Modern vállalati informatika
5 Áttekintés 6 Windows 8 a vállalatoknál 8 A hordozható munkakörnyezet 12 Folyamatos kapcsolatban 14 Virtuális munkakörnyezetek 18 Licencelés 21 Áttekintés 22 Virtualizáció 26 Tárolás, fájlszerver és fürtözés 30 Hálózat 32 Felügyelet és automatizmus 35 Azonosság- és hozzáféréskezelés 38 Licencelés 41 Áttekintés 42 Nyilvános felhő 43 A Windows Azure képességei 44 A Windows Azure a vállalatoknál 50 Árazás és licencelés
Modern platform a modern elvárásokhoz Óriási fordulópont előtt áll a Microsoft: a modern felhasználói és vállalati elvárásokat egyaránt, együttesen szem előtt tartva teljesen megújul a szoftverplatformunk, amihez kapcsolódóan mind a Microsoft, mind partnereink új szolgáltatásokat és informatikai eszközöket tesznek elérhetővé. A Windows 8 megjelenésével egy időben nagyot lépünk előre az ultrahordozható számítógépek, táblagépek, érintőképernyők, alkalmazások, játékok és kiegészítők terén, miközben továbbra is biztosítjuk a már meglévő hardverekkel és szoftverekel a kompatibilitást, valamint a Microsoft platform hatékony központi felügyeletének eszközeit az informatika számára. és a modern munkastílus A Microsoft azonban továbbra is a felhasználót helyezi a középpontba, nem pedig az egyes eszközöket, amikkel a munkáját végzi. Alapvető célunk, hogy egy felhasználó bármely számítógépére vagy mobil eszközére bejelentkezve megszokott környezetét, beállításait, dokumentumait és alkalmazásait kapja meg. A Windows 8 esetében erre már vállalati és otthoni környezetben egyaránt lehetőséget biztosítunk. Ahogy a felhasználók egyre több saját informatikai eszközzel rendelkeznek, egyre gyakrabban viszik azokat magukkal a vállalati környezetbe is, vagy szeretnének azokról akár otthonról is munkát végezni. Az is gyakran elődordul, hogy a vállalati eszközökről szeretnék személyes profiljukat, dokumentumaikat elérni a napi munkával párhuzamosan. Fontos feladat, hogy mindezt a vállalati informatika megfelelő központi szabályozás mellett legyen képes integrálni a mindennapi működésbe, anélkül, hogy teljes irányítás alá venné a felhasználó saját eszközét. Ezekre a kérdésekre a megújult Windows 8 és a Windows Server 2012, valamint rendszerfelügyeleti oldalon a Windows Intune és a System Center komponensek nyújtanak teljeskörű megoldást. Ezzel foglalkozik kiemelten kiadványunk első része, ahol egyaránt szó esik a munkakörnyezet hordozhatóságáról, a távmunka és távelérés új lehetőségeiről, valamint a virtuális munkakörnyezetek kialakításának eszközeiről. a vállalati informatika motorja Kiadványunk második fő témája a Windows Server 2012, ami a Windows vállalati felhasználásának az egyik legfontosabb építőköve. Technikai oldalról nézve mind a virtualizáció, az adattárolás, a hálózat, a felügyelet és a biztonság területein lényeges újdonságok érkeztek. A Hyper-V hatalmas fejlődésen ment keresztül, a jelenlegi változat funkcionalitásban és technikai lehetőségek terén szinte minden ponton megelőzte a vetélytársait. Mindeközben az új tárolási, hálózati és virtualizációval kapcsolatos képességeknek köszönhetően a kisebb IT költségvetéssel rendelkező vállalatok is könnyebben belevághatnak olyan megoldások megvalósításába, amiket korábban elképzelhetetlennek tartottak komolyabb hardverberuházások nélkül. a következő szervert már a felhőből bérlem A harmadik kulcsterületünk a Windows Azure. A Microsoft szerverek százezreit üzemelteti saját adatközpontjaiban, és ezek elérhető kapacitását ügyfeleink és partnereink rendelkezésére bocsátjuk felhőszolgáltatásaink révén. A Windows Azure egyike ezen felhőszolgáltatásoknak, amin akár virtuális gépeket, akár saját fejlesztésű alkalmazásokat is lehet futtatni. Mindezt olyan módon, hogy az ehhez szükséges hardver összetevőket a Microsoft biztosítja és üzemelteti, ezzel lényegesen csökkentve egy új projekt kezdeti beruházási költségeit. A rugalmas előfizetési konstukcióknak köszönhetően a rendszer fenntartási költsége is a ténylegesen lekötött erőforrások függvényében módosulhat. A felhőben üzemeltetett virtuális gépeket és alkalmazásokat a vállalat saját adatközpontjával is össze lehet kötni, így természetes kiterjesztése lehet a meglévő rendszernek. Érdemes újratervezni Érdemes tehát áttekinteni a legújabb Mircosoft megoldásokkal érkező lehetőségeket, és azok ismeretében újragondolni a már meglévő, vagy még tervezés alatt álló informatikai rendszereket. Akár a költségek csökkentése, akár a modern felhasználói igények minél hatékonyabb kiszolgálása a cél, a megújult Microsoft platform rengeteg ponton segíthet. Bízunk benne, hogy kiadványunkkal hozzá tudunk járulni az újdonságok megismeréséhez! 3
Modern munkastílus
Az emberek munkastílusa jelentős változásokon ment keresztül az elmúlt évtizedben. A mai felhasználók a legújabb eszközöket és technológiákat szeretnék használni már a munkájuk során is, és készségszintjük jelentősen emelkedett. Az egyre hordozhatóbbá váló számítógépek, az okostelefonok és táblagépek térhódítása, valamint a közösségi élet robbanása miatt a felhasználók egyre nagyobb elvárásokat támasztanak már a munkahelyi informatikával szemben is; elvárják egyéni és egyre rugalmasabb munkastílusuk figyelembe vételét. Sokuk már nem is felétlenül elégedett egyetlen (vállalati) PC használatával. Zsebükben már ott lapulnak ez egyre okosabbá váló okostelefonok, szívesen hagyják kétkilós notebookjukat asztalukon, és kapnak fel egy táblagépet, hogy ügyeiket intézzék. Igaz, hogy jelenleg gyakorta igen korlátozott a vállalati alkalmazások elérhetősége és támogatottsága, és különösen a teljes vállalati desktop elérhetősége mobil eszközökön, de már a céges e-mail használhatósága, internetelérés és alapvető appok megléte egyre több felhasználónak elég érv a gazdag vállalati desktop időnkénti nélkülözésére, és a több eszköz párhuzamos használata okozta nehézségek felvállalására. Vállalati környezetben a munkavégzés legtöbbször elképzelhetetlen alkalmazások használata nélkül, melyek ma még leggyakrabban Windows XP és Windows 7 rendszereken futnak. A teljes desktop megjelenítése nem Windows-t futtató táblagépeken bár desktopvirtualizációs technológiákkal (VDI) megoldható, használhatóságának korlátai (pl. nagy sávszélesség folyamatosságának hiánya) miatt a legtöbb felhasználó számára nem elfogadható kompromisszum; az IT számára pedig újabb kihívást jelent az új eszközök biztonságáról, üzemeltethetőségéről gondoskodni. Az új Windows alapvető jelentősége abban van, hogy egy operációs rendszerben ad választ az ultrahordozhatóságra, az érintéses használatra, és egyúttal benne van a megszokott Windows desktop, amin az eddig használt alkalmazások továbbra is használhatók. Nincs még egy operációs rendszer család, amely az asztali gépen, notebookon, táblagépen és mobiltelefonon ugyanazt a rendszert nyújtaná felhasználóinak, fejlesztőinek és üzemeltetőinek. Valódi üzleti táblagép A Windows 8-as táblagépekkel a felhasználók a kényelem és hordozhatóság mellett a megszokott Windows-környezet előnyeit is megkapják. A táblagép lehet önálló, vagy billentyűzettel összekapcsolt hibrid eszköz, támogatja az érintéses, billentyűzetes, egeres és tollas beviteli módokat is, a már megszokott eszközökhöz (nyomtató, hálózat, monitorok, dokkolók és külső eszközök) remekül kapcsolódnak különféle portokon keresztül. Nagyszerű társ azoknak, akik nem csak az asztal mögött ülve dolgoznak, és nem csak fogyasztani kívánják, hanem szerkeszteni és létrehozni is az újabb tartalmakat. De nem csak táblagépen mutatja meg a Windows 8 az erejét. Érintés nélküli számítógépeken is kiválóan kezelhető egérrel és billentyűzettel, az új appok ugyanúgy használhatók, és a felügyelhetőségben sincs eltérés. Ráadásul a Windows 7 gépigényével megelégszik, és a javított memória és folyamatkezelésnek hála gyorsabbnak tűnik a legtöbb felhasználó számára; így a meglévő Windows 7-es géppark is jó kiindulás az új verzió bevezetéséhez. 5
Windows 8 a vállalatoknál A Windows 8-at a chipsettől egészen a felhasználói felületig újraterveztük. Alapos elemzésnek vetettük alá, hogyan és mire használják a felhasználók a Windows operációs rendszert, és ennek eredményei alapján terveztük azt át még hasznosabbra és könnyebben kezelhetőre. Az egyik legizgalmasabb újdonság a Windows 8 kapcsán az új hardverek megjelenése: notebookok, táblagépek, monitorba épített számítógépek, melyek lehetnek érintőképernyősek és/vagy egérrel, billentyűzettel kezelhetőek; és minden felhasználó a saját igényeinek megfelelő eszközt választhatja. A Windows 8 eszközök vékonyabbak, könnyebbek, gyorsabban indulnak el és kapcsolódnak wifihez elődeihez képest, így téve élvezetesebbé és gyorsabbá az elvégzendő feladatokat. A Windows 8-as hardvereket úgy tervezték meg, hogy minél tovább bírja az akkumulátor és erősebbek legyenek hálózati kapcsolatai. És mivel Windows rendszert futtatnak, továbbra is ugyanolyan kompatibilisek a szoftverekkel és a hardverekkel, mint elődei, valamint a meglévő Windows 7 infrastruktúrákba és felügyeleti környezetekbe is remekül illeszkednek. De nem csak új hardvereken fut jól az új Windows. Gépigénye megegyezik a Windows 7 igényeivel, azaz az elmúlt 3-5 évben vásárolt számítógépek alkalmasak a futtatására. Az egyetlen nyitott kérdés, ami sokak fejében megfordul: használható-e a Windows 8 érintőképernyő nélkül? A válasz: igen. Egérrel és billentyűzettel is remekül használható az új kezdőképernyő és a modern alkalmazások, érdemes kipróbálni. A hagyományos munkaasztalnál pedig kétely sem merül fel e kérdés kapcsán. A Kezdőképernyő élő csempéi friss információkat jeleníthetnek meg a letűzött (akár vállalati) alkalmazásokból, így értesítve a felhasználót egy újdonságról, hírről vagy éppen jóváhagyandó feladatról. És amint a felhasználó rákattint a csempére, az alkalmazás egyből arra a képernyőre viszi el, ahol az élő csempén megjelenített újdonság megtalálható. Ezek az új generációs modern alkalmazások teljes képernyőn adnak egészen újszerű felhasználói élményt. És nemcsak a játék appok lehetnek újak és modernek, hanem vállalati alkalmazásokat is létre lehet hozni például C#, CSS3, html5, javascript használatával, melyek akár saját rendszerekhez kapcsolódva adják meg a felhasználók számára a korszerű felületet és kezelési módot. A kifejlesztett vállalati, modern appokat célszerű nem a Windows Áruházon keresztül eljuttatni a felhasználókhoz (amely vállalati környezetben le is tiltható), hanem inkább menedzselt szoftverterítéssel (Enterprise Sideloading), illetve önkiszolgáló módon engedni a felhasználót telepíteni a belső hálózatról. A Windows 8 modern alkalmazásai izolált konténerekben futnak, sem az operációs rendszerrel, sem pedig egymással nem akadhatnak össze. Az operációs rendszer érintetlensége megszűnteti azt a régről jövő élményt, hogy a sok telepítés és eltávolítás után egy idő után a rendszer mégis csak lassul, elöregszik. Ha nem használják őket, automatikusan alvó állapotba kerülnek, nem fogyasztják a CPU-t, nem lassítják a gépet. Megjelenik a Windows az eddig megszokott x86 és x64 architektúrák mellett az ARM processzort használó eszközökön is, így alacsony energiafelvétele révén hosszabb üzemidejű, vékonyabb és könnyebb táblagépek és notebookok lesznek kaphatóak. Az ARM processzort tartalmazó eszközökön a Windows RT operációs rendszer lesz előtelepítve, mely az új kezdőképernyőt, a modern alkalmazásokat, a Windows Áruházat, és az érintésre optimalizált Microsoft Office Word, Excel, PowerPoint és OneNote szoftvereket egyaránt tartalmazza. És mivel ez is Windows operációs rendszer, ezek az eszközök is több felhasználói profilt képesek kezelni, jelentősen megkönnyítve mind a végfelhasználók, mind pedig az üzemeltetők dolgát. Mivel a Windows RT-t futtató eszközök domainba nem léptethetők, felügyeletükről a Windows Intune szolgáltatással lehet távolról gondoskodni. 6
A Windows 8 újabb funkciókkal segíti az intézményi környezettől távol lévők munkáját. A nagy sávszélességű mobilhálózatokat egyként kezeli a vezeték nélküli hálózatokkal, és folyamatosan képes hálózati kapcsolatot tartani azáltal, hogy az ismert irodai és otthoni környezetben wifi-kapcsolatot használ, azon kívül pedig képes automatikusan átváltani mobil kapcsolatra, a céghez visszaérve pedig ismét visszavált wifire, így optimalizálva az elérhetőség és költségek között. A Windows 7-ben már megjelent DirectAccess használatával folyamatosan az intézményi hálózatban tartható a számítógép, így egyszerre tudunk a felhasználó számára folyamatos elérhetőséget biztosítani, miközben az informatika állandóan felügyelheti ezeket az eszközöket. A Windows To Go segítségével akár egy pendrive-ra is telepíthetjük a vállalati Windows 8 desktopot, amely képes minden (a Windows 8 követelményeinek megfelelő) PC-n a telepített operációs rendszer helyett Windows 8-at futtatni. Sokféleképpen használható. Lehet másodlagos munkakörnyezet, amivel már nemcsak az irodai gépén dolgozhat a felhasználó, hanem amelyiken csak szeretne. Külső szerződő partnereknek biztosíthatunk a saját gépén futó de a mi felügyeletünk alatt álló operációs rendszert, akár VDI környezet kiépítése nélkül is. A Windows 8 Pro kiadásban is a rendszer része a BitLocker technológia, mellyel a merevlemezeken és USB-tárolókon lévő információk számára nyújt nagyvállalati színvonalú védelmet minden felhasználó számára. A felhasználók egyre inkább igénylik a minél hosszabb rendelkezésre állást egy feltöltéssel, ezért a Windows mélyén több ponton is optimalizáltuk ennek a területnek a működését. A modern alkalmazások kizárólag akkor használnak processzoridőt, amikor a felhasználó ténylegesen használja azokat, és amint a háttérbe kerülnek, a Windows elveszi tőlük a processzoridőt, majd hosszabb inaktivitást követően biztonságos leállítással a memóriából is eltávolítja. Így a valóban használt alkalmazások számára több rendszerteljesítmény marad. Valamint csökkentettük a háttérben futó folyamatok számát; melyek együttesen eredményezik a rendszer gyorsulását és a kevesebb energiahasználatot. A megújult feladatkezelő elkülönítve mutatja az alkalmazások és a háttérfolyamatok teljesítményigényeit (processzor, memória, disk és hálózat), és akár proceszszormagonként is követhetjük a terhelést és a további erőforrások felhasználását. A Windows indulásakor betöltődő alkalmazásokat és a rendszerindulás gyorsaságára gyakorolt hatását is könnyen áttekinthetjük, és egyetlen kattintással tudjuk engedélyezni vagy tiltani az egyes alkalmazások automatikus indulását. A Windows 8 mindent tud, amit a Windows 7 is tudott, és erre a stabil alapra építve fejlesztettük tovább az új kor kihívásainak megfelelően. Gyorsabban betöltődik, tovább bírja a gép akkumulátora, gyorsabban kapcsolódik wifihez, biztonságosabb lett és több monitort is jobban kezel az elődeinél. Az új eszközök pedig minden felhasználó számára megadják a munkavégzéséhez számára legkedvezőbb géptípust. 7
A hordozható munkakörnyezet A Microsoft platform egyik legfontosabb előnye a felhasználók munkakörnyezetének, beállításainak, alkalmazásainak, jogosultságainak és dokumentumainak központosított kezelése. Egy megfelelően megtervezett és beállított szerver infrastruktúra megléte esetén bárhonnan és bármilyen eszközre is jelentkezik be a felhasználó, mindenhonnan a megszokott környezetében, a saját eszközeivel és dokumentumaival dolgozhat. A Windows 8, a Windows Server 2012, a Windows Intune és a System Center komponensek együttes használatával arra is lehetőség adódik, hogy a felhasználók saját eszközeiket, táblagépeiket, telefonjaikat munkára foghassák, és arról érjenek el vállalati adatokat, alkalmazásokat mindezt az IT felügyelete és biztonsági előírásai mellett. Vándorló profilok A felhasználói profil, azaz a felhasználó munkakörnyezétenek teljes tükre (a dokumentumok, az Asztal elemei és kinézete, illetve az alkalmazások beállításai) egy informatikai infrastruktúrában helyben, illetve hálózatban is tárolható. Egy Windows tartományi környezetben viszont érdemes kihasználni a centralizáció adta kézenfekvő lehetőségeket, azaz többek között a profilok központi elhelyezését. Ebben az esetben a felhasználó környezete függetlenné válik a számítógépétől, így ezután bármelyik, tartományi számítógépre (akár fizikai eszközre, akár virtuális desktopra) interaktívan bejelentkezve a saját, jól megszokott környezetében dolgozhat tovább. Ez a megoldás arra is lehetőséget biztosít, hogy a felhasználó különböző Windows verziók között tudjon egyszerűen váltani ha a felhasználó beállításai és a dokumentumai a szerveren találhatóak, valamint az alkalmazás-terítési stratégia is megfelelően ki van dolgozva, a Windows 8 migráció a felhasználók szemszögéből egyszerűen az új számítógépre történő bejelentkezést is jelentheti. Az egységesség és a folyamatosság biztosításának okán kötelező (mandatory) vagy szuper-kötelező (super mandatory) profiltípusokat is definiálhatnak. Mindkét esetben egy előre elkészített, a felhasználó szemszögéből megváltoztathatatlan környezet biztosítása a cél, azonban a második esetben ezen profil kizárólagos használatát szeretnénk elérni. Ilyenkor már a belépés sem lehetséges, ha bármilyen okból nem elérhető a profil. Mappa átirányítás A felhasználói profilhoz tartozó mappákat (Dokumentumok, Képek, Videók, Linkek, Letöltések, Keresések, Kedvencek) a csoportházirend segítségével a lokálisan tárolt profilból átirányíthatjuk egy hálózati megosztott mappába. A központilag tárolt dokumentumok megkönnyítik a felhasználók adatainak biztonsági mentését, és lehetővé teszik, hogy a felhasználók különböző gépeken bejelentkezve is elérjék ezen mappák tartalmát. Emellett a felhasználók számára transzparenssé teszik a dokumentum kezelési műveleteket, hiszen például helyi gép merevlemezére mentett dokumentumok a folyamatban közreműködő fájszerverre kerülnek az átirányítás során anélkül, hogy a felhasználó ezt érzékelné. A felhasználók számítógépén a Dokumentumok, a Képek és a többi a profil részeként elérhető mappa gyorsítótárba helyezett példánya található, így ezek a fájlok akkor is elérhetőek, ha a gép éppen nincs kapcsolatban a hálózattal. Minden esetben, amikor a felhasználó be-, vagy kijelentkezik, a rendszer szinkronizálja ezen mappák a klienseken lévő példányát a kiszolgálón lévő példánnyal. A Windows 8 egyik újítása ezen a területen az, hogy a korábbi verziókkal ellentétben mindig a helyben található állományokkal dolgozik, miközben a háttérben folyamatosan szinkronizál, nem csak be- és kijelentkezéskor. Ennek eredménye a következetesen jó válaszidő és a lényegesen gyorsabb bejelentkezés. 8
Kapcsolat nélküli fájlok Ha a hálózat nem érhető el számunkra, ellenben mégis hozzá kell férnünk egy hálózati mappában tárolt fontos fájlhoz, akkor azonnal megértjük, hogy miért fontos a kapcsolat nélküli fájlok megoldás. Ezek használatával ugyanis akkor is elérhetővé válik a megosztott mappák tartalma, ha a hálózati fájlszerver éppen nem elérhető akár szerverhibáról, akár távoli, vagy a mobil használatról van szó. A kapcsolat nélküli fájlok konfigurálása viszonylag egyszerű, mindössze a felhasználónak ki kell jelölnie azokat a mappákat vagy fájlokat, amiket szeretne kapcsolat nélkül is elérni. Ezt követi az a folyamat, amely során automatikusan készül a számítógépen egy másolat a hálózati fájlokról. A Windows operációs rendszer ettől a ponttól kezdve a háttérben folyamatosan szinkronizálja ezeket a fájlokat, és akkor is képes megnyitni azokat, amikor a hálózaton található verziók éppen nem elérhetők. További előnye ennek a szolgáltatásnak, hogy védelmet nyújt a hálózati hibák okozta károktól, ugyanis nem számít, ha megszakad a hálózati kapcsolat, vagy elérhetetlenné válik a használni kívánt hálózati mappa. Ha a fentiek valamelyike előfordul, a Windows automatikusan a számítógépen tárolt offline példányokat kezdi el használni a hálózati mappában található fájlok helyett, így a felhasználó megszakítás nélkül folytathatja a munkát. Elsődleges számítógépek kijelölése Az előző három képesség összefűzésére és közös alkalmazására már a korábbi operációs rendszerekben is volt lehetőség, a Windows 8 és a Windows Server 2012 esetén viszont mindezen képességeket egy újfajta módon is összekapcsolhatjuk, azaz pontosabban a különböző végfelhasználói eszközökhöz történő hozzáférés miatt csoportosíthatjuk. A csoportházirend és az Active Directory Administration Center segítségével beállíthatunk egy vagy több elsődleges számítógépet (Primary Computer) a felhasználó számára, és kiválaszthatjuk, hogy a felhasználó többi eszközén használhatjuk-e a vándorló profilt és a mappa átirányítást, vagy sem. E megoldás a vándorló profil és a mappa átirányítás automatikus működésének szabályozására jött létre, azaz például megszabhatjuk, hogy a vándorló profilunk az asztali gépünkre és a laptopunkra letöltődjön, de a tartományba léptetett táblagépünkre ne, és semmilyen más, például közösen használt tartományi gépre se kerüljön fel. Windows To Go A Windows To Go segítségével egy Windows 8 Enterprise operációs rendszert tudunk USB meghajtókról (például merevlemez vagy pendrive) futtatni. Ezzel a módszerrel tökéletesen hordozhatóvá tehetjük a munkakörnyezetünket, mivel egy tetszőleges gépbe behelyezve a preparált USB eszközünket máris saját operációs rendszerünket használhatjuk. Segítségével azonnal be tudunk jelentkezni a vállalatnál elérhető tartalék gépekre, de akár más felhasználó számítógépére is, függetlenül attól, hogy egyébként ezek a gépek milyen operációs rendszerrel lettek telepítve. Mindez úgy működik, hogy az USB-ről indított számítógépre semmilyen adat nem kerül tárolásra (alapbeállítás szerint nem is látja az operációs rendszer a számítógép beépített lemezeit), ezáltal a biztonsági kockázatokat is minimalizálni tudjuk (például nem kerülnek rá a profilinformációink vagy a dokumentumaink sem a használt számítógépre). A Windows To Go példányra telepíthetőek alkalmazások is, frissíthető a Windows Update-tel és összességében alig bír néhány korláttal a klasszikus merevlemezre telepített változatokhoz képest. Mivel Enterprise kiadás, ezért a maximális vállalati funkcionalitással működik (DirectAccess, BitLocker, BranchCache, stb.), beléptethető tartományba, és minden központi felügyeleti alkalmazás (pl. System Center Configuration Manager) ugyanúgy kezeli, mint bármely más Windows operációs rendszert. Valójában a Windows To Go önmagában nem egy speciális Windows 8 telepítési változat, hanem egyszerűen a Microsoft legújabb kliens operációs rendszere már alapértelmezés szerint is képes futni az eltávolítható, USB-s meghajtókról. Ellenben a telepítés módja mégis különleges, hiszen nem a klasszikus telepítő futtatásával kell elkészítenünk a hordozó USB-s eszközt, hanem egy Windows 8 kizárólag az Enterprise kiadásba épített, a Vezérlőpultban elhelyezett varázslót kell ehhez használnunk. 9
App-V A Microsoft Application Virtualization (App-V) lehetővé teszi, hogy az alkalmazásokat tökéletesen elválasszuk az operációs rendszertől, és gyakorlatilag szükségtelenné tegyük a hagyományos alkalmazástelepítést. Az alkalmazásokat virtuális csomagok képében juttatjuk el a felhasználó számítógépére akár a már megszokott alkalmazás-terítési eljárásokkal, akár az App-V által biztosított streaming infrastruktúra segítségével. A technológia használatával az alkalmazások bármely számítógépre vagy virtuális környezetre automatikusan követhetik a felhasználókat, és akár arra is van lehetőség, hogy maga az alkalmazás automatikusan az első használat alkalmával települjön fel a felhasználó gépére. Az App-V legfontosabb előnyei a következőek: Az alkalmazások frissítése a szerveren található csomag frissítésével, és annak a desktopokra történő eljuttatásával történhet meg, nincs szükség külön telepítésre és frissítésre a desktopokon. Az alkalmazások egymástól teljesen izoláltan futnak, így akár több Office vagy Java verzió együttes, akár egyszerre történő használatára is van mód.ez a lehetőség nagyban csökkenti az alkalmazás-kompatibilitási tesztekre fordítandó idejét is, hiszen az alkalmazások nem tudnak egymással összeakadni. A címtárszolgáltatás vagy a System Center Configuration Manager segítségével központilag kezelhetjük az alkalmazások felhasználói fiókokhoz rendelését és eltávolítását, valamint azt, hogy ki melyik verzió(k) használatára jogosult. A megoldás integrálható az RDS szerverekkel, ekkor egy speciális App-V verzióval képesek leszünk a terminálszerveren keresztül kiajánlani az alkalmazásokat, akár a WebAccess, akár a VDI segítségével. Ennek köszönhetően akár korábbi operációs rendszert igénylőalkalmazásokat is ki tudunk ajánlani a felhasználók számára. Az alkalmazások kiajánlása vagy frissítése működhet HTTPS-en keresztül is, azaz az App-V alkalmazások biztonságosan és kényelmesen használhatóak a védett hálózatunkon kívülről is. Az App-V a Microsoft Desktop Optimization Pack részeként érhető el. UE-V A User Experience Virtualizaton (UE-V) egy teljesen új megoldás, ami a felhasználó által használt alkalmazások állapotát, beállításait figyeli és ezek változásait menti, majd szinkronizálja egy másik de ugyanazon felhasználó által használt - számítógépre. Adott esetben tehát egy Acrobat Reader vagy egy WinZip konfigurációs beállítás így elérhetővé válik az első az asztali gépünkön történő beállítás után a laptop számítógépünkön, vagy éppen egy, a VDI segítségével használt virtuális gépünkön is - teljesen automatikusan. Az alkalmazások beállításainak hordozhatóságához az UE-V-hez egy kliens szoftverre van szükség. Ez a szoftver folyamatosan figyeli, hogy mi történik a gépünkön azokkal az alkalmazásokkal, amelyekhez egy működési sablon van mellékelve. Ezt a sablont egy, az App-V Sequencer-hez hasonló szoftverrel kell elkészítenie az üzemeltetőnek (vagy letöltenie egy előre gyártottat). A sablon gyakorlatilag a konfigurációs beállítások manuális végigpróbálását monitorozza, azaz ennek a folyamatnak a hozadéka. A beállítások tárolására egy hagyományos hálózati megosztást használhatunk. UE-V integrálható a Microsoft desktop virtualizációs megoldásaival, együttműködik a csoportházirenddel, illetve a terjesztést illetően az MDT-vel vagy a System Center Configuration Managerrel, és a külső felügyeleti megoldásokkal is. Az UE-V is a Microsoft Desktop Optimization Pack csomag részeként érhető el. Saját eszközök használata a vállalatnál A modern informatikai üzemeltetési modellek lassan, de biztosan magukba foglalják azokat a helyzeteket, amikor a vállalati vagy intézményi környezetben nem csak a szervezet számítógépei, de a felhasználó saját eszközei is használhatóak. Nem mindig, és nem minden munkakörben hasznos vagy járható ez a modell, de ahol igen, ott pénzügyi megtakarítást, és a biztonság megtartása mellett inspiráló, agilis környezetet vár az alkalmazó vállalat. Az eddig ismertetett technológiai eszközök mind-mind hozzájárulhatnak egy ilyen üzemeltetési modell felépítésében és támogatásában. A saját eszközök használatának legegyszerűbb változata, amikor bizonyos vállalati szolgáltatásokat a felhasználók saját mobil (többnyire okostelefon) eszközén is elérhetővé teszünk. A rendszer kiépítésével két fontos rendszerfelügyeleti feladatról kell gondoskodnunk: 1. biztosítanunk kell, hogy a vállalati adataink biztonságban vannak a felhasználók eszközein. 2. A hozzáféréseket és az eszközöket nyilván kell tartanunk auditálási és licenc-elszámolási kötelezettségek miatt. Mindkét feladatot a Microsoft felhő alapú Windows Intune, vagy a System Center Configuration Manager felügyeleti szoftverével végezhetjük el. Ezek a szoftverek a Windows Phone 7 és Phone 8 mellett WinRT, ios és Android eszközök eszközfelügyeletét (leltározás, házirendek érvényesítése, stb.) is képesek elvégezni. 10
Alkalmazás piacterek támogatása Egy fokkal összetettebb az a modell, amikor az adathozzáférés mellett egyedi, a vállalat által használt alkalmazások terítését is vállalja a vállalati informatika. Ezt a feladatot szintén a Windows Intune vagy a System Center Configuration Manager segítségével lehet megoldani. Ezen eszközök legfrissebb verziói már nem csak a hagyományos desktop alkalmazások terítését képes elvégezni, de a vállalati önkiszolgáló webportál segítségével belső vállalati alkalmazás piacteret hozhatunk létre, ahonnan Windows 8 vagy WinRT (továbbá ios és Android) alkalmazások kipublikálását és terítését végezhetjük el. Jegyezzük meg, hogy Android eszközöknél a házirendek érvényesítéséhez továbbra is szükségünk lesz Exchange Activesync kapcsolatra. WinRT és ios rendszereknél ez azonban már nem szükséges. A megoldás nagy előnye, hogy több platform számára egységesen, egy pontból végezhetjük a belső alkalmazások publikálását, függetlenítve a vállalati informatikát a nyilvános piacterektől. Vállalati alkalmazások elérése táblagépekről Az új típusú alkalmazások mellett szükségünk lehet hagyományos x86-os desktop alkalmazások elérésére is a felhasználók által birtokolt táblagépeken. A Windows 8 többféle módon lehet a segítségünkre: 1. RDS vagy VDI infrastruktúra segítségével publikálhatjuk az alkalmazásainkat WinRT alapú táblagépek felé. Mivel a WinRT rendszerek jól kezelik az egeret és a billentyűzetet, és beépített RDP8 protokollal rendelkeznek, ezért kényelmesen használható felhasználói élményt képesek biztosítani. 2. A Windows 8 (x86, x64) gépekre natív módon, vagy szintén RDS/VDI megoldással biztosíthatjuk a belső vállalati alkalmazások elérését. E környezetben használható a korábban már megismert App-V és UE-V technológia, a belső infrastruktúra elérését pedig könnyítheti a Direct Access alkalmazása. Teljes vállalati desktop saját eszközökre Végezetül a hozd a géped modellek legkifinomultabb változata, amikor a felhasználók a saját desktop vagy notebookjukat hozzák be munkaeszközként, vagy fordítva, a vállalati informatikai szervezet natív, vállalati lemezképet biztosít az otthon használt eszköz számára. Mindkét helyzetet a Windows To Go technológia alkalmazásával lehet megvalósítani. Amikor a felhasználó a saját gépét hozza be a munkahelyre, a Windows To Go segítségével anélkül lehet natív, helyi hardver erőforrásokat használó vállalati környeztet biztosítani, hogy az bármilyen módon érintené a felhasználó otthoni, saját rendszerét, mivel a Windows To Go technikailag is elválasztja a két rendszert. A Windows To Go által biztosított viszonylag kis tárterület-kapacitás sem jelenthet problémát, ha alkalmazzuk a korábban már ismertetett technológiákat, mint például az alkalmazás-virtualizációt vagy a mappa-átirányítást. Ha a Windows To Go USB eszközt a vállalaton kívül, például a felhasználó otthoni gépén futtatjuk, érdemes BitLocker titkosítást is alkalmazni rajta, hogy illetéktelen ne férhessen hozzá a vállalati lemezkép belső állományaihoz. Az otthon elindított Windows To Go egy szinte teljes értékű desktop operációs rendszer: tartománytagsággal bírhat, DirectAccess segítségével becsatlakozhat a belső, vállalati rendszerekhez, valamint felügyelhetjük a Windows Server beépített eszközeivel (Csoportházirend, Applocker stb.) és a nagyvállalati felügyeleti eszközökkel is. 11
Folyamatos kapcsolatban Biztonságos és rugalmas távoli elérés nélkül nem érdemes modern munkavégzésről beszélni. E cél eléréséhez több szolgáltatást is bevethetünk a Windows 8-ban és a a Windows Server 2012-ben. A felhasználók számára a lehető legkényelmesebb módon biztosíthatunk folyamatos távelérést a DirectAccess használatával, valamint továbbra is lehetőségünk van a klasszikus VPN kapcsolatok kezelésére. A változó felhasználói igényeknek megfelelően a mobil szélessávú kapcsolatok támogatása is megjelent a Windows 8 részeként. Ahogy a felhasználók egyre több eszközről és hálózatból kapcsolódhatnak be a vállalati rendszerünkbe, a Network Access Protection segítségével megvalósított biztonsági ellenőrzések jelentősége is nő. DirectAccess A DirectAccess legnagyobb előnye, hogy a felhasználó beavatkozása nélkül képes folyamatos és biztonságos kapcsolatot biztosítani a vállalati hálózathoz. Az elsőként a Windows 7-ben és a Windows Server 2008 R2-ben megismert szolgáltatás IPv6 és IPSec segítségével megfelelő kiépítés esetén bármilyen közegből (publikus helyek, otthon, mobil használat) képes a belső, védett hálózat teljes vagy szabályozott elérését biztosítani. Nem csak a felhasználó, hanem a számítógépe is eléri a belső hálózatot, azaz rendszerfelügyeleti szempontból is jelentősen segít az üzemeltetőknek ez a megoldás, hiszen ha a gép elérhető (azaz bármikor, amikor van Internet-elérés), akkor a DirectAccess kapcsolat a különböző felügyeleti megoldások (csoportházirend, WSUS, System Center, stb.) számára is működik. Az új DirectAccess gyökeresen átalakult, és ez leginkább a szolgáltatás működtetéséhez szükséges szerveroldalt érinti. A korábbi kötöttségek jelentős része megszűnt vagy megváltozott, ezáltal a Windows Server 2012-vel lényegesen egyszerűbbé válik a DirectAccess beüzemelése és karbantartása. Így immár egy kisebb informatikai környezet számára is lehetővé vált egy modern és kényelmes távoli elérési módszer mindennapos használata. A legfontosabb változások: A DA szerver lehet tűzfal mögött is, tehát NAT képes, vagyis nem kell a 2 db publikus IPv4 cím (de használható továbbra is az Edge forgatókönyv szerint), illetve egyetlen hálózati interfésszel is lehetséges DA szervert építeni. A csak IPv4-gyel működő belső szerverek elérése is megoldott, tehát nem szükséges a belső hálózatban valamilyen IPv6/v4 konverziós megoldás. Nem kötelező a PKI infrastruktúra kiépítése, egy self-signed (önaláírt) tanúsítvánnyal is kiválóan működik a DirectAccess Windows 8 kliensek esetén. Eddig két IPSec csatornával működött a DA egy kellett a gépnek, egy pedig a felhasználónak, de innentől egyetlen tunnellel is képes működni. Az interaktív telepítés összesen csak kettő lépést tartalmaz, a többit egy automatikus folyamat végzi el. A telepítési módot tekintve immár van lehetőségünk arra, hogy válasszunk: a kliensek távoli elérést és távoli felügyeletet kapjanak vagy csak távoli felügyeletet. Az új RemoteAccess konzolon rengeteg plusz információt láthatunk, jóval logikusabb elrendezésben, mint korábban. A Dashboardon a szerverek, valamint a kliensek állapota, illetve az aktivitásuk is remekül követhető, míg az Operations status alatt a DA-t alkotó összetevők egészségi állapota látszik. A naplózás mikéntjéről helyi Windows Internal Database, vagy egy távoli RADIUS szerver szintén ezen a konzolon dönthetünk. Ez a naplózás tárolja a távoli user adatokat, a statisztikákat, a szerver használatot és a konfiguráció változásokat egyaránt. Emellett fontos tényező az is, hogy a Windows 8 Enterprise kiadása beépítve tartalmazza a csoportházirenddel vezérelhető DirectAccess kliens interfészt is, tehát további műveletek nélkül követheti a felhasználó a DA állapotát, illetve a problémaelhárítás és a naplózás eszközei is rendelkezésre állnak. 12
VPN A DirectAccess mellett a Windows kliensek számára a klasszikus távelérési megoldás, a Virtual Private Network (VPN) továbbra is rendelkezésre áll. Ezzel a módszerrel a Windows Server 2012 jelenleg négyféle módon adhat hozzáférést a belső, védett hálózathoz. Point-to-Point Tunneling Protocol (PPTP) VPN kapcsolatok Layer 2 Transport Protocol over IPsec (L2TP/IPsec) VPN kapcsolatok Secure Sockets Layer (SSL) segítségével titkosított HTTP VPN kapcsolatok, azaz a Secure Socket Tunneling Protocol (SSTP) VPN Reconnect, amely IPsec Tunnel Mode + IKEv2 alapon nyújt távoli elérést, kifejezetten a mobil kapcsolatokat támogatva A Windows szerverek előző verzióiban a távoli elérést biztosító megoldások használata komplex feladat volt, mert például a VPN kapcsolatok létrehozása, kezelése és monitorozása (Routing and Remote Access, RRAS) és a DirectAccess kapcsolatok kezelése csak különböző eszközökkel volt megvalósítható. A Windows Server 2012-ben az új Remote Access szerepkörrel és a hozzá tartozó konzollal mindez összeolvadt, és a DirectAccess mellett a klasszikus VPN kapcsolatokat is ebben a konzolban láthatjuk és kezelhetjük. Mobile Broadband Ma már a hordozható számítógépek az internethez - és így a belső hálózathoz - sok esetben egy beépített, vagy USB-s eszközön keresztül, mobil internet megoldással csatlakoznak. Eddig az ilyen kapcsolatok felépítéséhez minden esetben külső eszközmeghajtókra és a kapcsolatot létrehozó kommunikációs szoftverre is szükség volt. A Windows 8-cal a helyzet lényegesen egyszerűbb, ugyanis minden összetevő beépítve is elérhető, mind a Windows RT (ARM) mind az x86-os számítógépek esetében. Ezen kívül az új Windows Connection Manager natív módon felügyeli a mobil kapcsolatokat (a WiFi kapcsolatokat is), a Windows Store-ból letölthető operátor alkalmazással pedig olyan komplex lehetőségeket adhatunk a felhasználók kezébe, mint az eszköz állapotának lekérdezése, a hálózati interfészek sorrendjének szabályozása, a repülési üzemmód beállításai vagy a kapcsolatok adatforgalmazási adatainak mérése és kvótázása. Network Access Protection A NAP, azaz a Network Access Protection a Windows szerverek egyik legfontosabb és legrobusztusabb biztonsággal kapcsolatos komponense. A legfontosabb működési területe viszont egyértelműen a kliens oldal, azaz például a Windows 8 bármilyen hálózati hozzáférési igénye (DirectAccess, VPN, WiFi, stb.) esetén az ügyfél operációs rendszer egészségi állapotát vizsgáljuk meg, és az alapján engedjük be, vagy zárjuk ki a hálózati erőforrások eléréséből a NAP segítségével. A legtöbb szervezet esetében ugyanis jelentős igény mutatkozik egy olyan megoldásra, amely már a fizikai hálózat szintjén elválasztja az alkalmi csatlakozású vagy kevésbé megbízható, illetve kevésbé felügyelhető számítógépeket a belső hálózatba tartozó kliensektől és szerverektől. Viszont a fizikai vagy a távoli hozzáférés szintjén egyáltalán nem rendelkezünk ezekkel az eszközökkel, ugyanakkor sok esetben nem tagadhatjuk meg teljesen a hozzáférést a hálózatra szükségszerűen jogosan kapcsolódó (nem tartományi) gépektől sem. Erre a láthatóan nehezen megoldható helyzetre nyújt gyógyírt a NAP, ami egy olyan szerver-kliens megoldás, amely a védett hálózatunkban alapértelmezés szerint még az IP-kapcsolatot sem engedi meg, és amely csak egy alapos, az üzemeltetők által részletesen finomhangolható vizsga sikeres teljesítése esetén adja meg a hozzáférést a belső hálózathoz kapcsolódni szándékozó gépeknek. De a NAP nem csak az ellenőrzést oldja meg, hanem az elutasított gépek számára karantént is biztosít, amivel az automatikus állapotjavításhoz szükséges folyamatokat is képes kézben tartani. A NAP célja tehát a Windows Server 2012-ben is az, hogy a routerek, switchek, a vezeték nélküli hozzáférési pontok, a szoftveres és a hardverebe épített célszoftver rendszerek segítségével érvényesítse a végpontokon a biztonsági elvárásainkat. Mindezt úgy éri el, hogy lekérdezi a hálózatra csatlakozó eszközök egészségi állapotát (bekapcsolt tűzfal, Windows Update kliens, vírus/spyware-irtó állapota, valamint külső gyártóktól származó sablonok alapján más alkalmazásokat is figyelhet), majd ezt összehasonlítja az általunk előre definiált szabálycsomaggal, és az eredmény alapján dönt a hálózati hozzáférés engedélyezéséről. Ha a folyamat negatív eredménnyel zárul, a kapcsolódni szándékozó kliens nem jut be a védett hálózatba, hanem lehetőséget kap biztonsági állapotának szintre hozására, azaz csatlakozhat a publikus szegmensen működő patikaszerverekhez, például egy WSUS-hoz, vagy System Center Configuration Managerhez, vagy a vírusirtó-szignatúrákat tároló szerverhez, majd a szükséges korrekció után (ami lehet automatikus is) a kliens végrehajthat egy újabb kapcsolódási kísérletet. 13
Virtuális munkakörnyezetek A Windows Server 2012-ben két, egymástól a működési elv alapján jól elhatárolható, ám mégis rengeteg ponton összeérő virtuális munkakörnyezetet is felépíthetünk a felhasználók számára. A már hagyományosnak számító munkamenet (session) alapú mellett a virtuális gépekkel megvalósított desktop virtualizációs (VDI) megoldást is bevezethetjük. Közös komponensnek számít a Remote Desktop (RD) Web Access, az RD Connection Broker és az RD Gateway illetve az RD Licensing. Ezzel szemben a két megvalósítás egy-egy szerepkör alkalmazásában tér el egymástól, ez pedig az RD Session Host illetve az RD Virtualization Host. De a két környezetet akár egymás mellett is alkalmazhatjuk például ugyanabban a tartományban, azonban csak eltérő fizikai kiszolgálókon. A munkamenet alapú virtuális környezet A Windows Serverben elérhető Remote Desktop Session Host (a klasszikus terminálszolgáltatások megfelelője) nem csak a biztonságos táveléréssel kapcsolatos teendőket látja el, hanem tökéletesen használható alkalmazás alapú virtuális munkakörnyezetek kialakításához is. Ennek köszönhetően választhatjuk azt, hogy bizonyos felhasználók számára akár kizárólagosan, akár opcionálisan, második környezetként nem a felhasználó számítógépén, hanem egy Remote Desktop Session Host alapú környezetből biztosítunk vállalati alkalmazásokat. Ezt a munkakörnyezetet a klasszikus terminálszolgáltatás jellemzői miatt például akkor célszerű választani, ha kisebb hardver igénnyel számolhatunk csak, illetve ha nincs szükség arra, hogy a felhasználók emelt szintű jogosultsággal dolgozzanak, és ha csak alkalmazásokat szeretnénk publikálni. Egyszerű RDS bevezetés és felügyelet A Remote Desktop Services (RDS) komponensek, azaz a Session Host, a Connection Broker, a Web Access és a Gateway (a Licencing Server némiképp kivétel) összes telepítési, konfigurálási és felügyeleti lehetősége a Windows Server 2012-ben egyetlen helyen összpontosul: az új Server Manager-ben. Az új szemlélet szerint olyan forgatókönyvet is választhatunk, amelyben az RDS szerepkörök egy menetben felkerülhetnek a rendszerünkre (RDS scenario-based installation). Ezt akár összesen egyetlen szerverrel, és néhány kattintással is megvalósíthatjuk (Quick Start). De ha később mégis bővítünk, azaz pl. egy további Session Host szervert is tervezünk, az új felületen könnyedén beemelhetjük ezt is. Abban az esetben ha nagyobb méretben építünk rendszert (Standard deployment), akkor sem valótlan az eddig vázolt bevezetési elképzelés, hiszen egy helyről, a Server Managerből kényelmesen felvehetjük, telepíthetjük és kezelhetjük az összes különálló RD szerepkört hordozó kiszolgálót, ráadásul vizuálisan is láthatjuk az RDS rendszer építőköveit. Fontos azt is tudni, hogy az RDS platform teljeskörű PowerShell támogatást kapott, azaz minden szerepkör és képesség teljes mértékben konfigurálhatópowershellel. 14
RemoteApp A RemoteApp alkalmazásokkal könnyedén, látványosan és üzembiztosan megoldhatjuk a terminálkliensek alkalmazás ellátását, illetve használatát. A klasszikus forgatókönyv szerint a vékony kliensről egy hagyományos RDP kapcsolatot kell kiépítenünk, majd az adott kapcsolaton (ablakon) belül futtatják a felhasználók a számukra engedélyezett alkalmazásokat. Viszont igazából nincs szükség arra, hogy az egész szerver desktopot (Asztal, Start menü, stb.) is lássák, mivel tipikusan az alkalmazások miatt használunk egy RDS szervert, és nem a környezet miatt. Másrészt biztonsági és erőforrás okokból is jobb lenne, ha nem kellene betölteni mindent a munkamenetbe, illetve egy komplett operációs rendszer környezetet lényegesen nehezebb felügyeleti szempontból rendben tartania az üzemeltetőknek. Az új módszer szerint, azaz a RemoteApp használata során, először az üzemeltető a Server Manager-ben egy kollekció részeként felveszi az alkalmazásokat, illetve engedélyezi a publikálásukat a Web Access felületeten is. A forrás több RDSH szerver is lehet, azaz a publikálandó alkalmazások központosítva jelennek meg. Így azonnal, egy helyen látjuk az összes elérhető alkalmazást, amelyekből persze igény szerint több kollekciót is gyárthatunk. Továbbá a Windows 7 és a Windows 8 operációs rendszerek esetén, a vezérlőpult RemoteApp and Desktop Connections pont alól az ún. RDWA feed segítségével fel is iratkozhatunk a RemoteApp programokra, amelyek ezek után a Start menübe is bekerülnek így a felhasználó számára pont úgy jelennek meg, mint a hagyományos, helyből indítható alkalmazások. A desktop alapú virtuális környezet A Virtual Desktop Infrastructure (VDI) használata egy kiváló alternatíva a klasszikus asztali PC használatával szemben. A felhasználók számára majdnem észrevétlenül, ám biztonságos és központilag felügyelhető módon és a virtualizáció adta rugalmas lehetőségekkel üzemeltethető akár egy nagyobb méretű infrastruktúra is. Egy VDI rendszer tehát olyan környezet, ahol a felhasználók a fizikai gépek helyett/mellett a szervereken/adatközpontban futó virtuális gépeken (is, vagy csak) dolgoznak, teljesen hétköznapi módon, mindezt egy RDS infrastruktúrán keresztül elérve. További előnynek számít, hogy két egymástól jól elváló használatra tervezett virtuális gépet tudunk alkalmazni, azaz a felhasználók kezébe adni. Az első típusnál minden felhasználónak van egy saját, dedikált, személyes virtuális gépe (Personal Virtual Desktop), amely csak az övé, testreszabhatja, akár rendszergazda jogosultságot is kaphat rajta, és persze a változásokat mentjük is a.vhd fájlba. Közös használatú gépek, amelyek egy ún. pool-ban várakoznak. Altalános célokra és a változásokat nem mentve (azaz minden változás törlődik, vagyis inkább az eredeti állapot visszaíródik ) használják a felhasználók ezeket a gépeket, és tipikusan nem is emelt szintű joggal. 15
Egyszerű VDI bevezetés és és felügyelet A Windows Server 2012-ben egy VDI rendszer építése is sokat egyszerűsödött és egyúttal számos korláttól meg is szabadult. A Server Manager-en belül, a Standard/Quick forgatókönyvek itt is élnek, azaz egy darab szerverrel is kialakíthatunk egy VDI rendszert, a fő komponens RD Virtualization Hosts mellett a Connection Broker, a Web Access és esetleg a Gateway szerepeket használva. Mivel a kapcsolat az RDS infrastuktúrával szoros, ezért a Server Manager-ben a telepítés első két lépése is ugyanaz lesz, gyakorlatilag csak ezután válik el a két megoldás. A varázsló viszont a VDI esetén is feltelepít mindent, amire szükségünk lehet, egyetlen dolgot kér csupán, ami viszont teljes mértékben újdonság: az ún. arany lemezképet (gold image, lásd később). A hasonlóság tovább folytatódik, ugyanis mind a közös használatú, mind a személyes gépek egy-egy az RDS-nél már megismert kollekció felépítésével kerülnek be a rendszerbe, természetesen teljesen eltérő beállításokkal. Ezen kívül viszont egy harmadik típust is megtalálhatunk a kollekciók között, ami gyakorlatilag immár ekvivalens az RDS RemoteApp módszerrel, ám eddig a VDI infrastruktúrától függetlenül, a RemoteApp for Hyper-V néven ismerhettük. A Windows Server 2012- ben viszont a Server Manager-ből publikálhatjuk a Hyper-V-ben futó virtuális gépek (tipikusan kliens operációs rendszerek) alkalmazásait illetve meg is jeleníthetjük ezeket a Web Access-ben, így többek között a kompatibilitást tekintve léphetünk nagyot előre. Természetesen a feed alapú feliratkozás ezekre az alkalmazásokra is egy opció, azaz a Vezérlőpultról akár az az RDS, akár a VDI környezetben elérhető RemoteApp-okat is használhatjuk, egyszerre is. A VDI és a Hyper-V kapcsolata Ha rendelkezünk tapasztalattal Windows Server 2008 R2 VDI témakörben, akkor valószínűleg ismert előttünk a tény, hogy a személyes vagy a pool virtuális gépek előkészítése időigényes és körülményes feladat, még akkor is, ha az ajánlott Powershell szkriptet alkalmazzuk. A Windows Server 2012 rengeteget javít majd ezeken a tapasztalatokon, mivel nagyságrendekkel egyszerűbb lett ezen gépek beemelése a VDI infrastruktúrába. Az arany lemezkép használata: ez egy olyan virtuális gép, amelyet a telepítés és az indító konfigurálás után a sysprep megfelelő paraméterével lezárva, mind a közös, mind a személyes (és a RemoteApp) virtuális gépekhez is felhasználhatunk sablonként. Természetesen több ilyen sablonunk is lehet, de akár egyet is használhatunk több kollekcióhoz. Fontos tulajdonsága például az, hogy az ezen alapuló virtuális gépek egy-egy differenciális lemezt használnak majd, azaz gyakorlatilag elegendő a sablon gépre terítenünk a frissítéseket és az új alkalmazásokat. Ha a sablon gépünk vagy gépeink készen vannak, többet gyakorlatilag nem kell a Hyper-V konzolt használnunk. Akkor sem, ha a VDI gépparkunk bővítése a cél, hiszen a Server Managerben, egyszerűen megadva a plusz gépek számát, pillanatok alatt megnövelhetjük a rendszer teljesítményét. A Server Managerben a kollekciókba szervezett virtuális gépek teljes újraépítése is egyszerűen megoldható, pár kattintással, teljesen automatikusan. A két munkakörnyezet között hasonlóság is akad számos, például a már emlegettt kollekciók bevezetése, a felhasználói élményt növelő megoldások kiterjesztése, az ún. User Profile Disks, vagy éppen a kibővített FairShare mechanizmus alkalmazása. A kollekciók Bármelyik munkakörnyezet típus bevezetése után után már nem csak kiszolgáló szinten látjuk a rendszert, hanem a kollekciók (collection) szintjén is. Egy RDS rendszer esetében ez egyféle lehet (session collection, amely talán a korábbi farmokhoz hasonlít a legjobban, de van több különbség is). A VDI esetén pedig három különböző típust is alkalmazhatunk, a személyes virtuális gépek, a pool típusú gépek illetve a virtuális gépeken keresztül elérhető alkalmazások kollekciója áll a rendelkezésünkre. Egy-egy kollekcióban a hozzárendelt RDSH/VDI gép(ek) gyakorlatilag öszszes beállítása megtalálható, többek között a jogosultságok, a kliens RDP beállítások, a RemoteApp publikálás, az aktuális kapcsolatok, a virtuális gépek jellemzői és egyebek. 16
A felhasználói élmény fokozása A felhasználók számára akár az alkalmazásokról van szó, akár a virtuális desktopokról, mindenképpen teljes Windows élményt kell tudnunk biztosítani. A korábbi szerver változatok esetén már népszerűvé vált például a plusz grafikus teljesítményt adó RemoteFX technológia, de a Windows Server 2012-ben a Microsoft alaposan kibővítette az opciókat, többek között az eszközátirányítások lehetőségeinek növelésével, a különböző adaptív megoldásokkal, vagy éppen a WAN hálózatokon keresztüli kapcsolatok sebességének optimalizálásával. Adaptív grafika: Eltérő kódekek használata, optimalizálva a tartalomra (multimédia, kép, szöveg), valamint a cache javítása és a RemoteFX progresszív renderelés bevezetése. Optimalizált média streaming: Új kódek sávszélesség problémákmegoldására. Adaptív hálózat detektálás: Az RDC kliens a felhasználó bevatkozásanélkül detektálja a hálózati viszonyokat, illetve követi a változásokat. DirectX11 támogatás virtuális GPU-val: az adott esetben rendelkezésre álló DX11 kompatibilis hardver mellett szoftveres emuláció is használható (akár keverve is), mind a munkamenet virtualizációnál mind a virtuális gépeknél. USB átirányítás: A korábbi OS-ek esetén a RemoteFX USB átirányítás csak az RDVH-n keresztüli virtuális gépeknél volt elérhető, a Windows Server 2012-ben viszont az RDSH natívan támogatja. Ellenben ugyanehhez a virtuális gépek esetén sincs immár szükséga RemoteFX kompatibilis 3D Video adapterre. Az eddigek mellett érdemes még megemlíteni az UDP/TCP kevert használatot (Intelligent Transports) a kapcsolatok kialakításánál a teljeskörű és alaposan egyszerű sített Single Sign-On (SSO) alkalmazását, valamint az egyéb böngészők (Chrome, Firefox, Safari) Web Access támogatását FairShare Ahhoz, hogy a virtális vagy fizikai kliensekről indított munkamenetek megfelelő sebességgel és válaszidővel működjenek, nemcsak nagysebességű hálózatra, vagy erős RDS/VDI szerverekre van szükség, hanem az erőforrás kiosztás igazságos szabályozására is. A FairShare lényege az, hogy amelyik kliens több erőforrást követel, az sem kap egy időszeleten belül többet mint a másik kliens, hanem gyakorlatilag vár a sorára. Korábban, például a Windows Server 2003-nál viszont az adott (általában elsőként érkező) munkamenet megkapta a teljes erőforrásigényét akár a többi munkamenet hátrányára is. A Windows Server 2012-ben a rendelkezésre álló kapacitás elosztása automatikusan kiterjed a CPU-ra, a lemezekre (I/O műveletek), illetve a hálózati erőforrásokra is (sávszélesség), ami lényegesen kiegyensúlyozottabb rendszert eredményez nagyobb terhelés és sok felhasználó esetén. User Profile Disks Ez a lehetőség a felhasználók környezeti beállításainak (profiljának) tárolásában segít a pool típusú virtuális gépeknél illetve a RemoteApp programoknál. Az User Profile Disks célhelye nem a virtuális gép lemeze, hanem tipikusan egy hálózati megosztásra irányítjuk és például méretkorláttal ellátva állíthatjuk be a felhasználóknak. A cél, hogy a klasszikus vándorló profil nélkül is persze részletesen szabályozható módon lehessen testreszabni a felhasználói környezetet. A User Profile Disks szintén kollekció szinten jut érvényre, és így akár egy adott felhasználó esetén más és más is lehet, azonban a személyes virtuális gépeken értelemszerűen nem alkalmazható. 17
A Windows 8 licencelése Windows 8 kiadásai és a Windows RT A Windows 8 és Windows RT rendszereket a legkisebbtől a legnagyobb multinacionális vállalkozások számára terveztük. Eszközökre előtelepítve az alábbi kiadású Windows rendszereket lehet megvásárolni (OEM licenc): Windows 8: otthoni felhasználók számára kiváló választás, mely tartalmazza (többek között) az új kezdőképernyőt, a modern alkalmazásokat, a Windows Áruház elérését, több felhasználói fiók lehetőségét, a megszokott Windows desktopot 32 és 64 bites alkalmazások futtatása számára, a Microsoft Accounton keresztüli szinkronizációt, érintőképernyő, egér és billentyűzetes bevitelt, külső eszközök rendkívül széles körének csatlakoztatási lehetőségét. Windows 8 Pro: vállalatok és intézmények számára remek választás új számítógépeken; a Windows 8 fent leírt funkcionalitását emelt szintű biztonsági és felügyeleti funkciókkal egészíti ki, úgy, mint pl. domainba léptetés és csoportházirendek érvényesítése, BitLocker a merevlemezes és USB-k titkosítása, Client Hyper-V, fájlrendszer titkosítása és Remote Desktop host. Windows RT: A Windows-család új tagja kizárólag előtelepítve érhető el ARM architektúrájú eszközökön. A vékony, könnyű és hosszú akkumulátor-élettartamú eszközökön elő vannak telepítve az érintésre optimalizált Microsoft Word, Excel, PowerPoint és OneNote alkalmazások. Az új startképernyőn futtathatók a Windows Áruházból telepíthető modern alkalmazások, viszont a Win32 alrendszerben futó alkalmazások nem. Több felhasználói fiók is létrehozható, mindegyik szinkronizálható a Microsoft Accounttal. Külső eszközök széles körével együttműködik, többek között USB csatlakozókon keresztül. Mennyiségi licencszerződés keretében az alábbi termékek vásárolhatók meg: Windows 8 Pro Upgrade: Frissítési licenc a Windows korábbi verzióinak Pro(fessional) kiadásairól. Windows 8 Enterprise: Ez a kiadás Software Assurance for Windows előfizetésével érhető el, és a Windows 8 Pro minden funkcionalitásán túlmenően prémium szolgáltatásokat tartalmaz a nagyvállalati szintű mobilitás, biztonság, felügyelet és virtualizáció terén. Software Assurance (SA) for Windows: A Software Assurance szolgáltatás nyújtja a Windows használatához a legnagyobb rugalmasságot. Része a Windows 8 Enterprise, az új verziókra való jog, különféle eszközök és képzések a rendszer legjobb üzemeltetéséhez. Windows Virtual Desktop Access (VDA) előfizetés: A Windows VDA előfizetői licenc jogot ad virtuális Windows desktopkörnyezetekhez való hozzáférésre olyan eszközökről, melyek nincsenek lefedve Software Assurance for Windows szolgáltatással, mint pl. vékony kliensekről. Microsoft Desktop Optimization Pack (MDOP): Az MDOP komponensei magasabb szinten segítik a Windows rendszerek felügyeletét, üzemeltetését, virtualizációval egyszerűsítik a terítését és visszaállítását rendszeresemény esetén. Windows Companion Subscription License (CSL): A Windows CSL lehetővé teszi az alkalmazottak számára, hogy több eszközükön is elérhessék Windows munkakörnyezetüket. 18
Windows 8 Enterprise A Windows 8 Enterprise kiadása a Windows 8 Pro minden funkcióján túlmenően további szolgáltatásokat nyújt a mobil munkavégzés, biztonság és felügyelet, valamint a virtualizáció területein, és a Software Assurance for Windows és Windows VDA előfizetés keretében érhető el. A Windows 8 Enterprise funkciói az alábbiak, melyek nem részei a Windows 8 Pro rendszernek: Funkció Rövid összefoglaló DirectAccess BranchCache Távoli hozzáférést nyújt a vállalati hálózathoz külön VPN alkalmazás használata nélkül. A távoli telephelyeken működő desktopok válaszidejét növeli fájlok, weboldalak és más tartalmak átmeneti letárolásával a felhasználó PC-ken, elkerülve az ismételt letöltéseket a központi kiszolgálókról. AppLocker Az Informatika szabályozhatja, mely alkalmazások futhatnak a felhasználók számítógépein. Virtuális desktop Infrastruktúra (VDI) Enterprise Sideloading for Windows 8 Apps Microsoft RemoteFX és Windows Server 2012 funkciók, mellyel a felhasználók számár a vizuálisan gazdag, akár 3D-s tartalmak, USB-s perifériák és touch-képes eszközök szolgáltathatók bármilyen hálózaton (LAN és WAN) keresztül VDI használata esetén. Az Enterprise Sideloading használatával a domainba léptetett PC-kre közvetlenül, a Windows Store elkerülésével lehet Windows 8 modern appokat telepíteni. Microsoft Desktop Optimization Pack A Microsoft Desktop Optimization Pack (MDOP) komponensei magasabb szinten segítik a Windows rendszerek felügyeletét, üzemeltetését, virtualizációval egyszerűsítik a terítését és visszaállítását rendszeresemény esetén. A Software Assurance szolgáltatás mellett vásárolható meg kiegészítő licencként, és addig használhatják funkcióit, ameddig az MDOP-előfizetésük él. Az MDOP-csomag az alábbi technológiákat tartalmazza: Virtualize Technológia Microsoft Felhasználói Állapot Virtualizáció (User Experience Virtualization UE-V) Microsoft Alkalmazásvirtualizáció (Application Virtualization App-V) Microsoft Enterprise Desktop Virtualization (MED-V) Rövid összefoglaló A felhasználó a saját munkakörnyezetét, beállításait és dokumentumait érheti el több eszközön is, azaz mindig ugyanaz a munkakörnyezet fogadja különféle számítógépein. A hozzá szükséges felhasználói állapot virtuálizációs technológia egyszerűen kiépíthető és integrálható a rendszerfelügyeleti környezetbe. A Microsoft Alkalmazásvirtualizáció (App-V) lehetővé teszi szinte bármilyen alkalmazás eljuttatását a végfelhasználókhoz anélkül, hogy közvetlenül telepíteni kéne a számítógépeikre. A Microsoft Enterprise Desktop Virtualization (MED-V) segítségével lehetőség nyílik a Windows 8-ra való áttérésre még akkor is, ha néhány alkalmazás még nem kompatibilis vele. Microsoft Advanced Group Policy Management (AGPM) A Microsoft Advanced Group Policy Management (AGPM) kibővíti a Csoportházirendek meglévő funkcionalitását változáskezeléssel és audittal. Manage Microsoft BitLocker Administration and Monitoring (MBAM) A Microsoft BitLocker Administration and Monitoring (MBAM) egyszerűsíti a és központosítja a BitLocker telepítését és felügyeletét, kulcsvisszaállítását, és kimutatásokat készít a szervezet minden eszköze titkosítottságának állapotáról. Restore Microsoft Diagnostics and Recovery Toolset (DaRT) Csökkenti a leállások idejét, gyorsítja a rendszervisszaállítást és a nem-bootolható Windows-alapú rendszerek helyreállításához ad eszközöket. 19
A vállalati informatika motorja