Spolupráce Windows 7 a Windows Server 2008 R2
description
Transcript of Spolupráce Windows 7 a Windows Server 2008 R2
TOP Hotel Praha
7. – 8. 3. 2012
Ondřej VýšekSenior Solution Architect, V-TSPDell
Spolupráce Windows 7 a Windows Server 2008 R2
Twitter hashtag pro celou akci: #cztechdays
Branch Cache Co je Jak funguje Jak nasadit a spravovat
Direct Access Co je Jak funguje Jak nasadit a spravovat
V prezentaci
BranchCache
Stahování obsahu v rámci pobočky pokud je obsah na pobočce dostupný
Distribuovaná: Od ostatních klientů v rámci pobočky na stejné síti Hostovaná: z “hosted cache”
Klienti mohou získat obsah pouze jsou-li autorizováni serverem
BranchCache urychluje HTTP, HTTPS, SMB, BITS Transparentní ke klientům a serverovým aplikacím
BranchCache - přehled
Používá architekturu peer-to-peer, obsah je uložený na klientovi Windows 7, který jej první vyžádá. Windows 7 klient zpřístupňuje obsah pro další klienty, kteří jsou na stejném subnetu. Distribuovaná Cache je zvláště výhodná pro lokality bez serverové infrastruktury.
Distribuovaná Cache - Přehled
Používá architekturu klient / server. Windows 7 ukládá obsah na cache server na lokálním subnetu – server musí mít Windows Server 2008 R2 – označovaný jako hostovaná cache. Ostatní klienti, kteří vyžadují stejný obsah, jej stahují ze serveru hostované cacheServer pro hostovanou cache může být i Server Core.
Hostovaná Cache - Přehled
Agregovaný report propustnostiTotal Data Traffic Per Protocol
Bytes From Cache Bytes From Server Total Bytes Transmitted
Bandwidth Saving (%)
BITS
16,965,928 83,239,376 100,205,304 16.93 %
Other
0 0 0 0.00 %
SMB
10,395,103,851 17,035,293,799 27,430,397,650 37.90 %
WINHTTP
3,729,408 53,224,647 56,954,055 6.55 %
WININET
520,721,713 405,857,305 926,579,018 56.20 %
Total 10,936,520,900 17,577,615,127 28,514,136,027 38.355%
BITS Other SMB WINHTTP WINNET Total0.00%
10.00%20.00%30.00%40.00%50.00%60.00%
16.93%
0.00%
37.90%
6.55%
56.20%
38.36%
Úspora pásma (%)
BranchCache framework
IE
HTTP
BranchCache™SMB
Explorer
3rd Party ApplicationsCopyFi
leOffice WMPBITSOfficeShareP
oint
Distribuovaná* HQ: Server s obsahem (musí být R2) Branch: Klient (musí být Win 7)
Hostovaná* HQ: Server s obsahem (musí být R2) Branch: Hosted Cache (musí být R2) Branch: Klient (musí být Win 7)
*Server Core R2 – ANO!!!
Deployment
Nasazení – Distribuovaná CacheIdentifikace “pobočky”
• Active Directory Site• IP adresní rozsah• Kolekce specifických počítačůChoose how to deploy
Group PolicyNetShell (netsh)
Nasazení na klienty!• Group policy: obsaženo v ADMX souborech• netsh: spusťte netsh branchcache set service distributed na
všech relevantních počítačích
Nasazení – Hostovaná cacheInstalace komponent hostované cache
• Instalace vlastnosti BranchCache na R2 server• Instalace certifikátu pro server-auth pro použití SSL• Spusťte netsh branchcache set service hostedserver na serveru pro
hostovanou cache
Nasazení na klienty!• Group policy: Pomocí ADMX souborů• netsh: Spusťte netsh branchcache set service
hostedclient location=<> na klientech
Identifikace pobočky
Zvolení způsobu nasazení
Event log - Operational log & Audit log
Perfmon counters - klient, server s obsahem a hostovanou cache
netsh – identifikace potenciálních problémů Velikost cache příliš malá, problémy s firewall,
certifikátem,…
OpsMgr pack
Monitorování
BranchCache… ještě hlouběji…
Integrace s HTTP
http.sys
IIS
BranchCache
wininetOpen URL “Branch Cache
Capable”Get dataData
Data
Data
H1 H2 H4 H5Hashlist
HashlistHashlist
Hashlist Data
Data
H3
BranchCache
IE
Integrace SMB
SMB ServerDriver
SMB Hash Generation
ServiceHashGen
UtilityGenerate or update hash
Generate or update hashApplication
CSC Driver SMB Client Driver
CSCCache
Hashlist
CSC Service
BranchCache
DataHashlist
Request Hashes
ReadFile
Data
Prefetch File Data
Data Access hashes
Savehashes
Request Hashes
Hashlist
Jaký je dopad na SSL ?
Sockets
SSL
HTTP
IEBranchCach
e
BranchCach
e
Data šifrována
Data nešifrována
Data nešifrována
Klient Server
Data šifrovánaIPsec
Sockets
SSL
HTTP
IIS
Data šifrována
Data nešifrována
Data nešifrována
IPsecData šifrovánaData šifrována
Bezpečnost
B1
B2
BnBlocks
Block hashesHash(block)
Segment hash (SH)Hash (Blockhashes)
Server secret keyKs
Private Segment key (SK)Hash(SH, Ks)
Encryption keyHash(SK, „KeKeKe”)
Segment discovery keyHash(SK, SH+”HoHoDk”)
Klient
Server
Klient požaduje data ze serveru a indikuje možnosti BranchCache Server autorizuje klienta Server zajišťuje metadata (block hashes, segment
hashes, private segment key) pro požadovaná data Server odesílá metadata po stejném kanálu jako data
Klient vypočítá „segment discovery key“ Broadcasts na lokální síti
Tok dat – z pohledu bezpečnosti
Klienti poskytující data, obdrží broadcast Dešifrují „segment hash“ za „segment discovery key“ Odpovídají o dostupnosti dat
Klient zažádá bloky z ostatních klientů Klienti poskytující data vypočítávají šifrovací klíč ze „segment
private key“ Klienti poskytující data šifrují každý blok pomocí šifrovacího
klíče
Klient stahuje data Dešifruje data Ověří jednotlivé bloky proti „block hash“ Pokud je vše validní, navrátí data aplikaci
Tok dat – z pohledu bezpečnosti
Distribuovaná Cache Cache obsahuje pouze data, která jsou požadována klienty Data v cache jsou zabezpečená (ACL), tedy přístupná pouze
po autorizaci serveru Pokud je obava o únik dat, je možné použít BitLocker nebo EFS
Hostovaná Cache Cache obsahuje pouze data, která jsou požadována klienty V případě potřeby použijte BitLocker nebo EFS pro zašifrování
cache
Všechna data mohou být z cache odstraněna pomocí netsh
Zabezpečení dat
BranchCache bude…
Pod kontrolou
Předcházet hromadným peer discovery
Podporovat nasazení v doméně a pracovní skupině
Kešovat hashe při publikaci dat
Podporovat více subnetů v módu hostované cache
Podporovat konfiguraci pomocí GPo a NetSH
Používat HTTP (tcp:80) pro přenos bloků
Používat WS-D (UDP:3702) pro peer discovery
Podporovat IPv4 & IPv6
Využívat SCOM reporting a monitoring
BranchCache nebude…
Ukládat nevyžádaný obsah nebo přepisovat cesty
Podporovat Distribuovanou Cache na více subnetech
Používat nebo vyžadovat IPSec
Odpovídat pokud je latence>= 300ms
Vyžadovat IPv6
Dostupná při výpadku WAN
Podporovat PowerShell
Podporovat scénáře internet/home
Automaticky startovat služby ve výchozím nastavení
Poskytovat nástroje pro migraci cache
Podporovat SharePoint 14 při RTM
GetGet
ID
Put
Data
POZOR: Cestující & Hostovaná Cache
Get
DataID
Search
Get
Search
Request
AdvertiseID
ID
IDData
ID
Data
!!
BranchCache… mohlo by vás napadnout…
Obvyklé odpovědi…Nebude.64 KB a větší.300msVlastní schéma…Ne. Ne.Zajisté.Odpovědi na vyhledávání jsou uspořádané.Zůstane nedotčená.Dokud není odstraněno nebo zaplněno.Rozhodně.
Q: Kdy bude BranchCache dostupná pro Windows Vista?A: Nebude. BranchCache je podporována pouze na Windows 7 Enterprise,
Ultimate & edicemi Windows 2008 R2.
Q: Jaká je velikost kešovaného obsahu?A: 64 KB a více.
Q: Jaký je timeout pro peer discovery? A: 300 ms
Q: Jaké šifrování se používá?A: Vlastní schéma šifrování založené na AES128.
Q: Garantuje znalost hashe přístup k datům?A: Ne. Přístup stále musí být potvrzen serverem.
Obvyklé odpovědi…
Q: Bude BranchCache pracovat při výpadku WAN?A: Ne. Klient musí být schopný kontaktovat server aby obdržel identifikátory
obsahu.
Q: Mohu předvyplnit soubory v cache?A: Zajisté. Zvažte použití scheduled task, PowerShell Remoting nebo dalších
technik. Pro WSUS & SCCM, zvažte zacílení na jednoho klienta před ostatními.
Q: Jak BranchCache předejde hromadnému discovery?A: Odezvy na vyhledávání jsou uspořádané. Navíc, pokud klient detekuje, že již
ostatní mají požadovaná data v cache, již znovu neukládá lokálně.
Q: Po jakou dobu zůstávají v cache? A: Dokud není použito NetSH k vyprázdnění cache nebo dokud se cache nenaplní
a nezačne se přepisovat.
Obvyklé odpovědi…
Porovnání BranchCache a DFSR BranchCache DFSRInfrastruktura Žádná, pokud se používá Distributed
Cache ModeJe zapotřebí souborový server na pobočce
Přístupové protokoly SMB2, HTTP, HTTPS Bez závislosti. SMB1, SMB2, NFS
Co se bude kešovat/replikovat Uživatel nebo aplikace, která čte data je následně ukládá do cache
Administrátor určuje data, která se budou replikovat a v jakých intervalech
Životnost cache „nejméně čtená“ data jsou odstraňována z cache dokud je prostor na disku. Data, která nejsou používána více jak 28 dní jsou odstraněna
Data neexpirují
Verze souborů, které vidí klient Klient vždy obdrží poslední verzi z centrálního souboru
Klient obdrží verzi, která je replikována na pobočce
Kdy jsou předány změny z pobočky na centrální server
Změny jsou přímo nahrávány na centrální server (přes WAN) ihned jak klient provede změnu
Změny jsou uloženy na pobočce a replikovány nazpět na centrálu podle plánu replikací
Odolnost proti výpadku WAN Ne Ano
Branch Cache Co je Jak funguje Jak nasadit a spravovat
Direct Access Co je Jak funguje Jak nasadit a spravovat
V prezentaci
DirectAccess
Co je DirectAccess?
DirectAccess Client
Doménový počítač, instalovaný certifikát
Firemní síť
Aplikace & Data
DC & DNS(Win 2008)
Internet
Direct Access Server
IPv6: Native / transition technology
Management
Servers
Routování, Zabezpečení a Překlad jmen
IPv6: Native / ISATAP
Co je DirectAccess?
DirectAccess Client
Doménový počítač, instalovaný certifikát
Corporate Network
Aplikace & Data
DC & DNS(Win 2008)
Internet
Direct Access Server
IPsec – používá certifikát počítače, členství v doméně, možné použití smartcards a NAP health check
Management
Servers
Routování, Zabezpečení a Překlad jmen
Možnost IPsec end-to-end
Co je DirectAccess?
DirectAccess Client
Doménový počítač, instalovaný certifikát
Corporate Network
Aplikace & Data
DC & DNS(Win 2008)
Internet
Direct Access Server
DNS dotazy na interní jména
Management
Servers
Routování, Zabezpečení a Překlad jmen
DNS dotazy na cokoliv jiného
Internet DNS
DirectAccess vyžaduje IPv6Pokud není IPv6 dostupné, pak klient použije překladové technologie IPv6 Firemní síť může nasadit nativní IPv6, překladové technologie nebo NAT-PT
Připojení: IPv6IPv6 Options
DirectAccess nejlépe pracuje, když je ve firemní síti nasazeno nativní IPv6
IntranetInternet
NAT-PT
Nativní IPv6
IPv6 překladové technologie
IPv4
Nativní podpora IPv6Veřejná IPv4 adresa použije 6to4 pro zapouzdření IPv6 uvnitř IPv4
Privátní IPv4 adresa použije Teredo pro tunelování IPv6 v IPv4 UDP (UDP 3544)
Pokud se klient nemůže spojit se serverem DirectAccess, IP-HTTPS se připojí přes port 443
Externí konektivita
IP adresa přiřazena
ISP:
Public IPv4
DirectAccess Klient
IPv6 adresa použitá pro připojení:
6to4Private IPv4
Native IPv6
TeredoNative IPv6
Nativní IPv66to4
Teredo
IP-HTTPS
Nativní- Servery mohou provozovat jakýkoliv
OS, který plně podporuje IPv6- Vyžaduje IPv6 infrastrukturu- Z dlouhodobého pohledu nejlepší
řešení
ISATAP- IPv6 uvnitř IPv4- Servery musí být Windows Server
2008 nebo R2- Není potřeba měnit infrastrukturu
NAT-PT- Překládá IPv6 na IPv4- Funguje s jakýmkoliv OS- UAG má přímou podporu
Interní IPv6IPv6 Options
DirectAccess nejlépe pracuje, při nasazení IPv6 ve firemní
IntranetInternet
NAT-PT
Nativní IPv6
IPv6 Překladové technologie
IPv4
Není vyžadována, je plně podporovánaVynucení při vstupu do organizace: jednoduchá cesta k vynucení TFAUživateli je přidělen „well-known SID“ po přihlášení pomocí smartcard S-1-5-65-1
Uživatel se může přihlásit k počítače bez TFAJakmile přistoupí k firemním zdrojům, IPsec autorizace kontroluje tento SIDPokud není SID nalezen
Two Factor Authentication (TFA)
Komponenty DirectAccess
DirectAccess clientconnecting from globallyroutable IPv6 address
DirectAccess clientconnecting from
public IPv4 address
DirectAccess clientconnecting from private
(NAT) IPv4 address
DirectAccess clientconnecting from
behind a firewall, or unable to connect via other methods
NAP servers
DNS servers
Domain controllers
Application serversrunning native IPv6
Certification authority
Application serversrunning IPv4
Application serversrunning ISATAP
IPv6/IPv4 translator &IPv6/IPv4 DNS gateway
IPv6
6to4
Teredo
IP-HTTPS
IPv6
IPv4
IPv6
ISATAP-tunneled IPv6 traffic
Network location server
External CRL distribution point
Internal CRL distribution point
Internet intranet
DirectAccess server
TroubleshootingCommand Action
ipconfig /all Displays all IP configuration data
netsh interface teredo show state Displays the current state of Teredo
netsh adv monitor show mmsa Displays all main mode security associations
netsh adv monitor show qmsa Displays all quick mode security associations
gpresult /scope computer /v Displays all group policies applied to the computer (Produces an extremely long output that is best piped to a file by appending >file.txt to the end of the command)
netsh name show policy Displays the current contents of the Name Resolution Policy Table
netsh name show effectivepolicy Displays the current effective NRPT conditions. The NRPT will only be applied and shown as the effective policy if inside/outside detection determines that the client is not connected to the corporate network
DEMO
Test Lab Guide: DirectAccess s NAP http://www.microsoft.com/download/en/details.aspx?
id=22637
Test Lab Guide: Demonstrate DirectAccess http://www.microsoft.com/download/en/details.aspx?
id=24144
Test Lab Guide: Distributed BranchCache steb-by-step http://go.microsoft.com/fwlink/?LinkId=185325
Test Lab Guide: Hosted BranchCache step-by-step http://go.microsoft.com/fwlink/?LinkId=193487
Vybudujte vlastní demo
Microsoft TechNet blog Technetblog.cz
Optimalizovane-it.cz
Zdroje informací
Branch Cache Co je Jak funguje Jak nasadit a spravovat
Direct Access Co je Jak funguje Jak nasadit a spravovat
V prezentaci
TOP Hotel Praha
7. – 8. 3. 2012