Windows Server 2022: ce sont les grands changements que Microsoft a prévus

Windows Server 2022: ce sont les grands changements que Microsoft a prévus

Avec des mises à jour régulières de Windows Admin Center et du canal semi-annuel, ainsi qu’Azure Stack HCI et Arc positionnés comme des outils clés pour l’infrastructure hybride, où se situe une nouvelle version de Windows Server?

Image: Microsoft

Windows Server 2022, la prochaine version du canal de maintenance à long terme (LTSC), sera généralement disponible avant la fin de 2021, combinant les améliorations des conteneurs Windows que les premiers utilisateurs ont obtenu dans le canal semi-annuel (SAC) avec des améliorations de sécurité telles que secure- core du client Windows aux côtés des développements de bas niveau dans la mise en réseau.

Il y a également plus d’intégration avec Azure pour la gestion et la surveillance de la sécurité, y compris de nouvelles fonctionnalités dans Windows Admin Center pour les applications de conteneurisation à «  soulever et déplacer  » vers le cloud – qu’il s’agisse d’Azure, où Automanage peut gérer la gestion du cycle de vie des machines virtuelles et les correctifs à chaud, ou Azure Stack HCI sur votre propre infrastructure.

Infrastructure et rôles de serveur

Mais avec autant d’emphase sur les stratégies hybrides et de migration, où cela laisse-t-il le système d’exploitation du serveur? (Bien que des informations complètes soient toujours disponibles pour Windows Server sur Microsoft Learn, il n’y a plus de certification Microsoft officielle pour le produit serveur en dehors d’Azure.)

«Windows Server est un système d’exploitation polyvalent et polyvalent, avec des dizaines de rôles et des centaines de fonctionnalités, y compris des droits d’invité», a déclaré à Netcost-Security Vijay Kumar, directeur du marketing produit Windows Server et Azure chez Microsoft. « Windows Server inclut des fonctionnalités SDDC (Software-Defined Data Center) que les clients peuvent utiliser à des fins multiples, par exemple pour exécuter des services de fichiers, SQL Server ou des applications personnalisées sur un stockage défini par logiciel avec des espaces de stockage direct. »

Azure Stack HCI est «pour exécuter des machines virtuelles sur site avec des connexions aux services hybrides Azure», a déclaré Kumar. C’est aussi le moyen d’obtenir Azure Kubernetes Service sur votre propre matériel – cela reste une question d’infrastructure plutôt que d’être un serveur d’applications ou un serveur de stockage. Windows Server 2022 s’adapte à des applications encore plus volumineuses que les versions précédentes, prenant en charge jusqu’à 48 téraoctets de mémoire, jusqu’à 64 sockets et 2048 processeurs logiques. Il prend également en charge le calcul confidentiel avec Intel SGX sur les processeurs Ice Lake.

windows-server-2022-preview-app-scaling.jpg

Image: Microsoft

Windows Server Azure Edition est une nouvelle option pour les machines virtuelles sur Azure, mais ce n’est pas une nouvelle référence SKU, a déclaré Kumar à Netcost-Security – juste une nouvelle image du système d’exploitation Windows Server qui permet une nouvelle gestion du cycle de vie. «Nous avons récemment lancé Azure Automanage pour Windows Server qui permet aux clients d’appliquer des correctifs de sécurité sans redémarrage pour leurs nouvelles machines virtuelles Windows Server. Pour utiliser des correctifs de sécurité sans redémarrage, les clients auront besoin de la nouvelle image du système d’exploitation. Au fur et à mesure que Automanage bénéficiera de nouvelles fonctionnalités à l’avenir, l’image Azure Edition sera mise à jour pour les faire fonctionner.

Les builds d’initiés réguliers pour Windows Server permettent aux administrateurs d’essayer des options telles que la mise à niveau sur place à partir de Server 2016 et 2019, que Microsoft prévoit de travailler pour des rôles majeurs tels que DNS, DHCP, Services de fichiers et de stockage, Hyper-V et IIS. Bien qu’il y ait la liste habituelle de petites améliorations dans la prochaine version – comme les options de ligne de commande pour Robocopy et Xcopy pour améliorer les performances de copie de fichiers sur SMB en compressant les fichiers, ou des tests de validation de cluster qui couvrent des options de configuration réseau plus complexes – – les grandes améliorations concernent la sécurité, le centre d’administration Windows et les conteneurs.

Connectivité sécurisée et sécurisée

Le serveur à cœur sécurisé et la connectivité sécurisée offrent plus de couches de sécurité du matériel vers le haut, sans trop de travail supplémentaire. «Le serveur à cœur sécurisé s’appuie sur des technologies telles que Windows Defender System Guard et la sécurité basée sur la virtualisation pour minimiser les risques liés aux vulnérabilités du micrologiciel et aux logiciels malveillants avancés», a déclaré Kumar. Il s’agit de la même option de sécurité qui est déjà une option pour les systèmes Windows 10, où le système d’exploitation utilise la sécurité basée sur la virtualisation pour isoler les parties clés du serveur des logiciels malveillants – y compris les attaques avancées du noyau – en validant le démarrage sécurisé plutôt qu’en faisant confiance au micrologiciel. . Cela rend beaucoup plus difficile pour les attaquants d’accéder à un appareil et de passer ensuite à la compromission des serveurs sur votre réseau.

Il existe également un nouveau composant logiciel enfichable sécurisé pour le centre d’administration Windows. L’intégration avec Azure Security Center signifie que les administrateurs peuvent recevoir des alertes sur les événements associés à des pilotes malveillants qui indiquent qu’un attaquant cible un serveur.

Secured-core aura besoin d’un nouveau matériel de serveur pour la protection de la sécurité du micrologiciel, a confirmé Kumar, mais il active également des options qui sont déjà dans Windows Server comme HVCI, que les administrateurs peuvent également activer à partir du centre d’administration Windows – et même à distance – s’ils voir les alertes sur une attaque.

« D’autres fonctionnalités telles que la sécurité basée sur la virtualisation, l’intégrité du code basée sur l’hyperviseur, le démarrage sécurisé et le TPM sont disponibles sur le matériel actuel. L’extension Windows Admin Center Security rendra compte de ces capacités sur les plates-formes matérielles et de système d’exploitation actuelles. »

windows-server-2022-preview-secure-connectivité.jpg

Image: Microsoft

Windows Server 2022 fait également plus pour sécuriser les connexions réseau: TLS 1.3 est activé par défaut et il existe une prise en charge du client DNS pour le renforcement des protocoles HTTPS et SMB tel que le cryptage AES 256. Microsoft appelle cela «connectivité sécurisée», et Kumar a suggéré que l’adoption devrait être simple pour les organisations. « Le nouveau cryptage AES-256 de SMB est complètement abstrait dans le protocole SMB 3 pour atténuer les problèmes de compatibilité. SMB Direct prend également désormais en charge le cryptage sur les réseaux RDMA, à la fois avec AES-128 et AES-256. » En plus d’améliorer les performances du réseau en prenant en charge la compression sur SMB, les performances sont meilleures avec le chiffrement SMB ou la signature avec SMB Direct avec des cartes réseau compatibles RDMA.

L’implémentation open-source de Microsoft du protocole QUIC qui formera la base de HTTP / 3 sera dans Windows Server 2022. Il est utilisé pour SMB sur QUIC, qui est un remplacement plus sûr pour WebDAV pour fournir un accès SMB sans les frais et la complexité d’un VPN. Cela utilise QUIC comme transport pour SMB au lieu de TCP / IP et RDMA, avec un tunnel qui sécurise SMB même si le chiffrement n’est pas activé. « SMB over QUIC sera disponible avec Azure Automanage et Windows Server 2022 », a déclaré Kumar à Netcost-Security. « Il sera également pris en charge en tant que client dans Windows 10 et sur des plates-formes tierces comme Android et autres. »

VOIR: Office 365: un guide pour les chefs d’entreprise et technologiques (PDF gratuit) (Netcost-Security)

Il est possible, mais pas encore décidé, que SMB sur QUIC puisse également arriver à Windows Server 2019, car Azure Files l’utilisera et plusieurs fournisseurs dont les produits utilisent SMB travaillent à l’adoption du transport QUIC.

QUIC utilise UDP au lieu de TCP comme protocole réseau, et pour améliorer les performances UDP, Windows Server 2022 décharge l’envoi et le traitement UDP du CPU vers la carte réseau, en utilisant le déchargement de segmentation UDP et la coalescence côté réception. Il existe également des améliorations des performances TCP qui réduisent la perte de paquets lors du démarrage des connexions et des délais de retransmission.

Améliorer la modernisation des applications avec des conteneurs

Windows Admin Center n’est lié à aucune version de Windows Server, bien que la v2103 soit sortie en même temps que l’aperçu de Windows Server 2022, et Kumar a noté que «nous avons intégré un certain nombre d’améliorations que nous prévoyons que les administrateurs aimeraient pour mettre la main dessus.  »

Cela inclut l’extension Containers qui facilite le package des applications serveur ASP.NET, WebDeploy, .NET et MSI existantes dans des conteneurs. Il y a d’autres améliorations aux conteneurs Windows (certaines que les clients SAC ont déjà obtenues, d’autres qui sont nouvelles), a déclaré Kumar: «Une taille d’image plus petite pour un téléchargement plus rapide, une implémentation de stratégie réseau simplifiée, des outils de conteneurisation pour les applications .NET et des améliorations pour le groupe Comptes de service gérés [gMSA] pour les conteneurs Windows qui permettent aux clients d’activer la prise en charge de gMSA sans que le domaine rejoigne l’hôte. « Cela facilite l’exécution d’applications qui dépendent d’Active Directory (AD) sans apporter de modifications à la machine hôte du conteneur. Une identité AD protégée dans une banque de secrets peut être utilisé par l’hôte non joint pour récupérer le mot de passe gMSA, ce qui facilite grandement l’utilisation de gMSA avec Kubernetes.

Vous pouvez également virtualiser les fuseaux horaires afin de pouvoir exécuter des applications globalement évolutives sans avoir à prendre en compte (ou y avoir accès) le fuseau horaire de l’hôte.

L’image du conteneur est environ 1 Go plus petite qu’avant, elle est donc petite à télécharger et plus rapide à démarrer. Toutes les améliorations d’échelle et de performances de la prise en charge du réseau de superposition à partir des versions SAC sont incluses. La prise en charge d’IPv6 arrive à Kubernetes sur Windows, bien que cela nécessitera Kubernetes 1.20 pour une prise en charge IPv6 complète de bout en bout.

Il y a un nouveau type de conteneur HostProcess à venir dans une future version de Kubernetes qui arrivera avec Windows Server 2022 (il sera également disponible pour Windows Server 2019), qui prend en charge l’exécution de plus d’applications dans des conteneurs Windows. Les conteneurs HostProcess s’exécutent directement sur l’hôte et peuvent être créés dans l’espace de noms réseau de l’hôte au lieu du leur. Mais les opérateurs de cluster n’auront pas à se connecter et à configurer individuellement chaque nœud Windows pour les tâches administratives et la maintenance de Windows: ils peuvent simplement déployer la stratégie de gestion sur les clusters comme toute autre stratégie de conteneur.

VOIR: Top 5 des langages de programmation que les administrateurs système doivent apprendre (PDF gratuit) (Netcost-Security)

« Les conteneurs HostProcess sont activés avec un accès similaire à l’hôte que les processus qui s’exécutent directement sur l’hôte », a expliqué Kumar. «Avec les conteneurs HostProcess, les utilisateurs peuvent empaqueter et distribuer des opérations de gestion et des fonctionnalités qui nécessitent un accès hôte tout en conservant les méthodes de contrôle de version et de déploiement fournies par les conteneurs. Cela permet aux conteneurs Windows d’être utilisés pour une variété de scénarios de gestion de plug-in, de stockage et de réseau de périphériques dans Kubernetes . Les conteneurs HostProcess peuvent être construits sur des images de système d’exploitation de base Windows Server 2019 (ou version ultérieure) existantes, gérés via le runtime du conteneur Windows et exécutés en tant qu’utilisateur disponible sur ou dans le domaine de la machine hôte.  »

WSL 2 est disponible dans les versions internes de Windows Server, mais en tant que SAC plutôt qu’en tant que fonctionnalité LTSC, et il ne fonctionne actuellement pas. Kumar n’a pas confirmé s’il serait disponible sur le serveur 2022, affirmant qu’il ne faisait « techniquement pas partie de Windows Server », mais a ajouté que « les clients utilisant le sous-système Windows pour Linux version 1 sur les versions précédentes de Windows Server peuvent continuer à l’utiliser ».

Pour les clients spécifiquement intéressés par l’exécution de conteneurs Linux sur Windows (appelés LCOW), Kumar a suggéré qu’Azure Stack HCI serait la meilleure option. «Lorsque nous avons discuté avec des clients intéressés par l’utilisation de la technologie LCOW sur Windows Server, il était évident qu’ils avaient également besoin d’une solide expérience d’orchestration de conteneurs ainsi que d’une technologie de stockage et de mise en réseau prise en charge. C’était l’un des facteurs de notre introduction d’Azure Kubernetes Service ( AKS) sur Azure Stack HCI pour les clients souhaitant exécuter des applications Linux et Windows en conteneur sur site et à la périphérie. Deuxièmement, .NET Core peut s’exécuter dans des conteneurs Windows (Nano ou Server Core) sur AKS, AKS sur Azure Stack HCI et Windows Server 2022.  »

Les clients utilisant Nano Server dans des conteneurs bénéficient désormais d’un cycle de vie de support plus long qui correspond à la prise en charge standard de Windows Server 2022 (jusqu’en 2026). « Nano est destiné à être le moteur d’exécution des conteneurs premium, cela ne change pas », a déclaré Kumar à Netcost-Security.

La longue prise en charge de Windows Server LTSC explique pourquoi c’est la version que la plupart des clients utilisent, a expliqué Kumar. «Nous nous attendons à ce que de nombreux clients utilisent Windows Server pour exécuter des applications et des services stratégiques. Ils apprécient le fait que nous prenons en charge LTSC pendant plus de cinq ans et nous intégrons toutes les fonctionnalités et capacités du canal semi-annuel (SAC) dans le prochain LTSC, tel que Windows Server 2022.  »