3.2K Views
December 09, 23
スライド概要
Windows Server & Cloud User Group Japan 第37回勉強会の資料です。
Windows Server v.Next (Windows Server 2025)の新機能について Insider Preview Build をベースに紹介します。
インフラエンジニア
Windows Server 最新情報 SCUGJ (wSCUGJ) 勉強会 #37 2023-12-09 Kazuki Takai Windows Server & Cloud User Group Japan
お話しすること • Microsoft Ignite 2023 で発表された Windows Server v.Next 関連の Topic • 今年(後半)に発表された Windows Server 関連の Topic (の一部)
自己紹介 • たかい (Kazuki Takai) • 会社員 (某ISP勤務) • サービス基盤開発、技術開発 • ライセンス関連 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • 趣味:カメラ(風景写真)、ビデオゲーム、旅行(温泉) • Microsoft MVP - Microsoft Azure
Notice • 本セッションで説明する内容には、 リリース前の機能が含まれます • サービスのリリース、リリース後 のエンハンスにより仕様や動作が 変更となる場合があります
Windows Server 30周年 • 1993年7月27日 Windows NT 3.1 Server https://techcommunity.microsoft.com/t5/windows-serveressentials-and/30-years-of-windows-server/ba-p/3884810
Windows Server innovation Server Datacenter & Virtualization • Windows NT 3.1 Server • Windows NT 3.5 Server • Windows NT 3.51 Server • Windows NT 4.0 Server • Windows Server 2008 • Windows Server 2008 R2 • Windows Server 2012 • Windows Server 2012 R2 Enterprise Cloud • Windows 2000 Server • Windows Server 2003 • Windows Server 2003 R2 • Windows Server 2016 • Windows Server 2019 • Windows Server 2022
Windows Server v.Next Introduction
What’s New in Windows Server v.Next • Azure Arc による Hotpatch • SMB over QUIC と SMB に関するその他のエンハンス • Active Directory に関する各種エンハンス • NTML 廃止に向けた取り組み • Hyper-V 関連のエンハンス • Storage と Network に関するエンハンス • その他
Azure Edition の一部機能が利用可能に • Windows Server Datacenter Azure Edition • Azure VM のみで利用可能な特別な OS Edition • Azure の他、Azure Stack HCI などで利用可能 • Azure Edition で利用可能となっている代表的な機能 • ホットパッチ • SMB over QUIC • Azure Extended Network
Azure Edition のおさらい • 詳しくは、2021年12月の勉強会資料を参照
Azure Edition の一部機能が利用可能に • Windows Server Datacenter Azure Edition • Azure VM のみで利用可能な特別な OS Edition • Azure の他、Azure Stack HCI などで利用可能 • 現状、Azure Edition のみで利用可能な機能 • ホットパッチ • SMB over QUIC • Azure Extended Network
Windows Server 2022 Datacenter: Azure Edition New Hotpatch with Azure Automanage (Preview) SMB over QUIC Core Desktop Core Desktop Core Desktop Azure Edition 以外でも v.Next で利用可能に Azure Extended Networking
Windows Server v.Next Arc-enabled Windows Server v.Next Hotpatching
Hotpatch • 再起動を必要としない形式の更新プログラム • 月次の OS セキュリティ更新プログラム(のみ)が対象 • 定期的にベースラインとなる更新プログラムの適用が必要 • ベースラインの適用時は再起動が必要 • 計画ベースラインは、3か月ごとにリリース
Baseline Hotpatch Planned Baseline 2021-10 Unplanned Baseline ? 2021-11 2021-12 2022-01 2022-02 2022-03 2022-04
Arc-enabled Windows Server v.Next Hotpatching • Windows Server v.Next では Azure Edition 以外もホッ トパッチを利用可能 • Standard Edition と Datacenter Edition • 物理及び仮想サーバー(他クラウド上の仮想マシン含む) • Azure Arc による Azure への接続とコントロールが必要 • 月額のサブスクリプションとして提供 • Azure や Azure Stack HCI 上の VM で Azure Edition の OS を利用する場合は、(引き続き)無償で提供
Windows Server v.Next File Server SMB over QUIC and other SMB enhancements
SMB over QUIC • 443/udp で通信 • TLS v1.3 による通信経路の暗号化 • 前提条件 • サーバ側 : Windows Server v.Next or 2022 Azure Edition • クライアント側 : Windows 11 以降又は Server 2022 以降 • TLS 証明書
SMB over QUIC 証明書の要件 フィールド 値 Key usage digital signature Purpose Server Authentication (EKU 1.3.6.1.5.5.7.3.1) Signature algorithm SHA256RSA 以上 Signature hash SHA256 以上 Public key algorithm ECDCA_P256 以上 (または RSA で鍵長 2048 bit 以上) Subject Alternative Name <SMB アクセスする際の DNS 名> Subject CN=<SMB サーバーのコンピューター名> ※ CN=<何かの値> となっていれば動作はする ※ 実際のコンピューター名と異なっていても動作するが、空は NG Private key included yes
SMB over QUIC の設定 • 通常は Windows Admin Center から実施 • Windows Server 2022 Datacenter Azure Edition の方法 • 現時点で、Windows Admin Center は Azure Edition かどうかをチェックしており、Windows Server v.Next Insider Preview の SMB over QUIC を有効化できない • New-SmbServerCertificateMapping を使用 New-SmbServerCertificateMapping -Name <Server FQDN> -ThumbPrint <Certificate Thumbprint> -Storename My
SMB over QUIC の使用ポート変更 • Set-SmbServerAlternativePort で変更可能 Set-SmbServerAlternativePort -TransportType QUIC -Port <Port number (0 - 65536)> -EnableInstances Default • Windows Server Insider Build では(現時点で)TCP 用のポートを 445/tcp から変更することをサポートして いない
SMB 代替ポートの利用可否制御
SMB over QUIC Client Access Control • 要するに、クライアント証明書認証(追加認証) • クライアント証明書が信頼できる(証明書として Trust チェー ンに問題が無い)場合であっても、クライアント証明書ごとに TLS レイヤーでアクセス可否を制御可能 • 信頼できる証明書の場合、クライアント証明書ごとの制御を行 わずアクセスを許可することも可能 • SMB レベルの(アカウント)認証は、引き続き実施
SMB NTLM の無効化 • NTLM シークレットの発行を抑止 • グループポリシー又は PowerShell で設定 Set-SmbClientConfiguration –DisableNTLM $true • グループポリシーで例外リストを構成可能
SMB NTLM の無効化
SMB NTLM の無効化
SMB Dialect の制御 • 利用を許可する SMB のバージョン範囲を指定可能 • version 2.x から version 3.x で上限と下限を設定 • グループポリシー又は PowerShell で設定 Set-SmbClientConfiguration -Smb2DialectMax -Smb2DialectMin Set-SmbServerConfiguration -Smb2DialectMax -Smb2DialectMin • 注意 : SMB v1 のコンポーネントが有効となっている場 合、この設定は SMB v1 の利用可否に影響しない • この設定で、SMB v1 を拒否することは不可
SMB Dialect の制御
SMB Dialect の制御
SMB 向けの Firewall ルールのセキュア化 • ファイルサーバーの役割インストール時、NetBIOS の ポートを自動でオープンしない • 「ファイルとプリンターの共有(制限付き)」のみ有効化 • ちなみに… • Active Directory Domain Services をインストールすると、 NetBIOS のルールも有効化される
SMB 向けの Firewall ルールのセキュア化 無効なまま 有効化される
Windows Server v.Next Active Directory
Active Directory 32k DB Page Sizes • データベースのページサイズが、32k になる • 新規にインストールしたドメインコントローラーが対象 • アップグレードしたドメインコントローラーは 8k のまま • 64bit Long Value IDs (LIDs) • 互換性のために 8k page mode で動作 • 32k page mode への移行には、フォレスト内の全ての ドメインコントローラーが 32k page 互換となる必要が ある
Active Directory 32k DB Page Sizes
パフォーマンス関連のエンハンス • AD DS が NUMA を意識して動作 • パフォーマンスモニターのカウンターが追加 • Active Directory Diagnostic Data Collector Set
セキュリティ関連のエンハンス • LDAP が最新の schannel 実装を利用するように • LDAP で TLS 1.3 が利用可能 • Confidential attributes の操作時、暗号化通信が必須に • Kerberos でより強度の高い暗号化、署名が利用可能 • SHA-256 / SHA-384 • AES がデフォルトの対象暗号となり、RC4 は非推奨に • PKINT での SHA-2 サポート追加
Active Directory 機能レベル • ドメインとフォレストの機能レベルが追加 • 新しい機能は、新しい機能レベルが必要となる見込み • 既存のドメインで Windows Server v.Next のホストを ドメインコントローラーへ昇格する場合、ドメイン機能 レベルとして Windows Server 2016 が必要
Active Directory 機能レベル
Local KDC & IAKerb • Local KDC • Kerberos キー配布サービスが、ドメインコントローラーだけ でなく、それ以外の Windows ホストにも組み込まれるように • 基本的には、ローカル アカウントの認証用 • IAKerb • Initial and Pass Through Authentication Using Kerberos • 従来より広範なネットワークトポロジーで Kerberos 認証を可 能とする
Windows Server v.Next Hyper-V
GPU Partitioning (GPU-P) • GPU を分割して VM へアサイン • ライブ マイグレーション • フェールオーバー
GPU Partitioning (GPU-P) • SR-IOV が必要 • 対応 CPU • Intel Sapphire Rapids 以降 • AMD Milan 以降 • 対応 GPU • nVidia A2, A10, A16, A40 • 対応ゲスト OS • Windows 10 / 11, Windows Server 2019 / 2022 • Ubuntu 18.04 LTS / 20.04 LTS
GPU with DDA HA Support • PCI Express リソースプールを作成 • GPU をプールに追加 • VM に GPU をアサイン • フェールオーバー可能
その他のエンハンス • Dynamic Processor Compatibility • 明示的に CPU 互換性機能を設定しなくても、異なる世代の CPU を同一クラスターに混在可能とする • 当初は、Intel Xeon Scalable Processor の第3世代と第4世代 に対応 • 第2世代仮想マシンがデフォルトに • Hyper-V Manager での VM 新規作成時
Windows Server v.Next Storage & Network
ストレージ関連機能のエンハンス • NVMe SSD のパフォーマンス(IOPs)向上 • NVMe-oF TCP Initiator • NVMe 2.0 Specification • Storage Replica パフォーマンス向上 • Storage Replica 全てのエディションで圧縮を利用可能 • etc...
ネットワーク関連機能のエンハンス • Azure Stack HCI で実装済みの機能の一部が利用可能に • Network ATC • Network HUD • SDN Multisite • SDN Gateway のパフォーマンス向上 • Hybrid AKS の Windows Server SDN 対応
Windows Server v.Next Others
デスクトップ エクスペリエンス
Wi-Fi のサポート • Windows Server with Desktop Experience で利用可能 • デフォルトでコンポーネントはインストール済み(?) • Windows Server Insider Build 25997.1000 で確認 • 発表では、デフォルトでは無効化されている、となっていたの で初期設定は変更されるかも
Wi-Fi のサポート
winget • winget が OS にビルトイン • インストール直後から利用可能 • Windows Server Build 25997.1000 では winget 1.5.2002 • Winget 1.6 系ではないので winget configuration は利 用不可 • 今後、ビルトインバージョンが変わる可能性あり • ちなみに、PowerShell は Windows PowerShell のみ (ビルトイン)
winget
Azure Arc セットアップの統合 • Azure Arc のセットアップをサーバーマネージャーから 実行可能 • OS の機能としてビルトイン、デフォルトで有効化 • Feature – Azure Arc Setup • 実行すると、Azure Arc の Agent をインターネット経由 でダウンロード・インストールし、初期構成を実施 • 役割と機能の削除から削除することは可能
Azure Arc セットアップの統合
Azure Arc セットアップの統合
Azure Arc セットアップの統合
Windows Update によるアップグレード • Windows Server 2022 から Windows Server v.Next に対して、Windows Update 経由でのインプレースアッ プグレードが可能
Windows Update によるアップグレード
サブスクリプションモデルでの課金 • Azure Arc 経由でサブスクリプションモデルでの課金 (Pay-as-you-go)によるライセンス付与が可能 • Azure Arc Setup の中で構成可能
Demo
まとめ • Windows Server v.Next では… • ホットパッチを利用可能(Arc が必要) • Azure Edition や Azure Stack HCI からの機能移植 • その他、セキュリティや物理ハードウェア向け改善 • Insider Build を使ってみてフィードバック!
参考資料 • Thank You for 30 Years with Windows Server • Hotpatching is now available for Windows Server VMs on Azure with Desktop Experience! • Windows Server vNext at Microsoft Ignite, and What's New in Active Directory Technical Takeoff • Microsoft Technical Takeoff • What's new in Active Directory • #StopRansomware Guide
参考資料 • SMB over QUIC now available in Windows Server Insider Datacenter and Standard editions • SMB over QUIC • SMB alternative ports now supported in Windows Insiders • SMB over QUIC client access control now supported in Windows Insider • SMB NTLM blocking now supported in Windows Insider • SMB dialect management now supported in Windows Insider • SMB firewall rule changes in Windows Insider
参考資料 • The evolution of Windows authentication • ESE Deep Dive: Part 1: The Anatomy of an ESE database • 仮想マシンのホットパッチ • Azure VM での VM ゲストの自動パッチ適用 • Easily enable Azure Arc on Windows Server 2022 • SMB client encryption mandate now supported in Windows Insider • Announcing Windows Server Preview Build 26010