Heads-Up: Migration FRS zu DFS-R

Dieser Beitrag ist der Erste aus der Serie „Heads Up!“, die Themen bespricht, die beachtenswert sind für einen Windows Server oder Windows Server Failover Cluster Betrieb.
Sinn und Zweck soll es sein Euch einen Hinweis und eine Empfehlung an die Hand zu geben, nicht in eine bereits allgemein bekannte Falle zu geraten.

In dieser Folge aus der Reihe „Heads Up!“ geht es um einen Mechanismus, der seine Tätigkeit in einer Active Directory Domäne im Hintergrund erledigt und meist wenig Beachtung findet: Der File Replication Service (FRS).
Der Dienst verrichtet die sehr wichtige Aufgabe Gruppenrichtlinien (Sysvol) sowie Skripte (Netlogon) auf alle Domänen Controller innerhalb einer Domäne zu replizieren, um diese für die Clients an der jeweiligen AD Site zur Verfügung zu stellen.
Dabei hat der FRS Dienst die ehemalige „LAN Manager Replication“ (LMRepl) beerbt: Für die, die das noch unter Windows NT 3.x/NT 4 kennen:
https://technet.microsoft.com/en-us/library/cc962213.aspx

Heads Up: Der FRS ist seit Windows Server 2012 abgekündigt (deprecated) und es wurde schon mit Erscheinen der Windows Version eine Empfehlung abgegeben auf DFS-R zu migrieren.
Nachdem ich schon einige Windows Server 2012 Umgebungen gesehen habe, in denen FRS immer noch seinen Dienst verrichtet und die nächste Major Version in Form von Windows Server 2016 vor der Tür steht, sollte man bald der Empfehlung nachkommen und seine Domäne „Windows vNext Ready“ gestalten.

Der geschätzte Microsoft Mitarbeiter Ned Pyle hat das im Jahr 2014 aufgegriffen und einen detaillierten Aktionsplan für Umsteiger geschrieben:
Ned Pyle’s Streamlined Migration of FRS to DFSR SYSVOL
http://blogs.technet.com/(…)streamlined-migration-of-frs-to-dfsr(…)

Prüft Eure Umgebung, die Gesamtstrukturebene sowie die Domänenebene und wenn alle Voraussetzungen erfüllt sind: „Bye, bye FRS – Hello DFS-R“ 🙂

Stay tuned,
N.Own

Weiterführende Links:
[1] https://blogs.technet.microsoft.com/filecab/2014/06/25/the-end-is-nigh-for-frs/
[2] https://technet.microsoft.com/de-de/library/dn303411.aspx
[3] https://technet.microsoft.com/de-de/library/mt163897.aspx#BKMK_FRSDeprecation
[4] https://technet.microsoft.com/library/dd640019(v=ws.10).aspx

Windows Updates – GDR & LDR

Für Windows Updates gibt es eine Unterscheidung bei der sogenannten „Service Branch“ hinsichtlich der allgemeinen Verfügbarkeit (General Distribution Release – GDR) und einer eingeschränkten Verteilung (Limited Distribution Release – LDR).
GDR Updates sind in der Regel security updates sowie reguläre updates wie feature packs oder rollups. LDR updates finden Verbreitung unter den Hotfixes und Quick Fix Engineering (QFE) updates und sind zugeschnitten auf ein bestimmtes Kundenszenario, diese sind weniger ausgiebig getestet und sollten auch nur in bestimmten Fällen installiert werden.
Diese Art von Updates ist mit folgendem Passus in den jeweiligen KB Artikeln markiert:

„Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.“

„A supported hotfix is available from Microsoft. However, this hotfix is intended to correct only the problem that is described in this article. Apply this hotfix only to systems that are experiencing this specific problem.“

Dieser Hinweis sollte ernst genommen werden, der Hotfix sollte dann nicht auf bloßen Verdacht eingespielt werden – außer der Fehlerfall tritt in der Umgebung auf, man wurde vom Support darauf hingewiesen ihn einzuspielen oder der Hotfix ist gelistet in einem KB Artikel mit dem Titel „Empfohlene Updates für…“ (Recommended Hotfixes).
Service Pack Dateien gehören beispielsweise generell immer der General Distribution Release an.

Doch was bedeutet die Service Branch?
Typischerweise erhält man GDR Updates über den Windows Update Kanal, LDR Updates erhält man in der Regel vom Microsoft Support oder über den Download eines KB Artikels zu einem Fehlerfall.
Hinweis dazu: GDR Dateien können sich in einem LDR Hotfix befinden, aber nicht umgekehrt.

Siehe dazu:
http://blogs.msdn.com/(…)difference-between-general-distribution-and-limited-distribution-releases.aspx
http://blogs.technet.com/b/mrsnrub/archive/2009/05/14/gdr-qfe-ldr-wth.aspx

Wichtig ist, dass man sich der Service Branch eines Updates bewusst ist.
Wie erkennt man welcher Service Branch die Dateien meines Systems angehören?
https://blogs.technet.microsoft.com/(…)gdr-oder-ldr-hotfix-version-qfe/

Mit Windows 8.1 respektive Windows Server 2012 R2 hat sich das Blatt gewendet, es gibt nur noch eine einheitliche Branch für alle Updates.
Das ist eine positive Entwicklung, da man sich nun bei der Verwendung eines Hotfixes keine Gedanken mehr machen muss auf einer Installation mit GDR Service Branch Dateien über ein Update eine LDR Service Branch Hotfix einzuspielen.
Da mit dem Alter einer Windows Server Installation immer mehr Updates und ggf. auch Hotfixes auf einem System landen, sollte man darauf achten, was man auf einem Windows Server 2008 R2 oder älter einspielt – vor allem, wenn es sich um kritische Systeme wie Failover Cluster handelt.
Wie beschrieben durchlaufen GDR Updates einen wesentlich härteren Testparcours als LDR Updates.

Stay tuned,
N.Own

Isolated & Quarantined Nodes

Es gibt zwei neue Failover Cluster States mit der Einführung von Windows Server 2016: Isolated und Quarantined.
Was ist ein Knoten, der isoliert oder unter Quarantäne in einem Cluster steht?

Zuerst ist anzumerken, dass es sich um zwei unterschiedliche States handelt, die eine fehlerhafte Intra-cluster Kommunikation widerspiegeln.

Der Zustand eines Knotens im isolierten Status sagt aus, dass der Knoten nicht mehr aktiv am Cluster teilnimmt. Das kann auftreten, wenn ein Knoten die übrigen Clusterknoten nicht mehr erreicht und zuvor eine oder mehrere VMs gehostet hat. Der Zustand wird in der Failover Cluster Console angezeigt und ist nun keine unbehandelte Ausnahme mehr.
Der Clusterdienst reagiert entsprechend und nimmt einen Knoten gegebenenfalls selbstständig in den Status „isolated“.
Es werden keine Ressourcengruppen mehr auf diesen Knoten verschoben, so dass der Knoten nicht mehr aktiv an einem Cluster teilnimmt.

Ein Knoten, der unter Quarantäne steht, kommt in diesen Status, wenn er z.B. drei mal innerhalb einer Stunde den Cluster unsauber verlassen hat. Es wird davon ausgegangen, dass der Knoten ein Hardware- oder sonstiges Problem hat, das ihn zwar teilweise funktional lässt, aber dennoch persistente Fehler zeigt.
Ein sogenannter „dirty node“ wird dadurch für 2 Stunden aus der Mitgliedschaft zu einem Cluster ausgeschlossen („quarantined“); die gehosteten VMs werden im laufenden Betrieb auf einen aktiven Knoten verschoben.
Dieser Status wird ebenfalls in der Console angezeigt und von einem Clusterdienst selbstständig erkannt und ausgelöst. Er kann als Folge des Zustands der Isolation eines Knotens auftreten.

Weiterhin gibt es einen neuen State, der den Ressourcentyp einer virtuellen Maschine (VM) betrifft: Unmonitored.
Dabei kann eine VM in den Unmonitored Status übergehen, wenn der Cluster den Zustand der VM auf Grund von Fehlern auf einem Knoten nicht mehr überwacht. Auch diesem Zustand wird Rechnung getragen und zur Anzeige in der Failover Cluster Console gebracht.
Dieser Status kann als Folge eines isolierten Knotens auftreten, auf dem die VM dann als „unmonitored“ markiert wird.

Hier der Microsoft Blog Artikel, mit dem die neuen Funktionen angekündigt werden:
» https://blogs.msdn.microsoft.com/(…)virtual-machine-compute-resiliency(…)

Es sind dort auch Parameter beschrieben, mit denen die Funktionen im Detail auf die eigene Umgebung angepasst werden können. Die Konfiguration kann per PowerShell durchgeführt werden und betrifft vor allem Schwell- und Timeout-Werte.

Die neuen, erweiterten Failover Cluster States von Windows Server 2016 helfen letztendlich die Stabilität des Clusters einzuschätzen und zu erhöhen, vormals unbehandelte Fehler werden auf diese Weise automatisch erkannt und angezeigt. Ebenso werden unsaubere Knoten automatisch für einen gewissen Zeitraum ausgeschlossen.
Das erhöht die Belastbarkeit eines Clusters und vermeidet unschöne Folgefehler, Microsoft spricht hier von „Virtual Machine Compute Resiliency“ – also von einer höheren Elastizität für vorübergehende Fehler eines Knotens.

Stay tuned,
N.Own

Rolling Upgrade is back

Ein Rolling Upgrade unter Nutzung gemischter Betriebssystemversionen im gleichen Cluster ist für Migrationszwecke sehr praktisch. So erlaubte Windows Server 2003 eine gemischte OS-Version unter den Knoten eines Clusters, was es einem ermöglichte Knoten mit Windows 2000 Server und Windows Server 2003 im gleichen Cluster zu betreiben.
Das Vorgehen war denkbar einfach: Failover aller Ressourcen auf einen Clusterknoten, pausieren des nun passiven Knoten und anschließende Aktualisierung der Windowsversion. Danach das Pausieren des passiven Knotens aufheben und Failover der Ressourcengruppen auf den vormals passiven Knoten, nun kann der vormals aktive Knoten pausiert und aktualisiert werden. Nach einer anschließenden Entfernung der Pausierung hat man das Betriebssystem seiner Clusterknoten erledigt.
Das Szenario ergibt natürlich nur Sinn, um den Cluster auf einfache Weise auf 2003 zu aktualisieren: Ein Betriebsszenario mit gemischten Knoten wird niemand ernsthaft für längere Zeit betreiben wollen.

Was ist der Vorteil des Ganzen? Nun, man vermeidet eine längere Downtime und spart sich Hardware und das ist bei einem Cluster meistens eine teure Angelegenheit, wenn man die LUNs auf der Shared Storage berücksichtigt.
Leider gab es die Möglichkeit ein „Cluster Operating System Rolling Upgrade“ zu nutzen bei Windows Server 2008 (R2) und Windows Server 2012 (R2) nicht mehr – die Komponenten erlagen einem starken Wandel bei der Architektur und haben das Szenario schlichtweg nicht mehr unterstützt.

Welche Versionen unterstützen ein Cluster OS Mixed Mode, um ein Rolling Upgrade zu realisieren?
Rolling Upgrade Matrix - © 2016 N.Own
Microsoft hat erkannt, dass das Feature für Kunden und IT-Dienstleister eine enorme Erleichterung bei einem Upgrade darstellt und wird das Feature mit Windows Server 2016 wieder einführen. Eine Migration von Windows Server 2012 R2 zu Windows Server 2016 wird also wieder weitestgehend unterbrechungsfrei möglich sein:

» https://technet.microsoft.com/en-us/library/dn850430.aspx

Mit der Wiedereinführung dieses Features wird eine Planung und Durchführung eines OS-Upgrade der an einem Cluster beteiligten Serverknoten wesentlich vereinfacht. Eine Migration von Windows Server 2012 R2 zu Windows Server 2016 erlaubt damit eine Nutzung derselben Hardware.

Stay tuned,
N.Own

Active Directory Abhängigkeiten

Windows Server Failover Cluster benötigen bisher ein Active Directory, da sie auf die Vorteile einer zentralen Benutzerverwaltung zurückgreifen – die Abhängigkeiten eines Clusters zu den Active Directory Domain Services (AD DS) haben sich allerdings über die letzten Versionen geändert.

Windows Server 2003 hat noch zwingend ein AD benötigt: Der Clusterdienst auf den jeweiligen Nodes wurden im Kontext eines Dienstekontos ausgeführt – dieses musste ein AD Konto sein.
Der sog. „Cluster Service Account“ (CSA) hat die Anlage der Netzwerknamen übernommen, die „Virtual Computer Objects“ (VCO, Computerkonten) hat der Dienst im Kontext des CSA angelegt und modifiziert. Über so ein Computerkonto wird eine durchgängige Kerberos Authentifizierung für virtuelle Netzwerknamen im einem Cluster z.B. für File Services erreicht. Dabei schreibt der Clusterdienst auch die passenden Attribute für das Computerkonto: ServicePrincipalName (SPN), DnsHostName und DisplayName.

Mit Windows Server 2008 wurde der CSA obsolet, damit vereinfachte sich das Setup und die Achillesferse eines Benutzerkontos mit zu wenig Rechten als potentieller Schwachpunkt für den Clusterbetrieb wurde abgeschafft. Der Clusterdienst läuft nun im Kontext von local system, das Cluster Name Object (CNO) legt fortan die Netzwerknamen an (VCO). Die VCOs bilden den „Client Access Point“ (CAP) für die Zugriffe der Benutzer auf den Cluster. Das CNO ist ebenfalls zuständig für die Kennwortänderungen der VCOs im Active Directory.

Mit Windows Server 2012 R2 ist wiederum ein Schritt in Richtung Unabhängigkeit von AD DS implementiert worden: Man kann nun einen Cluster weitgehend ohne AD betreiben (AD-detached cluster) und für den Bootvorgang eines Knoten (form/join Cluster) muss ein DC nicht mehr zwingend erreichbar sein (AD-less cluster bootstrapping). Für virtualisierte DCs auf einem Hyper-V Cluster ist das Zucker.

Active Directory-less Cluster Bootstrapping
» http://blogs.technet.com/(…)enhanced-integration-with-active-directory-ad.aspx
Ein wichtiges Feature, um Domain Controller weitestgehend virtualisieren zu können und dafür Hyper-V Failover Cluster zu nutzen. Das Henne-Ei-Problem, das ein Cluster nicht ohne AD starten kann und ein DC nicht ohne Cluster auf dem er virtualisiert wurde ist damit passé.

Active Directory-Detached Cluster (Active Directory-less Cluster)
» https://technet.microsoft.com/en-us/library/dn265972.aspx#BKMK_ADAg
Diese Option sollte auf Grund der Einschränkungen gut überlegt werden:
» https://technet.microsoft.com/en-us/library/dn265970.aspx
Auch ist diese Möglichkeit nicht für jede Anwendung geeignet, die auf einem Cluster laufen soll. Selbst wenn man eine weitgehende Loslösung von Abhängigkeiten zu einem Active Directory erreichen kann, sollte man sich immer überlegen zu welchem Zweck und für welche Anwendungsfälle.
Hier ist noch einiges im Fluß für vNext und es gibt Kundenwünsche und Bestrebungen z.B. SQL Server Cluster gänzlich ohne ein Active Directory zu betreiben.
Wie ist Eure Meinung dazu? Hinterlasst mir einen Kommentar… 😉

Stay tuned,
N.Own

Windows Server 2016 TP4 available

Kurzmitteilung

Die Technical Preview 4 von Windows Server 2016 ist seit wenigen Stunden verfügbar:

MSDN Download von Windows Server 2016 TP4


Offizielle Ankündigung: » http://blogs.technet.com/b/virtualization/archive/2015/11/19/announcing-the-release-of-hyper-v-containers-in-windows-server-2016-technical-preview-4.aspx

Der Download ist über MSDN bereits möglich oder über das öffentliche Eval Center:
» http://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-technical-preview

Stay tuned,
N.Own

Windows Server 2016 TP4 – Neuigkeiten

Windows Server 2016 TP4 wird für Mitte/Ende November erwartet, da lohnt es sich einen Blick auf die kommenden Neuerungen zu werfen. In den letzten TPs wurde erkennbar, dass Microsoft einen besonderes Augenmerk auf Storage-themen gelegt hat, Software-defined Storage (SDS) ist auf dem Vormarsch und Microsoft trägt dem mit Windows Server 2016 Rechnung, unter anderem mit Storage Spaces Direct (S2D).

Besonders ReFS v2 wird mit der TP4 erwartet, hier handelt es sich um die zweite Auflage des neuen Dateisystems „Resilient File System“ von Windows. S2D baut darauf auf, ebenso CSVFS und weitere Hyper-converged Konfigurationen – gerade für diese Szenarien bietet ReFS v2 einen signifikanten Mehrwert.

Was bietet ReFS bereits auf einem Windows Server 2012 R2?
» https://technet.microsoft.com/en-us/library/hh831724.aspx

Welche Neuerungen kommen zu ReFS v2 mit Windows Server 2016 Technical Preview 4?
Hier hat Microsoft auf der SNIA Storage Developer Conference (SDC) 2015 folgendes verkündet:
ReFS v2 wird haupsächlich Verbesserungen hinsichtlich der Performance in Hyper-V Umgebungen mitbringen: Schnellere Provisionierung, verbessertes Block Cloning und Optimierungen bei der Verwaltung.
Hyper-V wird vor allem bei der Provisionierung von VMs und beim Handling von Checkpoints profitieren.

Durch die Verwendung von ReFS cluster bands wird ein besseres Tiering erreicht, dabei werden gängige Dateisystem-cluster unabhängig von deren Größe in relativ große „bands“ zusammengefasst. ReFS verwaltet diese bands in für Tiering optimierten Prozessen. Ziel ist es günstigen Speicher möglichst performant ansprechen zu können unter Nutzung gemischter Hardware.

Alleine diese Neuerungen lassen einen den Windows Server 2016 in der TP4 mit Spannung erwarten.

Stay tuned,
N.Own