Windows Server 2008 R2

Transkript

1 Windows Server 2008 R2 MARTIN PAVLIS, MICROSOFT MVP BORIS GREŠÁK, MICROSOFT SLOVAKIA 12. november 2009

2 Nové vlastnosti DirectAccess Windows XP Mode Bitlocker To Go Hyper-V R2 LiveMigration BranchCache Boot from VHD

3 Direct Access

4 DirectAccess je víc, než jen vzdálený přístup Vždy dostupný Správa Politiky Zabezpečení Zvýšená produktivita Není vyvolána uživatelem Zjednodušuje připojení do firem Umožnuje si posvítit" na všechny klienty Snižuje pravděpodobnost neinstalace systémových oprav Aplikuje GPO politiky na všechna PC Ověření zdraví před přihlášením a možnost nápravy Nahrazuje stávající kontroly zdraví Plná podpora a spolupráce s NAP Podporuje autentizovanou výměnu dat Podporuje šifrovanou výměnu dat Autentizace a šifrování snižuje pravděpodobnost mnoha útoků Pomocí VPN se uživatel připojuje do sítě DirectAccess rozšiřuje síť k uživateli

5 Nevyhody VPN Jak resite pripojeni klientu do interni site? Nevyhody VPN Vase nazory: Dalsi soft??? Linka??? Sifrovanie??? 64bit problem??? 11/12/2009 5

6 DirectAccess Vzdálený přístup je teď doslova všudypřítomný! Přístup odkudkoli pro Windows 7 a WS2008 R2 Transparentní zabezpečená konektivita; není třeba služeb dalšího klienta Používá síťové technologie Windows Serveru 2008 Není třeba žádných akcí pro připojení do korporátní sítě. Využívá přístup na bázi politik Umožňuje správu desktopu nezávislou na poloze či umístění klienta

7 IT desktop management AD Group Policy, NAP, aktualizace IPv6 zařízení Nativní IPv6 s IPSec IPv4 Devices Služby IPv6 překladu Podpora IPv4 skrz 6to4 překladu nebo NAT-PT DirectAccess poskytuje transparentní a zabezpečný Možná správa přístup k intranetu DirectAccess bez nutnosti klientů VPN Podpora přímého spojení k IPv6 intranetu DirectAccess Server Internet Umožňuje šifrování IPSec a autentizaci Podpora řady síťových protokolů Windows 7 Client

8 Požadavky na DirectAccess Klienti DirectAccess: Windows 7, musí být členy domény DirectAccess Server: Windows Server 2008 R2, musí být členem domény DNS servery pro DirectAccess klienty musí být Windows Server 2008 SP2 nebo novější Znalosti Nutné jsou základní znalosti IPsec a TCP/IP Potřeba mít touhu se učit něco nového, např. IPv6

9 Externí konektivita x IP adresa přiřazená od ISP: Private Public Native IPv6 IPv4 IPv6 adresa použitá pro spojení: Native Teredo 6to4IPv6 Nativní podpora IPv6 Veřejné IPv4 adresy využijí 6to4 pro tunelování IPv6 uvnitř IP protokolu 41 Privátní IPv4 adresy využijí Teredo pro tunelování IPv6 uvnitř IPv4 UDP (UDP 3544) Native IPv6 6to4 Teredo DirectAccess klient IP-HTTPS Pokud se klient není schopen připojit k DirectAccess serveru, IP-HTTPS se připojí na port 443

10 Interní IPv6 Nativní - Servery mohou běžet na jakémkoli OS který plně podporuje IPv6 - Vyžaduje IPv6 infrastrukturu - Nejlepší volba! DirectAccess funguje nejlépe pokud interní síť používá IPv6 ISATAP - IPv6 uvnitř IPv4 - Servery musí být Windows Server 2008, nebo R2 - Nevyžaduje upgrade routerů Internet Intranet NAT-PT NAT-PT - Překládá IPv6 na IPv4 - Funguje s jakýmkoli OS - Přímo vestavěni ve Forefront UAG Nativní IPv6 IPv6 Translation Technologies IPv4

11 Plná integrace s NAP Protože DirectAccess vyžaduje pro zabezpečení IPsec, může spolupracovat s Network Access Protection a tím zamezit přístup k IPsec chráněným prostředkům nezdravým počítačům Spolupráce NAP s DirectAccess je zajištěna požadavkem, kdy NAP Health certifikát je vyžadován pro autentizaci v rámci druhého IPsec tunelu

12 1 Potřebujete IPv6 Q: Proč potřebuji IPv6 pro DirectAccess? A: Jedná se o technologii budoucnosti. IPv6 nám poskytuje globální a unikátní adresy místo řešení na které síti se váš klient vyskytuje Námitka: Naši správci nerozumí IPv6! A: Jedná se o první IPv6 technologii. Další přijdou v budoucnu. Překladové technologie pomohou IPv6 nasadit a nezpůsobit takový šok.

13 1b Potřebujete ISATAP Otázka: Jakmile zapnu ISATAP, celá moje síť začne používat IPv6! A: Ano. Ale můžete zapnout ISATAP postupně, pomocí záznamů v lokálním server hosts souboru. Pouze zajistěte, že vaše interní síť podporuje IP protokol 41. Opatrně hlavně u load balancerů, firewalů, IDS, a WAN optimalizátorů. Případně vám může pomoci NAT-PT.

14 2 Potřebujete IPsec Otázka: Náš tým ještě nikdy nepoužíval IPsec! A: Windows Filtering Platform vám může ukázat, co se děje při navazování IPsec. Network Diagnostics Framework může říct vašim uživatelům, kde je problém! Ano, potřebujeme nové nástroje pro řešení problémů s DirectAccess, ale tyto znalosti nám v budoucnu pomohou s dalšími technologiemi

15 3 Neobvyklé díry ve firewallech Otázka: Chcete mi říct, že všechna komunikace klientu směřuje dovnitř? A: Ano, DirectAccess je trochu děsivý. Je to změna filozofie. Tyto díry ve firewallech jsou jen pro důvěryhodné počítače a důvěryhodné uživatele. To ale také znamená, že můžete začít spravovat vaše počítače, které nejsou nikdy přímo vaší síti a můžete tak zajistit podstatné navýšení jejich bezpečnosti.

16 4 Windows Firewall Otázka: My ale nepoužíváme Windows firewall, používáme firewall {zde vlozte vaseho FW}! A: Je mi líto, že jste zbytečně utratili vaše peníze. Nicméně nebojte, Windows Firewall můžete nastavit tak, aby neblokoval žádnou komunikaci* zůstanou tak aktivní pouze funkce IPsec. Váš Firewall XY budete muset spravovat zvlášť, nicméně i tak může jít o funkční řešení * Ve Windows 7 není podporováno vypnutí služby Windows Firewall. Můžete jej nastavit na neblokování komunikace, nicméně nesmíte zastavit Windows službu.

17 5 Non-IPv6 služby Otázka: Provozujeme ale i systém {zde vložte váš operační systém}. A ten nepodporuje IPv6! A: NAT-PT vám pomůže IPv4 služby zviditelnit klientům IPv6. Pomohou vám zařízení od partnerů (Cisco, Juniper, F5, atd.) s překladovými technologiemi NAT-PT a IPv6-tov4. Forefront UAG přinese vestavěnou podporu NAT-PT a dalších DirectAccess technologií.

18 6 Potřebujete klienty Windows 7 Otázka: Nemůžeme nasadit DirectAccess do té doby, než nasadíme na klientech Windows 7 stále jsme ale nedokončili testování kompatibility firemních aplikací na tomto systému. A: Ano, máte pravdu. (Windows 7 a problémy aplikační kompatibility je pravděpodobně největší problém pro nasazení DirectAccess ve velkých prostředích)

19 DEMO Windows XP Mode BitLocker To Go Hyper-V LiveMigration

20 Branch Cache

21 Pohled zákazníků Navýšili jsme efektivitu našich poboček a snížili zátěž WAN linek díky BranchCache ve Windows Server 2008 R2 a Windows 7, říká Lukáš Kučera, IT Services manažer v Lukoil CEEB, jedné z největších společností světa produkující ropu a plyn. Některé z našich malých poboček, jako např. pobočka na Slovensku a v Belgii mají pět až deset uživatelů a tím pádem není efektivní v těchto pobočkách nasazovat souborové servery bohužel neustálé požadavky uživatelů pro přístup k datům na hlavních souborových serverech velmi snižují rychlost propojení. BranchCache je skvělé řešení. Díky výhodám BranchCache ve Windows Server 2008 R2, můžeme ročně utratit místo $50,000 jen $20,000. David Feng, IT Director, Sporton International Convergent Computing (CCO) potřebovalo navýšit efektivitu přístupu k datům pro jejich mobilní uživatele. Díky technologiím DirectAccess a BranchCache obsažených ve Windows Server 2008 R2 a Windows 7, CCO zjednodušilo připojení do firemní sítě a navýšilo rychlost stahovaných dat. Tyto změny umožnili zrušení používání VPN a ušetřili 43% na síťové (WAN) zátěži.

22 Aktuální situace - problémy Slabé a drahé propojení pomocí WAN linek mezi ústředím a pobočkami Vysoké zatížení/přetížení WAN linek Problémy aplikací (pomalé odezvy) Aktuální trend centralizace datových center

23 BranchCache Snižuje zátěž WAN Vůči uživateli zcela transparentní Podporuje end-to-end šifrování mezi klientem a serverem Optimalizace protokolů HTTP, SMB a BITS Dva modely nasazení: Distribuovaný režim Hostovaná cache

24 Distributed Cache Data ID Data

25 Hosted Cache Data ID ID ID Search Data ID Data ID

26 Hosted Cache vs. Distributed Enterprise Distributed Cache Data cacheována napříč klienty Doporučeno pro pobočky bez serverové infrastruktury Snadné na nasazení: Zapnuto na klientech pomocí AD GPO Efektivita je snížena při větším množství notebooků, kterou jsou často mimo síť Hosted Cache Data cacheována na hosted serveru Doporučeno pro větší pobočky Centrální cache může využít stávající server na pobočce Vysoká dostupnost cache Jedná se o branch-cache

27 Podmínky pro nasazení Distributed HQ: Content Server (musí být R2 Enterprise) Branch: Klient (musí být Win7 or R2) Hosted HQ: Content Server (musí být R2 Enterprise) Branch: Hosted Cache (může být R2 Standard) Branch: Klient (musí být Win7) Funguje na R2 Core serveru!

28 Nasazení Povolení BranchCache za pomoci skupinových politik Instalace volitelné Windows Branch Cache komponenty na webový či file R2 server IIS File Server Group Policy Management Hostovaná cache Volitelně lze instalovat hostovanou cache na pobočce. Klienty lze konfigurovat za pomoci GPO.

29 Další konfigurační možnosti Zapnutí / vypnutí distribuované cache Zapnutí / vypnutí hosted cache Nastavení velikosti cache Nastavení location hosted cache Vymazání cache Vytvoření a replikace sdíleného klíče při běhu na Windows Cluster Funguje v doménách i v pracovnách skupinách

30 Otázky Q: Kdy bude BranchCache dostupné ve Windows Vista/XP? A: Nebude. BranchCache je podporován jen na edicích Windows 7 Enterprise, Ultimate & Windows 2008 R2. Q: Jak veliké soubory jsou cachovány? A: 64 KB a větší. Q: Je zde nějaký timeout? A: 300ms Q: Jaký druh šifrování je použit? A: AES128. Q: Umožňuje informace o hash ID přístup k datům? A: Ne. Přístup musí být udělen souborovým serverem Q: Bude BranchCache fungovat při výpadku WAN linky? A: Ne. Klienti musí být schopni kontaktovat content server pro získání identifikátoru.

31 Otázky Q: Mohu před-stáhnout soubory do cache? A: Jistě. Díky použití plánovaných úloh, PowerShell Remoting a dalších technologií. Pro WSUS & SCCM, zvažte nasazení na jednom z klientů v každé pobočce před hromadnou instalací. Q: Co se stane v případě, že dojde ke změně lokálního módu cache? A: Lokální cache není tímto ovlivněna a bude stále používána klienty: Klienti Hosted cache, kteří se stanou klienty Distributed cache, začnou odpovídat na WS-D vyhledávání a poskytovat data ze stejné cache. Klienti Distributed cache, kteří se stanou klienty Hosted cache přestanou odpovídat na WS-D vyhledávání, ale budou dále využívat lokální cache. Q: Jak dlouho data zůstávají v cache? A: Do té doby, než je použit NetSH a pomocí něho je cache smazána, nebo do momentu, kdy se cache zaplní a začne odmazávat nejstarší data. Q: Je BranchCache podporována na Core Serveru? A: Absolutně!

32 Shrnutí BranchCache snižuje zátěž WAN linky pro koncové uživatele využívající přenosy HTTP a SMB. Díky tomu navyšuje komfortnost uživatelské práce. BranchCache zrychluje doručení šifrovaných a podepsaných dat v situacích, kdy je použito HTTPS, Ipsec, podepisování SMB a ve stejný moment zajišťuje autorizaci uživatelů serverem v hlavní pobočce. BranchCache nevyžaduje žádné další vybavení na pobočce a může být snadno spravováno využitím stávajících management technologií, jako jsou Active Directory Group Policy. Kolem BranchCache vzniká ekosystém partnerských řešení nabízejících zákazníkům výběr řešení přesně pro jejich potřeby.

33 DEMO Boot from.vhd

34