Monthly archives: april, 2016

Windows Server 2016: Remote Desktop Services (RDS) nyheter

Windows Server 2016 bjuder på många nyheter inom RDS (Remote Desktop Services). De tre främsta områdena är:

  • Grafik
  • Skalbarhet
  • Azure

Grafik

Microsoft har investerat mycket tid att få till ett bättre stöd för hårdvarugrafikkort i 2016. I tidigare versioner var fokus mer på ”Information Worker”, det vill säga Officepaketet, surf, video etc. i 2016 så får RemoteFX vGPU dock bättre stöd för OpenGL och därmed bättre möjlighet för grafikintensiva applikationer såsom CAD.

Skalbarhet

Rollen Connection Broker har gjorts mer skalbar för att kunna hantera ”logon stormar” vilket kunde inträffa på morgonen när stort antal användare skulle logga in samtidigt vilket kunder resultera i flera minuters inloggningstid. RDCB har nu testats 10.000+ samtidiga förfrågningar utan att fel. Det är nu enklare att skapa en RDCB SQL databas på en delad SQL server för att enklare bygga en HA-lösning i mindre installationer.

Azure

Som mycket annat med Microsoft så är de stora nyheterna inom Azure. Dels har deployment i Azure blivit enklare med nya ARM (Azure Resource Manager). Tidigare har installationen varit helt manuellt men nu finns templates [länk]Det gör att du med en enkel template kan skapa upp en komplett RDS miljö med CB, SH, WA, GW och lastbalanserare:

rds-azure-template1 rds-azure-template2

De har även gjort det enklare och billigare i Azure att skapa en RDS-miljö genom möjligheten att köra tjänster (PaaS) istället för virtuella servrar (Iaas). Exempelvis går det ha en högtillgänglig SQL genom Azure SQL Database istället för att manuellt sätta upp ett SQL kluster vilket gör att det behövs lägre antal VMs och slippa hantera ett SQL kluster och all administration kring detta.

Istället för att ha dedikera domänkontrollanter, går det använda Active Directory Domain Services som sätter upp ett AD som tjänst istället för på VMs.

Till sist går det använda Azure AD Application Proxy för att säkert göra din RDS deployment tillgänglig över Internet på ett säkrare sätt genom att minska attackytan och göra det möjligt att använda multi-faktor autentisering.

Exempel design i 2012 R2 jämfört med 2016:

rds-azure1 rds-azure2

 

Har du kanske en 2008 R2/2012 R2 RDS miljö idag och funderar på att uppdatera för att ta del av ovan fördelar? Tveka inte att kontakta oss!



Microsoft MDM-lösningar

Det finns många MDM (Mobile Device Management)-lösningar från flera leverantörer där ute. I denna post tänkte jag diskutera de lösningar som Microsoft har och vad som tekniskt skiljer dessa åt. Xenit arbetar med flera leverantörer av MDM-lösningar – behöver du hjälp att välja rätt MDM-lösning för dig – kontakta oss!

Kortfattat erbjuder Microsoft följande varianter:

  • ActiveSync – Har du on-premise Exchange så har du en enklare MDM-lösning i denna där du kan sätta ett 50-tal policies som till exempel krav på PIN-kod, stänga av kameran, kräva kryptering av enheten. Det finns möjlighet att med PowerShell få ut vilka telefoner som synkroniserar vilka mailboxar och du som admin eller användaren själv kan genomföra Remote Wipe. Det finns även möjlighet att inte tillåta ActiveSync alls förrän en administratör har godkänt enheten. Generellt är det en väldigt enkel MDM-lösning som får skötas manuellt och ingen direkt lösning för enrollment utan det är när enheten konfigureras för ActiveSync som policies slår på den. Mer info [länk].
  • MDM for Office 365 – Microsoft molnlösning som är integrerad med Office 365 så har du Office 365 kan du mycket enkelt börja använda detta direkt och du använder O365 admin center webbportal för att konfigurera det. Det finns ett antal MDM-policies som liknar ActiveSync, som till exempel krav på PIN-kod, wipe vid X antal felaktiga försök, kräva kryptering av enhet, skärmsläckare mm. Finns en enrollmentfunktion och du kan få ut en enklare inventering på enheterna. Saker som inte finns här men som finns i Intune nedan är till exempel profiler för Wi-Fi/certifikat. Mer info.
  • Intune (standalone) – Microsoft molnlösning. MDM-möjligheter med denna lösning finns här, men exempel är enrollment av enheter samt sätta policies på inställningar (olika beroende på om det är iOS, Android, Windows osv), remote wipe, remote lock, profiler för certifikat/Wi-Fi/Email/VPN, inventering, geofencing med mera. Har även MAM (mobile application managment) där du kan styra vad en användare får göra i vissa applikationer. Inte alla applikationer men många Microsoft applikationer och även 3e parts applikationer. Till exempel går det att styra så data från Outlook app:en inte får kopieras till andra applikationer såsom Facebook (exempel på användarupplevelse här). Supporterar även Windows 10, alltså vanlig klient-OS, där du kan styra vissa delar utan att behöva domän-joina datorerna men ändå kunna styra vissa inställningar.
  • Hybrid (Intune med System Center Configuration Manager) – Delar samma funktioner som ovan men du kan använda samma on-premise SCCM konsol för att hantera det. Så har du en on-premise SCCM så kan detta vara intressant.

Följande Microsofts design guide hjälper dig förstå olika MDM design icke-tekniska krav och lösningar:
Mobile Device Management Design Considerations Guide



Testa hastigheten till Azure datacenters

Intresset för Azure är enormt bland våra kunder, speciellt våra kunder som har kontor över hela världen. Men vilket datacenter ska man välja när man bygger sina tjänster i Azure? Är verkligen det datacenter som fysiskt ligger närmast det man har snabbast svarstider till? Det finns en bra tjänst för att testa detta: http://www.azurespeed.com/

Här kan man göra ett antal olika tester för att se vilket datacenter som passar just dig bäst inklusive svarstider och test att ladda upp filer.

Azure-speed-test

Det finns några andra som kan vara bra att testa också:



Provisioning av Windows 2012 R2 – ShortFileName

I Windows 2012 R2 har det introducerats flera förbättringar. En förbättring är att Microsoft valt att stänga av vissa funktioner som tidigare varit aktiverade för bakåtkompabilitet. En sådan funktion är ShortFileName (SFN), även kallat 8dot3 Name Creation (8dot3), som Microsoft valt att inaktivera på nya diskvolymer som läggs till på en Windows 2012 R2, utöver operativsystemsdisken.

SFN användes i DOS, Windows NT 3.51 och Windows 95 där det fanns en begränsning i FAT filsystem för hur många tecken ett namn fick innehålla. Anledningen till att det är inaktiverat i senare OS versioner är för att SFN skapar en prestanda försämring vid skapande eller enumrering av filer [1].

För att enkelt verifiera om SFN existerar på en volym, skriv kommandot dir /x när du befinner dig i root-katalogen på en volym.

ShortFileName Exists

Resultat när SFN sökvägar existerar

Vi kan se att ”C:\Program files” har en förkortning till C:\PROGRA~1 och ”C:\Program Files (x86)” har en förkortning till C:\PROGRA~2.

Det är fördelaktigt att SFN är inaktiverat om det är en volymdisk på en filserver att spara prestanda. Som tidigare beskrivit vid skapande och enumrering av filer när SFN är aktiverat [1]Är det avstängt på en systemdisk, där applikationer fortfarande kan använda sig av SFN av någon anledning kan man få udda felmeddelanden.

Ett sådant scenario kan man stötta på när man provisionerar ut en ny diskrevision med Office 2013 installerat. Installation av Office-paketet i Golden-image fungerar och ger inga felmeddelanden. Först när man startar Word på sina provisionerade targets kan man få meddelandet:

Office Word Something Went Wrong

Utför vi kommandot dir /x på en provisionerad target kan vi se att ShortFileName sökvägar inte längre existerar på diskvolymen.

ShortFileName Does Not Exist

Resultat när SFN sökvägar saknas

Som beskrivit tidigare, när nya diskar läggs i Windows 2012 R2 blir SFN inaktiverat på nya diskar. Äldre program och plugins som använder sig av SFN kan delvis eller helt sluta fungera om sökvägarna inte existerar.

I följande scenario har vi en Golden image med en Systemdisk C:\ som vi skall kopiera till den tomma vDisken E:\. Vi kan verifiera att möjligheten att skapa SFN är aktiverat på volymen C: genom att använda oss av

  • fsutil.exe 8dot3name query c:
8dot3 name creation enabled

Skapandet av SFN-genvägar är aktiverat

Värdet “0 – 8dot3 name creation is enabled” för C:\ visar att det är möjligt att skapa SFN genvägar.  Utför vi samma kommando mot vår tomma vDisk E:\ kan vi se att det SFN är inaktiverat, vilket innebär att SFN sökvägar inte kommer skapas.

8dot3 name creation disabled

Skapandet av SFN-genvägar är inaktiverat

LÖSNING OCH ÅTGÄRD

För att undvika att varje ny vDisk har SFN inaktiverat ändrar man följande registervärde [2] i sin Golden Image.

Registry PATH:                             HKLM\System\CurrentControlSet\Control\FileSystem\
REG_DWORD:                             NtfsDisable8dot3NameCreation
Value:                                             2 > 0

0: Enables 8dot3 name creation for all volumes on the system.
1: Disables 8dot3 name creation for all volumes on the system.
2: Sets 8dot3 name creation on a per volume basis.
3: Disables 8dot3 name creation for all volumes except the system volume.

Källa: [1]
https://blogs.technet.microsoft.com/josebda/2012/11/13/windows-server-2012-file-server-tip-disable-8-3-naming-and-strip-those-short-names-too/

Källa: [2]
https://technet.microsoft.com/en-us/library/ff621566.aspx



Microsoft SQL Server AlwaysOn Failover Cluster Instances

Det är nästan alltid rekommenderat och en mycket god idé att placera sina databaser på en Microsoft SQL Server som i någon form är högt tillgänglig. Det är tyvärr ganska vanligt att till exempel databaser för Citrix XenApp, XenDesktop och Microsoft Remote Desktop Services hamnar på en SQL Express eller annan SQL Server som inte är högt tillgängligt. Orsaken brukar vara att en högt tillgänglig Microsoft SQL Server har förknippats med höga licenskostnader då hög tillgänglighet har krävt Enterprise-licenser.

Sedan Microsoft SQL Server 2014 har det dock varit möjligt att med Standard-licenser få en grundläggande högt tillgänglig Microsoft SQL instans baserad på Windows Server Failover Clustering (WSFC) och SQL Server AlwaysOn Failover Cluster Instances (FCI).

Med FCI placeras SQL-Instansen på en delad disk i en WSFC-resurs med minst två noder. FCI är aktiv/passiv vilket innebär att endast en nod äger instansen åt gången. Ifall något händer med den primära noden tar en annan nod automatiskt över instansen utan att anslutna system påverkas.

Kontakta gärna oss om du vet med dig att du har system som ligger på en SQL Server som inte är högt tillgänglig på grund av kostnadsskäl.