آداک فن آوری مانیا > مقالات > بررسی تخصصی ویندوز سرور 2016

پس از بررسی کامل نیاز های سخت افزاری مورد استفاده در نسخه ویندوز سرور 2016، متوجه این موضوع میشویم که علیرغم پیشرفت و افزایش سرویس ها در این نسخه از ویندوز ، حداقل نیاز برای راه اندازی آن با حداقل نیاز برای راه اندازی ویندوز سرور 2012 تفاوتی ندارد.

همانند ویندوز سرور 2012 این نسخه نیز از پردازنده های 32 بیتی پشتیبانی نمیکند و فقط از پردازنده های 64 بیتی که حداقل 4/1 گیگاهرتز (پیشنهاد بهینه : 2 گیگاهرتز) ، حداقل رم مورد نیاز 512 مگابایت (پیشنهاد بهینه : 2 گیگابایت) و فضای مورد نیاز 32 گیگابایت میباشد.

شرکت مایکروسافت در ارائه نسخه جدید ویندوز سرور 2016 ، تاکید بسیاری روی سادگی، انعطاف پذیری  و باز بودن  دارد و همچنین سعی بسیاری در بهینه سازی عملکرد شده است و زیرساخت آن متمرکز شده و در نتیجه آن شاهد بهینه شدن محیط مجازی سازی Hyper-V و نیز عملکرد موثر containers های ویندوز می باشیم.

در ویندوز سرور 2016 تدابیر امنیتی بالایی از جمله موارد امنیتی پیشرفته روی پلتفرم Azure ، پشتیبانی از مدیریت دسترسی ها و احراز هویت، رمزنگاری  ، بالابردن امنیت شبکه و مدیریت نیز فراهم شده است.

به طور کلی تغییرات زیادی در نسخه ویندوز سرور 2016 نسبت به ویندوز سرور های قبلی صورت گرفته است که عبارتند از سایز مختصر شده 93 درصدی در  نانو سرور و کاهش 80 درصدی نیاز به ریست سیستم که از مهم ترین آن ها می باشند. همچنین در این نسخه ، هیچ رابط گرافیکی و یا هیچ محیط مبتنی بر متنی ای نیاز نخواهد بود.

معرفی امکانات جدید ویندوز سرور ۲۰۱۶

  1. نانو سرور
  2. به‌روزرسانی‌های قدرتمند در  AD DS و AD FS
  3. پشتیبانی از داکر
  4. امکان حذف و اضافه کردن کارت شبکه و حافظه ( RAM ) بدون راه اندازی مجدد
  5. مجازی سازی تو در تو (Nested Virtualization)
  6. قابلیت بوت امن برای لینوکس (Linux Secure Boot)
  7. ارتقای چرخشی برای Hyper-V و Storage clusters
  8. کانتینرهای Windows Server Container و Hyper-V Containers
  9. PowerShell Direct
  10. ارتباط مستقیم با فضای ذخیره سازی (Storage Spaces Direct)
  11. Host Guardian Service و Shielded VMs

 

نانو سرور

    بی‌ شک، نانو سرور (Nano Server) را می‌ توان بزرگ‌ ترین و شاخص ‌ترین تغییر ویندوز سرور 2016 بر شمرد که بر اساس نیاز های رایانش ابری بهینه شده و می توان به عنوان یک پلتفرم زیر ساخت مجازی سازی بر پایه رایانش ابری از آن بهره برد که مایکروسافت این نسخه از ویندوز را ویژه توسعه‌ دهندگان در نظر گرفته است.

شرکت مایکروسافت در ویندوز سرور های  2008 و 2012 نسخه Core را اضافه کرد. در ویندوز سرور 2016 ، مایکروسافت علاوه بر نسخه Core که در دسترس کاربران است نانو سرور را به ویندوز سرور 2016 اضافه کرد، نانو سرور حدود بیست برابر از نسخه Core سبک ‌تر است. همچنین، به ‌روزرسانی آن راحت‌ تر انجام می‌شود.

شرکت مایکروسافت در نسخه Core ، برخی قابلیت ها نظیر شل ( Windows Shell)، مرورگر IE)  Internet Explorer)، مدیریت GUI های محلی (Local GUL Management) را حذف نمود.

 

 در ویندوز سرور 2016 علاوه بر این موارد، GDI  و کلیه رابط های گرافیکی (Graphical Support)، پشتیانی از 32-bits، دسترسی از راه دور (Remote Desktop) و Winlogon را نیز حذف نموده است که از نقطه نظر امنیتی این تغییرات باعث می شود سطوح نرم افزاری کمتر در معرض خطر حملات احتمالی قرار گیرند.

درنتیجه ی این تغییرات میزان فضای استفاده شده در ویندوز سرور 2016 ، کاهش فراوانی داشته است که باعث سبک شدن بیست برابری نانو سرور از نسخه Core میباشد.

نانو سرور با استفاده از رابط های گرافیکی از راه دور (Remote GUI)، از طریق اپلیکیشن های مبتنی بر مرورگر       (browser-based application)مدیریت می شود.

 

  • مقایسه زمانی نصب ویندوز سرور ، ویندوز core ، نانو سرور

به‌روزرسانی‌های قدرتمند در  AD DS و AD FS

با توجه ویژه‌ای که ویندوز سرور 2016 بر رایانش ابر دارد، انتظار میرود که امکانات  جدیدی به

  AD DS (Active Directory Domain Services) و AD FS  (Active Directory Federation Services) در این زمینه اضافه شود. اکتیو دایرکتوری یکی از مهم‌ترین سرویس‌های مورد استفاده در شبکه‌های سازمانی و بزرگترین وجه تمایز سرور های مایکروسافت بحساب می آید که در ویندوز سرور 2016 بروز رسانی و تغییراتی بر روی آن انجام شده که مهم ترین آنها سرویس‌های تصدیق هویت و مجوزدهی و حق دسترسی ها ، مایکروسافت پاسپورت و سرویس Federation میباشند. در کل، بیشتر امکاناتی که به ویندوز سرور 2016 اضافه شده اند، با محوریت برنامه‌های عمومی، خصوصی ، هیربدی و رایانش ابر قرار داشته‌اند، بگونه ای که سازمان‌ها در زمینه استقرار برنامه‌های هیربدی مشکل خاصی نداشته باشند. امکانات ارتقا یافته در این بخش عبارتند از:

  1. مدیریت دسترسی منحصر به فرد (Privileged access management) 

این عمل نگرانی‌های امنیتی را از طرف محیط اکتیو دایرکتوری که موجب به سرقت رفتن اعتبارنامه‌های فنی مانند

 pass-the-hash میشود را کاهش میدهد و شکل‌گیری حملاتی همچون Spear fishing را بحداقل میرساند. این ویژگی راه‌حل جدیدی در سطح مدیریت است که توسط  MIM  (Microsoft Identity Manager) پیکربندی و ارائه داده می‌شود.

 

Azure AD Join 

Azure Active Directory join قابلیت مدیریت هویت را چه در سطح شخصی و چه در در سطح سازمانی افزایش میدهد.

 

Microsoft Passport  

این مکانیسم فراتر از یک گذرواژه معمولی عمل می‌کند. این مدل از احراز هویت در برابر حمله‌های فیشینگ نسبت به مکانیسم‌های قبلی مقاوم تر است و قدرت بیش‌تری برای پیشگیری از سرقت اعتبارنامه‌ها ارائه می‌کند.

 

Active Directory Domain Services 

ویندوز سرور 2016 امکان اضافه کردن کاربران را به یک گروه برای مدت زمان مشخص را دارد ، این ویژگی کاربرد زیادی در سازمان ها دارد که طبق آن می توان مجوز های مدیریتی برای دسترسی کاربران به یک گروه محافظت شده با مدت زمان مشخص  را صادر کرد. 

 

Federation Services 

مقدار زیادی از امکانات جدید ویندوز سرور 2016 همراه با AD FS اجرا می‌شوند. این ویژگی نحوه تأیید هویت سرویس‌ها و برنامه‌های رایانش ابری در دایرکتوری محلی شما را کنترل می‌کند. AD FS  در شروع ویندوز سرور 2016 نه تنها از پوشه‌هایی که روی AD DS اجرا می‌شوند، بلکه از همه پوشه LDAP v3 نیز پشتیبانی خواهد کرد. این ویژگی به سازمان‌ها اجازه می‌دهد با استفاده از پوشه‌های ثالث LDAP v3 احراز هویت یکسانی را همراه با Azure AD و Office 365 اعمال کنند.  Login Id می‌تواند هر صفت منحصر به‌فردی به Forest باشد. دامنه احراز هویت نیز می‌تواند محدود به یک واحد سازمانی خاص (OU) باشد.

 

پشتیبانی از داکر ها

 با ظهور نرم‌افزار منبع باز داکر (Docker)، کانتینرها یکباره از محبوبیت خاصی برخوردار شدند. داکر یک موتور منبع باز است که برای ساخت، اجرا و مدیریت کانتینرها مورد استفاده قرار می‌گیرد و باعث اتوماتیک شدن و قابل حمل شدن انواع اپلیکیشن ها می شوند. داکر اساسا برای لینوکس استفاده می شوند اما ویندوز سرور 2016 توانایی پشتیبانی بصورت کامل از آن را دارد.

 

امکان حذف و اضافه کردن کارت شبکه و حافظه ( RAM ) بدون راه اندازی مجدد

تاکنون برای اضافه کردن یک سخت افزار مجازی ، تغییر رم یا کارت شبکه  هر ماشین مجازی باید ابتدا ماشین مجازی را خاموش و پس از اعمال تغییرات، مجددا آن را روشن می کردیم ، که این امر موجب نارضایتی مشتریان شده بود.یکی از ویژگی های  جدید ویندوز سرور 2016 در بخش مجازی سازی ، قابلیت اضافه و حذف کردن کارت شبکه و رم بدون نیاز به خاموش کردن ماشین می باشد.


 

مجازی سازی تو در تو (Nested Virtualization) 

مجازی سازی تو در تو (Nested Virtualization)  به این معناست که یک ماشین مجازی خود میزبان ماشین های مجازی دیگری زیر مجموعه اش باشد.این امر که تاکنون در محیط مجازی سازی مبتنی بر مایکروسافت و ویندوز سرور فراهم نبوده  حال برای پشتیبانی از کانتینر جدید  اضافه شده است . بسیاری از اشخاص یا شرکت ها نیاز به یک میزبان Hyper-V اضافه دارند اما هزینه های سنگین خرید سخت افزار سرور برایشان مناسب نیست،اکنون با این ویژگی جدید، شما به اجرای قاعده Hyper-V  روی یک سرور فیزیکی محدود نخواهید بود. مجازی‌سازی تودرتو این توانایی را در اختیار کاربر قرار می‌دهد تا Hyper-V را درون ماشین مجازی Hyper-V اجرا کند. 

 

قابلیت بوت امن برای لینوکس (Linux Secure Boot)

ویژگی جدید دیگری که در Hyper-V ویندوز سرور 2016 اضافه شده است ، فعال سازی بوت ایمن (Secure boot) برای سیستم عامل های لینوکس میباشد. مشکلی که تا کنون در مورد قابلیت بوت ایمن (Secure boot ) در سرورهای مبتنی بر Windows server  وجود داشت، عدم سازگاری این قابلیت با کرنل های لینوکس بود.

بوت ایمن ( Secure Boot ) جزئی از فریمویر UEFI است که در  نسل دوم ماشین‌های مجازی قرار گرفته است و کار آن محافظت از هسته سخت‌افزاری ماشین‌های مجازی  در مقابل حمله های رایجی همچون  Inject  شدن بد افزار ها و Rootkit ها در فرایند بوت ( Boot) اولیه  میباشد.

 

ارتقای چرخشی برای Hyper-V و Storage clusters

از دیگر تغییرات Hyper-V  در ویندوز سرور 2016، ارتقای چرخشی (Rolling Upgrade) ویژه در کلاستر های Hyper-V می باشد. ویژگی های جدید ارتقای چرخشی (Rolling Upgrade)، به کاربر این اجازه را می‌دهد که یک گره (Node)  جدید ویندوز سرور 2016 را به کلاستر های Hyper-V که گره (Node) ویندوز سرور 2012-R2 روی آنها نصب می باشد، اضافه کند.کلاستر تا زمانی که تمام گره (Node) های آن به ویندوز سرور 2016 ارتقا نیافتند به اجرای خود در  در سطح عمل‌گرا8  (Functional level) روی ویندوز سرور 2012-R2  ادامه میدهد.همچنین در ارتقا کلاسترهای ویندوز سرور 2012 به 2016 دیگر نیازی نیست کلاستر را از حالت سرویس دهی خارج کنیم و خود سرویس به صورت هوشمند، مدیریت ارتقا را به عهده می گیرد.

 

 کانتینرهای Windows Server Container و  Hyper-V Containers

یکی دیگر تغییرات ویندوز سرور 2016 پشتیبانی از کانتینرها می باشد. کانتینرها محیط های کاملا ایزوله شده (Isolated)، قابل حمل (Portable) و منابع کنترل شده (Resource Controlled) هستند که به شما اجازه می دهند تا هر اپلیکیشن را به صورت مستقیم روی سخت افزار و در محیطی ایزوله و قابل مدیریت پیاده سازی کنید. . کانتینر ها نوعی از ماشین های مجازی هستند که به سرور میزبان متکی بوده و از منابع آن استفاده می کنند همچنین نسبت به ماشین های مجازی سبک تر ، سریعتر هستند و قابلیت این را در اختیار کاربران قرار می‌دهند تا برنامه‌های بیش‌تری را روی آن‌‌ها اجرا کنند. برای مثال می توانید یک IIS Server یا یک Nginx Server به عنوان Application به صورت مستقیم و در محیطی ایزوله روی یک سرور پیاده سازی کنید. این کار مزیت انعطاف پذیری به همراه بهره وری بالایی را به همراه دارد. کانتینر ها نوعی از ماشین های مجازی هستند که به سرور میزبان متکی بوده و از منابع آن استفاده می کنند و نسبت به ماشین های مجازی سبک تر و البته سریعتر هستند.

 

 

تفاوت Windows server Container   و Hyper-V Container   در سیستم عامل ویندوز سرور 2016 :

  • Windows server Container  : این نوع از کانتینر در محیط هایی قابل استفاده اند که ضریب امنیتی بالایی مورد نیاز نیست و ممکن است چند Instance مختلف در یک سرور سخت افزاری، در بعضی از منابع با یکدیگر اشتراک داشته باشند.
  • Hyper-V Container : این قابلیت با سرویس مجازی سازی Hyper-V در ویندوز سرور کاملا متفاوت است .  Hyper-V Container  یک محیط کاملا اختصاصی است که منابع و پردازنده هایش از سایر Instance ها و همچنین سرور اصلی کاملا جدا و ایزوله شده است. این راهکار برای استفاده در محیط های امنیتی که نیاز به High-trust وجود دارد، ایده آل است.

 

PowerShell Direct

Powershell یکی از ابزارهای قدرتمند جهت مدیریت اتوماتیک امور می باشد. اما در صورتی که بخواهیم از این ابزار جهت دسترسی از راه دور (Remote) به ماشین های مجازی (VMs) استفاده کنید، روند بسیار پیچیده خواهد بود. کنترل سیستم عامل های مجازی دیگر در یک ماشین بدون جا به جایی در لایه شبکه  از قابلیت های  PowerShell Direct  می باشد.از دیگر قابلیت های PowerShell Direct   ساده بودن آن است که نیاز به هیچ گونه پیکربندی و تنظیمات خاصی نداشته و مستقیما به ماشین مجازی متصل شده و تنها موردی که نیاز می باشد، تعریف دسترسی های مجاز (Authentication Credentials) روی ماشین مجازی می باشد.

در ویندوز سرور 2016 ،Powershell 5.0 بصورت پیش نصب شده است که شامل ویژگی های جدیدی مانند بهبود کارایی و فراهم آوردن امکان مدیریت جامع محیط های مبتنی بر ویندوز (Windows-based environments) می باشد و با ورژن های قدیمی نیز سازگار بوده و  استفاده ازاسکریپت ها نیاز به هیچ تغییری ندارد.

 

ارتباط مستقیم با فضای ذخیره سازی (Storage Spaces Direct) 

Storage Spaces Direct قابلیتی است در Windows server 2016    که میتواند اجازه دسترسی به دیسک‌های JBOD و SAS را که به‌طور داخلی درون گره‌های یک کلاستر قرار گرفته دهند را بدهد. این امکان توانایی اتصال مستقیم به کلاستر های ویندوز 2012 را نیز فراهم می سازد و همانند Storage Spaces ویندوز سرور 2012، از هر دو مدل دیسک‌های SSD و HDD پشتیبانی می‌کند.همچنین این قابلیت کاربردی و پرطرفدار Windows server 2016  به مدیران سیستم اجازه می دهد تا بسیار آسان تر و به صرفه تر قادر به ایجاد محیط های ذخیره سازی (Disk storage) به صورت Redundant یا با افزونگی باشند.

 

 

 

Host Guardian Service و  Shielded VMs

 Host Guardian Service قاعده (Role) جدیدی در ویندوز سرور 2016 میباشد که جا به جایی داده ها و دسترسی ها را بررسی و از آنها در برابر دستیابی‌ های غیر مجاز حتی دسترسی غیر مجاز مدیر Hyper-V محافظت میکند. این قابلیت، امکان تبدیل یک ماشین مجازی استاندارد را به ماشین مجازی محافظت شده (Shielded VMs) فراهم میکند . برای مثال، تصور کنید که سرور میزبان Hyper-V شما بین چند مشتری یا شرکت به اشتراک گذاشته شده است و هر یک از مشتریان نیز اکانتی با سطح دسترسی Admin در سرور Hyper-V برای مدیریت ماشین مجازی خودشان نیاز دارند. قابلیت Shielded-VM با استفاده از تکنولوژی رمزگذاری Bitlocker می تواند هارد دیسک مجازی (VHD) هر ماشین مجازی را Encrypt کند. در نتیجه شما مطمئن خواهید بود که هریک از کاربران Admin تنها به محتوای ماشین مجازی خودشان دسترسی دارند. 


محمد علیزاده / آداک فن آوری مانیا

منابع:

www.docs.microsoft.com

 www.tomsitro.com

 www.windowstipro.com

  • آدرس دفتر مرکزی: تهران، بلوار نلسون ماندلا (آفریقا)، خ فرزان شرقی، پ 33

  • تلفن ویژه: 43672 (9821+) 88193969 (9821+)
  • ایمیل: info@mania-co.com