Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ondřej Výšek Samostatný konzultant

Podobné prezentace


Prezentace na téma: "Ondřej Výšek Samostatný konzultant"— Transkript prezentace:

1 Ondřej Výšek Samostatný konzultant

2

3 Stahování obsahu v rámci pobočky pokud je obsah na pobočce dostupný Distribuovaná: Od ostatních klientů v rámci pobočky na stejné síti Hostovaná: z “hosted cache” Klienti mohou získat obsah pouze jsou-li autorizováni serverem BranchCache urychluje HTTP, HTTPS, SMB, BITS Transparentní ke klientům a serverovým aplikacím

4 Používá architekturu peer-to-peer, obsah je uložený na klientovi Windows 7, který jej první vyžádá. Windows 7 klient zpřístupňuje obsah pro další klienty, kteří jsou na stejném subnetu. Distribuovaná Cache je zvláště výhodná pro lokality bez serverové infrastruktury.

5 Používá architekturu klient / server. Windows 7 ukládá obsah na cache server na lokálním subnetu – server musí mít Windows Server 2008 R2 – označovaný jako hostovaná cache. Ostatní klienti, kteří vyžadují stejný obsah, jej stahují ze serveru hostované cache Server pro hostovanou cache může být i Server Core.

6 Total Data Traffic Per Protocol Bytes From CacheBytes From ServerTotal Bytes TransmittedBandwidth Saving (%) BITS16,965,92883,239,376100,205, % Other % SMB10,395,103,85117,035,293,79927,430,397, % WINHTTP3,729,40853,224,64756,954, % WININET520,721,713405,857,305926,579, % Total10,936,520,90017,577,615,12728,514,136, %

7 IEIE HTTPHTTP BranchCache™BranchCache™ SMBSMB ExplorerExplorer 3 rd Party Applications CopyFil e OfficeOffice WMPWMPBITSBITSOfficeOffice SharePoin t

8 Distribuovaná* HQ: Server s obsahem (musí být R2) Branch: Klient (musí být Win 7) Hostovaná* HQ: Server s obsahem (musí být R2) Branch: Hosted Cache (musí být R2) Branch: Klient (musí být Win 7) *Server Core R2 – ANO!!!

9 Identifikace “pobočky” Active Directory SiteActive Directory Site IP adresní rozsahIP adresní rozsah Kolekce specifických počítačůChoose how to deployKolekce specifických počítačůChoose how to deploy Group Policy netshnetsh Nasazení na klienty! Group policy: obsaženo v ADMX souborechGroup policy: obsaženo v ADMX souborech netsh: spusťte netsh branchcache set service distributed na všech relevantních počítačíchnetsh: spusťte netsh branchcache set service distributed na všech relevantních počítačích

10 Instalace komponent hostované cache Instalace vlastnosti BranchCache na R2 serverInstalace vlastnosti BranchCache na R2 server Instalace certifikátu pro server-auth pro použití SSLInstalace certifikátu pro server-auth pro použití SSL Spusťte netsh branchcache set service hostedserver na serveru pro hostovanou cacheSpusťte netsh branchcache set service hostedserver na serveru pro hostovanou cache Identifikace pobočky Zvolení způsobu nasazení Nasazení na klienty! Group policy: Pomocí ADMX souborůGroup policy: Pomocí ADMX souborů netsh: Spusťte netsh branchcache set service hostedclient location=<> na klientechnetsh: Spusťte netsh branchcache set service hostedclient location=<> na klientech

11 Event log - Operational log & Audit log Perfmon counters - klient, server s obsahem a hostovanou cache netsh – identifikace potenciálních problémů Velikost cache příliš malá, problémy s firewall, certifikátem,… OpsMgr pack

12 …ještě hlouběji…

13 http.syshttp.sys IISIIS Branch Cache wininetwininet OpenURL “Branch Cache Capable” Get data Data Data Data H1H2H4H5 Hashlist Hashlist Hashlist Hashlist Data Data H3 Branch Cache IEIE

14 SMB Server Driver Driver SMB Hash Generation Service HashGen Utility Generate or update hash ApplicationApplication CSC Driver SMB Client Driver CSC Cache Hashlist CSC Service Branc h Cache Data Hashlist Request Hashes Hashes ReadFile Data Prefetch File File Data Data Access hashes Save hashes Request Hashes Hashes Hashlist

15 SocketsSockets SSLSSL HTTPHTTP IEIE Branch Cache Data šifrována Data in clear Klient Server Data šifrována IPsecIPsec SocketsSockets SSLSSL HTTPHTTP IISIIS Data in clear IPsecIPsec Data šifrována

16 B1B1B1B1 B1B1B1B1 B2B2B2B2 B2B2B2B2 BnBnBnBn BnBnBnBn Blocks Block hashes Hash(block) Segment hash (SH) Hash (Blockhashes) Server secret key Ks Private Segment key (SK) Hash(SH, Ks) Encryption key Hash(SK, „KeKeKe”) Segment discovery key Hash(SK, SH+”HoHoDk”) Klient Server

17 Klient požaduje data ze serveru a indikuje možnosti BranchCache Server autorizuje klienta Server zajišťuje metadata (block hashes, segment hashes, private segment key) pro požadovaná data Server odesílá metadata po stejném kanálu jako data Klient vypočítá „segment discovery key“ Broadcasts na lokální síti

18 Klienti poskytující data, obdrží broadcast Dešifrují „segment hash“ za „segment discovery key“ Odpovídají o dostupnosti dat Klient zažádá bloky z ostatních klientů Klienti poskytující data vypočítávají šifrovací klíč ze „segment private key“ Klienti poskytující data šifrují každý blok pomocí šifrovacího klíče Klient stahuje data Dešifruje data Ověří jednotlivé bloky proti „block hash“ Pokud je vše validní, navrátí data aplikaci

19 Distribuovaná Cache Cache obsahuje pouze data, která jsou požadována klienty Data v cache jsou zabezpečená (ACL), tedy přístupná pouze po autorizaci serveru Pokud je obava o únik dat, je možné použít BitLocker nebo EFS Hostovaná Cache Cache obsahuje pouze data, která jsou požadována klienty V případě potřeby použijte BitLocker nebo EFS pro zašifrování cache Všechna data mohou být z cache odstraněna pomocí netsh

20 Pod kontrolou Pod kontrolou Předcházet hromadným peer discovery Podporovat nasazení v doméně a pracovní skupině Kešovat hashe při publikaci dat Podporovat více subnetů v módu hostované cache Podporovat konfiguraci pomocí GPo a NetSH Používat HTTP (tcp:80) pro přenos bloků Používat WS-D (UDP:3702) pro peer discovery Podporovat IPv4 & IPv6 Využívat SCOM reporting a monitoring

21 Ukládat nevyžádaný obsah nebo přepisovat cesty Podporovat Distribuovanou Cache na více subnetech Používat nebo vyžadovat IPSec Odpovídat pokud je latence>= 300ms Vyžadovat IPv6 Dostupná při výpadku WAN Podporovat PowerShell Podporovat scénáře internet/home Automaticky startovat služby ve výchozím nastavení Poskytovat nástroje pro migraci cache Podporovat SharePoint 14 při RTM

22 Get Get ID Put Data Get Data ID Search Get Search Request Advertise ID ID ID Data ID Data ! !

23 …mohlo by vás napadnout…

24 Nebude. 64 KB a větší. 300ms Vlastní schéma… Ne. Zajisté. Odpovědi na vyhledávání jsou uspořádané. Zůstane nedotčená. Dokud není odstraněno nebo zaplněno. Rozhodně.

25 Q: Kdy bude BranchCache dostupná pro Windows Vista? A: Nebude. BranchCache je podporována pouze na Windows 7 Enterprise, Ultimate & edicemi Windows 2008 R2. Q: Jaká je velikost kešovaného obsahu? A: 64 KB a více. Q: Jaký je timeout pro peer discovery? A: 300 ms Q: Jaké šifrování se používá? A: Vlastní schéma šifrování založené na AES128. Q: Garantuje znalost hashe přístup k datům? A: Ne. Přístup stále musí být potvrzen serverem.

26 Q: Bude BranchCache pracovat při výpadku WAN? A: Ne. Klient musí být schopný kontaktovat server aby obdržel identifikátory obsahu. Q: Mohu předvyplnit soubory v cache? A: Zajisté. Zvažte použití scheduled task, PowerShell Remoting nebo dalších technik. Pro WSUS & SCCM, zvažte zacílení na jednoho klienta před ostatními. Q: Jak BranchCache předejde hromadnému discovery? A: Odezvy na vyhledávání jsou uspořádané. Navíc, pokud klient detekuje, že již ostatní mají požadovaná data v cache, již znovu neukládá lokálně.

27 Q: Co se stane s lokální cache, pokud je změněn mód BranchCache na klientovi ? A: Lokální cache není nijak dotčena a klient ji stále využívá: Klient hostované cache se stanem klientem distribuované cache začnou odpovídat na WS-D vyhledávání, Data jsou poskytována ze stejné cache. Klient distribuované cache se stane klientem hostované cache, přestane odpovídat na vyhledávání WS-D, ale nadále bude lokálně využívat svou cache. Q: Po jakou dobu zůstávají v cache? A: Dokud není použito NetSH k vyprázdnění cache nebo dokud se cache nenaplní a nezačne se přepisovat. Q: Is BranchCache supported on Server Core? A: Rozhodně.

28 BranchCacheDFSR InfrastrukturaŽádná, pokud se používá Distributed Cache Mode Je zapotřebí souborový server na pobočce Přístupové protokolySMB2, HTTP, HTTPSBez závislosti. SMB1, SMB2, NFS Co se bude kešovat/replikovat Uživatel nebo aplikace, která čte data je následně ukládá do cache Administrátor určuje data, která se budou replikovat a v jakých intervalech Životnost cache „nejméně čtená“ data jsou odstraňována z cache dokud je prostor na disku. Data, která nejsou používána více jak 28 dní jsou odstraněna Data neexpirují Verze souborů, které vidí klient Klient vždy obdrží poslední verzi z centrálního souboru Klient obdrží verzi, která je replikována na pobočce Kdy jsou předány změny z pobočky na centrální server Změny jsou přímo nahrávány na centrální server (přes WAN) ihned jak klient provede změnu Změny jsou uloženy na pobočce a replikovány nazpět na centrálu podle plánu replikací Odolnost proti výpadku WANNeNeAno

29 Dotazy a odpovědi

30

31 DirectAccess Client Doménový počítač, instalovaný certifikát Firemní síť Aplikace & Data DC & DNS (Win 2008) Internet Direct Access Server IPv6: Native / transition technology ManagementServers Routování, Zabezpečení a Překlad jmen IPv6: Native / ISATAP Routování

32 DirectAccess Client Doménový počítač, instalovaný certifikát Corporate Network Aplikace & Data DC & DNS (Win 2008) Internet Direct Access Server IPsec – používá certifikát počítače, členství v doméně, možné použití smartcards a NAP health check ManagementServers Routování, Zabezpečení a Překlad jmen Možnost IPsec end-to-end Zabezpečení

33 DirectAccess Client Doménový počítač, instalovaný certifikát Corporate Network Aplikace & Data DC & DNS (Win 2008) Internet Direct Access Server DNS dotazy na interní jména ManagementServers Routování, Zabezpečení a Překlad jmen DNS dotazy na cokoliv jiného Internet DNS Překlad Jmen

34 DirectAccess vyžaduje IPv6 Pokud není IPv6 dostupné, pak klient použije překladové technologie IPv6 Firemní síť může nasadit nativní IPv6, překladové technologie nebo NAT-PT IPv6 Options DirectAccess nejlépe pracuje, djyž je ve firemní síti nasazeno nativní IPv6 IntranetInternet NAT-PT Nativní IPv6 IPv6 překladové technologie IPv4

35 Nativní podpora IPv6 Veřejná IPv4 adrea použije 6to4 pro zapouzdření IPv6 uvnitř IPv4 Privátní IPv4 adresa použije Teredo pro tunelování IPv6 v IPv4 UDP (UDP 3544) Pokud se klient nemůže spojit se serverem DirectAccess, IP-HTTPS se připojí přes port 443 IP adresa přiřazena ISP: Public IPv4 DirectAcces s Klient IPv6 adresa použitá pro připojení: 6to4 Private IPv4 Native IPv6 Teredo Nativní IPv6 6to4 Teredo IP-HTTPS

36 Nativní - Servery mohou provozovat jakýkoliv OS, který plně podporuje IPv6 - Rvyžaduje IPv6 infrastrukturu - Z dlouhodobého pohledu nejlepší řešení ISATAP - IPv6 uvnitř IPv4 - Servery musí být Windows Server 2008 nebo R2 - Není potřeba měnit infrastrukturu NAT-PT - Překládá IPv6 na IPv4 - Funguje s jakýmkoliv OS - UAG má přímou podporu IPv6 Options DirectAccess nejlépe pracuje, djyž je ve firemní síti nasazeno nativní IPv6 IntranetInternet NAT-PT Nativní IPv6 IPv6 Překladové technologie IPv4

37 Není vyžadována, je plně podporována Vynucení při vstupu do organizace: jednoduchá cesta k vynucení TFA Uživateli je přidělen „well-known SID“ po přihlášení pomocí smartcard S Uživatel se může přihlásit k počítače bez TFA Jakmile přistoupí k firemním zdrojům, IPsec autorizace kontroluje tento SID Pokud není SID nalezen

38 …jak pracuje…

39 IPv6 umožňuje, aby každý počítač měl globálně unikátní IPv6 adresu. Díky tomu mohou počítače připojené přes DAS nalézt. IPv6 adresy jsou dlouhé 128 bitů a zapsané v 8 blocích po 16ti bitech, oddělené dvojtečkou. Ukázka nativních IPv6 adres: 2006:1601:b60a:c7d8:0000:0000:0000: :1601:b60a:c7d8::178 Je možné použít překladových technologií pro tunelování IPv6 uvnitř IPv4. DirectAccess spolupracuje se čtyřmi.

40 6to4 tuneluje provoz IPv6 uvnitř IPv4 paketů. Používá IPsec protokol #41. Provoz může přímo směrovat na další počítače se 6to4 nebo jít na 6to4 relay. 6to4 je dostupný na počítačích s veřejnou IPv4 adresou. Formát IPv6 adresy: 2002: :: 6to4 adresa pro bude 2002:0B0C:0D0E::0B0C:0D0E IPv4 Internet IPv6 Internet 6to4 klient 6to4 Gateway IPv6 klient 6to4 klient

41 Teredo zapouzdřuje IPv6 provoz uvnitř IPv4 UDP/3544 Klient teredo může být za NATem Adresy teredo začínají na 2001:0000:, a obsahují adresu teredo serveru Např. 2001:0:836b:24d2:72:fd3:bea0:f64 Detekce NAT používá pakety zasílané na a z teredo server Jakmile je připojení vytvořeno, komunikace prochází přímo teredo relay IPv4 Internet IPv6 Internet teredo klient Teredo server Teredo relay ipv6 klient

42 IP-HTTPS je novým protokolem ve Win7/2008R2. Zapouzdřuje IPv6 uvnitř https a IPv4 TCP/443. Funguje jako normální SSL provoz. IP-HTTPS se použije pouze v případě, že není možné použít 6to4 a teredo (např. na NATem, který blokuje UDP/3544) IP-HTTPS adresy začínají 2002: a ve výchozím nastavení obsahují adresu IP-HTTPS serveru Např. 2002:201:101:2:50d0:854b:f716:f32c Provoz je routovaný přes IP-HTTPS server IPv4 Internet IPv6 Internet ip-https klient ip-https server ipv6 klient

43 ISATAP je podobný k 6to4, používá IPv4 a #41 Víceméně se používá pro intranety Adresy jsou odvozené od informací předaných ISATAP routerem. Začínají na 2001: nebo 2002: a končí :5efe: a IPv4 adresou klienta 2001:201:101:1:0:5efe:c0a8:130b nebo 2001:201:101:1:0:5efe: Klient vyhledává ISATAP router překladem jména isatap. z DNS IPv6 Internet IPv4 Intranet ipv6 klient isatap router isatap klient *Intra-Site Automatic Tunnel Addressing Protocol

44 …možné překážky…

45 Q: Proč je zapotřebí IPv6 pro DirectAccess? A: Především s ohledem na budoucnost. IPv6 umožňuje globální adresování namísto zjišťování jestli je firemní klient…your client really is… Námitka: Naši síťaři nerozumí IPv6! A: Toto je jedno z prvních řešení opravdu IPv6. Bude víc. A překladové technologie mohou napomoci zmírnit technologický šok.

46 Námitka: Ihned jak zapnu ISATAP, moje celá síť začne komunikovat pomocí IPv6! A: Ano. Ale můžete povolovat ISATAP postupně za použití souboru hosts. Pouze se ubezpečte, že síťové vybavení zvládne IP Protocol 41. Zvláště je potřeba dbát na load balancery, firewally, IDS, WAN optimizéry. NAT-PT může v této oblasti napomoci.

47 Námitka: Můj tým zatím nikdy nepoužíval IPsec! A: Windows Filtering Platform může zobrazit co se děje, jakmile je IPsec vytvořen. A Network Diagnostics Framework může vašim uživatelům sdělit kde je případný problém! Ano, je zapotřebí mít nové procedury pro řešení problémů pro DirectAccess, ale jedná se o cenné zkušenosti v zabezpečeném globálním síťovém světě.

48 Námitka: Chcete po mě abych tento veškerý provoz nechal projít? A: Ano, DirectAccess je trochu děsivý. Nicméně je to změna filozofie. Všechny takové díry do firewall jsou pro důvěryhodné počítače a důvěryhodné uživatele. Také to však znamená, že může začít spravovat připojované počítače, které se běžně nepřipojují do firemní sítě a docílit mnohem „zdravějšího“ prostředí.

49 Námitka: Ale nepoužíváme Windows firewall, používáme Firewall XY! A: Je mi líto, že jste takto utratili peníze. Nicméně je možné nastavit Windows firewall aby neblokovala žádný provoz* – pouze funkce IPsec budou aktivní. Bude zapotřebí spravovat pravidla pro DirectAccess na Firewall XY separátně… *Vypnutí služby Windows Firewall není podporováno ve Windows 7. Je možné nastavit neblokovat nic, ale není možné zakázat službu.

50 Námitka: Ale máme spoustu {vložte název operačního systému}. Na těchto systémech nefunguje IPv6! A: NAT-PT je to nejlepší řešení. To umožní viditelnost IPv4 služeb pro IPv6 klienty. Je množství partnerů, jako např. Cisco, Juniper, F5, atd., kteří nabízí NAT-PT a IPv6-tov4 možnosti překladu. Velmi brzo bude uvedena UAG s podporou NAT-PT a dalšími rozšířeními pro DirectAccess.

51 Námitka: Síťaři nechtějí umožnit infrastrukturnímu týmu provozovat část sítě, ale síťaři také nechtějí provozovat servery… A: Ano, běžný problém. Opět DAS je trochu změnou do filozofie, bude to tedy asi znamenat nové rozdělení kompetencí mezi síťaři a infrastrukturním týmem. Zeptejte se síťařů, jak nyní centrálně spravují a patchují OS na síťových prvcích, tyto prvky (router, switch,…) jsou jenom počítače, které provozují operační systém. Pokud toto nezabere, bude dostupná UAG “appliance” pro DirectAccess. Výrobci síťového hardware pracují na DA-enabled appliances!

52 Námitka: Nemohu nasadit DirectAccess dokud nenasadím klienty s Windows 7, a stále jsme nedokončili testování AppCompat. A: Pravda. (Win7 a AppCompat je pravděpodobně největší překážka při nasazení DirectAccess)

53

54 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Stáhnout ppt "Ondřej Výšek Samostatný konzultant"

Podobné prezentace


Reklamy Google