OREA Hotel Voroněž 5. –
TOP Hotel Praha 7. –
Ondřej Výšek Senior Solution Architect, V-TSP Dell Spolupráce Windows 7 a Windows Server 2008 R2 Twitter hashtag pro celou akci: #cztechdays
Branch Cache Co je Jak funguje Jak nasadit a spravovat Direct Access Co je Jak funguje Jak nasadit a spravovat V prezentaci
BranchCache
Stahování obsahu v rámci pobočky pokud je obsah na pobočce dostupný Distribuovaná: Od ostatních klientů v rámci pobočky na stejné síti Hostovaná: z “hosted cache” Klienti mohou získat obsah pouze jsou-li autorizováni serverem BranchCache urychluje HTTP, HTTPS, SMB, BITS Transparentní ke klientům a serverovým aplikacím BranchCache - přehled
Používá architekturu peer-to-peer, obsah je uložený na klientovi Windows 7, který jej první vyžádá. Windows 7 klient zpřístupňuje obsah pro další klienty, kteří jsou na stejném subnetu. Distribuovaná Cache je zvláště výhodná pro lokality bez serverové infrastruktury. Distribuovaná Cache - Přehled
Používá architekturu klient / server. Windows 7 ukládá obsah na cache server na lokálním subnetu – server musí mít Windows Server 2008 R2 – označovaný jako hostovaná cache. Ostatní klienti, kteří vyžadují stejný obsah, jej stahují ze serveru hostované cache Server pro hostovanou cache může být i Server Core. Hostovaná Cache - Přehled
Agregovaný report propustnosti Total Data Traffic Per Protocol Bytes From CacheBytes From ServerTotal Bytes Transmitted Bandwidth Saving (%) BITS16,965,92883,239,376100,205, % Other % SMB10,395,103,85117,035,293,79927,430,397, % WINHTTP3,729,40853,224,64756,954, % WININET520,721,713405,857,305926,579, % Total10,936,520,90017,577,615,12728,514,136, %
BranchCache framework IE HTTP BranchCache™ SMB Explore r 3 rd Party Applications CopyFil e Office WMP BITS Office SharePoi nt
Distribuovaná* HQ: Server s obsahem (musí být R2) Branch: Klient (musí být Win 7) Hostovaná* HQ: Server s obsahem (musí být R2) Branch: Hosted Cache (musí být R2) Branch: Klient (musí být Win 7) *Server Core R2 – ANO!!! Deployment
Nasazení – Distribuovaná Cache
Nasazení – Hostovaná cache Instalace komponent hostované cache Instalace vlastnosti BranchCache na R2 server Instalace certifikátu pro server-auth pro použití SSL Spusťte netsh branchcache set service hostedserver na serveru pro hostovanou cache Nasazení na klienty! Group policy: Pomocí ADMX souborů netsh: Spusťte netsh branchcache set service hostedclient location=<> na klientech Identifikace pobočky Zvolení způsobu nasazení
Event log - Operational log & Audit log Perfmon counters - klient, server s obsahem a hostovanou cache netsh – identifikace potenciálních problémů Velikost cache příliš malá, problémy s firewall, certifikátem,… OpsMgr pack Monitorování
BranchCache … ještě hlouběji…
Integrace s HTTP http.sys IIS Branch Cache wininet Open URL “Branch Cache Capable” Get dataData H1H2H4H5 Hashlist Data H3 Branch Cache IE
Integrace SMB SMB Server Driver SMB Server Driver SMB Hash Generation Service HashGen Utility Generate or update hash Application CSC Driver SMB Client Driver CSC Cache Hashlist CSC Service Branch Cache Data Hashlist Request Hashes ReadFile Data Prefetch File Data Access hashes Save hashes Request Hashes Hashlist
Jaký je dopad na SSL ? SocketsSockets SSLSSL HTTPHTTP IEIE Branch Cache Data šifrována Data nešifrována Klient Server Data šifrována IPsecIPsec SocketsSockets SSLSSL HTTPHTTP IISIIS Data nešifrována IPsecIPsec Data šifrována
Bezpečnost B1B1B1B1 B1B1B1B1 B2B2B2B2 B2B2B2B2 BnBnBnBn BnBnBnBn Blocks Block hashes Hash(block) Segment hash (SH) Hash (Blockhashes) Server secret key Ks Private Segment key (SK) Hash(SH, Ks) Encryption key Hash(SK, „KeKeKe”) Segment discovery key Hash(SK, SH+”HoHoDk”) Klient Server
Klient požaduje data ze serveru a indikuje možnosti BranchCache Server autorizuje klienta Server zajišťuje metadata (block hashes, segment hashes, private segment key) pro požadovaná data Server odesílá metadata po stejném kanálu jako data Klient vypočítá „segment discovery key“ Broadcasts na lokální síti Tok dat – z pohledu bezpečnosti
Klienti poskytující data, obdrží broadcast Dešifrují „segment hash“ za „segment discovery key“ Odpovídají o dostupnosti dat Klient zažádá bloky z ostatních klientů Klienti poskytující data vypočítávají šifrovací klíč ze „segment private key“ Klienti poskytující data šifrují každý blok pomocí šifrovacího klíče Klient stahuje data Dešifruje data Ověří jednotlivé bloky proti „block hash“ Pokud je vše validní, navrátí data aplikaci Tok dat – z pohledu bezpečnosti
Distribuovaná Cache Cache obsahuje pouze data, která jsou požadována klienty Data v cache jsou zabezpečená (ACL), tedy přístupná pouze po autorizaci serveru Pokud je obava o únik dat, je možné použít BitLocker nebo EFS Hostovaná Cache Cache obsahuje pouze data, která jsou požadována klienty V případě potřeby použijte BitLocker nebo EFS pro zašifrování cache Všechna data mohou být z cache odstraněna pomocí netsh Zabezpečení dat
BranchCache bude…
BranchCache nebude…
Get ID Put Data POZOR: Cestující & Hostovaná Cache Get Data ID Search Get Search Request Advertise ID Data ID Data ! !
BranchCache … mohlo by vás napadnout…
Obvyklé odpovědi… Nebude. 64 KB a větší. 300ms Vlastní schéma… Ne. Zajisté. Odpovědi na vyhledávání jsou uspořádané. Zůstane nedotčená. Dokud není odstraněno nebo zaplněno. Rozhodně.
Q: Kdy bude BranchCache dostupná pro Windows Vista? A: Nebude. BranchCache je podporována pouze na Windows 7 Enterprise, Ultimate & edicemi Windows 2008 R2. Q: Jaká je velikost kešovaného obsahu? A: 64 KB a více. Q: Jaký je timeout pro peer discovery? A: 300 ms Q: Jaké šifrování se používá? A: Vlastní schéma šifrování založené na AES128. Q: Garantuje znalost hashe přístup k datům? A: Ne. Přístup stále musí být potvrzen serverem. Obvyklé odpovědi…
Q: Bude BranchCache pracovat při výpadku WAN? A: Ne. Klient musí být schopný kontaktovat server aby obdržel identifikátory obsahu. Q: Mohu předvyplnit soubory v cache? A: Zajisté. Zvažte použití scheduled task, PowerShell Remoting nebo dalších technik. Pro WSUS & SCCM, zvažte zacílení na jednoho klienta před ostatními. Q: Jak BranchCache předejde hromadnému discovery? A: Odezvy na vyhledávání jsou uspořádané. Navíc, pokud klient detekuje, že již ostatní mají požadovaná data v cache, již znovu neukládá lokálně. Q: Po jakou dobu zůstávají v cache? A: Dokud není použito NetSH k vyprázdnění cache nebo dokud se cache nenaplní a nezačne se přepisovat. Obvyklé odpovědi…
Porovnání BranchCache a DFSR BranchCacheDFSR InfrastrukturaŽádná, pokud se používá Distributed Cache Mode Je zapotřebí souborový server na pobočce Přístupové protokolySMB2, HTTP, HTTPSBez závislosti. SMB1, SMB2, NFS Co se bude kešovat/replikovat Uživatel nebo aplikace, která čte data je následně ukládá do cache Administrátor určuje data, která se budou replikovat a v jakých intervalech Životnost cache „nejméně čtená“ data jsou odstraňována z cache dokud je prostor na disku. Data, která nejsou používána více jak 28 dní jsou odstraněna Data neexpirují Verze souborů, které vidí klient Klient vždy obdrží poslední verzi z centrálního souboru Klient obdrží verzi, která je replikována na pobočce Kdy jsou předány změny z pobočky na centrální server Změny jsou přímo nahrávány na centrální server (přes WAN) ihned jak klient provede změnu Změny jsou uloženy na pobočce a replikovány nazpět na centrálu podle plánu replikací Odolnost proti výpadku WANNeNeAno
Branch Cache Co je Jak funguje Jak nasadit a spravovat Direct Access Co je Jak funguje Jak nasadit a spravovat V prezentaci
DirectAccess
Co je DirectAccess? DirectAccess Client Doménový počítač, instalovaný certifikát Firemní síť Aplikace & Data DC & DNS (Win 2008) Internet Direct Access Server IPv6: Native transition technology IPv6: Native / transition technology Management Servers Routování, Zabezpečení a Překlad jmen IPv6: Native ISATAP IPv6: Native / ISATAP
Co je DirectAccess? DirectAccess Client Doménový počítač, instalovaný certifikát Corporate Network Aplikace & Data DC & DNS (Win 2008) Internet Direct Access Server IPsec – používá certifikát počítače, členství v doméně, možné použití smartcards a NAP health check Management Servers Routování, Zabezpečení a Překlad jmen Možnost IPsec end-to-end
Co je DirectAccess? DirectAccess Client Doménový počítač, instalovaný certifikát Corporate Network Aplikace & Data DC & DNS (Win 2008) Internet Direct Access Server DNS dotazy na interní jména Management Servers Routování, Zabezpečení a Překlad jmen DNS dotazy na cokoliv jiného Internet DNS
DirectAccess vyžaduje IPv6 Pokud není IPv6 dostupné, pak klient použije překladové technologie IPv6 Firemní síť může nasadit nativní IPv6, překladové technologie nebo NAT-PT Připojení: IPv6 IPv6 Options DirectAccess nejlépe pracuje, když je ve firemní síti nasazeno nativní IPv6 IntranetInternet NAT-PT Nativní IPv6 IPv6 překladové technologie IPv4
Nativní podpora IPv6 Veřejná IPv4 adresa použije 6to4 pro zapouzdření IPv6 uvnitř IPv4 Privátní IPv4 adresa použije Teredo pro tunelování IPv6 v IPv4 UDP (UDP 3544) Pokud se klient nemůže spojit se serverem DirectAccess, IP-HTTPS se připojí přes port 443 Externí konektivita IP adresa přiřazena ISP: Public IPv4 DirectAccess Klient IPv6 adresa použitá pro připojení: 6to4 Private IPv4 Native IPv6 Teredo Nativní IPv6 6to4 Teredo IP-HTTPS
Nativní - Servery mohou provozovat jakýkoliv OS, který plně podporuje IPv6 - Vyžaduje IPv6 infrastrukturu - Z dlouhodobého pohledu nejlepší řešení ISATAP - IPv6 uvnitř IPv4 - Servery musí být Windows Server 2008 nebo R2 - Není potřeba měnit infrastrukturu NAT-PT - Překládá IPv6 na IPv4 - Funguje s jakýmkoliv OS - UAG má přímou podporu Interní IPv6 IPv6 Options DirectAccess nejlépe pracuje, při nasazení IPv6 ve firemní IntranetInternet NAT-PT Nativní IPv6 IPv6 Překladové technologie IPv4
Není vyžadována, je plně podporována Vynucení při vstupu do organizace: jednoduchá cesta k vynucení TFA Uživateli je přidělen „well-known SID“ po přihlášení pomocí smartcard S Uživatel se může přihlásit k počítače bez TFA Jakmile přistoupí k firemním zdrojům, IPsec autorizace kontroluje tento SID Pokud není SID nalezen Two Factor Authentication (TFA)
DirectAccess … jak funguje…
IPv6 umožňuje, aby každý počítač měl globálně unikátní IPv6 adresu. Díky tomu mohou počítače připojené přes DAS nalézt. IPv6 adresy jsou dlouhé 128 bitů a zapsané v 8 blocích po 16ti bitech, oddělené dvojtečkou. Ukázka nativních IPv6 adres: 2006:1601:b60a:c7d8:0000:0000:0000:0178 2006:1601:b60a:c7d8::178 Je možné použít překladových technologií pro tunelování IPv6 uvnitř IPv4. DirectAccess spolupracuje se čtyřmi. Jak DAS pracuje 1 – IPv6 adresování
6to4 tuneluje provoz IPv6 uvnitř IPv4 paketů. Používá IPsec protokol #41. Provoz může přímo směrovat na další počítače se 6to4 nebo jít na 6to4 relay. 6to4 je dostupný na počítačích s veřejnou IPv4 adresou. Formát IPv6 adresy: 2002: :: 6to4 adresa pro bude 2002:0B0C:0D0E::0B0C:0D0E Jak DAS pracuje 2 – IPv6 6to4 IPv4 Internet IPv6 Internet 6to4 klient 6to4 Gateway IPv6 klient 6to4 klient
Teredo zapouzdřuje IPv6 provoz uvnitř IPv4 UDP/3544 Klient teredo může být za NATem Adresy teredo začínají na 2001:0000:, a obsahují adresu teredo serveru Např. 2001:0:836b:24d2:72:fd3:bea0:f64 Detekce NAT používá pakety zasílané na a z teredo server Jakmile je připojení vytvořeno, komunikace prochází přímo teredo relay Jak DAS pracuje 3 – IPv6 Teredo IPv4 Internet IPv6 Internet teredo klient Teredo server Teredo relay ipv6 klient
IP-HTTPS je novým protokolem ve Win7/2008R2. Zapouzdřuje IPv6 uvnitř https a IPv4 TCP/443. Funguje jako normální SSL provoz. IP-HTTPS se použije pouze v případě, že není možné použít 6to4 a teredo (např. na NATem, který blokuje UDP/3544) IP-HTTPS adresy začínají 2002: a ve výchozím nastavení obsahují adresu IP-HTTPS serveru Např. 2002:201:101:2:50d0:854b:f716:f32c Provoz je routovaný přes IP-HTTPS server Jak DAS pracuje 4 – IPv6 IP- HTTPS IPv4 Internet IPv6 Internet ip-https klient ip-https server ipv6 klient
ISATAP je podobný k 6to4, používá IPv4 a #41 Víceméně se používá pro intranety Adresy jsou odvozené od informací předaných ISATAP routerem. Začínají na 2001: nebo 2002: a končí :5efe: a IPv4 adresou klienta 2001:201:101:1:0:5efe:c0a8:130b nebo 2001:201:101:1:0:5efe: Klient vyhledává ISATAP router překladem jména isatap. z DNS Jak DAS pracuje 5 – IPv6 ISATAP* IPv6 Internet IPv4 Intranet ipv6 klient isatap router isatap klient *Intra-Site Automatic Tunnel Addressing Protocol
Komponenty DirectAccess
Troubleshooting CommandAction ipconfig /all Displays all IP configuration data netsh interface teredo show state Displays the current state of Teredo netsh adv monitor show mmsa Displays all main mode security associations netsh adv monitor show qmsa Displays all quick mode security associations gpresult /scope computer /v Displays all group policies applied to the computer (Produces an extremely long output that is best piped to a file by appending >file.txt to the end of the command) netsh name show policy Displays the current contents of the Name Resolution Policy Table netsh name show effectivepolicy Displays the current effective NRPT conditions. The NRPT will only be applied and shown as the effective policy if inside/outside detection determines that the client is not connected to the corporate network
DEMO
Test Lab Guide: DirectAccess s NAP Test Lab Guide: Demonstrate DirectAccess Test Lab Guide: Distributed BranchCache steb-by-step Test Lab Guide: Hosted BranchCache step-by-step Vybudujte vlastní demo
Microsoft TechNet blog Technetblog.cz Optimalizovane-it.cz Zdroje informací
Branch Cache Co je Jak funguje Jak nasadit a spravovat Direct Access Co je Jak funguje Jak nasadit a spravovat V prezentaci
OREA Hotel Voroněž 5. –
TOP Hotel Praha 7. –