In questo articolo abbiamo selezionato alcune delle nuove funzionalità presenti in Windows Server, per analizzarle da vicino e valutarne l’impatto nell’utilizzo sul campo.

Come visto nello scorso numero, la nuova release server del sistema operativo di Redmond si presenta più come un miglioramento delle precedenti versioni, piuttosto che come un sistema tutto nuovo. Le novità possono essere raggruppate in tre macro aree: Virtualizzazione/Container, Sicurezza e Storage.

Virtualizzazione

La principale novità in ambito Hyper-V è la possibilità di realizzare la virtualizzazione nidificata (nested virtualization). Con il nuovo Windows Server 2016 anche gli stessi host Hyper-V potranno essere virtualizzati: questo approccio è frequentemente applicato in ambienti di test, o in situazioni dove si voglia realizzare ambienti multi-host senza i relativi costi legati all’hardware fisico. Sempre in tema di macchine virtuali, è ora possibile effettuare l’aggiunta a caldo (hot-add) di hardware virtuale (dischi, schede di rete, controller etc.) su vm accese, operazione che ha sempre richiesto lo spegnimento e il riavvio per essere applicata.

hot add

Argomento già in parte trattato nello scorso articolo, con questa nuova versione del sistema operativo è possibile utilizzare il ruolo Host Guardian, che permette di regolare in modo granulare i livelli e permessi di accesso degli amministratori Hyper-V sulle macchine virtuali in funzione all’interno di un host o un cluster. Server 2016 fa inoltre un altro passo avanti nei confronti del mondo Linux: uno dei principali problemi con la creazione di VM Linux su Hyper-V era la mancanza di driver certificati per il Secure Boot in ambiente Windows. Questo portava a un errore di “Failed Secure Boot Verification” all’avvio della macchina virtuale, risolvibile solo con la disattivazione della funzione Secure Boot. Con la nuova release di Windows Server, questo problema è stato risolto.

Container

I container sono un argomento molto attuale, tuttavia per loro stessa natura sono sempre stati legati al mondo UNIX/Linux (trattandosi di istanze semi-isolate del sistema operativo, sono state inizialmente sviluppante in ambiente open source). Grazie alla collaborazione durata oltre due anni tra il team di sviluppo di Docker e Microsoft, Windows Server 2016 è finalmente in grado di offrire addirittura due differenti modalità di implementazione dei container. Nel primo caso si tratta dei cosiddetti Windows Server Container, ovvero container con risorse condivise al server e adatti a utilizzi non critici in termini di sicurezza e basso impatto in termini di risorse. La seconda tipologia è chiamata Hyper-V Container e realizza istanze del server completamente isolate tra di loro e dal server stesso: si tratta quindi di applicazioni adatte per utilizzi critici, ma che richiedono un overhead di risorse maggiore.

L’integrazione tra l’engine di Docker e il nuovo sistema operativo è tale che la funzione di esecuzione dei container è disponibile anche in Windows 10 a partire dall’Anniversary Update. Inoltre il comando docker run mantiene la stessa sintassi utilizzata originariamente nel mondo Linux, per fare un esempio pratico la modalità di isolamento da utilizzare si indica con il comando

docker run --isolation=hyperv ……

Da tenere sempre presente che i container di tipo Hyper-V non sono macchine virtuali, e di conseguenza non sono gestibili utilizzando i classici strumenti dell'hypervisor Microsoft.

container

A margine del discorso relativo a virtualizzazione e container, una interessante novità di Server 2016 è la modalità di installazione Nano Server: questa modalità può ridurre fino al 92% la dimensione dell’installazione del sistema operativo, naturalmente escludendo (tra le altre cose) l’interfaccia grafica. Oltre al minor impatto a livello di risorse, l’installazione di tipo bare-metal e la possibilità di installare (in aggiunta all’OS base) solo i ruoli strettamente necessari, permette di ridurre significativamente anche il numero di riavvii e aggiornamenti periodici, con impatto positivo in termini di uptime. Nano Server è pensato per essere gestito da remoto, questo lo rende un’ottima modalità di installazione per realizzare host Hyper-V.

Storage

Il Resilient File System (ReFS) è un nuovo file system introdotto a partire da Windows Server 2012 e 2012 R2 (di conseguenza Windows 8.1), che vede finalmente la sua versione stabile in Server 2016. Nasce per ottimizzare la gestione dei dati e garantirne l’integrità e la resistenza ai danneggiamenti anche in caso di set di dati molto grandi e a prescindere dalla struttura hardware sottostante. I punti chiave di ReFS sono l’integrità, la disponibilità, la scalabilità e la correzione proattiva degli errori.

Riguardo l’integrità, ReFS sfrutta la presenza di ambienti mirror o con informazioni di parità per individuare e correggere in modo autonomo gli errori sui dati, mette inoltre a disposizione delle cmdlet specifiche via PowerShell per la verifica dello stato di integrità. La disponibilità viene realizzata grazie a un nuovo approccio alla riparazione delle informazioni danneggiate, che ora non richiedono più la disconnessione del volume per essere riparate, ma vengono isolate e ripristinate online. L’aumento costante delle dimensioni di volumi e set di dati anche in ambito consumer è un fenomeno costante: ReFS è progettato per funzionare bene e mantenere le prestazioni anche all’aumentare delle dimensioni dei dati (nell’ordine dei petabyte). Per finire la correzione proattiva degli errori è realizzata tramite uno scanner di integrità dei dati (noto anche come strumento di pulitura) che analizza periodicamente il volume identificando e correggendo ove possibile in modo autonomo gli errori rilevati.

ReFS può inoltre lavorare in sinergia con Storage Spaces Direct (S2D), una nuova funzione del sistema operativo che dimostra l’interesse della casa di Redmond per gli ambienti Software Defined Storage. Come già spiegato nel precedente articolo, S2D come altre funzioni avanzate, è disponibile solo nella versione Datacenter di Server 2016, anche perché per essere implementato richiede un minimo di 2 nodi con un minimo di 2 dischi a stato solido e 4 dischi aggiuntivi. La peculiarità di questo sistema è la possibilità di sfruttare host con storage integrato (SATA, SAS o NVMe) e non soluzioni ad-hoc esterne per realizzare un sistema complessivamente sicuro, scalabile e ad alte prestazioni. Nella sua configurazione più estesa, S2D può lavorare con 16 nodi e fino a 400 drive per capienze totali nell’ordine dei petabyte, con possibilità di adottare nuovi dischi a caldo. La comunicazione tra i nodi richiede hardware in grado di gestire reti 10 GbE con remote-direct memory access (RDMA).

Sicurezza e Active Directory

Windows Server 2016 introduce anche il ruolo AD Federation Services versione 4 (ADFS v4) che consente il controllo degli accessi e il Single Sign On (SSO) multipiattaforma (e in modo trasversale tra applicazioni cloud-based e SaaS o appartenenti alla rete aziendale) come ad esempio Office 365 o Azure. Nello specifico ci sono tre nuove modalità di accesso password-less, pensate per minimizzare il rischio di data breach dovuti a password rubate o intercettate.

Azure Multi-factor Authentication (MFA): il metodo di autenticazione primaria prevede l’utilizzo di un OTP code (One time Password) generato tramite la Azure Authenticator App in combinazione con lo username. Inoltre l’implementazione del servizio MFA in cloud tramite piattaforma Azure non necessita di un server dedicato on premises. Accesso password-less da dispositivi compatibili: in questo modo è possibile autorizzare determinati dispositivi basando la verifica sul loro stato attuale, con una richiesta di verifica e re-introduzione delle credenziali nel momento in cui lo stato del dispositivo dovesse cambiare.

Accesso con Microsoft Passport: con Windows 10 sono state introdotte anche le funzionalità Windows Hello e Microsoft Passport for Work, che al posto di nome utente e password sfruttano credenziali protette da gesture (come la digitazione di sequenze a schermo), riconoscimento facciale o dell’impronta (ormai supportato dai principali smartphone top di gamma). Le novità di ADFS v4 sono molte, oltre a queste citate e che riguardano più direttamente l’esperienza quotidiana, possiamo citare tra le altre la possibilità di definire le policy tramite template pre-configurati, supporto a LDAP v3 e migrazione semplificata da AD FS in Server 2012 R2 e Server 2016.

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1