Post on 06-Feb-2016
description
TechNetKlub – Online Class sorozat
Hálózatkezelési újdonságokWindows 7 / R2
Gál Tamástamas.gal@iqjb.huInformatikai vezető, vezető oktatóIQSoft-John Bryce Oktatóközpont
Tartalom
Bevezető apróságokNAPDirectAccessBranchCache
DNS, DHCP újdonságokDNS diagnosztika >>>
DNS szerver IP-jének ellenőrzéseBezárás után indul aWindows Network Diagnocstics
DNSSEC támogatásBiztonságos, aláírt DNS forgalomTanúsítvány alapúRFC 4033/34/35 > kompatibilis
DHCP szerverRezerváció - pofonegyszerűenMAC szűrés, Allow list, Deny listDHCP Server Events MMC
Naplózás, nyomonkövetés, több szerver
Connection Manager Administration KitVPN / DUP kapcsolat
preparálásVarázslás rengeteg lépésben
Telefonkönyv, routing tábla, proxy, stb.VPN típus kiválasztásMOBIKE konfigurálásIkonok, logók, addicionális fájlok, stb.
x86 / x64 elválasztás
URL alapú QoSAz OS megjelöli egy DSCP* értékkel a priorizált csomagokat
Az útválasztó ezek alapján képes szelektálni
Eddig is volt Vista SP1-től
De immár URL / URI alapján is működik
Csoportházirend
*Differentiated Services Code Point
Hálózati fájlkezelésTransparent Caching
Lassú hálózat > fájlmegosztások > agresszív cachelés > kevesebb próbálkozás > helyi tárolás* > kisebb hálózati forgalomCsoportházirendben szabályozható
Offline Files Background SyncKézi üzemmód-váltás nélküli szinkronizálásTranszparens a user feléCsoportházirendben szabályozható
* Állapot ellenőrzés azért van
Network Connectivity Status IndicatorMindenki ismeri, csak nem így
A hálózati kapcsolódás jelzője, a NetworkAwareness API részeTipikus triggerek: belépés, új hálózathoz kapcsolódás, újracsatlakozásKétfajta kérést küld:
http://www.msftncsi.com/ncsi.txt (HTTP, 80)dns.msftncsi.com (DNS, 53)
Nincs naplózás, titkosítás, állapot tárolásFelügyelt környezetben Csoportházirendből tiltható
Computer Configuration > Administrative Templates > System > Communication Management > Internet Communication settings
Tartalom
Bevezető apróságokNAPDirectAccessBranchCache
NAP előzményekA cél az belső erőforások védelme, izolációjaElőzmények:
Karantén (Network Access Quarantine Control)Windows Server 2003 RRAS / ISA > TMGCsak VPN és körülményes és nincs javítási opció
Domain izolációSzintén körülményesen megvalósítható, hardver/szoftver problémák és nincs állapotellenőrzés
A NAP célterületeVándorló munkaállomások (saját céges gépek és vendég gépek)Desktop gépekNem felügyelt otthoni munkaállomások
Házirend alapú kontrollKapcsolódni kívánó számítógépek vizsgálata az egészségi házirendek alapjánA nem „egészséges” gépek hozzáférésének korlátozásaEzen gépek automatikus javításaA vizsgálat folyamatos frissítése, a gépek állandó ellenőrzése
A megoldás háttereSztenderdeken alapulPlug and PlayA hardver eszközökkel együttműködikRengeteg AV szoftvert támogat
Ügyfelek
Partnerek
Távoli munkavégzők
Intranet
Internet
Network Access Protection
A NAP infrastuktúra I.Kliens oldal
Kompatibilitás: > Windows XPSystem Health Agent (SHA): a kliens alkalmasságának ellenőrzése, jelentéseEnforcement Client: a kliens kapcsolódási metódusaNAP ügynök: az EC-k és az SHA közötti információcsere
Hálózati oldalSwitchek, routerek, AP-k, VPN/DHCP szerverKétirányú kapcsolat az NPS-sel
A NAP infrastuktúra II.Szerver oldal
Network Policy Server (NPS)Kapcsolat a fogadó komponensekkelDöntés a beengedésről vagy az elutasításrólA Connection / Network Policy szakasz részei:
Az ellenőrzési logikát és alanya > System Health Validator (SHV)A kliensek „egészségi” állapotát felmérő és az eredményt tároló csomagok (Statements of Health – SoH)A korlátlan és a korlátozott hozzáférések kritériumai (Health Policy)
Health Registration Authority (HRA)„Egészségességi” tanúsítvány kiadás (csak IPSec)
Remediation Server: javítási szerepkör > patikaszerver
Hogyan működik?
Csatlakozási kérelem
Egészségi állapot elküldéseaz NPS-nek (RADIUS)
Az NPS ellenőriz
Ha rendben van, kap hozzáférését
Ha nem: korlátozott hálózatba kerülés illetve „gyógyítás” majd jöhet az 1. pont
Network PolicyServer
Céges hálózat
Policy szerverekPl. WSUS, AV
DCHP, VPN, stb
switch / router
Korlátozotthálózat
Patika-szerverekpl. WSUS
Nem egészséges
Megfelelő állapotú
1
3
5
4
1
3
4
5
2
2
NAP kapcsolódási metódusokMetódus Jellemző
IPsec által védett kapcsolat (ez a legerősebb módszer)
• Sikeres kapcsolódáskor IPSec kapcsolat a védett gépekkel
• Egyébként nincs kommunikáció az IPSec-kell védett gépekkel
802.1X kapcsolat vezetékes, vagy vezeték nélküli
• Sikeres kapcsolódáskor hálózati kapcsolat az eszközön keresztül
• Sikertelen esetben más VLAN-ba kerülés, hozzáférés nélkül
DHCP kapcsolat(ez a leggyengébb módszer)
• Sikeres kapcsolódáskor korrekt IPv4 konfiguráció kézbesítése
• Sikertelen esetben csak a korlátozott hálózat elérése
VPN• Sikeres kapcsolódáskor teljeskörű hálózati hozzáférés távolból
• Egyébként karantén hálózatba kerülés
DirectAccess• Sikeres kapcsolódáskor teljeskörű hálózati hozzáférés távolból
• Más esetekeben behatárolt elérés (pl. csak adott szerverek)
RDP (Remote Desktop Gateway)
• Sikeres kapcsolódáskor sikeres RDP kapcsolat
• Sikertelen esetben nincs korlátozás, hanem csak teljes tiltás
Tartalom
Bevezető apróságokNAPDirectAccessBranchCache
Felhasználói oldal: a „megszokott”
hozzáférés
A Csoportházirend, WSUS, SCCM hatókör
állandó
Teljes NAP integráció
Hitelesítés több variációban is
DirectAccessTöbb mint távoli elérés
A VPN csatlakoztatja a felhasználót a hálózathoz
A DirectAccess kibővíti a hálózatot a felhasználóval és a gépével
Mindig működik
Állandófelügyelet
Hozzáférési szabályok
Védelmi megoldások
Egyszerű és állandó elérés
Nincs felhasználói interakció
Nem csak ha a felhasználó is
„akarja”
A felhasználó belépése nélkül is
Belépés előtti állapotellenőrzés és
javítás
Akár korlátozott is lehet a védett
hálózat elérése
A kliensek frissítése
folyamatos
Teljeskörűen titkosított forgalom
IPv6 eszközök
IPv4 eszközök
DirectAccess
Server
Windows 7kliens
Natív IPv6 + IPSec
IPv6 / IPv4 átalakítás
DA: transzparens, biztonságos kapcsolat
VPN nélkül
IPSec titkosítás és hitelesítés
Közvetlen kapcsolat a belső IPv6
erőforrásokkal
IPv4 támogatás (pl. 6to4, NAT-PT, NAT64)
IT desktop felügyelet
Group Policy, NAP, WSUS
Internet
Lehetővé teszi a DirectAccess
kliensek felügyeletét
DirectAccessEgy teljes rendszer
DirectAccess - technikai alapok, 3 részben
Kapcsolat: IPv6
Biztonság: IPsec
Névfeloldás:DNS és NRPT
Kapcsolat: IPv6
KötelezőDe a natív IPv6 támogatás a Vistától kezdve megvan
Ha akadály van, a távoli kliensek tranzíciós megoldást használnak
6to4, Teredo, IPHTTPSA védett hálózaton
Natív IPv6ISATAPNAT-PT (Forefront UAG, hardver eszközök)
Intranet
Internet
NAT-PT
Natív IPv6
IPv6 tranzíciós technológiák
IPv4
Biztonság: IPSec
DirectAccess szerver
DirectAccess kliens
Tunnel 1: Infrastructure TunnelHitelesítés: gép fiók (tanúsítvány + NTLM)
Használat: AD / DNS / GP / felügyelet
Tunnel 2: Application TunnelHitelesítés: gép + user fiók (tanúsítvány +
Kerberos) Használat: bármi
Névfeloldás: DNS és NRPT
„Mini” DNS szerverA DA klienseknek a korrekt névfeloldás miatt
A névfeloldási sorrend módosul
Lokális cache > hosts fájl > NRPT > DNS szerverA teendőnk: statikus táblázatban a DNS szerverek hozzárendelése az aliasokhozCsoportházirenddel konfigurálható, netsh-val ellenőrízhető
Computer Configuration > Policies > Windows Settings > Name Resolution Policy
NRPT
.ad.contoso.com 2001:db8:b90a:c7d8::1782001:db8:b90a:c7d8::183
.lab.contoso.com 2001:db8:b90a:c7a8::202
*.sql.contoso.com 2001:db8:b90a:c7e4::801
DirectAccess - további okosságok
Windows Server 2008 R2 + Windows7 W7 Ultimate / EnterpriseCsak tartományba léptetett gépekDNS: csak Windows Server 2008 SP2-től
Network Location Server szerepkörTanúsítványok (nem kell external)Multifaktoros hitelesítés (nem kötelező)Forefront UAG és TMG támogatás
Teljeskörű UAG integrációA TMG-n is futhat a DA Server
DAMMC
Tartalom
Bevezető apróságokNAPDirectAccessBranchCache
BranchCache
- Az adatok és az alkalmazások elérése lassú a telephelyről- A felhasználói UX alacsony- A WAN link teljesítményének növelése nehézkes
Előtte
- A HTTP/S, a BITS, és az SMB forgalom felgyorsul- Transzparens- Sávszélességet szabadít fel- Biztonságos: IPSec, SSL
Utána
BranchCache – két forgatókönyv
KözpontiTárolás a telephelyi szerveren
- A tárolás illetve az elérés hatásfoka jóval nagyobb- Összetettebb beállítás
Budapest
Csajágröcsöge
Distributed Cache
- Szerver nélküli telephelyekre-Egyszerű engedélyezés (netsh / Csoportházirend)
ElosztottTárolás a klienseken
Szeged
Kérem!
Kérem!ID
Kérem!
Data
Kérem!
IDData
Data
BranchCache – elosztottHTTP és WS-Discovery
Kérem!
Kérem!ID
Adom!
Data
Kérem!
Data
Keresés
Kére
m!
Kere
sés
Kérés
Kell?
ID
ID
ID
Data
ID
Data
BranchCache – központiHTTPS + DNS
ID
BranchCache - ötletadóNetsh-val mindent tudunk
Mindkét típus engedélyezése / tiltásaÁllapotinformációk / tanúsítvány lekérdezésCache méret szabályzásKözponti szerver beállításaTartományban és munkacsoportban is
Server Core R2 – bármelyik helyszínen alkalmasServer Core + RODC + BrancCache = perfekt!
BranchCache + WSUSDirectAccess és SharePoint integrácó is
Hálózatkezelési újdonságok
Bevezető apróságokNAPDirectAccessBranchCache