles „grün“ ist. ggf. reduziert der HRP die Ressourcen für die VMs, falls diese sich z.B. auffällig viel RAM nimmt.
- Virtueller TPM-Chip vTMP
-
Shielded VMs mit Hyper-V
Mit Shielded VMs wird verhindert, dass unerlaubte Kopien von VMs gemacht werden oder auf diese zugegriffen wird. Um dies zu erreichen, sind die VMs komplett verschlüsselt.
Shielded VMs verwenden z.B. eine BitLocker-verschlüsselte virtuelle Festplatte (über vTPM), so dass auch Admins nur Zugriff erhalten, wenn sie sich entsprechend authentifizieren können. Die VMs können auch nicht einfach auf einen anderen Host kopiert und dort gestartet werden.
Eine laufende Virtual Machine kann konvertiert werden in eine Shielded Virtual Machine, allerdings nur mit Windows Server 2016.
Shieleded VMs sind aktuell (12.8.16) noch nicht auf Azure möglich, kommt aber… -
Secure Boot für Linux und Windows
Systemanforderungen
- 64-Bit-Prozessor mit mindestens 1,4 GHz
- 512 MByte RAM
- 32 GByte Festplatte