TOP Hotel Praha

7. – 8. 3. 2012

Ondřej VýšekSenior Solution Architect, V-TSPDell

Spolupráce Windows 7 a Windows Server 2008 R2

Twitter hashtag pro celou akci: #cztechdays

Branch Cache Co je Jak funguje Jak nasadit a spravovat

Direct Access Co je Jak funguje Jak nasadit a spravovat

V prezentaci

BranchCache

Stahování obsahu v rámci pobočky pokud je obsah na pobočce dostupný

Distribuovaná: Od ostatních klientů v rámci pobočky na stejné síti Hostovaná: z “hosted cache”

Klienti mohou získat obsah pouze jsou-li autorizováni serverem

BranchCache urychluje HTTP, HTTPS, SMB, BITS Transparentní ke klientům a serverovým aplikacím

BranchCache - přehled

Používá architekturu peer-to-peer, obsah je uložený na klientovi Windows 7, který jej první vyžádá. Windows 7 klient zpřístupňuje obsah pro další klienty, kteří jsou na stejném subnetu. Distribuovaná Cache je zvláště výhodná pro lokality bez serverové infrastruktury.

Distribuovaná Cache - Přehled

Používá architekturu klient / server. Windows 7 ukládá obsah na cache server na lokálním subnetu – server musí mít Windows Server 2008 R2 – označovaný jako hostovaná cache. Ostatní klienti, kteří vyžadují stejný obsah, jej stahují ze serveru hostované cacheServer pro hostovanou cache může být i Server Core.

Hostovaná Cache - Přehled

Agregovaný report propustnostiTotal Data Traffic Per Protocol

  Bytes From Cache Bytes From Server Total Bytes Transmitted

Bandwidth Saving (%)

BITS

16,965,928 83,239,376 100,205,304 16.93 %

Other

0 0 0 0.00 %

SMB

10,395,103,851 17,035,293,799 27,430,397,650 37.90 %

WINHTTP

3,729,408 53,224,647 56,954,055 6.55 %

WININET

520,721,713 405,857,305 926,579,018 56.20 %

Total 10,936,520,900 17,577,615,127 28,514,136,027 38.355%

BITS Other SMB WINHTTP WINNET Total0.00%

10.00%20.00%30.00%40.00%50.00%60.00%

16.93%

0.00%

37.90%

6.55%

56.20%

38.36%

Úspora pásma (%)

BranchCache framework

IE

HTTP

BranchCache™SMB

Explorer

3rd Party ApplicationsCopyFi

leOffice WMPBITSOfficeShareP

oint

Distribuovaná* HQ: Server s obsahem (musí být R2) Branch: Klient (musí být Win 7)

Hostovaná* HQ: Server s obsahem (musí být R2) Branch: Hosted Cache (musí být R2) Branch: Klient (musí být Win 7)

*Server Core R2 – ANO!!!

Deployment

Nasazení – Distribuovaná CacheIdentifikace “pobočky”

• Active Directory Site• IP adresní rozsah• Kolekce specifických počítačůChoose how to deploy

Group PolicyNetShell (netsh)

Nasazení na klienty!• Group policy: obsaženo v ADMX souborech• netsh: spusťte netsh branchcache set service distributed na

všech relevantních počítačích

Nasazení – Hostovaná cacheInstalace komponent hostované cache

• Instalace vlastnosti BranchCache na R2 server• Instalace certifikátu pro server-auth pro použití SSL• Spusťte netsh branchcache set service hostedserver na serveru pro

hostovanou cache

Nasazení na klienty!• Group policy: Pomocí ADMX souborů• netsh: Spusťte netsh branchcache set service

hostedclient location=<> na klientech

Identifikace pobočky

Zvolení způsobu nasazení

Event log - Operational log & Audit log

Perfmon counters - klient, server s obsahem a hostovanou cache

netsh – identifikace potenciálních problémů Velikost cache příliš malá, problémy s firewall,

certifikátem,…

OpsMgr pack

Monitorování

BranchCache… ještě hlouběji…

Integrace s HTTP

http.sys

IIS

BranchCache

wininetOpen URL “Branch Cache

Capable”Get dataData

Data

Data

H1 H2 H4 H5Hashlist

HashlistHashlist

Hashlist Data

Data

H3

BranchCache

IE

Integrace SMB

SMB ServerDriver

SMB Hash Generation

ServiceHashGen

UtilityGenerate or update hash

Generate or update hashApplication

CSC Driver SMB Client Driver

CSCCache

Hashlist

CSC Service

BranchCache

DataHashlist

Request Hashes

ReadFile

Data

Prefetch File Data

Data Access hashes

Savehashes

Request Hashes

Hashlist

Jaký je dopad na SSL ?

Sockets

SSL

HTTP

IEBranchCach

e

BranchCach

e

Data šifrována

Data nešifrována

Data nešifrována

Klient Server

Data šifrovánaIPsec

Sockets

SSL

HTTP

IIS

Data šifrována

Data nešifrována

Data nešifrována

IPsecData šifrovánaData šifrována

Bezpečnost

B1

B2

BnBlocks

Block hashesHash(block)

Segment hash (SH)Hash (Blockhashes)

Server secret keyKs

Private Segment key (SK)Hash(SH, Ks)

Encryption keyHash(SK, „KeKeKe”)

Segment discovery keyHash(SK, SH+”HoHoDk”)

Klient

Server

Klient požaduje data ze serveru a indikuje možnosti BranchCache Server autorizuje klienta Server zajišťuje metadata (block hashes, segment

hashes, private segment key) pro požadovaná data Server odesílá metadata po stejném kanálu jako data

Klient vypočítá „segment discovery key“ Broadcasts na lokální síti

Tok dat – z pohledu bezpečnosti

Klienti poskytující data, obdrží broadcast Dešifrují „segment hash“ za „segment discovery key“ Odpovídají o dostupnosti dat

Klient zažádá bloky z ostatních klientů Klienti poskytující data vypočítávají šifrovací klíč ze „segment

private key“ Klienti poskytující data šifrují každý blok pomocí šifrovacího

klíče

Klient stahuje data Dešifruje data Ověří jednotlivé bloky proti „block hash“ Pokud je vše validní, navrátí data aplikaci

Tok dat – z pohledu bezpečnosti

Distribuovaná Cache Cache obsahuje pouze data, která jsou požadována klienty Data v cache jsou zabezpečená (ACL), tedy přístupná pouze

po autorizaci serveru Pokud je obava o únik dat, je možné použít BitLocker nebo EFS

Hostovaná Cache Cache obsahuje pouze data, která jsou požadována klienty V případě potřeby použijte BitLocker nebo EFS pro zašifrování

cache

Všechna data mohou být z cache odstraněna pomocí netsh

Zabezpečení dat

BranchCache bude…

Pod kontrolou

Předcházet hromadným peer discovery

Podporovat nasazení v doméně a pracovní skupině

Kešovat hashe při publikaci dat

Podporovat více subnetů v módu hostované cache

Podporovat konfiguraci pomocí GPo a NetSH

Používat HTTP (tcp:80) pro přenos bloků

Používat WS-D (UDP:3702) pro peer discovery

Podporovat IPv4 & IPv6

Využívat SCOM reporting a monitoring

BranchCache nebude…

Ukládat nevyžádaný obsah nebo přepisovat cesty

Podporovat Distribuovanou Cache na více subnetech

Používat nebo vyžadovat IPSec

Odpovídat pokud je latence>= 300ms

Vyžadovat IPv6

Dostupná při výpadku WAN

Podporovat PowerShell

Podporovat scénáře internet/home

Automaticky startovat služby ve výchozím nastavení

Poskytovat nástroje pro migraci cache

Podporovat SharePoint 14 při RTM

GetGet

ID

Put

Data

POZOR: Cestující & Hostovaná Cache

Get

DataID

Search

Get

Search

Request

AdvertiseID

ID

IDData

ID

Data

!!

BranchCache… mohlo by vás napadnout…

Obvyklé odpovědi…Nebude.64 KB a větší.300msVlastní schéma…Ne. Ne.Zajisté.Odpovědi na vyhledávání jsou uspořádané.Zůstane nedotčená.Dokud není odstraněno nebo zaplněno.Rozhodně.

Q: Kdy bude BranchCache dostupná pro Windows Vista?A: Nebude. BranchCache je podporována pouze na Windows 7 Enterprise,

Ultimate & edicemi Windows 2008 R2.

Q: Jaká je velikost kešovaného obsahu?A: 64 KB a více.

Q: Jaký je timeout pro peer discovery? A: 300 ms

Q: Jaké šifrování se používá?A: Vlastní schéma šifrování založené na AES128.

Q: Garantuje znalost hashe přístup k datům?A: Ne. Přístup stále musí být potvrzen serverem.

Obvyklé odpovědi…

Q: Bude BranchCache pracovat při výpadku WAN?A: Ne. Klient musí být schopný kontaktovat server aby obdržel identifikátory

obsahu.

Q: Mohu předvyplnit soubory v cache?A: Zajisté. Zvažte použití scheduled task, PowerShell Remoting nebo dalších

technik. Pro WSUS & SCCM, zvažte zacílení na jednoho klienta před ostatními.

Q: Jak BranchCache předejde hromadnému discovery?A: Odezvy na vyhledávání jsou uspořádané. Navíc, pokud klient detekuje, že již

ostatní mají požadovaná data v cache, již znovu neukládá lokálně.

Q: Po jakou dobu zůstávají v cache? A: Dokud není použito NetSH k vyprázdnění cache nebo dokud se cache nenaplní

a nezačne se přepisovat.

Obvyklé odpovědi…

Porovnání BranchCache a DFSR BranchCache DFSRInfrastruktura Žádná, pokud se používá Distributed

Cache ModeJe zapotřebí souborový server na pobočce

Přístupové protokoly SMB2, HTTP, HTTPS Bez závislosti. SMB1, SMB2, NFS

Co se bude kešovat/replikovat Uživatel nebo aplikace, která čte data je následně ukládá do cache

Administrátor určuje data, která se budou replikovat a v jakých intervalech

Životnost cache „nejméně čtená“ data jsou odstraňována z cache dokud je prostor na disku. Data, která nejsou používána více jak 28 dní jsou odstraněna

Data neexpirují

Verze souborů, které vidí klient Klient vždy obdrží poslední verzi z centrálního souboru

Klient obdrží verzi, která je replikována na pobočce

Kdy jsou předány změny z pobočky na centrální server

Změny jsou přímo nahrávány na centrální server (přes WAN) ihned jak klient provede změnu

Změny jsou uloženy na pobočce a replikovány nazpět na centrálu podle plánu replikací

Odolnost proti výpadku WAN Ne Ano

Branch Cache Co je Jak funguje Jak nasadit a spravovat

Direct Access Co je Jak funguje Jak nasadit a spravovat

V prezentaci

DirectAccess

Co je DirectAccess?

DirectAccess Client

Doménový počítač, instalovaný certifikát

Firemní síť

Aplikace & Data

DC & DNS(Win 2008)

Internet

Direct Access Server

IPv6: Native / transition technology

Management

Servers

Routování, Zabezpečení a Překlad jmen

IPv6: Native / ISATAP

Co je DirectAccess?

DirectAccess Client

Doménový počítač, instalovaný certifikát

Corporate Network

Aplikace & Data

DC & DNS(Win 2008)

Internet

Direct Access Server

IPsec – používá certifikát počítače, členství v doméně, možné použití smartcards a NAP health check

Management

Servers

Routování, Zabezpečení a Překlad jmen

Možnost IPsec end-to-end

Co je DirectAccess?

DirectAccess Client

Doménový počítač, instalovaný certifikát

Corporate Network

Aplikace & Data

DC & DNS(Win 2008)

Internet

Direct Access Server

DNS dotazy na interní jména

Management

Servers

Routování, Zabezpečení a Překlad jmen

DNS dotazy na cokoliv jiného

Internet DNS

DirectAccess vyžaduje IPv6Pokud není IPv6 dostupné, pak klient použije překladové technologie IPv6 Firemní síť může nasadit nativní IPv6, překladové technologie nebo NAT-PT

Připojení: IPv6IPv6 Options

DirectAccess nejlépe pracuje, když je ve firemní síti nasazeno nativní IPv6

IntranetInternet

NAT-PT

Nativní IPv6

IPv6 překladové technologie

IPv4

Nativní podpora IPv6Veřejná IPv4 adresa použije 6to4 pro zapouzdření IPv6 uvnitř IPv4

Privátní IPv4 adresa použije Teredo pro tunelování IPv6 v IPv4 UDP (UDP 3544)

Pokud se klient nemůže spojit se serverem DirectAccess, IP-HTTPS se připojí přes port 443

Externí konektivita

IP adresa přiřazena

ISP:

Public IPv4

DirectAccess Klient

IPv6 adresa použitá pro připojení:

6to4Private IPv4

Native IPv6

TeredoNative IPv6

Nativní IPv66to4

Teredo

IP-HTTPS

Nativní- Servery mohou provozovat jakýkoliv

OS, který plně podporuje IPv6- Vyžaduje IPv6 infrastrukturu- Z dlouhodobého pohledu nejlepší

řešení

ISATAP- IPv6 uvnitř IPv4- Servery musí být Windows Server

2008 nebo R2- Není potřeba měnit infrastrukturu

NAT-PT- Překládá IPv6 na IPv4- Funguje s jakýmkoliv OS- UAG má přímou podporu

Interní IPv6IPv6 Options

DirectAccess nejlépe pracuje, při nasazení IPv6 ve firemní

IntranetInternet

NAT-PT

Nativní IPv6

IPv6 Překladové technologie

IPv4

Není vyžadována, je plně podporovánaVynucení při vstupu do organizace: jednoduchá cesta k vynucení TFAUživateli je přidělen „well-known SID“ po přihlášení pomocí smartcard S-1-5-65-1

Uživatel se může přihlásit k počítače bez TFAJakmile přistoupí k firemním zdrojům, IPsec autorizace kontroluje tento SIDPokud není SID nalezen

Two Factor Authentication (TFA)

Komponenty DirectAccess

DirectAccess clientconnecting from globallyroutable IPv6 address

DirectAccess clientconnecting from

public IPv4 address

DirectAccess clientconnecting from private

(NAT) IPv4 address

DirectAccess clientconnecting from

behind a firewall, or unable to connect via other methods

NAP servers

DNS servers

Domain controllers

Application serversrunning native IPv6

Certification authority

Application serversrunning IPv4

Application serversrunning ISATAP

IPv6/IPv4 translator &IPv6/IPv4 DNS gateway

IPv6

6to4

Teredo

IP-HTTPS

IPv6

IPv4

IPv6

ISATAP-tunneled IPv6 traffic

Network location server

External CRL distribution point

Internal CRL distribution point

Internet intranet

DirectAccess server

TroubleshootingCommand Action

ipconfig /all Displays all IP configuration data

netsh interface teredo show state Displays the current state of Teredo

netsh adv monitor show mmsa Displays all main mode security associations

netsh adv monitor show qmsa Displays all quick mode security associations

gpresult /scope computer /v Displays all group policies applied to the computer (Produces an extremely long output that is best piped to a file by appending >file.txt to the end of the command)

netsh name show policy Displays the current contents of the Name Resolution Policy Table

netsh name show effectivepolicy Displays the current effective NRPT conditions. The NRPT will only be applied and shown as the effective policy if inside/outside detection determines that the client is not connected to the corporate network

DEMO

Test Lab Guide: DirectAccess s NAP http://www.microsoft.com/download/en/details.aspx?

id=22637

Test Lab Guide: Demonstrate DirectAccess http://www.microsoft.com/download/en/details.aspx?

id=24144

Test Lab Guide: Distributed BranchCache steb-by-step http://go.microsoft.com/fwlink/?LinkId=185325

Test Lab Guide: Hosted BranchCache step-by-step http://go.microsoft.com/fwlink/?LinkId=193487

Vybudujte vlastní demo

Microsoft TechNet blog Technetblog.cz

Optimalizovane-it.cz

Zdroje informací

Branch Cache Co je Jak funguje Jak nasadit a spravovat

Direct Access Co je Jak funguje Jak nasadit a spravovat

V prezentaci

TOP Hotel Praha

7. – 8. 3. 2012