BranchCache a DirectAccess

Prezentace na téma: "BranchCache a DirectAccess"— Transkript prezentace:

1 BranchCache a DirectAccess
Ondřej Výšek Samostatný konzultant

2 BranchCacheTM

3 BranchCache - přehled Stahování obsahu v rámci pobočky pokud je obsah na pobočce dostupný Distribuovaná: Od ostatních klientů v rámci pobočky na stejné síti Hostovaná: z “hosted cache” Klienti mohou získat obsah pouze jsou-li autorizováni serverem BranchCache urychluje HTTP, HTTPS, SMB, BITS Transparentní ke klientům a serverovým aplikacím

4 Distribuovaná Cache - Přehled
Používá architekturu peer-to-peer, obsah je uložený na klientovi Windows 7, který jej první vyžádá. Windows 7 klient zpřístupňuje obsah pro další klienty, kteří jsou na stejném subnetu. Distribuovaná Cache je zvláště výhodná pro lokality bez serverové infrastruktury.

5 Hostovaná Cache - Přehled
Používá architekturu klient / server. Windows 7 ukládá obsah na cache server na lokálním subnetu – server musí mít Windows Server 2008 R2 – označovaný jako hostovaná cache. Ostatní klienti, kteří vyžadují stejný obsah, jej stahují ze serveru hostované cache Server pro hostovanou cache může být i Server Core.

6 Agregovaný report propustnosti
Total Data Traffic Per Protocol Bytes From Cache Bytes From Server Total Bytes Transmitted Bandwidth Saving (%) BITS 16,965,928 83,239,376 100,205,304 16.93 % Other 0.00 % SMB 10,395,103,851 17,035,293,799 27,430,397,650 37.90 % WINHTTP 3,729,408 53,224,647 56,954,055 6.55 % WININET 520,721,713 405,857,305 926,579,018 56.20 % Total 10,936,520,900 17,577,615,127 28,514,136,027 38.355%

7 BranchCache framework
3rd Party Applications Office CopyFile Explorer SharePoint Office BITS WMP IE SMB HTTP BranchCache™

8 Deployment Distribuovaná* Hostovaná*
HQ: Server s obsahem (musí být R2) Branch: Klient (musí být Win 7) Hostovaná* Branch: Hosted Cache (musí být R2) Branch: Klient (musí být Win 7) *Server Core R2 – ANO!!!

9 Nasazení – Distribuovaná Cache
Identifikace “pobočky” Active Directory Site IP adresní rozsah Kolekce specifických počítačůChoose how to deploy Group Policy netsh Nasazení na klienty! Group policy: obsaženo v ADMX souborech netsh: spusťte netsh branchcache set service distributed na všech relevantních počítačích

10 Nasazení – Hostovaná Cache
Instalace komponent hostované cache Instalace vlastnosti BranchCache na R2 server Instalace certifikátu pro server-auth pro použití SSL Spusťte netsh branchcache set service hostedserver na serveru pro hostovanou cache Identifikace pobočky Zvolení způsobu nasazení Nasazení na klienty! Group policy: Pomocí ADMX souborů netsh: Spusťte netsh branchcache set service hostedclient location=<> na klientech

11 Monitorování Event log - Operational log & Audit log
Perfmon counters - klient, server s obsahem a hostovanou cache netsh – identifikace potenciálních problémů Velikost cache příliš malá, problémy s firewall, certifikátem,… OpsMgr pack

12 BranchCacheTM …ještě hlouběji…

13 Integrace s HTTP IE IIS wininet Branch Cache Branch Cache http.sys
Open URL “Branch Cache Capable” Data Data Get data wininet http.sys Hashlist Hashlist Data Data Hashlist Branch Cache Branch Cache Data Hashlist H1 H2 H3 H4 H5

14 SMB Hash Generation Service Generate or update hash
Integrace SMB Branch Cache Hashlist Data SMB Hash Generation Service Generate or update hash Application CSC Service HashGen Utility ReadFile Prefetch File Request Hashes Generate or update hash Data Save hashes Data Hashlist Request Hashes CSC Driver SMB Client Driver SMB Server Driver Hashlist Access hashes Data CSC Cache

15 Jaký je dopad na SSL ? IE IIS HTTP HTTP SSL SSL Sockets Sockets IPsec
Klient Server IE IIS Data in clear Data in clear BranchCache BranchCache HTTP HTTP Data in clear Data in clear SSL SSL Data šifrována Data šifrována Sockets Sockets Data šifrována Data šifrována IPsec IPsec Data šifrována

16 Bezpečnost Klient Server Encryption key Segment discovery key
Hash(SK, „KeKeKe”) Segment discovery key Hash(SK, SH+”HoHoDk”) Private Segment key (SK) Hash(SH, Ks) Server Segment hash (SH) Hash (Blockhashes) Server secret key Ks Block hashes Hash(block) B1 B2 Bn Blocks

17 Tok dat – z pohledu bezpečnosti
Klient požaduje data ze serveru a indikuje možnosti BranchCache Server autorizuje klienta Server zajišťuje metadata (block hashes, segment hashes, private segment key) pro požadovaná data Server odesílá metadata po stejném kanálu jako data Klient vypočítá „segment discovery key“ Broadcasts na lokální síti

18 Tok dat – z pohledu bezpečnosti
Klienti poskytující data, obdrží broadcast Dešifrují „segment hash“ za „segment discovery key“ Odpovídají o dostupnosti dat Klient zažádá bloky z ostatních klientů Klienti poskytující data vypočítávají šifrovací klíč ze „segment private key“ Klienti poskytující data šifrují každý blok pomocí šifrovacího klíče Klient stahuje data Dešifruje data Ověří jednotlivé bloky proti „block hash“ Pokud je vše validní, navrátí data aplikaci

19 Zabezpečení dat Distribuovaná Cache Hostovaná Cache
Cache obsahuje pouze data, která jsou požadována klienty Data v cache jsou zabezpečená (ACL), tedy přístupná pouze po autorizaci serveru Pokud je obava o únik dat, je možné použít BitLocker nebo EFS Hostovaná Cache V případě potřeby použijte BitLocker nebo EFS pro zašifrování cache Všechna data mohou být z cache odstraněna pomocí netsh

20 BranchCache bude… Pod kontrolou  Předcházet hromadným peer discovery
Podporovat nasazení v doméně a pracovní skupině Kešovat hashe při publikaci dat Podporovat více subnetů v módu hostované cache Podporovat konfiguraci pomocí GPo a NetSH Používat HTTP (tcp:80) pro přenos bloků Používat WS-D (UDP:3702) pro peer discovery Podporovat IPv4 & IPv6 Využívat SCOM reporting a monitoring

21 BranchCache nebude… Ukládat nevyžádaný obsah nebo přepisovat cesty
Podporovat Distribuovanou Cache na více subnetech Používat nebo vyžadovat IPSec Odpovídat pokud je latence>= 300ms Vyžadovat IPv6 Dostupná při výpadku WAN Podporovat PowerShell Podporovat scénáře internet/home Automaticky startovat služby ve výchozím nastavení Poskytovat nástroje pro migraci cache Podporovat SharePoint 14 při RTM

22 POZOR: Cestující & Hostovaná Cache
Search POZOR: Cestující & Hostovaná Cache Get ID Get Main Office ! Data Data ID ID Get Get Search ! ID Data Advertise ID Request ID Data Put Branch Office

23 …mohlo by vás napadnout…
BranchCacheTM …mohlo by vás napadnout…

24 Obvyklé odpovědi… Nebude. 64 KB a větší. 300ms Vlastní schéma… Ne.
Zajisté. Odpovědi na vyhledávání jsou uspořádané. Zůstane nedotčená. Dokud není odstraněno nebo zaplněno. Rozhodně.

25 Obvyklé odpovědi… Q: Kdy bude BranchCache dostupná pro Windows Vista?
A: Nebude. BranchCache je podporována pouze na Windows 7 Enterprise, Ultimate & edicemi Windows 2008 R2. Q: Jaká je velikost kešovaného obsahu? A: 64 KB a více. Q: Jaký je timeout pro peer discovery? A: 300 ms Q: Jaké šifrování se používá? A: Vlastní schéma šifrování založené na AES128. Q: Garantuje znalost hashe přístup k datům? A: Ne. Přístup stále musí být potvrzen serverem.

26 Obvyklé odpovědi… Q: Bude BranchCache pracovat při výpadku WAN?
A: Ne. Klient musí být schopný kontaktovat server aby obdržel identifikátory obsahu. Q: Mohu předvyplnit soubory v cache? A: Zajisté. Zvažte použití scheduled task, PowerShell Remoting nebo dalších technik. Pro WSUS & SCCM, zvažte zacílení na jednoho klienta před ostatními. Q: Jak BranchCache předejde hromadnému discovery? A: Odezvy na vyhledávání jsou uspořádané. Navíc, pokud klient detekuje, že již ostatní mají požadovaná data v cache, již znovu neukládá lokálně.

27 Obvyklé odpovědi…(poslední)
Q: Co se stane s lokální cache, pokud je změněn mód BranchCache na klientovi ? A: Lokální cache není nijak dotčena a klient ji stále využívá: Klient hostované cache se stanem klientem distribuované cache začnou odpovídat na WS-D vyhledávání, Data jsou poskytována ze stejné cache. Klient distribuované cache se stane klientem hostované cache, přestane odpovídat na vyhledávání WS-D, ale nadále bude lokálně využívat svou cache. Q: Po jakou dobu zůstávají v cache? A: Dokud není použito NetSH k vyprázdnění cache nebo dokud se cache nenaplní a nezačne se přepisovat. Q: Is BranchCache supported on Server Core? A: Rozhodně.

28 Porovnání BranchCache a DFSR
Infrastruktura Žádná, pokud se používá Distributed Cache Mode Je zapotřebí souborový server na pobočce Přístupové protokoly SMB2, HTTP, HTTPS Bez závislosti. SMB1, SMB2, NFS Co se bude kešovat/replikovat Uživatel nebo aplikace, která čte data je následně ukládá do cache Administrátor určuje data, která se budou replikovat a v jakých intervalech Životnost cache „nejméně čtená“ data jsou odstraňována z cache dokud je prostor na disku. Data, která nejsou používána více jak 28 dní jsou odstraněna Data neexpirují Verze souborů, které vidí klient Klient vždy obdrží poslední verzi z centrálního souboru Klient obdrží verzi, která je replikována na pobočce Kdy jsou předány změny z pobočky na centrální server Změny jsou přímo nahrávány na centrální server (přes WAN) ihned jak klient provede změnu Změny jsou uloženy na pobočce a replikovány nazpět na centrálu podle plánu replikací Odolnost proti výpadku WAN Ne Ano

29 BranchCacheTM Dotazy a odpovědi

30 DirectAccess TM

31 Routování Co je DirectAccess? Routování, Zabezpečení a Překlad jmen
4/5/2017 2:26 PM Co je DirectAccess? Routování, Zabezpečení a Překlad jmen Firemní síť DirectAccess Client Internet Direct Access Server DC & DNS (Win 2008) Management Servers Doménový počítač, instalovaný certifikát Aplikace & Data IPv6: Native / transition technology IPv6: Native / ISATAP Routování © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

32 Doménový počítač, instalovaný certifikát Možnost IPsec end-to-end
4/5/2017 2:26 PM Co je DirectAccess? Routování, Zabezpečení a Překlad jmen Corporate Network DirectAccess Client Internet Direct Access Server DC & DNS (Win 2008) Management Servers Doménový počítač, instalovaný certifikát Aplikace & Data IPsec – používá certifikát počítače, členství v doméně, možné použití smartcards a NAP health check Možnost IPsec end-to-end Zabezpečení © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

33 Překlad Jmen Co je DirectAccess? Routování, Zabezpečení a Překlad jmen
4/5/2017 2:26 PM Co je DirectAccess? Routování, Zabezpečení a Překlad jmen DNS dotazy na interní jména Corporate Network DirectAccess Client Internet Direct Access Server DC & DNS (Win 2008) Management Servers Doménový počítač, instalovaný certifikát Aplikace & Data DNS dotazy na cokoliv jiného Internet DNS Překlad Jmen © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

34 Připojení: IPv6 IPv6 Options DirectAccess vyžaduje IPv6
Pokud není IPv6 dostupné, pak klient použije překladové technologie IPv6 Firemní síť může nasadit nativní IPv6, překladové technologie nebo NAT-PT DirectAccess nejlépe pracuje, djyž je ve firemní síti nasazeno nativní IPv6 Internet Intranet NAT-PT Nativní IPv6 IPv6 překladové technologie IPv4

35 IP adresa přiřazena ISP: IPv6 adresa použitá pro připojení:
Externí konektivita Nativní podpora IPv6 Veřejná IPv4 adrea použije 6to4 pro zapouzdření IPv6 uvnitř IPv4 Privátní IPv4 adresa použije Teredo pro tunelování IPv6 v IPv4 UDP (UDP 3544) Pokud se klient nemůže spojit se serverem DirectAccess, IP-HTTPS se připojí přes port 443 IP adresa přiřazena ISP: IPv6 adresa použitá pro připojení: Public IPv4 Native IPv6 Private IPv4 Native IPv6 6to4 Teredo DirectAccess Klient Nativní IPv6 6to4 IP-HTTPS Teredo

36 Interní IPv6 IPv6 Options Nativní ISATAP NAT-PT
- Servery mohou provozovat jakýkoliv OS, který plně podporuje IPv6 - Rvyžaduje IPv6 infrastrukturu - Z dlouhodobého pohledu nejlepší řešení ISATAP - IPv6 uvnitř IPv4 - Servery musí být Windows Server 2008 nebo R2 - Není potřeba měnit infrastrukturu NAT-PT - Překládá IPv6 na IPv4 - Funguje s jakýmkoliv OS - UAG má přímou podporu DirectAccess nejlépe pracuje, djyž je ve firemní síti nasazeno nativní IPv6 Internet Intranet NAT-PT Nativní IPv6 IPv6 Překladové technologie IPv4

37 Two Factor Authentication (TFA)
Není vyžadována, je plně podporována Vynucení při vstupu do organizace: jednoduchá cesta k vynucení TFA Uživateli je přidělen „well-known SID“ po přihlášení pomocí smartcard S Uživatel se může přihlásit k počítače bez TFA Jakmile přistoupí k firemním zdrojům, IPsec autorizace kontroluje tento SID Pokud není SID nalezen

38 DirectAccess TM …jak pracuje…

39 Jak DAS pracuje 1 – IPv6 adresování
4/5/2017 2:26 PM Jak DAS pracuje 1 – IPv6 adresování IPv6 umožňuje, aby každý počítač měl globálně unikátní IPv6 adresu. Díky tomu mohou počítače připojené přes DAS nalézt. IPv6 adresy jsou dlouhé 128 bitů a zapsané v 8 blocích po 16ti bitech, oddělené dvojtečkou. Ukázka nativních IPv6 adres: 2006:1601:b60a:c7d8:0000:0000:0000:0178 2006:1601:b60a:c7d8::178 Je možné použít překladových technologií pro tunelování IPv6 uvnitř IPv4. DirectAccess spolupracuje se čtyřmi. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

40 4/5/2017 2:26 PM Jak DAS pracuje 2 – IPv6 6to4 6to4 tuneluje provoz IPv6 uvnitř IPv4 paketů. Používá IPsec protokol #41. Provoz může přímo směrovat na další počítače se 6to4 nebo jít na 6to4 relay. 6to4 je dostupný na počítačích s veřejnou IPv4 adresou. Formát IPv6 adresy: 2002:<IPv4 address>::<IPv4 address> 6to4 adresa pro bude 2002:0B0C:0D0E::0B0C:0D0E IPv4 Internet IPv6 Internet IPv6 klient 6to4 klient 6to4 Gateway 6to4 klient © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

41 Jak DAS pracuje 3 – IPv6 Teredo
4/5/2017 2:26 PM Jak DAS pracuje 3 – IPv6 Teredo Teredo zapouzdřuje IPv6 provoz uvnitř IPv4 UDP/3544 Klient teredo může být za NATem Adresy teredo začínají na 2001:0000:, a obsahují adresu teredo serveru Např. 2001:0:836b:24d2:72:fd3:bea0:f64 Detekce NAT používá pakety zasílané na a z teredo server Jakmile je připojení vytvořeno, komunikace prochází přímo teredo relay IPv4 Internet IPv6 Internet Teredo relay ipv6 klient teredo klient Teredo server © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

42 Jak DAS pracuje 4 – IPv6 IP-HTTPS
4/5/2017 2:26 PM Jak DAS pracuje 4 – IPv6 IP-HTTPS IP-HTTPS je novým protokolem ve Win7/2008R2. Zapouzdřuje IPv6 uvnitř https a IPv4 TCP/443. Funguje jako normální SSL provoz. IP-HTTPS se použije pouze v případě, že není možné použít 6to4 a teredo (např. na NATem, který blokuje UDP/3544) IP-HTTPS adresy začínají 2002: a ve výchozím nastavení obsahují adresu IP-HTTPS serveru Např. 2002:201:101:2:50d0:854b:f716:f32c Provoz je routovaný přes IP-HTTPS server IPv4 Internet IPv6 Internet ip-https server ipv6 klient ip-https klient © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

43 Jak DAS pracuje 5 – IPv6 ISATAP*
4/5/2017 2:26 PM Jak DAS pracuje 5 – IPv6 ISATAP* ISATAP je podobný k 6to4, používá IPv4 a #41 Víceméně se používá pro intranety Adresy jsou odvozené od informací předaných ISATAP routerem. Začínají na 2001: nebo 2002: a končí :5efe: a IPv4 adresou klienta 2001:201:101:1:0:5efe:c0a8:130b nebo 2001:201:101:1:0:5efe: Klient vyhledává ISATAP router překladem jména isatap.<mydomain> z DNS isatap klient isatap router IPv6 Internet IPv4 Intranet ipv6 klient isatap klient *Intra-Site Automatic Tunnel Addressing Protocol © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

44 DirectAccess TM …možné překážky…

45 Komplikace 1a – Potřebujete IPv6
4/5/2017 2:26 PM Komplikace 1a – Potřebujete IPv6 Q: Proč je zapotřebí IPv6 pro DirectAccess? A: Především s ohledem na budoucnost. IPv6 umožňuje globální adresování namísto zjišťování jestli je firemní klient…your client really is… Námitka: Naši síťaři nerozumí IPv6! A: Toto je jedno z prvních řešení opravdu IPv6. Bude víc . A překladové technologie mohou napomoci zmírnit technologický šok. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

46 Komplikace 1b – Potřebujete ISATAP
4/5/2017 2:26 PM Komplikace 1b – Potřebujete ISATAP Námitka: Ihned jak zapnu ISATAP, moje celá síť začne komunikovat pomocí IPv6! A: Ano. Ale můžete povolovat ISATAP postupně za použití souboru hosts. Pouze se ubezpečte, že síťové vybavení zvládne IP Protocol 41. Zvláště je potřeba dbát na load balancery, firewally, IDS, WAN optimizéry. NAT-PT může v této oblasti napomoci. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

47 Komplikace 2 – Potřebuji IPsec
4/5/2017 2:26 PM Komplikace 2 – Potřebuji IPsec Námitka: Můj tým zatím nikdy nepoužíval IPsec! A: Windows Filtering Platform může zobrazit co se děje, jakmile je IPsec vytvořen. A Network Diagnostics Framework může vašim uživatelům sdělit kde je případný problém! Ano, je zapotřebí mít nové procedury pro řešení problémů pro DirectAccess, ale jedná se o cenné zkušenosti v zabezpečeném globálním síťovém světě. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

48 Komplikace 3 – Opět díra do Firewall
4/5/2017 2:26 PM Komplikace 3 – Opět díra do Firewall Námitka: Chcete po mě abych tento veškerý provoz nechal projít? A: Ano, DirectAccess je trochu děsivý. Nicméně je to změna filozofie. Všechny takové díry do firewall jsou pro důvěryhodné počítače a důvěryhodné uživatele. Také to však znamená, že může začít spravovat připojované počítače, které se běžně nepřipojují do firemní sítě a docílit mnohem „zdravějšího“ prostředí. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

49 Komplikace 4 – Windows Firewall
4/5/2017 2:26 PM Komplikace 4 – Windows Firewall Námitka: Ale nepoužíváme Windows firewall, používáme Firewall XY! A: Je mi líto, že jste takto utratili peníze. Nicméně je možné nastavit Windows firewall aby neblokovala žádný provoz* – pouze funkce IPsec budou aktivní. Bude zapotřebí spravovat pravidla pro DirectAccess na Firewall XY separátně… *Vypnutí služby Windows Firewall není podporováno ve Windows 7. Je možné nastavit neblokovat nic, ale není možné zakázat službu. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

50 Komplikace 5 – Non-IPv6 Služby
4/5/2017 2:26 PM Komplikace 5 – Non-IPv6 Služby Námitka: Ale máme spoustu {vložte název operačního systému}. Na těchto systémech nefunguje IPv6! A: NAT-PT je to nejlepší řešení. To umožní viditelnost IPv4 služeb pro IPv6 klienty. Je množství partnerů, jako např. Cisco, Juniper, F5, atd., kteří nabízí NAT-PT a IPv6-tov4 možnosti překladu. Velmi brzo bude uvedena UAG s podporou NAT-PT a dalšími rozšířeními pro DirectAccess. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

51 Komplikace 6 – Kdo vlastní DAS?
4/5/2017 2:26 PM Komplikace 6 – Kdo vlastní DAS? Námitka: Síťaři nechtějí umožnit infrastrukturnímu týmu provozovat část sítě, ale síťaři také nechtějí provozovat servery… A: Ano, běžný problém. Opět DAS je trochu změnou do filozofie, bude to tedy asi znamenat nové rozdělení kompetencí mezi síťaři a infrastrukturním týmem. Zeptejte se síťařů, jak nyní centrálně spravují a patchují OS na síťových prvcích, tyto prvky (router, switch,…) jsou jenom počítače, které provozují operační systém. Pokud toto nezabere, bude dostupná UAG “appliance” pro DirectAccess. Výrobci síťového hardware pracují na DA-enabled appliances! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

52 Komplikace 7 – Potřebujete Win 7 Clients
4/5/2017 2:26 PM Komplikace 7 – Potřebujete Win 7 Clients Námitka: Nemohu nasadit DirectAccess dokud nenasadím klienty s Windows 7, a stále jsme nedokončili testování AppCompat. A: Pravda. (Win7 a AppCompat je pravděpodobně největší překážka při nasazení DirectAccess) © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

53 DOTAZY a ODPOVĚDI

54 4/5/2017 2:26 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.