Wij gebruiken cookies. Akkoord
Microsoft Ignite 2018 Dag 4 en 5

Al het nieuws van Microsoft Ignite 2018 - Dag 4 en 5

02 oktober 2018 door Erik Loef

Outlook
Microsoft outlook, wie gebruikt dat nu niet ? De productmanager van Microsoft gaf hier een presentatie over wat ze allemaal verbeterd hebben en welke visie ze nastreven, gezien elke klant dit stuk software gebruikt toch maar eens aanhoren wat ze hierover te vertellen hebben.

De focus van het outlook team is om voor elk OS eenzelfde beleving te maken en alle features voor alle verschillende mogelijkheden van Web tot Mac tot Android uit te brengen.

Twee belangrijke zaken die Microsoft heeft beetgepakt is de performance van het openen van andere agenda's. Om dit voor elkaar te krijgen hebben ze de hele manier van agenda's openen moeten aanpassen. De oude manier was ook niet compatibel met mobiele platformen.

Veel gehoorde klacht
Een veel gehoorde klacht die Microsoft gaat aanpakken zijn de terugkerende afspraken. Als je deze wijzigt of verwijderd wordt ook het verleden aangepast. Dat gaan ze in Q4 dit jaar nog aanpassen dat je hier keuzes in krijgt. Een andere feature die ze op korte termijn gaan introduceren is dat een agenda afspraak niet standaard 30 minuten hoeft te zijn, maar dat je dit in kan stellen. Verder heeft Microsoft het protocol voor shared calander aangepast van MAPI naar REST, binnenkort wordt alles omgezet. Dan nog wat kleine zaken die gefixt waaronder de lijst van reminders die je op scherm krijgt na een periode van afwezigheid.

Windows Virtual Desktop Services
RDMI als term wordt niet meer gebruikt, maar Windows Vitual Desktop Services lijkt de nieuwe verzamelnaam te worden. In deze presentatie werd uiteengezet hoe dit moet gaan werken. Hierin komt uiteraard het geheel van RDMI weer terug. Microsoft gaat hierbij de connection broker (met load balacing) regelen, de RD Gateway en de publishing. Daarbij komt de mogelijkheid (die je ook al nu kan implementeren) ot HTML5 en een diagnostics services om te troubleshooten. Tevens kun je middels je Azure AD account inloggen op je RDS farm (die trouwens AD Joined is) waardoor zaken als Multi Factor Authentication en Conditional Access mogelijk worden! Het geheel van Windows Virtual Desktop Services wordt multi tenant voor de partner (Proxsys) gemaakt en daarmee kun je RDS services publishen en managen.

Het hele RDMI / WVDS stuk is helemaal gemaakt voor automation. Ze hebben eerst de REST-API’s geprogrammeerd, vervolgens de powershell module en als laatste de GUI. Dit werd ook gedemonstreerd tijdens de presentatie. Tevens werd er een demo gegeven van hoe de uiteindelijke provisioning moet gaan plaatsvinden, dit zal via de Azure Marketplace zijn en zag er aanvankelijk eenvoudig uit (een paar muisklikken en up and running).

Single Sign On
Een term die je vaak hoort maar wat houdt dit nu in relatie tot Azure AD nu precies in ? In deze presentatie werd hier tot detail niveau op ingegaan. Kort gezegd gaat het over vertrouwen. Waarbij de (SaaS) Applicatie de Identity provider (in dit geval) Azure moet vertrouwen. Welke protocol daarvoor gebruikt wordt ziet de eindgebruiker niks van. Dit werd in een aantal demonstraties van SAML, OpenID Connect en OAUTH weergegeven. Door de SAAS diensten met elkaar te koppelen voorkom je dat elk systeem zijn eigen database met users heeft en dit wachtwoorden. Als je dit centraal maakt heb je tevens centraal Conditional Access en MFA mogelijkheden. Maar denk ook aan provisioning en de-provisioning. Gebruiker uit de Azure AD -> dan kan deze ook nergens meer bij. Centraal via de Azure AD kun je dan ook (op groepsniveau of individueel niveau) regelen wie waar rechten toe heeft.

Mooi om te zien hoe dit allemaal kan werken als de SAAS applicaties claims-aware zijn. Helaas moeten we ook constateren dat we met Nederlandse SAAS applicaties vaak nog niet zo ver zijn, dus nog genoeg werk aan de winkel, want het werkt erg mooi op deze manier. De deep-dive van hoe precies OAUTH verschilt van SAML en OpenID Connect zal ik voor deze blog even overslaan, uiteindelijk voor de meeste IT-ers maakt dit ook niet zoveel uit, gezien Azure AD dit uitzoekt, je moet alleen weten welk protocol de SAAS applicatie kan praten.

RDS on Server 2019
Ook de nieuwe Server 2019 ondersteund de RDS rol. Iets dat we binnen Proxsys veel inzetten voor klanten. Maar als je Windows 10 multi-user heb, waarom dan ook nog Server 2019. Het antwoord raad zich raden, Windows 10 Multi-User zal (voorlopig) alleen op Azure beschikbaar komen. In RDS 2019 is flink ingezet op GPU acceleratie en dat doen ze met de DDA methode (Direct Driver Assignment). Voorheen gebeurde dit met RemoteFX, maar daar is Microsoft mee gestopt. Ook het redirecten van devices zoals lokale camera's is fors verbeterd. Er werd een demo van gegeven dat de lokale ingebouwde camera zonder problemen kon worden meegenomen in de RDS sessie. Ook qua troubleshooting is er een nieuwe performancecounter gemaakt die default aan staat. Deze heeft de User input Delay Performance Counter. Hiermee kun je de User Experience meten, waar een klant wel eens voor naar Proxsys belt, maar vaak lastig is om direct de vinger op de zere plek te leggen omdat er veel afhankelijkheden zijn, dit moet daarbij helpen.

Een bijzonder geval is wel dat Server 2019 RDS niet supported wordt in combinatie met Office 365 ProPlus, alleen maar met Office 2019. Windows 10 Multi-User wel. Dat is wel een uitdaging. Verder viel het me op dat vorig jaar op Ignite veel aankondigen waren rondom de samenwerking met Citrix voor een VDI oplossing en nu geen enkele sessie meer over te vinden was.

Security features in Windows Server 2019

De focus die Microsoft heeft op security is duidelijk aan het verschuiven. Anno nu wordt er nauwelijks nog focus gelegd op bescherming op de perimeter van het netwerk, maar zijn zero-trust-netwerken de nieuwe norm. Er wordt van uit gegaan dat er altijd een vorm van misbruik mogelijk is, waar de binnenkant van het netwerk een reële aanvalsvector is.

Microsoft laat zien dat men steeds meer mogelijkheden aan het besturing systeem toe aan het voegen is om workloads steeds verder te isoleren, zodat er geen misbruik gemaakt kan worden. Hiervoor wordt o.a. de trusted execution techniek van Intel ook voor gebruikt.

Een notie: default staan de nieuwe maatregelen niet aan. Iedere security maatregel kost performance en het is aan de organisatie om te bepalen wat men nodig acht. Het is dus noodzakelijk om hier als beheerder proactief te zijn.

Een andere opmerking die we kregen: zonder UEFI en TPM heb je geen reële bescherming überhaupt. Zeer belangrijk dus om hier aandacht aan te besteden dat deze firmware en chips aanwezig zijn op fysieke machine.

Door alle nieuwe ontwikkelingen, is het nu voor het eerst mogelijk om met een virtuele omgeving door de PCI compliancy toets heen te komen.

Windows Information Protection
Dit gaat over een feature die in Windows 10 zit om het mogelijk te maken je persoonlijke data van je zakelijke data te kunnen scheiden. Om dit te kunnen configureren heb je wel SCCM of Intune nodig. WIP moet voorkomen dat je per abuis zakelijke data mixt met een persoonlijke applicatie.

WIP wordt ook steeds meer geïntegreerd met AIP waardoor er een mooie mix komt van mogelijkheden met bijvoorbeeld het toegepaste classificatie-label. Een bijkomend voordeel van WIP is dat automatisch de data is encrypted at rest (ook bij BYOD / light weight managed). Je kunt WIP ook in de logging modus zetten (zonder te blocken dus) hiermee heb je direct het voordeel van de encrypted data, de gebruiker merkt er niks van, maar jij als IT-Admin krijgt meer inzage over het gebruik van applicaties op de systemen.

Delivery Optimization
Met de komst van Modern beheer en steeds meer diensten die uit de Cloud afgenomen worden, neemt de belasting op internet verbindingen ook steeds verder toe. Delivery Optimazation helpt om dit probleem te kunnen managen. Men heeft uitgebreid gedemonstreerd waar men nu staat met technieken om reeds gedownloade content op het LAN tussen Peers te laten delen. Er zijn voorbeelden waar men 70% minder download verkeerd kan bereiken door peers onderling delen van downloads met elkaar te uitwisselen.

Tenslotte heeft men ook gesproken over wat er aan zit te komen. Zo wil men volledige integratie met SCCM gaan maken. Tenslotte zal Intune de technologie ook gaan ondersteunen voor de distributie van Win32 apps.

Powershell Core
Deze versie van Powershell draait side-by-side naast de reeds aanwezige Powershell versie, die overigens niet langer door ontwikkeld gaat worden! De nieuwe versie van Powershell is cross platform compatible met Mac en Linux. Tenslotte wordt SSH nu als het nieuwe remoting protocol gebruikt.

Omdat niet alle command-lets nog aanwezig zijn in Powershell Core hebben ze een CompabityModule gemaakt. Wat deze doet is onderwater een remoting sessie openen naar de “legacy” powershell omgeving en zo de commando’s uitvoeren.

Over de ISE hadden ze ook nog iets te melden: deze wordt ook niet langer meer ontwikkeld. Men raadt alle admins aan om met Visual Studio Code + Powershell Extension aan de slag te gaan.

‘Luchtigere’ sessie van Sami Laiho
Sami staat bekend om zijn inspirerende sessies en humor. Hij probeerde in 45 minuten tijd 45 lifehacks in Windows te demonstreren. Ik kan enkel zeggen dat het erg snel ging en we de 45 hacks niet gehaald hebben. Wel een aanrader om deze sessie online nog eens terug te kijken. Er zitten nuttige tips tussen en gekke tips zoals als je bij Windows 7 op een bepaald stuk CTRL-ALT-SHIFT en rechtermuisknop op annuleren doet, herstart je explorer. Maar denk ook aan de teksten van het first time login van Windows 10 (wie kent die niet).

Expert Level Operating System deployment
Deze presentatie werd gedaan door de Pro's op dit vlak, namelijk Johan Arwidmark en Mikael Nystrom. Zij demonstreerden hoe je met slimme automatiseren zeer veel repeterende handelingen, zoals het bijwerken van je basis images, drivers, bios versies etc. een stuk efficiënter kunt uitvoeren.

Deze sessie zat dan ook vol met tips en referenties naar blogs waar de gedemonstreerde scripts terug te vinden zijn. Ondanks dat veel te automatiseren valt, blijft het relevant om bij iedere Windows versie update goed naar de BIOS en driver versies te kijken en te testen. Dit kan soms een groot verschil maken of de uitrol nog werkt. Tevens benadrukten ze het belang van een lab omgeving om dit soort zaken in te testen.

Office365 ProPlus icm virtual desktop
Niet alleen tijdens deze sessie maar tijdens heel ignite kwam goed naar voren dat Office365 ProPlus de versie van Office is waar Microsoft het meeste op inzet. in deze versie komen als eerste de nieuwste updates en features, ook is deze versie helemaal cloud geoptimaliseerd.

Microsoft heeft een aantal wijzigingen gemaakt aan deze versie om het optimaal te kunnen gebruiken binnen het nieuwe Windows 10 Multi-User OS, wat een van de OS opties is voor virtual desktop.

Het leuke aan deze presentatie was dan ook, dat de presentatie zelf gelijk demo was, bij de eerste demo minimaliseerde de spreker de Powerpoint en voila, daar was office365 ProPlus in de virtual desktop.

De wijzigingen in Office op een rijtje:

  • Ost files zijn geoptimaliseerd voor roamen binnen de virtual desktop
  • Chached osts, voor het gebruik van ost files vanaf een netwerkshare
  • Windows desktop search is aangepast van machine gebaseerd naar user gebaseerd zodat deze mee kan roamen met de user.
  • Het outlook mechanisme dat de mappen synchroniseert met de mailserver is aangepast zodat de inbox eerder wordt geactualiseerd dan de agenda. Dit ging op alfabet
  • Onedrive is aangepast zodat het werkt op virtual dekstop, en het is supersnel omdat dit zowel OneDrive en Virtual desktop in azure draaien. Teams wordt ondersteund met video en audio gesprekken.

Overzicht van ondersteunde versies:

Opmerkelijk is dat de nieuwe versie van Windows server (windows server 2019) welke ook in azure als Virtual Desktop kan draaien wordt niet ondersteund met Office365 ProPlus maar alleen met Office 2019, terwijl Office365 ProPlus wel op een Windows Server 2016 met Virtual desktop kan draaien en tot 2025 ondersteund wordt door Microsoft.

Architectuur van Microsoft Azure
De CTO Mark Russinovich van Microsoft Azure heeft ook een sessie gegeven, de rij om hierbij te zijn stond tot op de parkeerplaats. Gelukkig zijn wij binnengekomen en konden we deze sessie met 10 demo’s met eigenogen zien. Mark gaf als eerste een mooi overzicht in de datacenter strategie van Microsoft en de huidige stand van zaken.

Microsoft ontwerpt zijn datacenters als volgt:

Geo’s

Een land of bij een groot land de west of oost kust bijvoorbeeld

Regions

Er zitten minimaal 2 regio's in een Geo’s welke 160km van elkaar gescheiden zijn en maximaal een latency van 2ms hebben naar elkaar.

Availibility zones

In elke regio zitten minimaal 3 availability zones welke met elkaar fout tolerant zijn. Een AZ is 1 of meerdere datacenters welke compleet gescheiden van elkaar ook wat water(voor koeling), stroom en netwerk van elkaar.

Al deze datacenters zijn verbonden met de zogenoemde Regional Network Gateway, welke ze verbind met de andere datacenters en dubbel uitgevoerd zijn. De datacenters zijn niet onderling verbonden voor gemakkelijker op en afschalen van datacenters en door de hoeveelheid kabel die er aan te pas zal moeten komen.

Microsoft heeft meer dan 48.000 kilometer(!!!) eigen fiber kabel liggen over heel de wereld.

Na de geografische en logische opbouw van de datacenters heeft Mark laten zien wat voor servers er gebruikt worden in de datacenters. Hierna liet die zien dat ze nu speciale servers hebben voor bijvoorbeeld sap hana welke beast v2 heet met 12TB aan ram geheugen per server.

Een server gaat maar 1 jaar mee in de Azure datacenters. Om de levensduur te verlengen hebben ze een test gestart met een onderwater datacenter (wat natuurlijk ook scheelt in de koelingskosten) welke nu op ruim 100 meter diepte ligt voor de kust van Schotland. Er is een live stream beschikbaar van de container met 865 servers erin, maar er zit op dit moment zeewier voor de camera :)

https://natick.research.microsoft.com/

Naast de server was er ook een uitleg over de verschillende storage opties. Zo was er op Ignite de Ultra SSD optie aangekondigd (160.000 IOPS) en liet Mark een sneak preview zien waar ze mee bezig waren (deze deed >240.000 IOPS!). Ook was er een standaard SSD disk, die de performance van spinning disk had, maar de latency van een SSD disk, een mooie tussenvorm.

Server 2019 Storage Migration Service
In het nieuwe Windows Admin center is een nieuwe feature door Microsoft uitgebracht genaamd Storage Migration Service, deze functie maakt het heel eenvoudig om file servers te migreren

Microsoft heeft deze maakt omdat ze zelf ook vonden dat ze hier geen goeie tooling voor hadden en omdat het een klusje is met veel variabelen die niet altijd goed gaan. Er kan gemigreerd worden naar:

  • Azure file sync
  • Smb share
  • Windows server
  • Azure files (via Azure file Sync

Het werkt volgens 3 stappen:

Inventory

Scannen wat er allemaal op de oude server staat. De tool kan zelfs 2003 servers nog migreren. Inclusief, rechten, shares, file attributes en zelfs local groups en user rechten. Het werkt zonder een agent of dergelijke. Hierbij geef je het oude pad op, en de nieuwe fileserver, de schijven worden automatisch gemapt, share’s en dergelijke worden automatisch hetzelfde aangemaakt.

Transfer

Is het initieel kopiëren van de bestanden. Dit gebeurd met de normale Windows copy maar dan “heavy modified”. Het kan met 500 servers tegelijk en tot op 512bestanden (threads) tegelijk. Gemaakt voor grote migraties dus, ook houd het een rapport bij van alles wat er gedaan is en kan zelfs checksums hiervoor aanmaken. Daarnaast kan het goed omgaan met bestanden die in gebruik zijn of grote bestanden. Je kan dit zo vaak als je wil uitvoeren om de laatste kopie zo kort als mogelijk te houden.

Cutover

In deze fase worden de laatste wijzigingen gekopieerd en worden de oude en nieuwe servers gereboot. Tijdens deze reboot worden de dns-namen en ip-adressen incl. Netbios en wins van de oude servers op de nieuwe servers gezet. En de oude servers in read only, volledig geautomatiseerd!!

Het is een slim mechanisme dus folders zoals prullenbak en de system32 worden niet. Eer gekopieerd. Daarnaast voorkomt het ook een van de grootste fouten, het “leeg-kopiëren” van de bron, door in de configuratie het lege doel als de bron op te geven.

Office365 Direct Route
In tegenstelling tot wat de naam doet vermoeden heeft dit niets met connectiviteit te maken. Dit is de naam die Microsoft heeft gegeven aan de mogelijkheid om Teams aan je bestaande PSTN (telefonie) netwerk te koppelen.

In deze deep dive ging het met name om wat je nodig hebt om dit te laten werken met verschillende configuratie scenario’s die mogelijk zijn. Voornamelijk bedoeld voor de techneuten die dit mogelijk moeten gaan maken.

Blockchain by Mark Russinovich
Wat is het, waar komt het vandaan, wat kan je er mee en wat is Microsoft er mee aan het doen. Interessant om nog eens na te kijken, maar neem er wel de tijd voor, het is best ingewikkelde kost.

It's a wrap!
We kijken terug op een zeer geslaagd evenement waar we nog lang over kunnen napraten, zoals de rijen voor de (mannen) WC's, volwassen mannen met light-sabers in hun rugzak, de gigantische beurs, de enorme kou binnen en warmte buiten, de gezelligheid onderling, het bacon ontbijt, de Ignite celebration, de rush van 7 uur 's ochtends tot 19 uur 's avonds, alle informatie weten te doseren die je tot je krijgt, het gezamenlijk bloggen rond middernacht en last but not least een gemiddeld kilometrage van 12 km lopen op een dag. Bedankt Ignite, Marijn, Toon & Remco. Volgend jaar is er weer een Microsoft Ignite, alleen dan begin november, uiteraard weer in Orlando. See you next year!

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners