Wij gebruiken cookies. Akkoord
Microsoft Ignite 2018 Dag 2

Highlights van Microsoft Ignite Dag 2

26 september 2018 door Erik Loef

Na een inspirerende maar vermoeiende eerste dag, zijn we na een goede nacht weer klaar voor dag 2. Aan het ontbijt nog even de sessies doornemen, zodat we zoveel mogelijk sessies afzonderlijk van elkaar bezoeken, waar we elkaar in de loop van de dag weer over updaten. Hieronder een overzicht van de diverse sessies die we hebben bezocht.

Windows Virtual Desktop, RDMI & Windows 10 Multi-User
Een erg interessante presentatie ging over de maandag aangekondigde Windows Virtual Desktop. Dit is een samenvoeging van de eerder aangekondigde RDMI infrastructuur en een Windows 10 Multi-User feature. Hier waren al veel geruchten over en nu is dan eindelijk het hoge woord eruit. Windows 10 Multi-User biedt voor de klanten van Proxsys veel nieuwe mogelijkheden. Het lost huidige tekortkomingen op zoals applicatie compatibiliteit (Multi-User is nu alleen op server versies), maar ook een uniforme presentatie van de desktop tussen de vaste desktop/laptop en de hosted omgeving.

Helaas voor Proxsys is de Windows 10 Multi-User optie alleen beschikbaar in Azure. Daarnaast is de RDMI infrastructuur ook te gebruiken voor Server 2016/2012R2, maar ook Windows 7. Sterker nog als je Windows 7 op Azure draait, krijg je drie jaar langer support (Windows 7 support in januari 2020). De infrastructuur (beheert door Microsoft) kan automatisch schalen op twee manieren. Optie 1 is Breath mode. Dit betreft het 24x7 aanzetten van je VDI/RDS infrastructuur. Deze VM's moet je dan als reversed instance aanmaken. Een andere modus is Depth mode, waarbij als iedereen is uitgelogd de VM wordt uitgezet en bij inloggen gaan de servers weer aan. Daarnaast werden er ook demonstraties gegeven hoe dit te eenvoudig is te provisionen vanuit de Azure Marketplace, betalen via CSP en een live demo van het eindproduct, die er veelbelovend eruit zag. Al met al een erg mooie ontwikkeling om op de voet te volgen.

Azure AD Delegation
Niet direct een hele nieuwe feature, maar wel even goed om deze sessie aan te horen hoe en waarom je rechten kan delegeren in Azure AD. Dit kan middels de PIM (Priviliged Identity Management) optie in Azure AD. De hoofdzaak om dit te doen is om het aantal Global Admins te verminderen binnen je Azure AD. Het advies is om niet meer dan 5 Global Admins te hebben, idealiter heb je geen Global Admins en twee zogenaamde 'break-glass' accounts.

Met de PIM functionaliteit kun je bij de mensen Global Admin standaard weghalen en deze op basis van request en approve voor een bepaalde tijd deze rechten geven. Het voordeel is dat je hiermee kunt inventariseren waarom mensen admin moeten zijn. Het is namelijk een feit dat je voor sommige taken Azure AD Admin moet zijn, iets waar hard aan wordt gewerkt. Als iemand dan Global Admin moet zijn, kun je ook nog met Conditional Access zaken afdwingen dat dit bijvoorbeeld alleen van een priviliged access worksation mag worden gedaan.

Server 2019 - deep dive
Gisteren werd al kort aangestipt dat Server 2019 in oktober beschikbaar komt. Vandaag was de deep dive in een groot theater met niemand minder dan de enthousiaste Jeff Woolsey, die er altijd wel een show van weet te maken. In deze sessie werd veel verteld, maar ook een aantal zaken van gisteren herhaald. Hierbij een aantal highlights die ons is bijgebleven. Allereerst ging het over Windows Admin Center. Mocht het nog niet duidelijk zijn dat het de bedoeling is om Windows Admin Center te gaan gebruiken om je servers te managen, dan werd het tijdens deze presentatie wel heel duidelijk. Ook werden diverse integraties, waaronder HPE Proliant statuspagina werd getoond (under construction), maar duidelijk waar het heen gaat. Een andere feature was de integratie met Azure Update Management en uiteraard helemaal verwerkt in Windows Admin Center. Hiermee kun je de updates van je serverpark managen. Idem voor Azure Backup en Replicatie (maar dan ook nog naar Azure), allemaal met een paar klikken in Windows Admin Center in te regelen.

Windows 2019 kan helemaal ingezet worden als Hyper-Converged Infrastructuur. Het overwegen waard om een eventueel nieuwe zone bij Proxsys op deze manier te gaan uitrusten i.p.v. VMware en een SAN. Een laatste aankondiging was system insight waarmee server 2019 gaat voorspellen/voorkomen dat het misgaat (denk aan de disk vollopen).

Een mooie nieuw feature was service migration, deze service kan bestanden inventariseren van een oude fileserver, vervolgens geautomatiseerd overhevelen naar de server 2019 en als derde stap een cut-over initiëren, waarbij zelfs de oude servernaam automatisch op de server 2019 wordt gezet, zodat je een soepele migratie kan doen, zonder handwerk en hiermee sneller over kan naar de nieuwste versie van Windows server.

Een mooie hybrid feature (naast Azure Backup en Azure Site recovery koppelingen vanuit WAC) is de optie voor password protection. Hiermee kun je in server 2019 (en binnenkort ook vanaf server 2012R2) de functionaliteit van 365 gebruiken om sterkere wachtwoorden te genereren. Hier kan gekeken worden naar kleine aanpassingen in het wachtwoord (P@ssw0rd1 , naar P@sswor2, wordt dan ook niet toegestaan). Een mooie uitbreiding en gebruik van de cloud.

Als uitsmijter gaf Jeff aan dat het de bedoeling is om zoveel mogelijk via Windows Admin Center te werken. Als je alles via Windows Admin Center doet, heb je geen GUI meer nodig en is het streven om meer en meer servers 2019 op basis van Core OS uit te rusten. Voor sommige applicaties of beheerders kan het toch handig zijn om een aantal MMC Consoles beschikbaar te hebben op de server (denk aan file explorer). Dit kan in Server 2019 door gebruik te maken van de zogenaamde Features on Demand. Dit is een ISO file die je mount en hiermee kun je MMC's draaien vanaf de core 'GUI'. Er is zelfs (los) een optie om Internet Explorer te draaien, maar dat is uiteraard geen aanbevolen scenario.

Cloud governance
Aangekondigd op Ignite 2018 zijn 2 nieuwe features blueprints en resource graph. Blueprint vergemakkelijken het uitrollen van een Azure tenant, zoals de naam al zegt kun je een blauwdruk maken voor een nieuwe tenant zodat deze overeenkomt met andere tenants. Blueprints beperkt zich tot nog toe tot de volgende onderdelen:

  • Rollen
  • Policy’s
  • Azure Resource Manager templates
  • Resource groepen

Blueprints is een uitbreiding op Resource Manager templates, welke alleen de gewenste configuratie kon uitrollen. Blueprints kan de configuratie uitrollen maar ook updaten over verschillende tenants heen mocht er een wijziging in de bron blueprint.

Resource Graph geeft overzicht in resources. Het kan zoeken en filteren over alle resources heen en binnen alle subscriptions van de tenant. Resource manager kon dit al maar niet over verschillende subscriptions of resource groups heen.

Met deze 2 nieuwe producten heeft Microsoft meet overzicht en beheermogelijkheden beschikbaar gemaakt binnen Azure tenants. De combinatie met policy’s en management groups maakt dit een krachtige combinatie.

OSD Deployment
OSD, oftewel het (semi-)geautomatiseerd installeren van een desk- of notebook. Direct werd duidelijk dat Autopilot de nieuwe trend gaat worden (voor de moderne werkplek uiteraard). Echter, traditioneel OSD blijft voorlopig nog wel zijn bestaansrecht houden.

Met name omdat je voor Autopilot, Azure AD P1 of P2 en een MDM oplossing nodig hebt. Een aantal tips uit de praktijk:

  • Test je nieuwe deployments altijd in dezelfde security context als je productie machines. Er werd een voorbeeld genoemd van een Business applicatie die probleemloos door de testen heen kwam, tot in productie credential guard werd aangezet door het security team en men niet meer kon werken.
  • Zorg dat je nieuwe besturing systemen in AD groepeert ivm de juiste Group policies.
  • Zorg er voor dat je geen wildgroei aan allerlei hardware hebt om driver problemen te voorkomen. Gebruik altijd de laatste images van MS omdat deze ook de laatste compatibiliteit databases bevatten.

Modernize your applications
Het Moderniseren van het applicatie landschap met behulp van Azure. Wist je dat gemiddeld gezien 72% van het IT budget op gaat aan “het licht laten branden”.

Dit kan goedkoper door kritisch te kijken naar je applicatie landschap. Kunnen er applicaties weg? Kan het naar SaaS, PaaS of IaaS? En die volgorde zou volgens Microsoft ook de juiste afweging horen te zijn.

Een toffe feature van Azure die ze demonstreerden was hoe je zonder programmeren aan bestaande code in Azure nieuwe functies kan toevoegen. Het voorbeeld wat getoond werd bestond uit een ASP.NET website met een Webservice en SQL database. Met behulp van Logic Apps was het zeer eenvoudig om op bepaalde acties, zoals een nieuwe regel in de database, een email notificatie te koppelen. Uiteraard met mogelijkheid om deze geautomatiseerd te vertalen naar de taal van de ontvanger.

Inside the Azure Network
Een mooie sessie over hoe het interne netwerk wat Microsoft voor Azure gebouwd heeft in elkaar steekt. Iedere interlink in dat netwerk is 4 dubbel uitgevoerd. Binnen een regio heeft men 1,6 Pbps aan capaciteit beschikbaar. Duidelijk is te zien dat ze zeer ver zijn gegaan, door zelf nieuwe hardware en software te ontwikkelen om aan de eisen van dit netwerk te voldoen.

Nieuw is de mogelijkheid om een ExpressRoute van 100Gbps af te nemen. Wat misschien interessanter is, is dat het niet langer noodzakelijk is om een VM te draaien voor deze ExpressRoute. Met de nieuwe hardware kan met de noodzakelijke policies direct op de hardware toepassen.

Security session nummer...
Hier ging men demonstreren wat er met de nieuwe technieken mogelijk is om malware te detecteren. Ransomware blijft een probleem. Het type malware is echter veranderd naar Coinminers.

Ook op het vlak van phising zien ze nieuwe trends. Zo zijn spammers de afbeeldingen in hun spam mails in vele honderden of duizenden kleine afbeelden op gaan knippen. Met als reactie dat in de anti spam engines nu ook op het aantel afbeeldingen in een email gecontroleerd wordt.

Een andere malware trend waar bij stilgestaan is, is fileless malware. Dit is malware die direct in het geheugen draait en nooit de disk raakt. Inmiddels zijn er zoveel methoden om het gedrag op te merken, dat ook dit soort malware zonder problemen gedetecteerd wordt.

What's new in System Center 2019 suite
Ze maakte bekend dat ook in de 2019 versie nog steeds alle producten aanwezig zullen zijn. De sessie lichtte slechte 2 producten toe: Virtual Machine Manager en Scom.

Nieuw in VMM is Storage Optimization. Hiermee is het mogelijk om regels aan te maken hoeveel vrije ruimte je op een CSV wilt houden en VMM zal live-storage migrations uitvoeren indien noodzakelijk. Ook nieuw is Storage Health. Dit is met name voor Storage Spaces Direct relevant, want het was nooit echt mogelijk om de gezondheid van de hardware zichtbaar te krijgen. Nu kan dit wel vanuit VMM.

Scom 2019 komt met een volledig nieuwe Html 5 dashboarding module. Tevens hebben ze het product aangepast zodat van een alert veel makkelijker naar een root-cause analyse gezocht kan worden. Ook is nu in het product maatregelen getroffen zodat alerts die bij een ongezonde monitor horen, niet langer gesloten kunnen worden. Ook de notifications zijn verbeterd, het is nu mogelijk om te kiezen tussen tekst only en html. Als allerlaatste is de integratie met Azure nog verder aangehaald.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners