310 likes | 446 Views
TechNetKlub – Online Class sorozat. Hálózatkezelési újdonságok Windows 7 / R2. Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont. Tartalom. Bevezető apróságok NAP DirectAccess BranchCache. DNS diagnosztika >>>
E N D
TechNetKlub – Online Class sorozat Hálózatkezelési újdonságokWindows 7 / R2 Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont
Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache
DNS diagnosztika >>> DNS szerver IP-jének ellenőrzése Bezárás után indul aWindows Network Diagnocstics DNSSEC támogatás Biztonságos, aláírt DNS forgalom Tanúsítvány alapú RFC 4033/34/35 > kompatibilis DHCP szerver Rezerváció - pofonegyszerűen MAC szűrés, Allow list, Deny list DHCP Server Events MMC Naplózás, nyomonkövetés, több szerver DNS, DHCP újdonságok
VPN / DUP kapcsolat preparálás Varázslás rengeteg lépésben Telefonkönyv, routing tábla, proxy, stb. VPN típus kiválasztás MOBIKE konfigurálás Ikonok, logók, addicionális fájlok, stb. x86 / x64 elválasztás Connection Manager Administration Kit
Az OS megjelöli egy DSCP* értékkel a priorizált csomagokat Az útválasztó ezek alapján képes szelektálni Eddig is volt Vista SP1-től De immár URL / URI alapján is működik Csoportházirend URL alapú QoS *Differentiated Services Code Point
Transparent Caching Lassú hálózat > fájlmegosztások > agresszív cachelés > kevesebb próbálkozás > helyi tárolás* > kisebb hálózati forgalom Csoportházirendben szabályozható Offline Files Background Sync Kézi üzemmód-váltás nélküli szinkronizálás Transzparens a user felé Csoportházirendben szabályozható Hálózati fájlkezelés * Állapot ellenőrzés azért van
Mindenki ismeri, csak nem így A hálózati kapcsolódás jelzője, a NetworkAwareness API része Tipikus triggerek: belépés, új hálózathoz kapcsolódás, újracsatlakozás Kétfajta kérést küld: http://www.msftncsi.com/ncsi.txt (HTTP, 80) dns.msftncsi.com (DNS, 53) Nincs naplózás, titkosítás, állapot tárolás Felügyelt környezetben Csoportházirendből tiltható Computer Configuration > Administrative Templates > System > Communication Management > Internet Communication settings Network Connectivity Status Indicator
Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache
NAP előzmények • A cél az belső erőforások védelme, izolációja • Előzmények: • Karantén (Network Access Quarantine Control) • Windows Server 2003 RRAS / ISA > TMG • Csak VPN és körülményes és nincs javítási opció • Domain izoláció • Szintén körülményesen megvalósítható, hardver/szoftver problémák és nincs állapotellenőrzés • A NAP célterülete • Vándorló munkaállomások (saját céges gépek és vendég gépek) • Desktop gépek • Nem felügyelt otthoni munkaállomások
Házirend alapú kontroll Kapcsolódni kívánó számítógépek vizsgálata az egészségi házirendek alapján A nem „egészséges” gépek hozzáférésének korlátozása Ezen gépek automatikus javítása A vizsgálat folyamatos frissítése, a gépek állandó ellenőrzése Network Access Protection Internet Határvédelmi zóna Intranet Ügyfelek • A megoldás háttere • Sztenderdeken alapul • Plug and Play • A hardver eszközökkel együttműködik • Rengeteg AV szoftvert támogat Partnerek Távoli munkavégzők
A NAP infrastuktúra I. • Kliens oldal • Kompatibilitás: > Windows XP • System Health Agent (SHA): a kliens alkalmasságának ellenőrzése, jelentése • Enforcement Client: a kliens kapcsolódási metódusa • NAP ügynök: az EC-k és az SHA közötti információcsere • Hálózati oldal • Switchek, routerek, AP-k, VPN/DHCP szerver • Kétirányú kapcsolat az NPS-sel
A NAP infrastuktúra II. • Szerver oldal • Network Policy Server (NPS) • Kapcsolat a fogadó komponensekkel • Döntés a beengedésről vagy az elutasításról • A Connection / Network Policy szakasz részei: • Az ellenőrzési logikát és alanya > System Health Validator (SHV) • A kliensek „egészségi” állapotát felmérő és az eredményt tároló csomagok (Statements of Health – SoH) • A korlátlan és a korlátozott hozzáférések kritériumai (Health Policy) • Health Registration Authority (HRA) • „Egészségességi” tanúsítvány kiadás (csak IPSec) • Remediation Server: javítási szerepkör > patikaszerver
Csatlakozási kérelem Egészségi állapot elküldéseaz NPS-nek(RADIUS) Az NPS ellenőriz Ha rendben van, kap hozzáférését Ha nem: korlátozott hálózatba kerülés illetve „gyógyítás” majd jöhet az 1. pont Hogyan működik? Policy szerverekPl. WSUS, AV 1 1 2 Network Policy Server 3 Patika- szerverekpl. WSUS 5 Nem egészséges 3 2 Korlátozotthálózat 4 Megfelelő állapotú DCHP, VPN, stb switch/ router 5 Céges hálózat 4
Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache
DirectAccessTöbb mint távoli elérés Mindig működik Állandófelügyelet Hozzáférési szabályok Védelmi megoldások Belépés előtti állapotellenőrzés és javítás A kliensek frissítése folyamatos Egyszerű és állandó elérés Nem csak ha a felhasználó is „akarja” Akár korlátozott is lehet a védett hálózat elérése Teljeskörűen titkosított forgalom Nincs felhasználói interakció A felhasználó belépése nélkül is Hitelesítés több variációban is Felhasználói oldal: a „megszokott” hozzáférés A Csoportházirend, WSUS, SCCM hatókör állandó Teljes NAP integráció A VPN csatlakoztatja a felhasználót a hálózathoz A DirectAccess kibővíti a hálózatot a felhasználóval és a gépével
DirectAccessEgy teljes rendszer IPv4 eszközök IPv6 eszközök IPv4 támogatás(pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Natív IPv6 + IPSec Lehetővé teszi a DirectAccesskliensek felügyeletét DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Internet Közvetlen kapcsolat a belső IPv6 erőforrásokkal DirectAccess Server Windows 7kliens IPSec titkosítás és hitelesítés
DirectAccess - technikai alapok, 3 részben Névfeloldás: DNS és NRPT Biztonság: IPsec • Kapcsolat: IPv6
Kötelező De a natív IPv6 támogatás a Vistától kezdve megvan Ha akadály van, a távoli kliensek tranzíciós megoldást használnak 6to4, Teredo, IPHTTPS A védett hálózaton Natív IPv6 ISATAP NAT-PT (Forefront UAG, hardver eszközök) Kapcsolat: IPv6 Intranet Internet NAT-PT
Biztonság: IPSec DirectAccess szerver DirectAccess kliens Tunnel 1: Infrastructure Tunnel Hitelesítés: gép fiók (tanúsítvány + NTLM) Használat: AD/DNS/ GP / felügyelet Tunnel 2: Application Tunnel Hitelesítés: gép + user fiók (tanúsítvány + Kerberos) Használat: bármi
Névfeloldás: DNS és NRPT • „Mini” DNS szerver • A DA klienseknek a korrekt névfeloldás miatt • A névfeloldási sorrend módosul • Lokális cache > hosts fájl > NRPT > DNS szerver • A teendőnk: statikus táblázatban a DNS szerverek hozzárendelése az aliasokhoz • Csoportházirenddel konfigurálható, netsh-val ellenőrízhető • Computer Configuration > Policies > Windows Settings > Name Resolution Policy
Windows Server 2008 R2 + Windows7 W7 Ultimate / Enterprise Csak tartományba léptetett gépek DNS: csak Windows Server 2008 SP2-től Network Location Server szerepkör Tanúsítványok (nem kell external) Multifaktoros hitelesítés (nem kötelező) Forefront UAG és TMG támogatás Teljeskörű UAG integráció A TMG-n is futhat a DA Server DirectAccess - további okosságok
Tartalom • Bevezető apróságok • NAP • DirectAccess • BranchCache
BranchCache Előtte Utána • Az adatok és az alkalmazások elérése lassú a telephelyről • - A felhasználói UX alacsony • - A WAN link teljesítményének növelése nehézkes • A HTTP/S, a BITS, és az SMB forgalom felgyorsul • - Transzparens • - Sávszélességet szabadít fel • - Biztonságos: IPSec, SSL
BranchCache – két forgatókönyv Szeged Csajágröcsöge Központi Distributed Cache Elosztott Tárolás a telephelyi szerveren Tárolás a klienseken Budapest • A tárolás illetve az elérés hatásfoka jóval nagyobb • Összetettebb beállítás • - Szerver nélküli telephelyekre • Egyszerű engedélyezés (netsh / Csoportházirend)
BranchCache – elosztottHTTP és WS-Discovery Központ Data Kérem! Kérem! ID ID Data Data Kérem! Telephely Kérem!
BranchCache – központiHTTPS + DNS Központ Kérem! Kérem! ID ID ID ID ID Data ID Data Data Data Keresés Keresés Kérem! Adom! Kell? Kérem! Kérés Telephely
Netsh-val mindent tudunk Mindkét típus engedélyezése / tiltása Állapotinformációk / tanúsítvány lekérdezés Cache méret szabályzás Központi szerver beállítása Tartományban és munkacsoportban is Server Core R2 – bármelyik helyszínen alkalmas Server Core + RODC + BrancCache = perfekt! BranchCache + WSUS DirectAccess és SharePoint integrácó is BranchCache - ötletadó
Hálózatkezelési újdonságok • Bevezető apróságok • NAP • DirectAccess • BranchCache