Hálózatkezelési újdonságok Windows 7 / R2 4/4/2017 7:09 PM TechNetKlub – Online Class sorozat Hálózatkezelési újdonságok Windows 7 / R2 Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Tartalom Bevezető apróságok NAP DirectAccess BranchCache 4/4/2017 7:09 PM Tartalom Bevezető apróságok NAP DirectAccess BranchCache © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows 7 | Presenter Mode Tuesday, April 04, 2017 DNS, DHCP újdonságok DNS diagnosztika >>> DNS szerver IP-jének ellenőrzése Bezárás után indul a Windows Network Diagnocstics DNSSEC támogatás Biztonságos, aláírt DNS forgalom Tanúsítvány alapú RFC 4033/34/35 > kompatibilis DHCP szerver Rezerváció - pofonegyszerűen MAC szűrés, Allow list, Deny list DHCP Server Events MMC Naplózás, nyomonkövetés, több szerver Microsoft Confidential

Connection Manager Administration Kit Windows 7 | Presenter Mode Tuesday, April 04, 2017 Connection Manager Administration Kit VPN / DUP kapcsolat preparálás Varázslás rengeteg lépésben Telefonkönyv, routing tábla, proxy, stb. VPN típus kiválasztás MOBIKE konfigurálás Ikonok, logók, addicionális fájlok, stb. x86 / x64 elválasztás Microsoft Confidential

Windows 7 | Presenter Mode Tuesday, April 04, 2017 URL alapú QoS Az OS megjelöli egy DSCP* értékkel a priorizált csomagokat Az útválasztó ezek alapján képes szelektálni Eddig is volt Vista SP1-től De immár URL / URI alapján is működik Csoportházirend *Differentiated Services Code Point Microsoft Confidential

Windows 7 | Presenter Mode Tuesday, April 04, 2017 Hálózati fájlkezelés Transparent Caching Lassú hálózat > fájlmegosztások > agresszív cachelés > kevesebb próbálkozás > helyi tárolás* > kisebb hálózati forgalom Csoportházirendben szabályozható Offline Files Background Sync Kézi üzemmód-váltás nélküli szinkronizálás Transzparens a user felé * Állapot ellenőrzés azért van  Microsoft Confidential

Network Connectivity Status Indicator Windows 7 | Presenter Mode Tuesday, April 04, 2017 Network Connectivity Status Indicator Mindenki ismeri, csak nem így  A hálózati kapcsolódás jelzője, a Network Awareness API része Tipikus triggerek: belépés, új hálózathoz kapcsolódás, újracsatlakozás Kétfajta kérést küld: http://www.msftncsi.com/ncsi.txt (HTTP, 80) dns.msftncsi.com (DNS, 53) Nincs naplózás, titkosítás, állapot tárolás Felügyelt környezetben Csoportházirendből tiltható Computer Configuration > Administrative Templates > System > Communication Management > Internet Communication settings Microsoft Confidential

Tartalom Bevezető apróságok NAP DirectAccess BranchCache 4/4/2017 7:09 PM Tartalom Bevezető apróságok NAP DirectAccess BranchCache © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

NAP előzmények A cél az belső erőforások védelme, izolációja Karantén (Network Access Quarantine Control) Windows Server 2003 RRAS / ISA > TMG Csak VPN és körülményes és nincs javítási opció Domain izoláció Szintén körülményesen megvalósítható, hardver/szoftver problémák és nincs állapotellenőrzés A NAP célterülete Vándorló munkaállomások (saját céges gépek és vendég gépek) Desktop gépek Nem felügyelt otthoni munkaállomások

Network Access Protection Házirend alapú kontroll Kapcsolódni kívánó számítógépek vizsgálata az egészségi házirendek alapján A nem „egészséges” gépek hozzáférésének korlátozása Ezen gépek automatikus javítása A vizsgálat folyamatos frissítése, a gépek állandó ellenőrzése Határvédelmi zóna Internet Intranet Ügyfelek A megoldás háttere Sztenderdeken alapul Plug and Play A hardver eszközökkel együttműködik Rengeteg AV szoftvert támogat Partnerek Távoli munkavégzők

A NAP infrastuktúra I. Kliens oldal Hálózati oldal Kompatibilitás: > Windows XP System Health Agent (SHA): a kliens alkalmasságának ellenőrzése, jelentése Enforcement Client: a kliens kapcsolódási metódusa NAP ügynök: az EC-k és az SHA közötti információcsere Hálózati oldal Switchek, routerek, AP-k, VPN/DHCP szerver Kétirányú kapcsolat az NPS-sel

A NAP infrastuktúra II. Szerver oldal Network Policy Server (NPS) Kapcsolat a fogadó komponensekkel Döntés a beengedésről vagy az elutasításról A Connection / Network Policy szakasz részei: Az ellenőrzési logikát és alanya > System Health Validator (SHV) A kliensek „egészségi” állapotát felmérő és az eredményt tároló csomagok (Statements of Health – SoH) A korlátlan és a korlátozott hozzáférések kritériumai (Health Policy) Health Registration Authority (HRA) „Egészségességi” tanúsítvány kiadás (csak IPSec) Remediation Server: javítási szerepkör > patikaszerver

Policy szerverek Pl. WSUS, AV Hogyan működik? Policy szerverek Pl. WSUS, AV 1 1 Csatlakozási kérelem Egészségi állapot elküldése az NPS-nek (RADIUS) Az NPS ellenőriz Ha rendben van, kap hozzáférését Ha nem: korlátozott hálózatba kerülés illetve „gyógyítás” majd jöhet az 1. pont 2 Network Policy Server 3 Patika- szerverek pl. WSUS Nem egészséges 5 3 2 Korlátozott hálózat 4 Megfelelő állapotú DCHP, VPN, stb switch / router 5 Céges hálózat 4

NAP kapcsolódási metódusok Course 6421B Module 7: Configuring Network Access Protection NAP kapcsolódási metódusok Metódus Jellemző IPsec által védett kapcsolat (ez a legerősebb módszer) Sikeres kapcsolódáskor IPSec kapcsolat a védett gépekkel Egyébként nincs kommunikáció az IPSec-kell védett gépekkel 802.1X kapcsolat vezetékes, vagy vezeték nélküli Sikeres kapcsolódáskor hálózati kapcsolat az eszközön keresztül Sikertelen esetben más VLAN-ba kerülés, hozzáférés nélkül DHCP kapcsolat (ez a leggyengébb módszer) Sikeres kapcsolódáskor korrekt IPv4 konfiguráció kézbesítése Sikertelen esetben csak a korlátozott hálózat elérése VPN Sikeres kapcsolódáskor teljeskörű hálózati hozzáférés távolból Egyébként karantén hálózatba kerülés DirectAccess Más esetekeben behatárolt elérés (pl. csak adott szerverek) RDP (Remote Desktop Gateway) Sikeres kapcsolódáskor sikeres RDP kapcsolat Sikertelen esetben nincs korlátozás, hanem csak teljes tiltás

Tartalom Bevezető apróságok NAP DirectAccess BranchCache 4/4/2017 7:09 PM Tartalom Bevezető apróságok NAP DirectAccess BranchCache © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

DirectAccess Több mint távoli elérés 4/4/2017 7:09 PM DirectAccess Több mint távoli elérés Mindig működik Állandó felügyelet Hozzáférési szabályok Védelmi megoldások Egyszerű és állandó elérés Nem csak ha a felhasználó is „akarja” Belépés előtti állapotellenőrzés és javítás A kliensek frissítése folyamatos Nincs felhasználói interakció A felhasználó belépése nélkül is Akár korlátozott is lehet a védett hálózat elérése Teljeskörűen titkosított forgalom Felhasználói oldal: a „megszokott” hozzáférés A Csoportházirend, WSUS, SCCM hatókör állandó Hitelesítés több variációban is Teljes NAP integráció A VPN csatlakoztatja a felhasználót a hálózathoz A DirectAccess kibővíti a hálózatot a felhasználóval és a gépével 16 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

DirectAccess Egy teljes rendszer IPv6 eszközök IPv4 eszközök IPv4 támogatás (pl. 6to4, NAT-PT, NAT64) IT desktop felügyelet Natív IPv6 + IPSec DA: transzparens, biztonságos kapcsolat VPN nélkül Lehetővé teszi a DirectAccess kliensek felügyeletét Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Közvetlen kapcsolat a belső IPv6 erőforrásokkal Internet DirectAccess Server IPSec titkosítás és hitelesítés Windows 7 kliens

DirectAccess - technikai alapok, 3 részben Windows 7 | Presenter Mode Tuesday, April 04, 2017 DirectAccess - technikai alapok, 3 részben Névfeloldás: DNS és NRPT Biztonság: IPsec Kapcsolat: IPv6 Microsoft Confidential

Windows 7 | Presenter Mode Tuesday, April 04, 2017 Kapcsolat: IPv6 Kötelező De a natív IPv6 támogatás a Vistától kezdve megvan Ha akadály van, a távoli kliensek tranzíciós megoldást használnak 6to4, Teredo, IPHTTPS A védett hálózaton Natív IPv6 ISATAP NAT-PT (Forefront UAG, hardver eszközök) Intranet Internet NAT-PT Natív IPv6 IPv6 tranzíciós technológiák IPv4 Microsoft Confidential

Windows 7 | Presenter Mode Tuesday, April 04, 2017 Biztonság: IPSec DirectAccess kliens DirectAccess szerver Tunnel 1: Infrastructure Tunnel Hitelesítés: gép fiók (tanúsítvány + NTLM) Használat: AD / DNS / GP / felügyelet Tunnel 2: Application Tunnel Hitelesítés: gép + user fiók (tanúsítvány + Kerberos) Használat: bármi Microsoft Confidential

Névfeloldás: DNS és NRPT Windows 7 | Presenter Mode Tuesday, April 04, 2017 Névfeloldás: DNS és NRPT „Mini” DNS szerver A DA klienseknek a korrekt névfeloldás miatt A névfeloldási sorrend módosul Lokális cache > hosts fájl > NRPT > DNS szerver A teendőnk: statikus táblázatban a DNS szerverek hozzárendelése az aliasokhoz Csoportházirenddel konfigurálható, netsh-val ellenőrízhető Computer Configuration > Policies > Windows Settings > Name Resolution Policy NRPT .ad.contoso.com 2001:db8:b90a:c7d8::178 2001:db8:b90a:c7d8::183 .lab.contoso.com 2001:db8:b90a:c7a8::202 *.sql.contoso.com 2001:db8:b90a:c7e4::801 Microsoft Confidential

DirectAccess - további okosságok Windows 7 | Presenter Mode Tuesday, April 04, 2017 DirectAccess - további okosságok Windows Server 2008 R2 + Windows7 W7 Ultimate / Enterprise Csak tartományba léptetett gépek DNS: csak Windows Server 2008 SP2-től Network Location Server szerepkör Tanúsítványok (nem kell external) Multifaktoros hitelesítés (nem kötelező) Forefront UAG és TMG támogatás Teljeskörű UAG integráció A TMG-n is futhat a DA Server Microsoft Confidential

DA MMC

Tartalom Bevezető apróságok NAP DirectAccess BranchCache 4/4/2017 7:09 PM Tartalom Bevezető apróságok NAP DirectAccess BranchCache © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows 7 | Presenter Mode Tuesday, April 04, 2017 BranchCache Előtte Utána Az adatok és az alkalmazások elérése lassú a telephelyről - A felhasználói UX alacsony - A WAN link teljesítményének növelése nehézkes A HTTP/S, a BITS, és az SMB forgalom felgyorsul - Transzparens - Sávszélességet szabadít fel - Biztonságos: IPSec, SSL Microsoft Confidential

BranchCache – két forgatókönyv Windows 7 | Presenter Mode Tuesday, April 04, 2017 BranchCache – két forgatókönyv Szeged Budapest Csajágröcsöge Distributed Cache Elosztott Központi Tárolás a klienseken Tárolás a telephelyi szerveren - Szerver nélküli telephelyekre Egyszerű engedélyezés (netsh / Csoportházirend) A tárolás illetve az elérés hatásfoka jóval nagyobb Összetettebb beállítás Microsoft Confidential

BranchCache – elosztott HTTP és WS-Discovery Központ Data Data ID ID Kérem! Kérem! Kérem! Kérem! Telephely Data

BranchCache – központi HTTPS + DNS Kérem! Data Data ID ID Kérem! Kérem! ID Kérem! Keresés Keresés ID Data Kell? ID Kérés ID Data Adom! Telephely

BranchCache - ötletadó Windows 7 | Presenter Mode Tuesday, April 04, 2017 BranchCache - ötletadó Netsh-val mindent tudunk Mindkét típus engedélyezése / tiltása Állapotinformációk / tanúsítvány lekérdezés Cache méret szabályzás Központi szerver beállítása Tartományban és munkacsoportban is Server Core R2 – bármelyik helyszínen alkalmas Server Core + RODC + BrancCache = perfekt! BranchCache + WSUS DirectAccess és SharePoint integrácó is Microsoft Confidential

Hálózatkezelési újdonságok 4/4/2017 7:09 PM Hálózatkezelési újdonságok Bevezető apróságok NAP DirectAccess BranchCache © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

4/4/2017 7:09 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.