1 / 45

Spolupráce Windows 7 a Windows Server 2008 R2

Spolupráce Windows 7 a Windows Server 2008 R2. Ondřej Výšek Senior Solution Architect, V-TSP Dell. Twitter hashtag pro celou akci: # cztechdays. V prezentaci. Branch Cache Co je Jak funguje Jak nasadit a spravovat Direct Access Co je Jak funguje Jak nasadit a spravovat. BranchCache.

kennan
Download Presentation

Spolupráce Windows 7 a Windows Server 2008 R2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Spolupráce Windows 7 a Windows Server 2008 R2 Ondřej Výšek Senior Solution Architect, V-TSP Dell Twitterhashtag pro celou akci:#cztechdays

  2. V prezentaci • BranchCache • Co je • Jak funguje • Jak nasadit a spravovat • Direct Access • Co je • Jak funguje • Jak nasadit a spravovat

  3. BranchCache

  4. BranchCache - přehled • Stahování obsahu v rámci pobočky pokud je obsah na pobočce dostupný • Distribuovaná: Od ostatních klientů v rámci pobočky na stejné síti • Hostovaná: z “hosted cache” • Klienti mohou získat obsah pouze jsou-li autorizováni serverem • BranchCacheurychluje HTTP, HTTPS, SMB, BITS • Transparentní ke klientům a serverovým aplikacím

  5. Distribuovaná Cache - Přehled • Používá architekturu peer-to-peer, obsah je uložený na klientovi Windows 7, který jej první vyžádá. Windows 7 klient zpřístupňuje obsah pro další klienty, kteří jsou na stejném subnetu. Distribuovaná Cache je zvláště výhodná pro lokality bez serverové infrastruktury.

  6. Hostovaná Cache - Přehled • Používá architekturu klient / server. Windows 7 ukládá obsah na cache server na lokálním subnetu – server musí mít Windows Server 2008 R2 – označovaný jako hostovaná cache. Ostatní klienti, kteří vyžadují stejný obsah, jej stahují ze serveru hostované cache • Server pro hostovanou cache může být i Server Core.

  7. Agregovaný report propustnosti

  8. BranchCacheframework 3rd Party Applications IE BITS WMP Office CopyFile Explorer Office SharePoint SMB HTTP BranchCache™

  9. Deployment • Distribuovaná* • HQ: Server s obsahem (musí být R2) • Branch: Klient (musí být Win 7) • Hostovaná* • HQ: Server s obsahem (musí být R2) • Branch: Hosted Cache (musí být R2) • Branch: Klient (musí být Win 7) • *Server Core R2 – ANO!!!

  10. Nasazení –Distribuovaná Cache

  11. Instalace komponent hostované cache • Instalace vlastnostiBranchCachena R2 server • Instalace certifikátu pro server-authpro použití SSL • Spusťte netshbranchcache set service hostedserverna serveru pro hostovanou cache Nasazení – Hostovaná cache • Identifikace pobočky • Zvolení způsobu nasazení • Nasazení na klienty! • Group policy: Pomocí ADMX souborů • netsh: Spusťte netsh branchcache set service hostedclient location=<> na klientech

  12. Monitorování • Event log - Operational log & Audit log • Perfmon counters - klient, server s obsahem a hostovanou cache • netsh– identifikace potenciálních problémů • Velikost cache příliš malá, problémy s firewall, certifikátem,… • OpsMgrpack

  13. BranchCache… ještě hlouběji…

  14. Integrace s HTTP IE IIS “Branch Cache Capable” Data Data Get data OpenURL wininet http.sys Hashlist Data Hashlist Data Hashlist BranchCache BranchCache Data H3 H1 H2 H4 H5 Hashlist

  15. Integrace SMB BranchCache Data Hashlist SMB Hash Generation Service Generate or update hash Application CSC Service HashGen Utility ReadFile Request Hashes Prefetch File Generate or update hash Savehashes Data Request Hashes Hashlist Data CSC Driver SMB Client Driver SMB Server Driver Access hashes Hashlist Data CSCCache

  16. Jaký je dopad na SSL ? Klient Server IIS IE Data nešifrována Data nešifrována BranchCache BranchCache HTTP HTTP Data nešifrována Data nešifrována SSL SSL Data šifrována Data šifrována Sockets Sockets Data šifrována Data šifrována IPsec IPsec Data šifrována

  17. Bezpečnost Klient Encryption key Hash(SK, „KeKeKe”) Segment discovery key Hash(SK, SH+”HoHoDk”) Private Segment key (SK) Hash(SH, Ks) Server Segment hash (SH) Hash (Blockhashes) Server secret key Ks Block hashes Hash(block) B1 B2 Bn Blocks

  18. Tok dat – z pohledu bezpečnosti • Klient požaduje data ze serveru a indikuje možnosti BranchCache • Server autorizuje klienta • Server zajišťuje metadata (block hashes, segment hashes, private segment key) pro požadovaná data • Server odesílá metadata po stejném kanálu jako data • Klient vypočítá „segment discovery key“ • Broadcasts na lokální síti

  19. Tok dat – z pohledu bezpečnosti • Klienti poskytující data, obdrží broadcast • Dešifrují „segment hash“za „segment discovery key“ • Odpovídají o dostupnosti dat • Klient zažádá bloky z ostatních klientů • Klienti poskytující data vypočítávají šifrovací klíč ze „segment private key“ • Klienti poskytující data šifrují každý blok pomocí šifrovacího klíče • Klient stahuje data • Dešifruje data • Ověří jednotlivé bloky proti „block hash“ • Pokud je vše validní, navrátí data aplikaci

  20. Zabezpečení dat • Distribuovaná Cache • Cache obsahuje pouze data, která jsou požadována klienty • Data v cache jsou zabezpečená (ACL), tedy přístupná pouze po autorizaci serveru • Pokud je obava o únik dat, je možné použít BitLockernebo EFS • Hostovaná Cache • Cache obsahuje pouze data, která jsou požadována klienty • V případě potřeby použijteBitLockernebo EFS pro zašifrování cache • Všechna data mohou být z cache odstraněna pomocí netsh

  21. BranchCache bude…

  22. BranchCache nebude…

  23. POZOR: Cestující & Hostovaná Cache Main Office ! Get Get ID ID ID ID ID Data ID ! Data Data Data Search Put Advertise Search Branch Office Get Request Get

  24. BranchCache… mohlo by vás napadnout…

  25. Obvyklé odpovědi… • Nebude. • 64 KB a větší. • 300ms • Vlastní schéma… • Ne. • Ne. • Zajisté. • Odpovědi na vyhledávání jsou uspořádané. • Zůstane nedotčená. • Dokud není odstraněno nebo zaplněno. • Rozhodně.

  26. Obvyklé odpovědi… Q: Kdy bude BranchCache dostupná pro Windows Vista? A: Nebude. BranchCacheje podporována pouze na Windows 7 Enterprise, Ultimate & edicemi Windows 2008 R2. Q: Jaká je velikost kešovaného obsahu? A: 64 KB a více. Q: Jaký je timeout pro peer discovery? A: 300 ms Q: Jaké šifrování se používá? A: Vlastní schéma šifrování založené na AES128. Q: Garantuje znalost hashe přístup k datům? A: Ne. Přístup stále musí být potvrzen serverem.

  27. Obvyklé odpovědi… Q: Bude BranchCachepracovat při výpadku WAN? A: Ne. Klient musí být schopný kontaktovat server aby obdržel identifikátory obsahu. Q: Mohu předvyplnit soubory v cache? A: Zajisté. Zvažte použití scheduled task, PowerShellRemotingnebo dalších technik.Pro WSUS & SCCM, zvažte zacílení na jednoho klienta před ostatními. Q: Jak BranchCache předejde hromadnému discovery? A: Odezvy na vyhledávání jsou uspořádané. Navíc, pokud klient detekuje, že již ostatní mají požadovaná data v cache, již znovu neukládá lokálně. Q: Po jakou dobu zůstávají v cache? A: Dokud není použito NetSHk vyprázdnění cache nebo dokud se cache nenaplní a nezačne se přepisovat.

  28. Porovnání BranchCachea DFSR

  29. V prezentaci • BranchCache • Co je • Jak funguje • Jak nasadit a spravovat • Direct Access • Co je • Jak funguje • Jak nasadit a spravovat

  30. DirectAccess

  31. Co jeDirectAccess? Routování, Zabezpečení a Překlad jmen Firemní síť DirectAccess Client Direct Access Server DC & DNS(Win 2008) Management Servers Doménový počítač, instalovaný certifikát Aplikace & Data Internet IPv6: Native /ISATAP IPv6: Native /transition technology

  32. Co jeDirectAccess? Routování, Zabezpečení a Překlad jmen Corporate Network DirectAccess Client Direct Access Server DC & DNS(Win 2008) Management Servers Doménový počítač, instalovaný certifikát Aplikace & Data Internet IPsec – používá certifikát počítače, členství v doméně, možné použití smartcards a NAP healthcheck Možnost IPsec end-to-end

  33. Co jeDirectAccess? Routování, Zabezpečení a Překlad jmen DNS dotazy nainterní jména Corporate Network DirectAccess Client Direct Access Server DC & DNS(Win 2008) Management Servers Doménový počítač, instalovaný certifikát Aplikace & Data Internet DNS dotazy na cokoliv jiného Internet DNS

  34. Připojení: IPv6 IPv6 Options DirectAccessnejlépe pracuje, když je ve firemní síti nasazeno nativní IPv6 • DirectAccessvyžaduje IPv6 • Pokud není IPv6 dostupné, pak klient použije překladové technologie IPv6 • Firemní síť může nasadit nativní IPv6, překladové technologie nebo NAT-PT Internet Intranet NAT-PT

  35. Externí konektivita IP adresa přiřazena ISP: IPv6 adresa použitá pro připojení: • Nativní podpora IPv6 • Veřejná IPv4 adresa použije 6to4 pro zapouzdření IPv6 uvnitř IPv4 • Privátní IPv4 adresa použije Teredo pro tunelování IPv6 v IPv4 UDP (UDP 3544) • Pokud se klient nemůže spojit se serverem DirectAccess, IP-HTTPS se připojí přes port 443 6to4 Private IPv4 Teredo Native IPv6 Native IPv6 Public IPv4 DirectAccessKlient Nativní IPv6 6to4 IP-HTTPS Teredo

  36. Interní IPv6 IPv6 Options DirectAccessnejlépe pracuje, při nasazení IPv6 ve firemní • Nativní - Servery mohou provozovat jakýkoliv OS, který plně podporuje IPv6 - Vyžaduje IPv6 infrastrukturu - Z dlouhodobého pohledu nejlepší řešení • ISATAP - IPv6 uvnitř IPv4 - Servery musí být Windows Server 2008 nebo R2 - Není potřeba měnit infrastrukturu • NAT-PT - Překládá IPv6 na IPv4 - Funguje s jakýmkoliv OS - UAG má přímou podporu Internet Intranet NAT-PT

  37. Two Factor Authentication (TFA) • Uživatel se může přihlásit k počítače bez TFA • Jakmile přistoupí k firemním zdrojům, • IPsecautorizace kontroluje tento SID • Pokud není SID nalezen • Není vyžadována, je plně podporována • Vynucení při vstupu do organizace: jednoduchá cesta k vynucení TFA • Uživateli je přidělen „well-known SID“ po přihlášení pomocí smartcard S-1-5-65-1

  38. Komponenty DirectAccess

  39. Troubleshooting

  40. DEMO

  41. Vybudujte vlastní demo • Test LabGuide: DirectAccess s NAP • http://www.microsoft.com/download/en/details.aspx?id=22637 • Test LabGuide: DemonstrateDirectAccess • http://www.microsoft.com/download/en/details.aspx?id=24144 • Test LabGuide: DistributedBranchCachesteb-by-step • http://go.microsoft.com/fwlink/?LinkId=185325 • Test LabGuide: HostedBranchCache step-by-step • http://go.microsoft.com/fwlink/?LinkId=193487

  42. Zdroje informací • Microsoft TechNet blog • Technetblog.cz • Optimalizovane-it.cz

  43. V prezentaci • BranchCache • Co je • Jak funguje • Jak nasadit a spravovat • Direct Access • Co je • Jak funguje • Jak nasadit a spravovat

More Related