1 / 47

WIN408 - Nouveautés réseau de Windows Server 2008 R2

WIN408 - Nouveautés réseau de Windows Server 2008 R2. Arnaud Lheureux Lead Security Premier Field Engineer Microsoft EMEA CSS. Agenda. Architecture, Hautes performances, gestion de l’énergie Dépannage & architecture de traçage Nouveaux scénarii

lisle
Download Presentation

WIN408 - Nouveautés réseau de Windows Server 2008 R2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WIN408 - Nouveautés réseau de Windows Server 2008 R2 Arnaud Lheureux Lead Security Premier Field Engineer Microsoft EMEA CSS

  2. Agenda • Architecture, Hautes performances, gestion de l’énergie • Dépannage & architecture de traçage • Nouveaux scénarii • BranchCache, DirectAccess, VPN Reconnect, DNSSec • Amélioration des services • DHCP, NAP

  3. Architecture, Hautes performances, gestion de l’énergie

  4. Gestion de l’énergie • Meilleur support de la mise en veille • Conditions de réveil dépendent du contexte réseau (Windows 6.1 ajoute le support de TCP SYN et 802.1x) au bitmap et magicpacket • Gestion de l’énergie pour les réseaux filaires • Lorsque le câble réseau est déconnecté, passage en mode D3 • Ré-établissement en D0 à la connexion du câble • Nécessite un support matériel (*DeviceSleepOnDisconnect) • Wifi basse consommation • Négociation avec le point d’accès avant de passer en basse consommation • Gestion de l’énergie pour les réseaux sans fil • Support de WoWLAN

  5. Hautes performances – Hyper-V • Support du task offloading: • LSOv2, IPv6, Jumbo Frames • Support de TCP Chimney pour les VM • Activé par défaut lorsque cela est possible • Nouveaux compteurs PerfMon et interfaces netsh pour le monitoring et la configuration • Architecture de VM Queues • Création des files VM avec • Classification des paquets reçus pour chaque VM au niveau hardware • Application du VLAN filtering en hardware • DMA depuis les VM • Répartition sur les multiples cœurs CPU pour de multiples VM • Meilleure montée en charge réseau et consommation CPU du parent moindre • Nécessite un support matériel (*VMQ)

  6. Network I/O Data Path Parent Partition VM1 VM2 • Virtual Machine Switch Ethernet Routing VLAN Filtering Data Copy TCP/IP TCP/IP Port 2 Port 1 VM NIC 1 VM NIC 2 Miniport Driver NIC VM BUS

  7. Network I/O Data Path with VMQ Parent Partition VM1 VM2 Virtual Machine Switch Ethernet TCP/IP TCP/IP Routing VLAN filtering Data Copy Port 2 Port 1 VM NIC 1 VM NIC 2 Miniport Driver Q1 Q2 Default Queue VM BUS Switch/Routing unit NIC

  8. Répartition de charge et haute dispo • Comment gérer la répartition de charge réseau et la haute dispo ? • Très demandé  • Repose sur les fonctionnalités de teaming offertes par les constructeurs • Solutions basées sur 802.3ad fournies par les principaux constructeurs sont compatibles avec Hyper-V R2 • Support de VMQ dépend des capacités de ces (hardware+drivers)

  9. Répartition de charge et haute dispo Parent Partition VM1 VM2 • Virtual Machine Switch Routing VLAN Filtering Data Copy TCP/IP TCP/IP Port 2 Port 1 LBFO Driver Team NIC VM NIC 1 VM NIC 2 Miniport Driver Miniport Driver NIC 1 NIC 2 VM BUS Switch

  10. Architecture de dépannage Network Diagnostic Framework, UnifiedTracing

  11. Network Diagnostic Framework • Ensemble de technologies pour aider au diagnostic des problèmes réseaux courants • Amélioré dans 2008 R2 • Diagnostic plus précis, ajouts de scénarios • Invocation directe dans l’interface « Centre de réseau & partage » • Nouvelles actions de corrections inclues • Support du tracing unifié • Tracing combinant composants Windows et trace réseau dans un même fichier (trace ETL) • Permettre de créer un package global contenant les évènements système et leur traduction réseau • Exploitable avec Network Monitor, Event Viewer

  12. Windows UnifiedTracing • Tracing unifié permet de tracer les composants du système basé sur des scénarios (18 par défaut) • Netsh trace sh scenarios

  13. Network Diagnostic Framework – GUI

  14. Network Diagnostic Framework – CLI • Invocation du diagnostic en ligne de commande via netsh netshtrace diagnose scenario=InternetClientDiagnosing 'InternetClient' ... doneRoot causes found: 1Root cause #1--------------The DNS server isn'trespondingRepairsavailable: 1Repair #1 ---------- Contact your network administratorThe DNS server isn'tresponding.

  15. Utilisation du tracing unifié • Exemple de dépannage pour obtention d’adresse IP • Netsh trace start scenario=AddressAcquisition capture=yes report=yes • Reproduction du problème • Netsh trace stop • Récupération et analyse de la trace ETL et du package NetTrace.cab dans %userprofile%\appdata\local\temp\nettraces • Contenu du package généré : paramètres de configuration relatifs au scenario, journaux d’évènements, compteurs de performance, version des pilotes, etc.

  16. Démo Mise en œuvre du dépannage et des traces intégrées

  17. Intégration des Best Practices Analyzer • Intégration dans l’OS des BPA en interface graphique et Powershell • Dans le gestionnaire de serveur, accessible pour chaque rôle • En PS : Import-Module BestPractices • Fonctionne en local et à distance (via les composants RSAT des rôles respectifs) • Permet d’évaluer les rôles réseau suivants: • DNS • DHCP • IIS • RDS • NPAS (NPS, RRAS, HRA) • Evalue la configuration en fonction des prérequis fondamentaux, de la configuration de base, du fonctionnement normal, de la sécurité

  18. Best Practices Analyzer - DNS • Points de contrôle pour le rôle de serveur DNS • Configuration • DNS servers doit pointer sur lui-même • Interface réseau doit avoir une information DNS • Addresse IP du serveur DNS est valide • Utilisation d’un serveur secondaire • Addresse IP statique • Interfaces réseau valide doivent être avant les non-valides dans le binding order • Operations • Serveur peut résoudre son nom et localiser les ressources du domaine

  19. Nouveaux scénarii DirectAccess, BranchCache, VPNReconnect, DNSSec

  20. Fonctionnement de DirectAccess IPsec/IPv6 Internet Client conforme Client conforme IPv6 natif, tunnel dans IPv4,UDP, TLS, etc. IPsec/IPv6 Serveur NAP / NPS IPsec/IPv6 Serveur DirectAccess Clients ont un accès sécurisé transparent avec IPsec Utilisateur interne Le trafic vers le réseau d’entreprise est routé au serveur Direct Access (Windows Server 2008 R2) Ressources critiques (serveurs dans datacenter) Utilisateur interne Infrastructure Utilisation de NAP pour le contrôle dynamique du périmètre

  21. Avantages de DirectAccess

  22. IPv6 – Depuis Internet Adresse IP du FAI Adresse IPv6 utilisée • IPv6 natif • Addresse IPv4 public : utilisation de 6to4 pour encapsulation dans IPv4(protocole 41) • Adresse IPv4 privée : utilisation de Teredo : IPv4 UDP (UDP 3544) • Sinon, utilisation de IP-HTTPS à travers le port tcp/443 IPv6 Natif Private IPv4 Public IPv4 IPv6 natif Teredo 6to4 Client DirectAccess IPv6 natif 6to4 IP-HTTPS Teredo

  23. IPv6 – Réseau interne IPv6 sur le LAN • Support natif • Demande une mise à jour de l’infrastructure et des machines • Décision stratégique de l’entreprise • ISATAP • IPv6 dans un routage et paquet IPv4 • Serveurs doivent être Server 2008 ou 2008 R2 • Pas besoin de changement dans le routage interne • Translation réseau • Traduit IPv6 en IPv4 • Fonctionne avec tous les OS • Compatibilité applicative limité • UAG implémente NAT64/DNS64 Internet Intranet NAT64/DNS64

  24. Prérequis pour DirectAccess • Formation • IPv6 • IPsec • PKI • NAP (optionnel) • Clients DirectAccess : Windows 7, machines du domaine • Serveur DirectAccess : • Windows Server 2008 R2, joint au domaine • 2 adresses IPv4 publiques consécutives • Serveur DNS utilisé par clients DirectAccess doit être Windows Server 2008 SP2 à minima

  25. VPN Reconnect • « Je voudrais que mon VPN se reconnecte automatiquement » • Ajoute une méthode additionnelle de connexion inclue par défaut dans l’OS • servers: Windows Server 2008R2 • Clients : Windows 7 • S’ajoute à: • L2TP/IPsec • PPTP • SSTP • Différence majeure avec DirectAccess? • Pas transparent, besoin d’initier une première connexion

  26. Fonctionnement de VPN Reconnect Client Windows 7 Hotspot WiFi Autre connexion internet 2008R2 RRAS Internet Tunnel VPN Reconnect Réseau d’entreprise Réseau filaire Utilisateur connecté à Internet Connexion au réseau d’entreprise Serveurs L’utilisateur se connecte à un point d’accès sans fil Accès au réseau d’entreprise via Internet sur un câble RJ45 VPN Reconnect permet a la session d’être rétablie de manière transparente

  27. VPN Reconnect – IKEv2 • Implémentation de IKEv2 (RFC4306) • Phase I – Main Mode • Gestion & negociation des clés • Diffie-Hellmaninc.ModularExponential (MODP) group 2, 5, and 14 • Authentification • Paramètres de sécurité et canal sécurisé pour la phase II • Phase II – Quick Mode • Gestion des données • Utilisation de la SA MM • Paramètres de sécurité pour les communications • Encapsulation • Algorithme de hash • Algorithme de chiffrement • Trafic VPN envoyé au serveur VPN Reconnect dans le tunnel négocié en Quick Mode IKEv2

  28. VPN Reconnect – MOBIKE • Defini et permet la mobilité pour IKEv2 • Ré-établissement de la session (mise à jour de SA) sans renégociation complète • Economie de trafic (et de temps si latence importante) • Economie de cycles CPU • Prévoit la sélection d’adresses lorsque plusieurs sont disponibles (côté serveur et côté client) • Négociation complète IKEv2 # 4-8 Ko contre 500 octets pour ne mise à jour de SA avec MOBIKE • Meilleur support de la montée en charge (comparé à IKEv1) pour le serveur VPN

  29. Démo VPN Reconnect en action

  30. BranchCache • Framework pour l’optimisation de la bande passante entre un site central et une succursale • Permet d’éviter les aller-retour réseau pour la consommation des données • Via un serveur • Via un ensemble de machines • Protocoles mis en cache : SMB, HTTP ET HTTPS

  31. Cache distribué Main Office Data Get Get ID ID Data Data Get Branch Office Get

  32. Cache dédié Main Office Get Get ID ID ID ID ID Data ID Data Data Data Search Search Get Put Offer Get Request Branch Office

  33. Architecture – Optimisation HTTP IE IIS Open URL Data “Branch Cache Capable” Data Getdata wininet http.sys Hashlist Hashlist Data Data Hashlist BranchCache BranchCache Data H3 Hashlist H1 H2 H4 H5

  34. DNSSec – Pourquoi ? • DNS est par définition un protocole qui n’inclus aucune considération de sécrité • Il s’agit pourtant d’une pierre angulaire de l’Internet • Problème: • Spoofing des réponses à tous les niveaux de cache peuvent survenir Client DNS Cache DNS Résolveur Serveur autoritaire Vilain pirate Vilain pirate Vilain pirate

  35. DNSSec – Comment ? • DNSSec est une série d’extensions à DNS,décrites dans RFC 4033, 4034, 4035 • Solution proposée: • S’assurer que la réponse n’a pas été modifiée en route • S’assurer qu’une machine n’existe pas • S’assurer que la réponse provient bien de la source autoritaire • Introduit la notion de signature de zone • Enregistrements additionnels dans une zone supportant DNSSec: • RRSIG : signature d’une réponse • DNSKEY : clé publique de zone • DS : délégation sécurisé • NSEC : prochain enregistrement sécurisé • A chaque modification la zone doit être signée a nouveau • Impossible pour les zones à mises à jour dynamiques

  36. DNSSec – En pratique • Contrairement à DNS, pas de racine, il s’agit donc d’unifier les ilots de confiance (anchor points) • A la création de votre zone publique sécurisée par DNSSec, besoin de publier votre anchor point • Support du client : Windows 7 • Support côté serveur : Windows Server 2008 R2 • Après chaque mise à jour de la zone signée: • Export de la zone dans un fichier • Signature de la zone dans un fichier • Dans DNS, forcer le rechargement de la zone à partir du fichier • DNSCMD.EXE est votre nouvel ami 

  37. Amélioration des services DHCP, NAP

  38. Nouveautés de DHCP 1/2 • Protection des noms - RFC 4701 • Enregistrement dynamique des entrées A et PTR peut créer dupliquas si clients proviennent de serveurs différents • Enregistrement de type DHCID dans le DNS permet d’identifier un client de manière unique • Hash SHA-256 (client identifier+fqdn) • Filtrages MAC • Permet de contrôler l’attribution d’adresses IP par scopes • En fonction d’une liste blanche • En fonction d’une liste noire • Ou les deux • Forme: 11-22-*-*-*-* • 11-22-33-*-*-* • 11-22-33-44-55-66

  39. Nouveautés de DHCP 2/2 • Audition • Possibilité d’auditer les activités de changements de configuration du serveur • Applications and Services Logs > Microsoft > Windows > DHCP Server > Microsoft-Windows-DHCP Server Events/Operational • Support d’IPv6 • Ajout de l’option 15 – User Class • Ajout de l’option 32 – Refresh Time • SplitScopeWizard • Assiste à la mise en place de la règle des 80/20 pour la répartition des adresses • Ajoute automatiquement l’autre partie du scope et les exclusions adéquates sur le serveur partenaire • Spécification par scope de la latence de réponse souhaitée

  40. Démo Utilisation de l’assistant Split Scope

  41. Nouveautés de NAP et NPS 1/2 • NPS est un élément central de Network Access Protection • Valide les déclarations d’état de santé et les compare a la stratégie de santé pour l’ensemble des moyens d’isolation • Multiples configurations de SHV par serveur • Windows Server 2008 supporte uniquement un état de configuration par SHV et par serveur • Windows Server 2008 R2 support de multiples configurations de SHV sur la même machine • Amélioration de la journalisation • Assistant pour la mise en œuvre, nouveau format DTS (XML) • Création de la base SQL intégré • Possibilité de journalisation simultanée (fichier+SQL) • Possibilité de journalisation après échec (SQL et fichier)

  42. Nouveautés de NAP et NPS 2/2 • Gestion des modèles • Déploiement facile et centralisé des stratégies d’accès • Eléments pris en compte: • RADIUS shared secret • RADIUS clients • Remote RADIUS servers • IP filters • Healthpolicies • Remediation server groups • Les paramètres de modèles sont hérités dynamiquement du modèle • Une stratégie qui utilise un modèle local sera modifiée si le modèle change • Utilisable également en exports par scripts netsh • Connexion et synchronisation à un autre serveur NPS • Synchronisation manuelle uniquement

  43. Démo Gestion centralisé des stratégies avec NPS

  44. Conclusion • Windows Server 2008 R2 apporte les briques élémentaires assurant les performances et la sécurité de la plateforme • Continue d’apporter de l’innovation dans les protocoles et composants de base • Apporte tout un lot de nouveaux scenarios permettant une plus grande productivité et pérennité à l’infrastructure et au réseau • Assurant à faible cout de possession un ensemble plus riche de fonctionnalités

  45. Questions?

  46. Références • DirectAccess - http://www.microsoft.com/directaccess • BranchCache - http://www.microsoft.com/branchcache • VPN Reconnect - http://technet.microsoft.com/en-us/library/dd637830(WS.10).aspx • Scalable Networking with RSS - http://www.microsoft.com/whdc/device/network/ndis_rss.mspx • High Speed Networking - http://technet.microsoft.com/en-us/network/dd277644.aspx • Performance Tuning Guidelines for Windows Server 2008 R2 - http://www.microsoft.com/whdc/system/sysperf/Perf_tun_srv-R2.mspx • IKEv1 and IKEv2: A Quantitative Analyses - http://www.math-info.univ-paris5.fr/~seret/paperb4F.pdf

More Related