Schon vor Weihnachten haben wir ein tolles Paket für Sie als Microsoft Partner: wir bieten wir Ihnen zu einem unglaublichen Partner-Preis das Trainings-Bundle "BizTwo: Dep-Ad" an:
- Die zwei Windows 7 Business Trainings "Deployment" und "Administration" + HP Notebook mit UMTS + Windows 7!
In drei Tagen Windows 7 effektiv ausrollen und die standardisierte Client-Landschaft zeitgemäß verwalten – das ist inhaltlich ein Muss für Partner. Inklusive UMTS-Notebook und Windows 7, um diesen Preis? So machen wir Ihnen die Entscheidung noch leichter, sich das KnowHow gleich zu Beginn anzueignen - schauen Sie sich das Angebot an:
Achtung: die Aktion ist auf wenige Termine in Wien limitiert! Falls wir noch mehr möglich machen können: aktualisierte Termine und alle Infos finden Sie stets hier .
Wenn Sie die Aktion auch bei einem Anbieter in Ihrer Region sehen wollen, teilen Sie uns das bitte mit, indem Sie im Partner Learning Center den Titel mit Ihrer Region / Anbieter öffnen und dann auf "Interessiert" klicken:
Ein schönes Wochenende und liebe Grüße, Berndt Schwarzinger
P.S.: Das HP Mini kommt mit 6 Zellen im Akku statt 4 Zellen, hat wiegesagt ein UMTS-Modul drin, eine erwachsene Auflösung von 1366x768 serviert von einem entspiegelten Display, 7200RPM Festplatte, gebürstetes Aluminium… ich glaube wir haben hier gemeinsam mit HP ein wirklich schönes Modell gewählt. Dass die Trainings wie gewohnt in Top-Qualität von einem unserer CPLS mit entsprechend zertifizierten Trainern durchgeführt werden, brauche ich glaube ich nicht extra zu erwähnen.
Hier eine wunderbare Linksammlung, die ich selbst gerade erst erhalten habe – die mir aber so interessant erscheint, dass ich sie mal gleich hier veröffentlichen möchte (noch bevor ich sie mir selbst im Detail angeschaut habe)
- Das Wichtigste hab’ ich ja schon gestern gepostet: PROJECT AND PROJECT SERVER 2010 BETA SOFTWARE AVAILABLE - Public beta is now available to you and your customers. Please spread the news:
microsoft.com/project - PROJECT AND PROJECT SERVER 2010 SALES PRESENTATION MATERIAL AVAILABLE: Download the 2010 presentation deck to present to your customers:
Microsoft Partner Portal EPM Specialized page - ONLINE MINI SALES COURSE AVAILABLE FOR PROJECT AND PROJECT SERVER 2010 - Run thru this on demand sale training:
Partner Learning Center - INDEPTH SALES AND TECHNICAL (IGNITE) TRAINING IN YOUR REGION FOR PROJECT AND PROJECT SERVER 2010 - Attend sales and technical training in your region:
Sales and Technical training locations, dates and agenda - INDEPTH DEVELOPER INFORMATION ON PROJECT AND PROJECT SERVER 2010 - includes the 2010 BETA SDK:
MSDN for Project 2010 - INDEPTH ITPRO INFORMATION FOR PROJECT AND PROJECT SERVER 2010 - includes Upgrade and Migration Resource Center for Project Server 2010 (Beta):
TechNet for Project 2010
leo.faltus@microsoft.com
Es freut mich, dass wir in einer für IT Partnerveranstaltungen "unüblichen" Stadt sind: Nächste Woche, am 25.11.09, sind wir gemeinsam mit der Techdata in Amstetten, um Partnern das Thema Virtualisierung mit Windows Server 2008 R2 und Hyper-V Server R2 und System Center Virtual Machine Manager usw. nahe zu bringen. Die EInladung zu dieser Gratisveranstaltung ist hier unten dran - wir freuen uns auf viele "Local Heros" aus den Bezirken Amstetten, Scheibbs, Ybbs und so weiter! Speaker 1. Ranges (ich sag nur Christian Decker und Bernhard Halbetel.) - also nix wie hin!
Christian Moser
Sie wissen mittlerweile auch schon ...
... daß der richtige Einsatz von Virtualisierung IT Kosten spart, Verfügbarkeiten erhöht und bestehende Infrastrukturen verbessert? Bestens ! Aber wie verdient man als IT-Händler an diesem Hype der immer mehr zum Standard wird? Macht es sich bezahlt, dieses Thema näher zu betrachten? Wir sagen JA!
Microsoft und Tech Data laden Sie deshalb herzlich zum Workshop:
"Make Money with Microsoft Virtualization"
Am Mittwoch, den 25.11. erfahren Sie alles kompakt in nur 180 Minuten:
Agenda
- Virtualisierung - im Kurzüberblick
- So profitabel ist "Gratis" - Virtualisierung von Microsoft für IT-Händler
- Wie werden Betriebssysteme in virtuellen Umgebungen lizensiert?
- Der on-top Value des speziellen Virtualisierungs-Partnerstatus von Microsoft
- Welche Geschäftschancen verspricht das System Center
"Server Management Suite Datacenter" - Das Microsoft ROI Tool kalkuliert das optimale Virtualisierungs-Szenario im
Live-Umfeld |
Zielgruppe
alle IT-Händler, die jetzt oder zukünftig mit Windows Server 2008 arbeiten und eine lukrative Geschäftschance wahrnehmen möchten, Virtualisierungs-Technologie Einsteiger, keine besonderen Voraussetzungen/Vorkenntnisse
| 
|
| Make Money with Microsoft Virtualization |
| | | 
| Mittwoch, 25.11.2009,
Welcome 9:00, Workshop von 9:30 - 12:30
begrenzte Teilnehmerzahl
Anmeldeschluss: 20.11. | | | | 
| Schloss Hotel Zeillern
Schloss-Straße 1, A-3311 Zeillern
Tel.: +43 (0) 7472/6 55 01 | | | | | | |
| 
|
| 
| |
| 
| Wir freuen uns auf Ihre Teilnahme !
Liebe Grüße
Ihr Tech Data Software Team |
Der Download enthält
- Office 2010,
- SharePoint Server 2010,
- Visio 2010,
- Project 2010
- und die Office Web Apps
Download-Location: www.microsoft.com/2010
Ebenfalls interessant:
- Office Mobile 2010 has also reached the public beta milestone and is now available on the Windows Mobile Marketplace for Windows Mobile 6.5 phones.
- As part of the beta Microsoft is unveiling several new capabilities, including:
- The Outlook Social Connector, a new feature which brings communications history, business and social networking feeds into the Outlook experience.
- Microsoft released the Outlook Social Connector SDK for developers to build connectors to third party social networks.
- LinkedIn is the first partner to announce that they will provide connectors.
- Technology and design advancements, including deeper integration between Office 2010 and Office Web Apps, improved navigation, visual design and icon updates, a new Office logo and increased performance and stability.
- As a result of the continued partnership with SAP, Microsoft also announced intent to deliver Duet Enterprise for Microsoft SharePoint and SAP. The joint solution from SAP and Microsoft will enable interoperability between SAP applications and SharePoint 2010. The solution is planned to be released in the H2 2010.
leo.faltus@microsoft.com
Mit 1. Dezember ändern sich einige Scan-Engines in Forefront Security for Exchange (und natürlich den älteren Antigen-Versionen):
Wie man aus dieser Liste sieht, wird auch die Anti-Spam Engine ausgetauscht.
Diese Info wurde übrigens schon im Juli kommuniziert, ich habe nur in einigen Gesprächen gemerkt, dass das scheinbar im Sommerloch verschwunden ist.
Ab 1. Dezember gibt es für die 3 Engines (CA, Sophos und Ahnlab) keine Signatur-Updates mehr, d.h. diese Engines müssen disabled werden !
Viel wichtiger als die Optimierung der Antiviren-Engines ist der Wechsel der Anti-Spam Engine. Es ist nun die Cloudmark-Antispam Engine enthalten, die wesentlich bessere Erkennungs- und Fales Positiv Rates hat.
Nachdem Forefront Security for Exchange sowieso nur mit SA verkauft wird, kann entweder das SP2 oder aber die neu releaste Version Forefront Protection 2010 for Exchange eingespielt werden.
Ist das schlimm, dass nun 3 Engines weniger sind ? Nein, nicht wirklich – die verbleibenden 5 Engines machen, wie dieser Test zeigt, eine sehr gute Arbeit:
Die Konzentration auf die 5 besten Scan-Engines der Suite erlaubt uns eine noch bessere und intensivere Zusammenarbeit mit diesen Herstellern – lizenztechnisch war bisher ja sowieso immer nur der Einsatz von 5 Engines pro Server erlaubt, d.h. hier entsteht kein Nachteil.
Alle näheren Infos unter http://technet.microsoft.com/en-us/forefront/serversecurity/dd940095.aspx – bitte dringend lesen, wenn man Forefront Security for Exchange, Sharepoint oder OCS einsetzt.
lg
Christian Decker
Christian.Decker@microsoft.com
Heute Dienstag wird die Professional Developers Conference (PDC) eröffnet!
Am ersten Tag sind Ray Ozzie (Chefentwickler) und Bob Muglia (President, Server and Tools Business Divison) im Rahmen der Keynote on Stage, das ganze startet um 17:30 lokaler Zeit.
Die PDC ist die wichtigste Entwickler Konferenz von Microsoft und gibt einen Ausblick auf die nächsten 5 Jahre rund um die Microsoft Plattform.
Für Kunden und Partner die Gelegenheit bequem zuhause die Top News zu erhalten!
Alle Infos und livestream auf www.microsoftpdc.com.
Martin Pöckl
martin.poeckl@microsoft.com
Vortrag von Michael Schade, Product Manager Citrix
Cloud Bridge
Orchestrierung – Workflow Studio
Lifecycle management – Citrix Lab Manager (Platinium)
Workload Management – Citrix Provisioning Services , Workflow Studios
Integrierte HA
Storage – Citrix Storage Link
SCVMM
Hyper-V
Citrix Essentials Storage Link
Wie binde ich das Storage sauber an ?
der Admin kann die Storagefunktionalitäten aus einer Oberfläche abarbeiten, ohne sich mit den Storagehersteller Tools beschäftigen zu müssen
Storage Link ist quasi der “Dolmetscher” – er kennt alle Storage Hersteller und übersetzt die Eingaben
Tool kann die wichtigsten Dinge, die der Serveradmin von Storage braucht
Es gibt unterschiedliche Wege, wie Citrix die Storagehersteller anspricht – Citrix kann bis zu 50 verschiedene Storagehersteller anbinden
Look & Feel schaut aus wie von Microsoft Systemcenter
Provisioning Services
Ich erstelle ein goldenes Image und kann damit beliebig viele Clones erstellen – Beispiel Terminalserver oder virtualisierte Desktops
Sprich, wenn ich identische Server habe, erspart mir dieses Tool Verwaltungsarbeit und Storageplatz
Citrix Essentials Workflow Studio
über eine grafische Oberfläche und ohne Programmierkenntnisse kann ich einen Workflow abbilden. Danach kann ich die einzelnen Vorgänge automatisieren. Die Tasks sind tlw. fix und fertig integriert (Anbindung auf Domäne, Druckereinbindung, …[viel Powershell]), oder ich kann Tasks auch selber erstellen
Beispiel: Monitoring Tool stellt fest, dass der Schwellwert der Serverauslastung überschritten ist, meldet das an Workflow Studio, Workflow Studio startet Workflow, sagt dem Hyper-V dass er einen neuen Server hochfahren soll, dem Monitoring Tool, dass es diesen Server verwalten soll und verteilt dann die Last auf den neuen Server. Wenn Belastung wieder geringer, meldet Monitoring Tool dem Workflow das, Workflow Tool moved die Ressourcen wieder auf weniger Server
Citrix Essentials Livecycle Management
Lab Management
viel Aufwand, die Produktivumgebung in eine Laborumgebung zu kopieren und umgekehrt. LiveCycle Management hilft dabei
Weiters hilft es in der Verwaltung, wem welche Maschinen gehört
geht ein wenig weiter als das Self Service Portal, weil es Software, Lizenzen, Netzwerk und Storage mit integriert. Ich kann damit wesentlich komplexere Laborumgebungen nachstellen.
Stage Management
dafür ausgerichtet, eine virtuelle Welt 1:1 aus der Produktiven Welt rauszubringen, dort kann ich dann in der Schattenwelt Patches installieren, Software installieren usw. Ich kann dann ein Genehmigungsverfahren einrichten, dass diese “Schattenwelt” wieder produktiv wird
Lizenzierung
2 Versionen: Enterprise Edition und Platinum Edition (hier sind zusätzlich Lab und Stagemanager drinnen)
Es gibt ein Essentials Express, dass den Storage Link für 2 Server kostenlos mitliefert
lizenziert wird pro physischen Server
d.. Citrix ist eine brauchbare Erweiterung des Hyper-V und SCVMM für bestimmte Bereiche – gerade der StorageLink klingt recht brauchbar
Christian
Christian.Decker@microsoft.com
Gerade bin ich über die Testergebnisse von VB100 gestolpert – auch hier zeigt sich die großartige Arbeit unseres Security Response Teams:
Forefront Client Security:
10 Tests bis jetzt, alle 10 mit der VB100 Auszeichnung, kein einziger Fehler…
Auf der Übersichtsseite, wo die letzten 5 Testergebnisse aufgelistet sind, haben nur 8 von 43 Scan Engines geschafft, kein rotes X zu zeigen (gezählt sind nur die mit mehr als einem Test)
D.h. Forefront Client Security ist nicht nur eine der besten Scan Engines, sondern auch eine der schnellsten und vor allem eine der Engines, die in einem Unternehmen am besten zu managen sind…
Wäre vielleicht mal eine Gelegenheit, sich das Ding näher anzusehen ?
lg
Christian
Christian.Decker@microsoft.com
Konsolidierung und Virtualisierung ist in aller Munde, auch für Datenbanken. Dabei gibt es aber immer einige Bedenken, die besonders bei Datenbanken kritische Punkte sind:
- Performance (vor allem I/O Performance)
- Verfügbarkeit (kann ich 2 Fliegen mit einer Klappe schlagen – Virtualsieren und Hochverfügbarkeit?)
- Verwaltung (wie soll all die virtuellen Server verwalten)
Warum konsolidieren wir überhaupt Systeme. Im Grunde kann man die Argumente für Konsolidierung in den folgenden drei Punkten zusammenfassen:
- Cap-Ex reduzieren (Hardwarekosten, Strom, …)
Op-Ex reduzieren (Mehr Auslastung der Systeme, bessere Verwaltung, Hochverfügbarkeit ist günstiger) - Infrastruktur Agilität (Load balancing, Standardisierung)
Bevor man loslegt, sollten man sich über die richtige Art der Konsolidierung Gedanken machen. Denn entgegen der reflexartigen Aussage Konsolidierung = Virtualisierung gibt es gerade im Datenbankbereich durchaus noch andere Arten Systeme zu konsolidieren:
- Konsolidierung innerhalb einer Instanz = mehrere DB’s (Vorteil: Nur ein Server mit einer Instanz, geringe Kosten, einfache Verwaltung; Nachteil: Resourcenverwaltung/-trennung, Sicherheit, nur ein Datenbankschema für unterscheidliche Datenbanken)
- Konsolidierung in mehreren Instanzen (Vorteil: Nur ein Server, geringe Kosten, Sicherheit durch getrennte Instanzen, optimale Ausnutzung der Hardware Resourcen; Nachteil: Resourcenauslastung (IO Limitierung)
Konsolidierung durch Virtualisierung (Vorteil: Hochverfügbarkeit, echte Isolation zwischen den Applikationen/DBs; Nachteile: höhere Kosten, aufwendigere Verwaltung/Installation, Resourcen)
In vielen Szenarien kann der zweite Punkt – die Konsolidierung in meheren Instanzen – durchaus eine gute Lösung darstellen. Vorallem für nicht kritische, resourcenschonende Anwendungen ist die Methode gut geeignet. Durch die Aufsplittung in mehrere Instanzen und mit Hilfe des Resource Governors kann das Thema Resourcenaufteilung / Verwaltung gut gelöst werden. Einziger Nachteil: die Phasenweise sehr geringe Auslastung von Hardware kann dadurch schlecht optimiert werden.
Die flexibelste, aber auch aufwendigste Methode ist die Virtualisierung. Im Falle des SQL Servers empfehlen wir dazu die Hyper-V Technologie des Windows Servers 2008 R2 einzusetzen. In entsprechender Konfiguration sind die Performance Einbußen im IO, CPU oder Memory Bereich marginal und nur bei Systemen die eine extreme IO Last produzieren von Bedeutung. Als Fallstudie dient das Konsolidierungsprojekt von Mircosoft IT, die seit einiger Zeit die DB Konsolidierung mittels Virtualisierung durchführen. Anhand der Fallstudie kann nachvollzogen werden welches System mit welcher Konfiguration eingesetzt wurde, wie sich die Performance entwickelt und welches Einsparungspotential sich ergeben hat (siehe dazu Grafiken auf der rechten Seite). Alle Informationen dazu unter der URL: xxxxxxxxxxx
Performanceanalyse virtuell vs. nativ
Rot = virtuell, blau = native Installation
Abschließend noch ein paar Tipps von unseren Virtualisierungsexperten und Lehren aus der Microsoft IT Konsolidierung:
- CPU overcommit vermeiden; das führt bei hoher Arbeitslast zu hohen Performanceeinbußen
- Die Hyper-V “Operating System Enlightenments” aktivieren: führt zu einer besseren IO Performance, reduziert Overhead beim Speicherzugriff
- Passtrough und Fixed Size VHDs verwenden; führt zu einer besseren IO Performance
- Dynamische VHDs unbedingt vermeiden!
- Hauptspeicherkapazität kann nicht dynamisch in den virtuellen Maschinen verändert werden; daher am Vorsystem analysieren um optimal zu konfigurieren
- Sehr netzwerkintensive Anwendungen können mehr Overhead verursachen
- Auf neue Prozessorarchitekturen setzen (SLAT, Snoop filter). Hyper-V nutzt diese Technologien aus und erzielt dadurch deutliche Performancegewinne
- Die Konsolidierung von heterogene Workloads am selben Server verhindern
Weiterführende Links:
Martin Pöckl leider nicht mehr live von der teched 2009 :-)
martin.poeckl@microsoft.com
In weniger als 40 Wochen am 13. Juli 2010, endet der Support für Windows 2000 und Windows XP SP2.
d.h. es gibt ab diesem Zeitpunkt keinen telefonischen Support und keine Security Updates.
Trifft uns das ?
Ja – es gibt noch genug Windows 2000 Server draußen (Workstations weniger) und eine Vielzahl von XP-Maschinen auf Basis SP2
Der End of Support sollte NICHT der Hauptgrund sein, auf moderne Technologien umzusteigen – da gibt es wesentlich bessere Gründe
Aber er könnte der Anlass und Auslöser für Kunden sein, die Migrationsprojekte nun doch ernsthaft anzugehen
Also, Happy Selling
Christian
Christian.Decker@microsoft.com
Am Wochenende habe meinen Server zu Hause von einem “normal” installierten Windows Server 2008 mit der Hyper-V Rolle (und 4 virtuellen Maschinen) auf den neuen Hyper-V Server 2008 R2 umgestellt – hier ein paar Eindrücke. (Achtung: Bitte diesen Blogpost nicht als offizielle Microsoft-Anleitung missverstehen, sondern mehr als: “Worauf man vergessen kann, wenn man migriert” Hämische Kommentare werden demutsvoll entgegengenommen)
Ausgangslage:
Single Server, 3 Platten ohne Raid, 8 GB Speicher, 4 virtuelle Maschinen (1 x SBS 2008, 1 x ISA, 1 x Webserver, 1 x DownloadPC)
OS: Windows Server 2008 Standard in der Full Installation mit aktivierter Hyper-V Rolle
Ziel:
Das OS durch den kostenlosen Hyper-V Server 2008R2 zu ersetzen (und die Platten etwas anders aufzuteilen)
Learnings:
Das Installieren des Hyper-V Server 2008 R2 war ein Kinderspiel – Dauer ca. 15 Minuten, alle Komponenten erkannt, glücklich ;)
Super Menü für die wichtigsten Einstellungen (Servername, Netzwerkeinstellungen, Domänenzugehörigkeit, Einrichten der Freigaben für Administration, Zeit, usw.)
Davor hatte ich auf meinem PC bereits die Admintools runtergeladen – Plan war, den Hyper-V Server nicht in die Domäne zu nehmen sondern mit einem lokalen User zu administrieren.
Erstes Learning: Admin-Tools verbinden sich nicht mit dem Server, wenn nicht in der gleichen Domäne
Viel probiert (gleicher Username/Passwort auf beiden Maschinen, gleicher Workgroupname, keine Chance) (Vielleicht bin ich auch nur zu blöd dazu…)
Grosse Frage: Wie bekomme ich einen Hyper-V Server in die Domäne, wenn ich ihn nicht administrieren kann, um meinen Domaincontroller darauf laufen zu lassen
Es hat schon einen Sinn, warum wir Umgebungen, in denen kein physischer DC läuft, nicht supporten….
Also muss ein DC her – nach der Installation des virtual PCs auf meinem Win7 musste ich feststellen, dass im Bios die Hardwarevirtualisierung nicht aktivierbar war….
Nach einigen Versuchen war es 2:00a.m. und die Laune dementsprechend … – also die alte Umgebung wieder gebootet und für diesen Tag aufgegeben
Am nächsten Tag Firmennotebook als Win Server 2008 R2 gestartet und dort als virtuelle Maschine einen 2008R2 Server installiert.
Klarerweise muss man die 2008 Domäne des SBS erweitern (und ein Forest-Prep reicht nicht, es muss auch ein Domain-Prep werden), danach läuft ein zweiter DC im Netz.
Einige Fehlversuche später stelle ich fest, dass dieser DC auch einige Master-Rollen benötigt, damit man dort neue Rechner anlegen kann (und mit den obigen 2 Sätze habe ich sicher 1,5 – 2 Stunden versch**en)
Dann war alles wieder unglaublich einfach:
Hyper-V Server 2008 R2 in die Domäne gehängt, rebootet, mit den Remote Admin Tools den Hyper-V eingerichtet, Maschinen neu angelegt, läuft (fast)
Woran ich nicht gedacht habe, ist, dass das Neueinrichten der Maschinen (sprich die reine Übernahme der VHD ohne Einstellungen) neue Netzwerk-Karten in den Servern anlegt und die alten Einstellungen verloren gehen.
Irgendwie hab ich es dann ohne Dokumentation doch hinbekommen, alle Netzwerkkarten richtig zu konfigurieren…
Fazit:
- Habe ich nur einen Host, auf dem alle meine Server laufen, sollte ich zumindest einen physischen Domaincontroller haben
- Vor jeder Migration sollte eine vollstände Doku des Netzwerkes vorliegen (Servernamen, Einstellungen, Netzwerk, …)
- eine reine Übernahme der VHDs “löscht” die Netzwerkkarten Einstellungen
- die auf Hyper-V 2008 erzeugten Maschinen laufen problemlos auf 2008R2 Hyper-V, allerdings ist die Aktualisierung der Integrationstools empfohlen
- leider habe ich keine genauen Zahlen, wie viel Memory ich mehr zur Verfügung habe, gefühlsmäßig aber ca. 512 MB (bitte nicht darauf festlegen !)
- das System ist deutlich spürbar beim Starten/runterfahren und gefühlt schneller bei der zur Verfügungstellung der VMs
Sprich: Ich kann jedem nur empfehlen, seine Hyper-Vs auf die neue Plattform umzustellen – unbedingt in der Hyper-V Server Rolle, damit “unten” wirklich nur die Virtualisierung läuft.
Lg
Christian
Christian.Decker@microsoft.com
Entgegen der landläufigen Meinung einen Cluster zu Installieren sei sehr aufwendig und kompliziert, haben wir in dieser Session gelernt, dass die Installation eines SQL 2008 Failover Cluster mit etwas Basiswissen und Dokumentation durchaus auch für “normalsterbliche” DBA’s möglich ist ;-).
Doch warum warum überhaupt clustern?
Die Failover-Clusterunterstützung in SQL Server bietet eine hohe Verfügbarkeit für eine gesamte SQL Server-Instanz für zwei Problemstellungen:
1. geplante downtime reduzieren (Upgrade patches)
2. ungeplante downtime reduzieren (Fehlerfall).
In beiden Fällen reduziert Failoverclustering maßgeblich die Downtime des SQL Servers, teilweise bis auf 0.
Was ist wichtig zu wissen?
1. SQL Server-Failovercluster werden auf der Basis von Windows Server-Failoverclustern erstellt. Um einen SQL Server-Failovercluster zu erstellen, muss zuerst der zugrunde liegenden Windows Server-Failovercluster erstellt werden.
2. Bestehende SQL “stand-alone” Instanzen können NICHT in einen Cluster umgewandelt werden.
3. Die Installation eines Clusters ist ein eigener Punkt im Setup, auf jeder Node wird mit diesem Punkt ein SQL installiert und dann über einen zweiten Setup Punkt in den Cluster gehängt. (Install Node, Join Node)
3. Das Setup ist ziehmlich selbserklärend, es gibt ausreichende Dokumentation dazu (Whitepaper: http://download.microsoft.com/download/6/9/D/69D1FEA7-5B42-437A-B3BA-A4AD13E34EF6/SQLServer2008FailoverCluster.docx, MSDN (deutsch): http://msdn.microsoft.com/de-de/library/ms189134.aspx)
4. Für den darunterliegenden Windows Clsuter empfehlen wir Windows Server 2008 (R2). Neben einigen Verbesserungen im Clustermechanismus ist vorallem auch das Setup extrem vereinfacht und verkürzt worden (12 vs. 3 Schritte im Assistenten)
Wie verhält sich der Cluster im Fehler oder Upgrade Fall?
1. Der Failover (egal ob manuell oder automatisch) ist gleichbedeutend mit einem Restart einer Instanz, wobei die Zeitverzögerung minimal ist. Trotzdem verliert eine Client Applikation kurzzeitig die Verbindung zur Datenbank und sollte daher einen Retry-Mechanismus für die DB Connection eingebaut haben. Die “Ansprechdaten” (Servername, Instanznamen, usw.) bleiben natürlich gleich, es ist so als würde man kurz das Netzwerkkabel kappen.
2. Im Upgrade Fall (2005 –> 2008) kann mit 2 Nodes kein Failover während des Installationsprozesses stattfinden, da einer der 2 Knoten upgegraded wird und daher offline ist. Wenn die Installtion fertig ist und vom 2005er Node auf den “neuen” 2008er Node umgeschalten wird, müssen noch DB Aktualisierungsscripts laufen. Daher ist die Downtime bei diesem speziellen Failover länger als normal (wenige Minuten), diese Downtime muss aber unbedingt eingeplant werden! Ab 4 Nodes im Cluster ist auch ein Failover während des Upgrades möglich, da die Nodes immer paarweise upgegraded werden. Die Downtime vom Switch 2005 auf 2008 muss aber trotzdem einkalkuliert werden.
3. Ein Upgrade ist auch mit einem zusätzlichen Mirror Server möglich. In diesem Cluster + Mirror Szenario wird zuerst der Mirror und dann der Cluster aktualisiert.
Weiterführende Infos zu Installation, Betrieb und Hintergrundwissen:
Martin Pöckl von der teched 2009, Berlin
martin.poeckl@microsoft.com
Rafal Lukawiecki
Strategic Consultant Project Botticelli Ltd
Er ist sooo gut ;)
Vista had – aehmm – some issues
thankfully – not security ones !
Wenn Sicherheit in Vista sooo gut war, warum haben wir dann WIndows 7 ?
Weil Security in Vista nicht unbedingt usable war
USability Scenarios (wie Security den User betrifft)
On Premises
Beim Strat ist das System geschützt durch TPM und Bitlocker um Offline-Modifications zu verhindern
NAP stellt sicher, dass der Rechner nach dem Start alle notwendigen Patches und Security Richtlinien hat
User logs on with no admin rights – wenn admin Rights wirklich benötigt werden, wird der USer gefragt – Apps die das nciht unterstützen kann ich virtualisieren oder im X mode fahren
User können nur Apps laufen lassen, die ich ihnen über Applocker erlaubt habe
DNSSEC verhindert phisihing durch verseuchte DNS
Wenn Updates verfügbar sind, REstart Manager hilft, dass die Störungen minimiert werden durhc herunterfahren
On Road
Bitlocker schützt nun von Datenverlust im Fall von Verlust/Diebstahl
Mehrer Firewal Policies erlauben die Maschine besser zu schützen ohne Benutzereinwirkung
Benutzerzugriff auf Unternehmensressourcen sicher und effizient durch Direct Access
Corp Admins können remote update und control the laptop – ohne warten zu müssen, bis der User sich ins UNternehmensnetzerk verbindet
Benutzer könenn ihre Smartcard/PKI aktuell halten durch HTTPCert ohne in die Firma zu müssen
Liability INvestigation
Wenn was schief geht…..
Ich bin compliant, weil
meine Daten am Server durch EFS Suite B verschüsselt ist
alle laptops haben Bitlocker
und ich habe per Policy veboten, dass Daten auf ungeschütze Speicher abgelegt werden
Meine Smartcards sind sicher
Meine Passwörter sind strong
Jeder Fingerprint Reader werden nur als secondary line of defenser verwendet werden und vertrauen auf dme Windows biometrics framework
Verbessertes Audit zeigt, wer was wann versucht hat
Dann habe ich einen guten Job gemacht…
Key Security Technologies
Hardened Services
Windows und Services
SID per service Security Identifier) damit kann ich Services in ACL und Firewalls erkennen
Managed Service Accounts – Automatisches PW reset oder no password (d.h. die Servcie Account Passwörter ändern sich AUTOMATISCH regelmässig) – ich kann das auch ohne passwort haben – es git dafür keine GUI, nur Powershell
ASLR – Address Space Layout Randomization – Key DLLs werden in eine von 256 memory locations zufällig geladen, damit schwieriger zu attakieren
Pointer Obfuscation – mmhh Blackout (400er Session)
Next Generation TCP/IP – Dual Stack IPv6 stack – IPv6 is more secure then IPv4
Das Coole an Direct Access ist, es ist einfach . kein neues Programm, keine neue Technologie, keine neue Server – ist nix mehr als eine Point To Point secure verbindung – IPv6 und IPSec – ich brauche nix dafür, nur IPv6 aware Applikations – habe ich eine App, die so verliebt ist in IPv4 ist, wird direct Access nicht laufen fürr diese App (ausser mit z.b. UAG) – Direct Access sollte unbedingt gemeinsam mit DNSSEC konfiguriert werden, sonst habe ich ein Securityproblem, wenn DNS Server gehakt werden
Applocker
UNterschied zu Security Software Restriction Policy ist, dass Applocker nun im KernelMode rennt, damit wesentlich schwieriger zu umgehen ist !
DNSSEC
wir haben RFC implementiert 4033, 4034, 4035
Zertifikatsbasierende Verification von DNS Responsees (kann man verstehen wie DNS über HTTPS)
EFS with Suite-B
”Ich brauch doch kein EFS, wenn ich Bitlocker habe !” – FALSCH – Bitlocker schützt die Daten vor unberechtigten Zugriff außerhalb meiner Betriebssystemumgebung – sobald mein OS rennt, hat es vollen Zugriff auf die Platte – EFS kontrolliert dieses Zugriff
Client
Fingerprint Reader – war bis jetzt eher eine schlechte Implementation…
Fingerprints sind sowieso eher unsicher, weil ich den Fingerprint von dir überall finde
aber ein Fingerprint Reader ist besser als ein schlechtes Passwort ! (besser wäre aber eine Smartcard)
Problem war bis jetzt die Middelware (Treiber, unsichere Speicherung der Passwörter usw..)
Deswegen haben wir das jetzt ins OS eingebaut – der User braucht nur noch das Device, den Rest machen wir
Coole, tief technische Session, die die ganzen Securityfeatures tief technisch erklärt.
Zeigt, dass Vista und Windows Server 2008 schon sehr sicher waren, Win 7 und Server 2008R2 machen es noch wesentlich besser verwendbar !
Christian – live vonn teched in Berlin
Warum ist die Session zweigeteilt ?
Der Direct Access Wizard funktioniert nur dann gut, wenn die Teile der ersten Session verstanden und richtig konfiguriert wurden !
d.h. bevor ich 6to4, Teredo und IPHTTPS nicht verstanden, konfiguriert und getestet habe, brauche ich den Direct Access Wizard nicht ausführen
IPSec
Secure the tunnel – es muss verschlüsselt sein und wir müssen dem Computer vertrauen
Wir reden hier von Authentication auf Netzwerkebene, nicht auf Benutzerebene/Logon
IPSec ist gemanaged durch IWndows Firewall mit Advanced Security – am besten deployed mit Group Policy
Connetion Rules erzeugen: den Authentication Tunnel (authentication and encrypted) und Authentication connects (computer and user authentication)
Traffice Profile – Rules based on traffic profile
Main Mode – über diesen Kanal wird die Verbindung aufgebaut
Quick Mode – hier werden die Daten transportiert und die Authentifizierung (Computer/User) – dieser Key wird regelmässig ausgetauscht
Um ehrlich zu sein – beim Rest habe ich irgendwann abgeschalten….
Direct Access Wizard – Tipps
- remove DNS isatap block
- Computer certificates must bei issued to computers (wirklich ?)
- Server certificates must be issued to
- DA server with external DNS name in certificate
- NLS web server with nls url address in certificate
- CRL distribution should be configured in certificate
- CRL distribution location must bei available on both the INternet and Intranet
- Wenn der DA Server ausfällt, steht das ganze DA – lass es in einer hochverfüpgbaren VM laufen
- Loadbalancing möglich mit Forefront UAG
Wenn ich das richtig verstanden habe, kann ich mit den vorhanden Bordmittel über DA nur Rechner im Corp-Netz erreichen, die IPv6 installiert haben (unabhängig ob sie auch IPv4 installiert haben) – und ich brauche als EndPoint Server mind. Server 2008. Um reine IPv4 Rechner erreichen zu können, benötige ich UAG oder 3th Party Lösungen.
Beide Sessions sind eine super Anleitung, wie man Direct Access von Anfang bis zum Ende einrichtet – Folien und Aufzeichnung stelle ich (wenn ich es habe) gerne zur Verfügung.
Auch ist das eine super Troubleshooting Anleitung – wenn man seine Schritte vom Anfang bis zum ENde durchgeht, findet man (wahrscheinlich )den Fehler – wenn ich IPv6, IPv4, Kerberos, IPSec usw. kenne ;)
Christian – live von der teched in Berlin
John Craddock
Infrastructure & Security Architect XT Seminars Ltd
Ist eine 400er Session, ich entschuldige mich jetzt schon für alle Unklarheiten in der Mitschrift, ich hoffe, dass es nicht zu chaotisch wird :)
Direct Access – PreLog on Verbindung – Patchmanagement, health check and GPOs (ohne dass der User eingeloggt ist)
Wenn der User sich einloggt, prüfe, ich ob er das eh darf
und das egal, ob ich direkt im INternet bin oder hinter einer Firewall
(So in einem Nebensatz meint er, dass man das auch verwendne könnte, um Server, die in der Cloud sind, nahtlos mit meinem Netzwerk zu Verbinden – interessanter Gedanke)
Problem – ich brauche viel Transition Technologie, um IPv6 in IPv4 zu übersetzen, abhängig, wie ich mich verbinden kann, viele unterschiedliche Technologien
Und ich muss das ganze natürlcih absichern mit Zertifikaten
und ich muss klären, wie ich das mit dem DNS mache – damit der client auch meine internen Adressen auflösen kann
Part 1: IPv6 INtro, Transition TEchnologies, End-to-End connectivity
IPv6
IPv6 hat einen riesen Adressspace (128 Bits)
eine sehr effiziente routing hierarchy (16 bits um mein Netzwerk zu identifizieren 64000 Möglichkeiten)
Automatische Konfiguration (DHCP ist nicht unbedingt notwendig, Router hilft mir dabei, das Default Gateway zu finden)
Neues Protocoll für Zusammenarbeit mit benachbarten Nodes (viel besseres Multicast)
Nachteile
- ich brauche eine neue Routing Infrastruktur um native IPv6 zu supporten
- IPv6 adressen kann ich mir schlecht merken
- nicht alle Apps sind IPv6 kompatibel !!! (es kann sein, dass einzelne Applikationen mit DA nicht gehen !)
Layer 2 – keine Änderungen
IPv6 Adresse 128 Bit getelt in 8 Blocks zu 16 Bits – jeder 16 bit Block wird als 4 Hex-Zahlen geschrieben, geteilt bei einem :
habe ich 0 er drinnen, kann ich die weglassen (auch wenn in einem Block nur 0 sind)
IPv6 ist geteilt in 2 Teie : Netzwerk = 64 Bits, Host Identifer 64 bits – host compponent kann von meiner MAC Adresse kommen – Privacy Problem – daher machen Win Server 2008 und WIn 7 hier eine zufällige Zahl beim ersten Mal – kann disabled werden
Fe80::<host ID> – automatisch assigned und nur verfügbar über das lokale Netzwerk Jeder Host hat diese Adresse, auch wenn er eine global Adresse hat
fe80::rest bis zum : ist der Host Identifier %12 – Zone Identifier
netsh interface show route – wenn ich einen pIng mache, brauche ich die Zone ID des Netzwerkes, das ich pingen will
Unicast address
FD hex (1111 1101) Global ID (40bits) SubnetID (16Bits) Interface ID (64bits)
private routing between sites Routing between LANs within a site
Global Adress (internet registered)
001 (3bits) Global routing prefix (45 bits) Subnet ID (16 Bits) Interface ID (64 Bits)
Routing:
Bei einer Maschine mit 2 NICs muss ich konfigurieren, dass das eine INterface zum anderen routen kann und umgekehrt und dass die das auch advertisen können
Das teilen diese Maschinen dann den Clients mit, die damit ihre Routing Tables füllen
::1 = Loopback (also ich selber)
Grundsätzlich ja ganz einfach, wenn man weiß, was man tut ;)
Transition Technologien
Tunneling – IPv6 Traffic wird in IPv4 als
- IP (used by 6to4 and ISATAP)
- UDP (used by Teredo)
- HTTPS (used by IPHTTPS) (wenn gar nichts anderes mehr geht – https geht immer)
Nachteil: der verschlüsselte IPSec IPv6 Traffice wird wieder in ein verschlüsseltes HTTPS Packerl verpackt…
6to4 Netzwerk ist ein INternet based Public IPv6 Netzwerk
wenn ich ein registriertes IPv4 Netzwerk habe, habe ich auch automatisch ein registriertes IPv6 Netzwerk
Adresse beginnt mit 2002::/16 Prefix
Was habe ich:
6to4 Host/Router
6to4 Relay (verbindet meinen IPv4 Tunnel mit meinem IPv6 Netzwerk)
mmhh – Blackout für die letzten 2 MInuten…
Meine IPv6 registrierte Adresse is t folgende IPv6 Adrsse:
2002:wwxx:yyzz:0:0:0:wwwxx:yyzz (wwwxx:yyzz ist die hexadezmale representation der Host IPv4 adresse 144.19.200.2 translates to 9013:c802 )
je mehr ich verstehe, wie das 6to4 tunneling fiunktioniert, umso leichter tue ich mir mit troubleshooting
wieder Blackout – gute Folien, fast nicht komplex…. 400er Session halt….
ISATAP – INtersite Automatic Tunnel Addressing – tunnelt IPv6 Traffic im Intranet
wenn ich mit 6to4 in mein Netzwerk komme und das aber auch IPv4 ist, brauche ich einen weiteren tunnel, der mein IPv6 in IPv4 in meinem Netzwerk tunnelt – eben ISATAP
Host Config: Netzwro Adress (64 Bits) 0:5efe or 200:5efe (32bit) IPv4 adress (32 Bit)
ISATAP kann über DNS dem Client bekanntgegeben werden (ISATAP wird von der globalqueryblocklist geblckt, muss dort runtergenommen werden !)
Supporting IPv4 Only Hosts
NAT-PT und DNS-ALG – MS hat heute außer UAG keine Lösung dafür – derzeit nur über z.b. Cisco…
Teredo
Teredo bietet UNterstützung wennd er Host hinter einem oder mehreren NTAs ist
Teredo tunnelt IPv6 durch UDP, weil NAT das Tunnelnt von IPv6 durch IPv4 nciht zulassen wird
Blackout – Buffer overflow - sorry
IP HTTPS
IPHTTPS wird verwendet, wenn der Host hinter dem NAT nicht via Teredo tunneln kann, weil UDP geblockt wird
dazu brauche ich eine gut gewartete Zertifikatssstelle bei mir im UNternehmen
Wenn ich das nicht über netsh konfiguereine will, kann ich das auch über Group Policies konfigurieren
mmhhh – gut, war eine 400er Session… Aber wie ich immer schon gesagt habe – Direct Access ist kein Kindergeburtstag ! Um dem Benutzer dieses unglaubliche Erlebnis zu geben, immer und überall mit dem Unternehmensnetzwerk verbunden zu sein und dem Admin die Möglichkeit zu geben, den Rechner auch PreLogon zu erreichen, muss man einiges tun.
IPv6 Wissen ist nicht nur gut, sondern unbedingt notwendig, bevor ich anfange !
Ich muss verstehen, wie das ganze geht, sonst scheitere ich schon am Anfang…
(Kleiner Hinweis: im Jänner sind 2 IPv6 Kurse in Wien für Partner – bei ETC und Global Knowledge – siehe den dazupassenden Blogeintrag, dessen URL ich gerade nciht zur Hand habe)
Ich prophezeie mal, dass viele Kunden das haben wollen
Ebenso, dass die nächsten 3 Jahre in Österreich max. 5 Partner so weit sein werden, dass sie Direct Access beim Kunden einrichten und Troubleshooten können (Ich werd die Namen in ein Kuvert schreiben und schaun wir mal, ob ich recht habe – hoffentlich nicht)
d.h. wenn ich Partner wäre, würde ich mich sehr sehr intensiv mit diesem Thema auseinandersetzen und zumindest 1 Person abstellen, die das macht – egal, ob ich heute Kleinkunden oder Großkunden versorge, weil das werden alle Kundengrößen wollen
Dann würde ich mir 1 – 2 Kunden suchen, wo ich das implementiere und die dazu passende Referenzen schreiben, publizieren und jedem erzählen (mir auch, ich blogge das gerne hier !)
Und dann gehts ans Geldverdienen…
Christian – live von der teched in Berlin
