1 / 31

Hálózatkezelési újdonságok Windows 7 / R2

TechNetKlub – Online Class sorozat. Hálózatkezelési újdonságok Windows 7 / R2. Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont. Tartalom. Bevezető apróságok NAP DirectAccess BranchCache. DNS diagnosztika >>>

darcie
Download Presentation

Hálózatkezelési újdonságok Windows 7 / R2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TechNetKlub – Online Class sorozat Hálózatkezelési újdonságokWindows 7 / R2 Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont

  2. Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache

  3. DNS diagnosztika >>> DNS szerver IP-jének ellenőrzése Bezárás után indul aWindows Network Diagnocstics DNSSEC támogatás Biztonságos, aláírt DNS forgalom Tanúsítvány alapú RFC 4033/34/35 > kompatibilis DHCP szerver Rezerváció - pofonegyszerűen MAC szűrés, Allow list, Deny list DHCP Server Events MMC Naplózás, nyomonkövetés, több szerver DNS, DHCP újdonságok

  4. VPN / DUP kapcsolat preparálás Varázslás rengeteg lépésben Telefonkönyv, routing tábla, proxy, stb. VPN típus kiválasztás MOBIKE konfigurálás Ikonok, logók, addicionális fájlok, stb. x86 / x64 elválasztás Connection Manager Administration Kit

  5. Az OS megjelöli egy DSCP* értékkel a priorizált csomagokat Az útválasztó ezek alapján képes szelektálni Eddig is volt Vista SP1-től De immár URL / URI alapján is működik Csoportházirend URL alapú QoS *Differentiated Services Code Point

  6. Transparent Caching Lassú hálózat > fájlmegosztások > agresszív cachelés > kevesebb próbálkozás > helyi tárolás* > kisebb hálózati forgalom Csoportházirendben szabályozható Offline Files Background Sync Kézi üzemmód-váltás nélküli szinkronizálás Transzparens a user felé Csoportházirendben szabályozható Hálózati fájlkezelés * Állapot ellenőrzés azért van 

  7. Mindenki ismeri, csak nem így  A hálózati kapcsolódás jelzője, a NetworkAwareness API része Tipikus triggerek: belépés, új hálózathoz kapcsolódás, újracsatlakozás Kétfajta kérést küld: http://www.msftncsi.com/ncsi.txt (HTTP, 80) dns.msftncsi.com (DNS, 53) Nincs naplózás, titkosítás, állapot tárolás Felügyelt környezetben Csoportházirendből tiltható Computer Configuration > Administrative Templates > System > Communication Management > Internet Communication settings Network Connectivity Status Indicator

  8. Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache

  9. NAP előzmények • A cél az belső erőforások védelme, izolációja • Előzmények: • Karantén (Network Access Quarantine Control) • Windows Server 2003 RRAS / ISA > TMG • Csak VPN és körülményes és nincs javítási opció • Domain izoláció • Szintén körülményesen megvalósítható, hardver/szoftver problémák és nincs állapotellenőrzés • A NAP célterülete • Vándorló munkaállomások (saját céges gépek és vendég gépek) • Desktop gépek • Nem felügyelt otthoni munkaállomások

  10. Házirend alapú kontroll Kapcsolódni kívánó számítógépek vizsgálata az egészségi házirendek alapján A nem „egészséges” gépek hozzáférésének korlátozása Ezen gépek automatikus javítása A vizsgálat folyamatos frissítése, a gépek állandó ellenőrzése Network Access Protection Internet Határvédelmi zóna Intranet Ügyfelek • A megoldás háttere • Sztenderdeken alapul • Plug and Play • A hardver eszközökkel együttműködik • Rengeteg AV szoftvert támogat Partnerek Távoli munkavégzők

  11. A NAP infrastuktúra I. • Kliens oldal • Kompatibilitás: > Windows XP • System Health Agent (SHA): a kliens alkalmasságának ellenőrzése, jelentése • Enforcement Client: a kliens kapcsolódási metódusa • NAP ügynök: az EC-k és az SHA közötti információcsere • Hálózati oldal • Switchek, routerek, AP-k, VPN/DHCP szerver • Kétirányú kapcsolat az NPS-sel

  12. A NAP infrastuktúra II. • Szerver oldal • Network Policy Server (NPS) • Kapcsolat a fogadó komponensekkel • Döntés a beengedésről vagy az elutasításról • A Connection / Network Policy szakasz részei: • Az ellenőrzési logikát és alanya > System Health Validator (SHV) • A kliensek „egészségi” állapotát felmérő és az eredményt tároló csomagok (Statements of Health – SoH) • A korlátlan és a korlátozott hozzáférések kritériumai (Health Policy) • Health Registration Authority (HRA) • „Egészségességi” tanúsítvány kiadás (csak IPSec) • Remediation Server: javítási szerepkör > patikaszerver

  13. Csatlakozási kérelem Egészségi állapot elküldéseaz NPS-nek(RADIUS) Az NPS ellenőriz Ha rendben van, kap hozzáférését Ha nem: korlátozott hálózatba kerülés illetve „gyógyítás” majd jöhet az 1. pont Hogyan működik? Policy szerverekPl. WSUS, AV 1 1 2 Network Policy Server 3 Patika- szerverekpl. WSUS 5 Nem egészséges 3 2 Korlátozotthálózat 4 Megfelelő állapotú DCHP, VPN, stb switch/ router 5 Céges hálózat 4

  14. NAP kapcsolódási metódusok

  15. Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache

  16. DirectAccessTöbb mint távoli elérés Mindig működik Állandófelügyelet Hozzáférési szabályok Védelmi megoldások Belépés előtti állapotellenőrzés és javítás A kliensek frissítése folyamatos Egyszerű és állandó elérés Nem csak ha a felhasználó is „akarja” Akár korlátozott is lehet a védett hálózat elérése Teljeskörűen titkosított forgalom Nincs felhasználói interakció A felhasználó belépése nélkül is Hitelesítés több variációban is Felhasználói oldal: a „megszokott” hozzáférés A Csoportházirend, WSUS, SCCM hatókör állandó Teljes NAP integráció A VPN csatlakoztatja a felhasználót a hálózathoz A DirectAccess kibővíti a hálózatot a felhasználóval és a gépével

  17. DirectAccessEgy teljes rendszer IPv4 eszközök IPv6 eszközök IPv4 támogatás(pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Natív IPv6 + IPSec Lehetővé teszi a DirectAccesskliensek felügyeletét DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Internet Közvetlen kapcsolat a belső IPv6 erőforrásokkal DirectAccess Server Windows 7kliens IPSec titkosítás és hitelesítés

  18. DirectAccess - technikai alapok, 3 részben Névfeloldás: DNS és NRPT Biztonság: IPsec • Kapcsolat: IPv6

  19. Kötelező De a natív IPv6 támogatás a Vistától kezdve megvan Ha akadály van, a távoli kliensek tranzíciós megoldást használnak 6to4, Teredo, IPHTTPS A védett hálózaton Natív IPv6 ISATAP NAT-PT (Forefront UAG, hardver eszközök) Kapcsolat: IPv6 Intranet Internet NAT-PT

  20. Biztonság: IPSec DirectAccess szerver DirectAccess kliens Tunnel 1: Infrastructure Tunnel Hitelesítés: gép fiók (tanúsítvány + NTLM) Használat: AD/DNS/ GP / felügyelet Tunnel 2: Application Tunnel Hitelesítés: gép + user fiók (tanúsítvány + Kerberos) Használat: bármi

  21. Névfeloldás: DNS és NRPT • „Mini” DNS szerver • A DA klienseknek a korrekt névfeloldás miatt • A névfeloldási sorrend módosul • Lokális cache > hosts fájl > NRPT > DNS szerver • A teendőnk: statikus táblázatban a DNS szerverek hozzárendelése az aliasokhoz • Csoportházirenddel konfigurálható, netsh-val ellenőrízhető • Computer Configuration > Policies > Windows Settings > Name Resolution Policy

  22. Windows Server 2008 R2 + Windows7 W7 Ultimate / Enterprise Csak tartományba léptetett gépek DNS: csak Windows Server 2008 SP2-től Network Location Server szerepkör Tanúsítványok (nem kell external) Multifaktoros hitelesítés (nem kötelező) Forefront UAG és TMG támogatás Teljeskörű UAG integráció A TMG-n is futhat a DA Server DirectAccess - további okosságok

  23. DAMMC

  24. Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache

  25. BranchCache Előtte Utána • Az adatok és az alkalmazások elérése lassú a telephelyről • - A felhasználói UX alacsony • - A WAN link teljesítményének növelése nehézkes • A HTTP/S, a BITS, és az SMB forgalom felgyorsul • - Transzparens • - Sávszélességet szabadít fel • - Biztonságos: IPSec, SSL

  26. BranchCache – két forgatókönyv Szeged Csajágröcsöge Központi Distributed Cache Elosztott Tárolás a telephelyi szerveren Tárolás a klienseken Budapest • A tárolás illetve az elérés hatásfoka jóval nagyobb • Összetettebb beállítás • - Szerver nélküli telephelyekre • Egyszerű engedélyezés (netsh / Csoportházirend)

  27. BranchCache – elosztottHTTP és WS-Discovery Központ Data Kérem! Kérem! ID ID Data Data Kérem! Telephely Kérem!

  28. BranchCache – központiHTTPS + DNS Központ Kérem! Kérem! ID ID ID ID ID Data ID Data Data Data Keresés Keresés Kérem! Adom! Kell? Kérem! Kérés Telephely

  29. Netsh-val mindent tudunk Mindkét típus engedélyezése / tiltása Állapotinformációk / tanúsítvány lekérdezés Cache méret szabályzás Központi szerver beállítása Tartományban és munkacsoportban is Server Core R2 – bármelyik helyszínen alkalmas Server Core + RODC + BrancCache = perfekt! BranchCache + WSUS DirectAccess és SharePoint integrácó is BranchCache - ötletadó

  30. Hálózatkezelési újdonságok • Bevezető apróságok • NAP • DirectAccess • BranchCache

More Related