網管人雜誌
本文刊載於
網管人雜誌第 226 期 - 2024 年 11 月 1 日出刊,NetAdmin 網管人雜誌
為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology
Learning
技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份
1 日出刊您可於各大書店中看到它,或透過城邦出版人讀者服務網進行訂閱。
本文目錄
前言
隨著 Microsoft Ignite 2023 和 Windows Server Summit 2024 大會的舉辦,雖然 Windows Server 2025 仍處於技術預覽版本階段,但是隨著幾場大會下來,相信市場也逐漸對即將推出的 Windows Server 2025 興趣漸增。
首先,是針對 「熱修補」(Hotpatching)的增強,企業和組織透過最新的熱修補技術,執行安全性更新安裝作業時,將會直接針對 Windows Server 伺服器中,記憶體內部運作的系統程序進行程式碼修補的動作,不僅主機的運作不受干擾,其它運作的執行程序和服務也無須停止,並且修補完畢後的 Windows Server 也無須重新啟動,順利達成安全性更新和修補的目的,且不影響企業和組織的 SLA 服務等級協議。
在 Windows Server 2022 版本時代,只有運作在 Azure 公有雲環境中,並使用 Windows Server 2022 Datacenter : Azure Edition 版本才能支援熱修補功能(如圖 1 所示)。
圖 1、Windows Server 2022 熱修補功能示意圖
現在,在最新 Windows Server 2025 版本中,將具備 Windows Server Hotpatching for everyone 機制。簡單來說,待 Windows Server 2025 正式推出後,無論採用 Standard 或 Datacenter 版本,都可以直接使用熱修補功能,讓企業和組織在地端資料中心運作的 Windows Server 2025,可以從過去每個月進行安全性更新重新啟動,也就是一年要重新啟動主機次數為 12 次情況下,減少為每季重新啟動一次一年 4 次即可(如圖 2 所示),有效提升企業和組織營運服務的 SLA 服務等級協議。
圖 2、主機啟用熱修補功能後,只要每季重新啟動一次即可
Windows Server 2025 亮眼功能
事實上,Windows Server 2025 不僅將過往既有功能增強,還推出許多亮眼特色功能,舉例來說,在新版 Windows Server 2025 中,針對 NVMe 儲存裝置進行效能最佳化,並且還降低 CPU 工作負載,重點是企業和組織無須更換原有伺服器或 NVMe 儲存裝置,只要將原有的作業系統由 Windows Server 2022,升級為最新的 Windows Server 2025 版本即可。
在官方的效能測試資料中可以看到,原本在 Windows Server 2022 環境中的 NVMe 儲存裝置,在採用「diskspd.exe -r4k -b4k -t8 -o64 -d60 -Suw #0」壓力測試條件下,儲存效能達到「1.1M IOPS」,同樣的硬體配置下,升級為 Windows Server 2025 版本後,儲存效能達到「1.86M IOPS」,直接提升「70%」的儲存效能(如圖 3 所示)。
圖 3、Windows Server 2025 最佳化 NVMe 儲存效能示意圖
智慧便捷的版本升級機制
過去,提到 Windows Server 版本升級,管理人員可能就會眉頭一皺而裹足不前。現在,Windows Server 版本升級,已經提供像 Windows 10 升級至 Windows 11 的快速體驗,企業和組織在 Windows Server 2022 版本中,只要透過 Windows Update 更新,便可以直接升級版本至 Windows Server 2025(如圖 4 所示),即便企業或組織有數量眾多的 Windows Server 主機,也只要搭配 CAU 更新機制即可。
圖 4、透過 Windows Update 將 Windows Server 2022 升級至 2025 版本
不斷進化的 Hyper-V 虛擬化平台
雖然,在市場上大家已經不再比較虛擬化平台規格和運作規模,然而微軟一直沒有停止 Hyper-V 虛擬化平台的進化腳步。事實上,在微軟許多公開服務都採用 Hyper-V 虛擬化平台為基礎,例如,Azure 公有雲、Xbox 服務、Azure Stack Family、Containers with Hyper-V Isolation……等。
過去在 Hyper-V 容錯移轉叢集架構中,一旦叢集中的成員伺服器,在硬體伺服器方面有 CPU 世代差異時,管理人員必須人為介入進行操作,為叢集中的每一台成員主機,組態設定 CPU 相容模式才行。
現在,最新 Windows Server 2025 版本中,直接支援 「處理器動態相容」(Dynamic Processor Compatibility) 機制(如圖 5 所示),管理人員無須人為介入進行組態設定,系統將會自動啟用處理器動態相容性機制,Hyper-V VM 虛擬主機在不同成員伺服器主機之間,進行 Live Migration 線上遷移時,只要遷移至新世代的硬體伺服器成員主機上,便能立即提升運算效能並享有新世代 CPU 的特色功能。
圖 5、CPU 處理器動態相容性機制示意圖
隨著科技不斷進行加上 AI 人工智慧的加持,企業和組織對於大型 VM 虛擬主機的需求不斷增長。現在,Hyper-V 虛擬化平台主機層級方面,可支援高達 2,048 Logical Processors,和 4PB(5-level pagin)或 256TB(4-level paging)記憶體空間,在 VM 虛擬主機層級方面,也支援高達 2,048 vCPU 和 240TB vMemory 的虛擬主機,在官方實際展示的一張工作管理員截圖中,可以看到這台採用 Gen2 的 Hyper-V 虛擬主機,具備 1,792 vCPU 和 29.7TB vMemory 運算資源(如圖 6 所示)。
圖 6、一台具備 1,792 vCPU 和 29.7TB vMemory 的大型 VM 虛擬主機
GPU-P 圖形處理共享機制
在 AI 浪潮的推波助瀾下,企業和組織除了使用公有雲的 AI 服務之外,也考慮在地端資料中心內建置具備 GPU 圖形運算資源,以便自行訓練或微調屬於企業和組織自已的 AI 人工智慧模型。在 Windows Server 2022 版本中,開始支援「GPU 集區離散裝置指派」(GPU Pools with Discrete Device Assignment)運作架構,將硬體伺服器中的硬體 GPU 加入至 GPU 集區內,當 GPU 集區機制建立完成後,將特定的 VM 虛擬主機指派到 GPU 集區中,而非傳統一對一或者一對多的指派單個 GPU,後續即便容錯移轉叢集的成員伺服器發生災難事件時,系統將自動移轉並重新啟動 VM 虛擬主機,系統會在重新啟動時自動尋找,並加入至 GPU 集區內可用的 GPU 圖形運算資源,無須管理人員手動為 VM 虛擬主機再次指派 GPU 對應關係(如圖 7 所示)。
圖 7、GPU Pools with Discrete Device Assignment 運作架構示意圖
但 GPU Pools with DDA 的缺點在於,VM 虛擬主機無法手動執行 Live Migration 線上遷移,並且屬於 GPU 專用而非共享架構,所以能真正使用到 GPU 圖形處理的 VM 虛擬主機數量不多。因此,在 Windows Server 2025 版本中,將新增支援「GPU 分割」(GPU Partitioning,GPU-P)機制,透過 SR-IOV 單一根 I/O 虛擬化機制,為每台 VM 虛擬主機提供硬體支援,並只能存取其專用的 GPU 圖形處理資訊,並透過安全硬體分割機制,防止其它未經授權的 VM 虛擬主機存取 GPU 圖形處理資源,達成讓多台 VM 虛擬主機同時共用實體 GPU 圖形處理資源(如圖 8 所示)。
圖 8、Windows Server 2025 新增支援共享式 GPU Partitioning 圖形處理機制
實戰 – 雙節點工作群組叢集
在實戰演練小節中,將部署和建立雙節點工作群組叢集。然而,在開始組態設定之前,管理人員應先了解什麼是「工作群組叢集」(Workgroup Cluster),以及它和傳統的容錯移轉叢集有哪些不同之處,同時必須注意哪些部署準則和後續維護事項,才能讓工作群組叢集順利且穩定的運作。
事實上,工作群組叢集,為 Windows Server 2016 版本中新增的特定容錯移轉叢集組態類型,在工作群組叢集運作架構中,成員伺服器處於工作群組中並且不加入 Active Directory 樹系網域環境,然而運作環境中仍需要 DNS 名稱解析服務(如圖 9 所示)。
圖 9、工作群組叢集運作架構示意圖
因此,工作群組叢集的適用情境,通常為企業和組織中小型分公司或據點,希望在沒有 Active Directory 網域服務的情況下,仍可提供身份識別服務和管理,且能夠執行容錯移轉叢集服務,達成降低硬體維護和工作負載之外,同時維持身份識別高安全性,並且讓應用程式保持高可用性。
工作群組叢集必須滿足下列前置作業條件,才能滿足正式支援工作群組叢集的部署準則:
- 工作群組叢集中的所有成員伺服器,必須運作相同版本的 Windows Server 才行,例如,都是 Windows Server 2025。
- 所有成員伺服器必須處於工作群組環境中,不能加入任何 Active Directory 網域環境。倘若,先前曾經加入過 Active Directory 網域環境,即便已經退出網域環境至工作群組中,也必須重新命名電腦名稱並重新啟動主機,確保成員伺服器移除 Active Directory 快取。
- 工作群組叢集環境中,仍必須具備集中式儲存資源,提供給所有成員伺服器使用,舉例來說,必須有儲存空間直接存取(S2D)超融合環境、SAN 儲存資源、SMB 3.0 儲存資源 …… 等。
- 工作群組叢集仍需要組態設定仲裁機制,確保工作群組叢集具備高可用性,支援的仲裁類型包括,雲端見證、磁碟見證、USB 見證 …… 等。
值得注意的是,工作群組叢集並非支援所有類型的工作負載,所以企業和組織在部署建置前必須正確評估,確保營運服務是否在工作群組叢集支援的工作負載清單中。下列為企業和組織常見的叢集服務,以及工作群組叢集是否支援該叢集服務的說明:
- Hyper-V VMs: 從 Windows Server 2025 版本開始,正式支援工作群組叢集 Hyper-V 虛擬化環境工作負載,並且支援「線上遷移」(Live Migration)工作群組叢集中的 VM 虛擬主機,至其它台成員伺服器繼續運作,且遷移過程中不會發生任何中斷和停機時間。
- SQL Server Availability Groups: 從 Windows Server 2016 至最新的 Windows Server 2025,工作群組叢集皆支援網域獨立的 SQL 可用性群組工作負載。
- File Servers: 因為驗證問題,所以工作群組叢集「不支援」檔案伺服器叢集服務。
- SQL Server Always On: 工作群組叢集「不支援」,採用「容錯移轉叢集執行個體」(Failover Cluster Instance,FCI)方式,建立的 SQL Server Always On 高可用性工作負載。
安裝 Windows Server 2025
在本文實作環境中,將安裝和部署三台 Windows Server 2025 主機(如圖 10 所示),其中二台將建構雙節點的工作群組叢集環境,另一台擔任集中式 SMB 儲存資源的角色,至於運作環境中已經具備 DNS 名稱解析服務。
圖 10、安裝和部署 Windows Server 2025 主機
採用一致的系統管理員帳戶
在工作群組叢集運作架構中,所有成員伺服器必須採用相同且一致的系統管理員帳戶及密碼,並且系統管理員帳戶必須加入「本機 Administrators 群組」才行,在本文實作環境中,採用系統預設的 Administrator 系統管理帳號,已經滿足部署條件,所以無須額外的組態設定作業。
值得注意的是,倘若採用的系統管理員帳戶,並非建置系統時內建的系統管理員帳戶,而是額外新增的系統管理員帳戶時,除了確保加入本機 Administrators 群組之外,還必須組態設定啟用「LocalAccountTokenFilterPolicy」才行,管理人員可以採用兩種方式進行啟用。
第一種方式,透過開啟 Registry Editor 後,切換至「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System」路徑後,新增 DWORD(32-bit)值,名稱為「LocalAccountTokenFilterPolicy」而值為「1」後,按下確認鈕進行新增即可(如圖 11 所示)。
圖 11、透過 Registry Editor 啟用 LocalAccountTokenFilterPolicy
第二種方式,管理人員直接執行 PowerShell 指令「New-itemproperty -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –Name LocalAccountTokenFilterPolicy -Value 1」新增機碼值即可達成啟用的目的。
新增主要 DNS 尾碼
雖然,運作環境中已經具備 DNS 名稱解析伺服器,然而成員伺服器因為處於工作群組環境,在預設情況下並不會自動帶入 DNS 尾碼,所以必須手動幫每一台成員伺服器組態設定 DNS 尾碼。
請依序點選「Settings > System > About > Advanced System Settings > Computer Name > Change > More」項目,在 Primary DNS suffix of this computer 欄位,鍵入 DNS 尾碼「lab.weithenn.org」後按下 OK 鈕(如圖 12 所示),系統會提示必須重新啟動主機才能套用生效。
圖 12、為所有成員伺服器組態設定 DNS 尾碼
新增 WinRM 遠端管理信任主機
由於工作群組叢集中,並沒有 Active Directory 網域環境,所以必須針對所有成員伺服器,組態設定 WinRM 遠端管理機制,將成員伺服器互相設定為受信任的主機。同樣的,管理人員可以採用兩種方式進行組態設定。
第一種方式,鍵入 gpedit.msc 開機本機群組管理原則編輯器後,依序點選「Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management(WinRM)> WinRM Client > Trusted Hosts」,在 Trusted Hosts 視窗中點選至 Enabled 項目,然後在 TrustedHostsList 欄位中,鍵入成員伺服器主機名稱為信任主機,多筆主機名稱之間採用逗號進行分隔,確認無誤後按下 OK 鈕即可(如圖 13 所示)。
圖 13、透過本機群組管理原則編輯器,組態設定 WinRM 遠端管理信任主機清單
第二種方式,管理人員直接執行 PowerShell 指令「Set-Item WSMan:\localhost\Client\TrustedHosts -Value "node01,node02"」,在 WinRM Security Configuration 系統回應訊息中,請管理人員按下 Y 鍵,確認新增 WinRM 遠端管理信任主機清單,接著再次執行「Get-Item WSMan:\localhost\Client\TrustedHosts」指令,確認 WinRM 遠端管理信任主機是否套用生效。
安裝 Hyper-V 角色和容錯移轉叢集功能
在本文實作環境中,將會在工作群組叢集中運作 Hyper-V 虛擬化平台,並建立 VM 虛擬主機運作相關服務。請在所有成員伺服器中,為主機安裝 Hyper-V 和容錯移轉叢集功能,請在啟動伺服器管理員後,依序點選「Manage > Add Roles and Features > Role-based or feature-based installation > Node01 > 勾選Hyper-V > 勾選 Failover Clustering」,由於安裝 Hyper-V 伺服器角色後需要重新啟動主機,請勾選「Restart the destination server automatically if required」選項後,按下 Install 鈕進行安裝作業(如圖 14 所示)。
圖 14、所有成員伺服器安裝 Hyper-V 角色和容錯移轉叢集功能
管理人員也可以在 PowerShell 指令視窗中,執行「Install-WindowsFeature –Name Hyper-V,Failover-Clustering –IncludeManagementTools」指令,進行 Hyper-V 角色和容錯移轉叢集功能的安裝作業,在重新啟動主機後,執行「Get-WindowsFeature –Name Hyper-V,Failover-Clustering」指令,確認安裝作業是否成功。
SMB 檔案共用伺服器
在本文實作環境中,SMB 主機將安裝檔案伺服器角色,擔任 Node01 和 Node02 雙節點工作群組叢集中的儲存資源角色。請在 SMB 主機開啟伺服器管理員,依序點選「Manage > Add Roles and Features > Role-based or feature-based installation > SMB.lab.weithenn.org > File and Storage Services > File and iSCSI Services > File Server」項目,為 SMB 主機安裝檔案伺服器角色。
安裝作業完成後,在伺服器管理員中,依序點選「File and Storage Services > Shares >Tasks > New Share」項目,在彈出視窗中首先選擇「SMB Share - Applications」項目為分享類型,在 Share location 區塊中,選擇預設的「C :」即可,在 Share name 欄位中鍵入「VMs」,在下方可以看到,系統將預設使用「C:\Shares\VMs」路徑,以及遠端路徑「\\SMB\VMs」為分享路徑(如圖 15 所示),後續將存放 Node01 和 Node02 建立的 VM 虛擬主機。
圖 15、組態設定 SMB 檔案分享名稱和路徑
在 Other Settings 視窗中,採用系統預設值即可,在 Permissions 視窗中請按下 Customize permissions 鈕,在彈出自訂權限視窗中,首先按下「停用繼承」(Disable inheritance)鈕,再按下「Convert inherited permissions into explicit permissions on this object.」,以便將繼承的權限轉換成此物件中的明確權限,確保 Administrators 群組,以及 SYSTEM 和 CREATOR OWNER 具備「完全控制」(Full Control)權限即可。
執行叢集驗證測試
在正式建立工作群組叢集之前,建議先執行叢集驗證測試,確保通過所有叢集驗證測試,以便稍後建立工作群組叢集時,可以順利建立不會遭遇非預期的錯誤。
請在 Node01 或 Node02 主機中,在伺服器管理員視窗中的 Tools 選項清單內,開啟 Failover Cluster Manager,在容錯移轉叢集管理員視窗中,依序點選「Failover Cluster Manager > Management > Validate Configuration」,在 Select Servers or a Cluster 視窗中,鍵入 Node01 和 Node02 主機的 FQDN 名稱後,按下 Add 鈕加入至伺服器清單中(如圖 16 所示)。
圖 16、將 Node01 和 Node02 主機加入至伺服器清單中
在 Testing Options 測試清單頁面中,選擇系統預設值「Run all tests」執行所有驗證測試項目,在系統執行叢集驗證測試結果中,請確保 Node01 和 Node02 主機,皆通過所有叢集驗證測試項目(如圖 17 所示),倘若有任何驗證測試項目發生警告或失敗的情況時,請管理人員務必判斷並修正問題後,再次執行並通過叢集驗證測試,管理人員也可以透過 PowerShell 指令「Test-Cluster -Node node01.lab.weithenn.org,node02.lab.weithenn.org」,執行叢集驗證測試的工作任務。
圖 17、執行叢集驗證測試工作任務
建立工作群組叢集
順利通過叢集驗證測試作業後,便可以放心建立工作群組叢集,請在容錯移轉叢集管理員視窗中,依序點選「Failover Cluster Manager > Management > Create Cluster」,同樣的在 Select Servers 視窗中,將 Node01 和 Node02 主機加入至成員伺服器清單內,在 Access Point for Administering the Cluster 頁面中,鍵入工作群組叢集的名稱,本文實作環境為「wg-cluster」,而叢集固定 IP 位址則是「10.10.75.15」(如圖 18 所示)。
圖 18、組態設定工作群組叢集名稱和固定 IP 位址
在 Confirmation 視窗中,系統會顯示工作群組叢集的組態設定資訊,確認無誤後按下 Next 鈕繼續,系統便會自動執行建立工作群組叢集的動作,然後在 Summary 視窗中顯示部署結果,管理人員也可以按下 View Report 鈕查看詳細資訊(如圖 19 所示),或按下 Finish 鈕完成。
圖 19、查看部署工作群組叢集的詳細資訊
同樣的,管理人員也可以透過 PowerShell 指令「New-Cluster –Name wg-cluster –Node node01.lab.weithenn.org,node02.lab.weithenn.org –AdministrativeAccessPoint DNS –StaticAddress 10.10.75.15」,達成建立和部署工作群組叢集的工作任務(如圖 20 所示),並且執行 PowerShell 指令「Get-Cluster」和「Get-ClusterResource」,確認和檢查工作群組叢集相關資訊。
圖 20、順利部署工作群組叢集
建立檔案共用見證
根據微軟官方的最佳建議作法,當容錯移轉叢集中成員伺服器數量為「偶數」時,便應該組態設定「仲裁」(Quorum)或稱「見證」(Witness),以便容錯移轉叢集發生災難事件,導致成員伺服器停止運作或中斷連線時,仲裁見證機制便可以讓容錯移轉叢集能繼續正常運作。
值得注意的是,採用檔案共用見證機制時,倘若是未加入 Active Directory 網域的叢集環境時,則組成容錯移轉叢集的成員伺服器,必須至少是 Windows Server 2019 或更新版本,並且採用的 SMB 版本至少要 2.0 或更新版本。
請先切換至 SMB 主機,採用跟剛才一樣的作法,建立給工作群組叢集使用的 SMB 檔案共用見證,在建立時同樣採用「SMB Share - Applications」分享類型,在 Share location 區塊中,選擇預設的「C :」即可,在 Share name 欄位中鍵入「Witness」,在下方可以看到,系統將預設使用「C:\Shares\Witness」路徑,以及遠端路徑「\\SMB\Witness」為分享路徑,後續便存放工作群組叢集的仲裁見證資訊。
切換回 Node01 或 Node02 主機中,在容錯移轉叢集管理員視窗中,依序點選「wg-cluster.lab.weithenn.org > More Actions > Configure Cluster Quorum Settings」,在選擇仲裁類型視窗中選擇「Select the quorum witness」選項,在選擇使用的仲裁方式視窗中,選擇「Configure a file share witness」,在檔案共用路徑欄位中,鍵入剛才於 SMB 主機建立的「\\SMB\Witness」遠端分享路徑,確認無誤後系統便自動為工作群組叢集,組態設定及建立檔案共用見證機制,確保工作群組叢集遭遇災難事件時,能夠繼續正常運作(如圖 21 所示)。
圖 21、為工作群組叢集組態設定及建立檔案共用見證機制
結語
透過本文的深入剖析和實戰演練後,相信管理人員除了理解最新 Windows Server 2025,有哪些亮眼特色功能外,並實戰演練工作群組叢集並加上檔案共用見證機制,讓小型企業和組織,即便在沒有 Active Directory 網域環境的情況下,也能輕鬆建構容錯移轉叢集運作環境。
