Interact 2019 - CI01 Windows Server 2019

2. 自己紹介 高添 修 (たかぞえ おさむ)
• 約25年前：オフコンの修理屋
• ITインフラの営業支援
• 技術トレーナー
• 日本マイクロソフト社員
• マイクロソフト歴 約17年
(エバンジェリスト 約11年半)

3. Windows Server 2019 って何？

4. LONG-TERM SERVICING CHANNEL
Server Core & Nano Server

5. Windows Server 2019 エディション
Windows Server IoT 2019
https://docs.microsoft.com/ja-jp/windows/iot-core/windows-server

7. 目指すところ

8. 世界はどんどん変化しています。
さて、皆さんの扱う IT はどうでしょう？

9. 新しいアプローチ

10. 10/2 Windows Server 2019 誕生！！

11. © Microsoft Corporation
管理性の鍵を握る Windows Admin Center
https://docs.microsoft.com/ja-jp/windows-server/manage/windows-admin-center/understand/windows-admin-center
Windows Server 2019 フル対応：バージョン 1809

12. 4 つの柱

13. Azure と連動する独自のハイブリッド機能

15. 記憶域の移行サービス
• 新しいハードウェアとセキュアな最新OSへ
• クラウド集約 + オンプレはファイルキャッシュとして
• ファイルサーバーの配置場所を Azure へ
• オンプレミスでのサーバー管理を不要に
※ コンピュータ名のスイッチなどにも対応

17. Azure 連携シナリオも拡充中

19. かつてないハイパーコンバージド インフラストラクチャ

20. ハイパーコンバージド インフラストラクチャ (HCI) とは
ハイパーコンバージド インフラストラクチャ (HCI)従来の仮想化基盤
• 物理的な機器の大幅削減
• 設計/運用管理がシンプル
• スケールアウトが容易
• (結果として) コスト最適化
Software
Defined
Storage
(SDS)

21. Azure Stack HCI の特徴
経済的 高性能 ハイブリッド

22. Windows Server ベース HCI は急速に展開中

23. Azure Stack HCI はとても経済的
Compute Storage
+
Networking
+ +
Azure での実績
(Hyper-V)
高速 SDS
(記憶域スペース
ダイレクト)
Azure SDN
(MS SDN v2)
Windows Server 2019 Datacenter に HCI 機能を標準搭載
Security
Windows 10 と
コアを共通化

24. アーキテクチャー上の優位性
OS への組み込み
• ストレージ用の仮想マシンは不要
(他社との差別化の1つ)
• 最新ハードウェアをサポート
(Windows Server の強み)
ノード間通信は RDMA 推奨
• 高速な NIC (10, 25, 40, 100 ・・・)
• NIC オフロードによる高速化
• 低 CPU 負荷
• SMB は RDMA 対応
(枯れた技術をデータセンター用に拡
張)
• ノード間通信はストレージとしてのパフォーマンスに影響大
• S2D は物理層に近いところで動作し、高速な
ネットワークを採用することによりボトルネックを回避
SDS としての
ノード間通信

25. ランダム IO に強烈な
パフォーマンスを発揮！
ストレージのパフォーマンスを最大限引き出せる
S2D

26. Hyper-V 最大サイズを拡張

27. Windows Server 2019 ストレージの新機能

28. 真の 2 ノード HCI を提供
ノード間通信用 NW は
10Gbps ケーブル直結も
Router
1 Gbps
1 Gbps
効率的・効果的な 2 ノード HCI 活用

29. Network Controller
• Control plane
• Highly available using
service fabric
• Public REST interface
• Where to install:
• 3 VMs
Network Virtualization
• Policy engine for SDN
• Virtual Switch Extension
and host agents
• Optimized for 40Gbit or
more
• Where to install:
• Hyper-V hosts
Remote Access (RAS)
• Router between physical
and virtual networks
• L3, VPN and GRE
• BGP with transit routing
• M:N redundancy
• Where to install:
• 2 or more VMs
Software Load Balancer
(SLB)
• Provides L3 & L4 load
balancing and NAT
• Role is the front-end of
load balancer
• High availability and
scale out via BGP and
ECMP
• Where to install:
• 2 or more VMs
Display Name Name Install State
------------ ---- -------------
[X] Network Controller NetworkController Installed
[X] Network Controller Management Tools RSAT-NetworkController Installed
[ ] Remote Access RemoteAccess Available
[ ] Network Virtualization NetworkVirtualization Available
[ ] Software Load Balancer SoftwareLoadBalancer Available

31. ハードウェア状態検知の重要性を数年の経験にて把握
• ホストサーバー
• ドライブ
• ボリューム
• 仮想マシン
・CPU
・メモリ
・ネットワーク
• 記憶域
新機能 Performance History 登場
～

32. Performance History

34. 強化されたセキュリティ機能

35. 徹底したセキュリティ機能
これまでの仮想化基盤の課題
• 物理セキュリティの恩恵を得られない (例 TPM)
• ホストの状態が考慮されない
• 仮想化基盤の管理権限管理は性善説
• ネットワーク/ストレージへの攻撃対策は境界のみ
VM 暗号化
(Bitlocker)

36. Compliance Mapping
ISO 27001: 2013 PCI DSS 3.2
FedRAMP; NIST 800-53 Revision
4
Enforcing Separation
of Duties
A.6.1.2– Segregation of duties 6.4.2 – Separation of duties between test
and production environments
AC-5 – Separation of Duties
Implementation of
Least Privilege Access
and Partitioning Tenant
Functionality
A.9.2.3 – Management of
privileged access rights
A.12.1.4 – Separation of
development, testing, and
operational environments
6.4.1 – Test and Production Environment
Separation
7.2 – User access control on need-to-
know basis
7.2.3 – Default “deny-all” setting
AC-6 – Least Privilege
AC-6 (10) – Prohibit Non-Privileged
Users from Executing Privileged
Functions
SC-2 – Application Partitioning
Protecting Information
Stored in Shared
Resources
None 8.7 – Restricted access to databases
containing cardholder data
SC-4 – Information in Shared Resources
Protection of Data at
Rest
A.8.2.3 – Media Access 3.4 – Verifying stored PAN is unreadable
3.4.1 – Disk encryption usage and access
control
6.5.3 – Insecure cryptographic storage
SC-28 – Protection of Information at
Rest
SC-28(1) – Protection of Information at
Rest
Security Function
Verification and
Integrity Monitoring
None 11.5 – Change-detection mechanism
deployment
SI-6 – Security Function Verification
SI-7 – Software, Firmware, and
Information Integrity

37. 標準的な攻撃のタイムライン: 侵入—侵害
攻撃者が検出されない (データ流出)調査および準備

38. 侵入の早期検知
*3 McKinsey & Co. 高度ネットワーク社会でできることとそのリスク: 企業への示唆 2014 年 1 月
マルウェア感染がされても早期に発見することができてい
ない（平均 242 日*）
攻撃者はリモートアクセスツールを感染した
端末にインストールし、遠隔からシステム内を探って長期
にわたって機密情報を盗み取ろうとしている
攻撃者によって侵入がされた、マルウェア感染された場合
にはそれをすぐに検知することが可能
早期に対策をうつことで被害を最小化する
攻撃者
遠隔操作
管理者権限パスワード
従来の問題点 Windows Server 2019 のメリット

39. 39
専用のテナント
クラウドでの統計
セキュリティ業界
からの情報
Microsoft 社内の
セキュリティ技術者の情報
Microsoft 社内の
リサーチ結果
Microsoft Threat Intelligence
Windows 10
Windows Server 2019

40. アプリケーション イノベーションを加速

42. 環境は Docker Hub から入手可能

43. コンテナ化された
大量のイメージ
エッジ(利用者の近く)で
クラウド AI / IoT 機能を活用

44. (参考) Base Image Optimization with Container
2016 1709 1803 1809
Download Size 5GB 2GB 1.61GB ~1.5GB
On Disk Size 10.3GB 4.59GB 3.67GB ~3.3GB
Pull Time 7 min 17 sec 4 min 43 sec 2 min 14 sec ~2 min
2016 1709 1803 1809
Download Size 393MB 80MB 89MB ~89MB
On Disk Size 1.08GB 200MB 227MB ~227MB
Pull Time 1 min 18.5 sec 10.9 sec ~11 sec
44

45.  Microsoft Management Console (Mmc.exe)
 Event Viewer (Eventvwr.msc)
 Performance Monitor (PerfMon.exe)
 Resource Monitor (Resmon.exe)
 Device Manager (Devmgmt.msc)
 File Explorer (Explorer.exe)
 Windows PowerShell ISE (Powershell_ISE.exe)
 Failover Cluster Manager (CluAdmin.msc)
 Internet Explorer (IExplore.exe) - optional
マイクロソフトのサーバーアプリケーションも Server Core 対応
• Exchange Server 2019 (Server Core Recommended. FOD not needed)
• SQL DB Engine (Server Core Recommended. FOD not needed)
• SQL Server Management Studio (SQL 16, 17)
• TFS Server、More to come…

46. Application Innovation

47. 47
まとめ

48. Hyper-V の安定性、低コスト、
高パフォーマンス、管理性(PowerShell)
ReFS 重複除去や差分ディスクの
組み合わせでサービス基盤を
Live Migration や Hyper-V
レプリカによりサービス品質向上
今後のサービス拡張には Azure
オプションで効率的にサービス提供

49. 全方位で利用者メリットを追求できる唯一の企業

50. © 2019 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.