win408 - nouveautés réseau de windows server 2008 r2
DESCRIPTION
WIN408 - Nouveautés réseau de Windows Server 2008 R2. Arnaud Lheureux Lead Security Premier Field Engineer Microsoft EMEA CSS. Agenda. Architecture, Hautes performances, gestion de l’énergie Dépannage & architecture de traçage Nouveaux scénarii - PowerPoint PPT PresentationTRANSCRIPT
11
WIN408 - Nouveautés réseau de Windows Server 2008 R2
Arnaud LheureuxLead Security Premier Field EngineerMicrosoft EMEA CSS
22
Agenda
Architecture, Hautes performances, gestion de l’énergie
Dépannage & architecture de traçageNouveaux scénarii
BranchCache, DirectAccess, VPN Reconnect, DNSSec
Amélioration des servicesDHCP, NAP
33
Architecture, Hautes performances, gestion de l’énergie
44
Gestion de l’énergie
Meilleur support de la mise en veilleConditions de réveil dépendent du contexte réseau (Windows 6.1
ajoute le support de TCP SYN et 802.1x) au bitmap et magic packetGestion de l’énergie pour les réseaux filaires
Lorsque le câble réseau est déconnecté, passage en mode D3Ré-établissement en D0 à la connexion du câbleNécessite un support matériel (*DeviceSleepOnDisconnect)
Wifi basse consommationNégociation avec le point d’accès avant de passer en basse
consommation Gestion de l’énergie pour les réseaux sans fil
Support de WoWLAN
55
Hautes performances – Hyper-V
Support du task offloading:LSOv2, IPv6, Jumbo Frames
Support de TCP Chimney pour les VMActivé par défaut lorsque cela est possibleNouveaux compteurs PerfMon et interfaces netsh pour le monitoring et la configuration
Architecture de VM Queues Création des files VM avec Classification des paquets reçus pour chaque VM au niveau hardwareApplication du VLAN filtering en hardwareDMA depuis les VMRépartition sur les multiples cœurs CPU pour de multiples VMMeilleure montée en charge réseau et consommation CPU du parent
moindreNécessite un support matériel (*VMQ)
66
Network I/O Data Path
Parent Partition VM1 VM2
Ethernet
VM BUS
TCP/IP TCP/IP
VM NIC 1
VM NIC 2
Virtual Machine Switch
NIC
MiniportDriver
RoutingVLAN Filtering
Data Copy Port 1Port 2
77
Network I/O Data Path with VMQ
Parent Partition VM1 VM2
Ethernet
VM BUS
TCP/IP TCP/IP
VM NIC 1
VM NIC 2
Virtual Machine Switch
MiniportDriver
Switch/Routing unit
Q1 DefaultQueueQ2
RoutingVLAN filtering
Data Copy Port 1Port 2
NIC
88
Répartition de charge et haute dispo
Comment gérer la répartition de charge réseau et la haute dispo ?
Très demandé Repose sur les fonctionnalités de teaming offertes par les
constructeursSolutions basées sur 802.3ad fournies par les principaux
constructeurs sont compatibles avec Hyper-V R2Support de VMQ dépend des capacités de ces
(hardware+drivers)
99
Répartition de charge et haute dispo
Parent Partition VM1 VM2
VM BUS
TCP/IP TCP/IP
VM NIC 1
VM NIC 2
Virtual Machine Switch
NIC 1
MiniportDriver
RoutingVLAN Filtering
Data Copy Port 1Port 2
NIC 2
MiniportDriver
LBFO Driver
Team NIC
Switch
1010
Architecture de dépannage
Network Diagnostic Framework, Unified Tracing
1111
Network Diagnostic Framework
Ensemble de technologies pour aider au diagnostic des problèmes réseaux courantsAmélioré dans 2008 R2
Diagnostic plus précis, ajouts de scénariosInvocation directe dans l’interface « Centre de réseau & partage »Nouvelles actions de corrections inclues
Support du tracing unifiéTracing combinant composants Windows et trace réseau dans un
même fichier (trace ETL)Permettre de créer un package global contenant les évènements
système et leur traduction réseauExploitable avec Network Monitor, Event Viewer
1212
Windows Unified Tracing
Tracing unifié permet de tracer les composants du système basé sur des scénarios (18 par défaut)
Netsh trace sh scenarios
Address Acquisition
Direct Access File Sharing Internet
ClientInternet Server
L2SEC LAN Layer 2 MBN NDIS
Net Connection
P2P Grouping P2P PNRP Remote
Assistance RPC
WCN WFP IPsec
1313
Network Diagnostic Framework – GUI
1414
Network Diagnostic Framework – CLI
Invocation du diagnostic en ligne de commande via netsh netsh trace diagnose scenario=InternetClient
Diagnosing 'InternetClient' ... doneRoot causes found: 1Root cause #1--------------The DNS server isn't respondingRepairs available: 1 Repair #1 ---------- Contact your network administratorThe DNS server isn't responding.
1515
Utilisation du tracing unifié
Exemple de dépannage pour obtention d’adresse IPNetsh trace start scenario=AddressAcquisition capture=yes report=yesReproduction du problèmeNetsh trace stopRécupération et analyse de la trace ETL et du package NetTrace.cab dans %userprofile%\appdata\local\temp\nettraces
Contenu du package généré : paramètres de configuration relatifs au scenario, journaux d’évènements, compteurs de performance, version des pilotes, etc.
1616
Démo
Mise en œuvre du dépannage et des traces intégrées
1717
Intégration des Best Practices Analyzer
Intégration dans l’OS des BPA en interface graphique et PowershellDans le gestionnaire de serveur, accessible pour chaque rôleEn PS : Import-Module BestPractices
Fonctionne en local et à distance (via les composants RSAT des rôles respectifs)Permet d’évaluer les rôles réseau suivants:
DNSDHCPIISRDSNPAS (NPS, RRAS, HRA)
Evalue la configuration en fonction des prérequis fondamentaux, de la configuration de base, du fonctionnement normal, de la sécurité
1818
Best Practices Analyzer - DNS
Points de contrôle pour le rôle de serveur DNSConfiguration
DNS servers doit pointer sur lui-même Interface réseau doit avoir une information DNSAddresse IP du serveur DNS est valide Utilisation d’un serveur secondaireAddresse IP statiqueInterfaces réseau valide doivent être avant les non-valides
dans le binding orderOperations
Serveur peut résoudre son nom et localiser les ressources du domaine
1919
Nouveaux scénarii
DirectAccess, BranchCache, VPNReconnect, DNSSec
2020
Serveur DirectAccess
Client conforme
Client conforme
IPsec/IPv6
Ressources critiques (serveurs dans datacenter)
Serveur NAP / NPS
Internet
Utilisateur interneInfrastructure
Utilisateur interne
IPsec/IPv6
IPsec/IPv6
Clients ont un accès sécurisé transparent avec IPsec
Le trafic vers le réseau d’entreprise est routé au serveur Direct Access (Windows Server 2008 R2)
Utilisation de NAP pour le contrôle dynamique du périmètre
Fonctionnement de DirectAccess
IPv6 natif, tunnel dans IPv4,UDP, TLS, etc.
2121
Avantages de DirectAccess
Transparent
Internet ou réseau
d’entreprise sécurisé
Connexion automatique
Sécurisé
Chiffré par défaut
Contrôle serveur par
serveur Support de
l’authentification par
smartcardPolitique de
santé toujours en application
Manageable
Assistant de création de stratégies
Clients sont toujours
connectés au réseau
d’entreprise
Coût de possession
Stratégies d’access
grandement simplifiées
Pas de configuration
utilisateur
Pas de configuration complexe par
application
2222
IPv6 – Depuis Internet
IPv6 natifAddresse IPv4 public : utilisation de 6to4 pour encapsulation dans IPv4(protocole 41)Adresse IPv4 privée : utilisation de Teredo : IPv4 UDP (UDP 3544)
Sinon, utilisation de IP-HTTPS à travers le port tcp/443
Adresse IP du FAI
Public IPv4
Client DirectAcces
s
Adresse IPv6
utilisée
6to4Private IPv4
IPv6 Natif TeredoIPv6 natif
IPv6 natif
6to4
Teredo
IP-HTTPS
2323
IPv6 – Réseau interneSupport natif- Demande une mise à jour de
l’infrastructure et des machines- Décision stratégique de
l’entreprise
- ISATAP- IPv6 dans un routage et paquet
IPv4- Serveurs doivent être Server 2008
ou 2008 R2- Pas besoin de changement dans le
routage interne
Translation réseau- Traduit IPv6 en IPv4- Fonctionne avec tous les OS- Compatibilité applicative limité- UAG implémente NAT64/DNS64
IPv6 sur le LAN
IntranetInternet
NAT64/DNS64
Native IPv6
IPv6 Translation Technologies
IPv4
2424
Prérequis pour DirectAccess
FormationIPv6IPsecPKINAP (optionnel)
Clients DirectAccess : Windows 7, machines du domaineServeur DirectAccess :
Windows Server 2008 R2, joint au domaine2 adresses IPv4 publiques consécutives
Serveur DNS utilisé par clients DirectAccess doit être Windows Server 2008 SP2 à minima
2525
VPN Reconnect
« Je voudrais que mon VPN se reconnecte automatiquement »Ajoute une méthode additionnelle de connexion inclue par
défaut dans l’OSservers: Windows Server 2008R2Clients : Windows 7
S’ajoute à: L2TP/IPsecPPTPSSTP
Différence majeure avec DirectAccess? Pas transparent, besoin d’initier une première connexion
2626
InternetInternet
Serveurs
Réseau d’entreprise
2008R2RRAS
Client Windows 7
Accès au réseau d’entreprise via Internet sur un câble RJ45L’utilisateur se connecte à un point d’accès sans filVPN Reconnect permet a la session d’être rétablie de manière transparente
Fonctionnement de VPN Reconnect
Connexion au réseau
d’entreprise
Autre connexion internet
Tunnel VPN Reconnect
Utilisateur connecté à
Internet
2727
VPN Reconnect – IKEv2
Implémentation de IKEv2 (RFC4306)Phase I – Main Mode
Gestion & negociation des clésDiffie-Hellman inc. Modular Exponential (MODP) group 2, 5, and 14
AuthentificationParamètres de sécurité et canal sécurisé pour la phase II
Phase II – Quick ModeGestion des données
Utilisation de la SA MMParamètres de sécurité pour les communications
EncapsulationAlgorithme de hashAlgorithme de chiffrement
Trafic VPN envoyé au serveur VPN Reconnect dans le tunnel négocié en Quick Mode IKEv2
2828
VPN Reconnect – MOBIKE
Defini et permet la mobilité pour IKEv2Ré-établissement de la session (mise à jour de SA) sans
renégociation complèteEconomie de trafic (et de temps si latence importante)Economie de cycles CPU
Prévoit la sélection d’adresses lorsque plusieurs sont disponibles (côté serveur et côté client)Négociation complète IKEv2 # 4-8 Ko contre 500 octets pour ne
mise à jour de SA avec MOBIKEMeilleur support de la montée en charge (comparé à IKEv1)
pour le serveur VPN
2929
Démo
VPN Reconnect en action
3030
BranchCache
Framework pour l’optimisation de la bande passante entre un site central et une succursalePermet d’éviter les aller-retour réseau pour la consommation
des données Via un serveurVia un ensemble de machines
Protocoles mis en cache : SMB, HTTP ET HTTPS
3131
Get
GetID
Get
Data
Cache distribué
Get
IDData
Data
3232
Get
GetID
Put
Data
Cache dédié
Get
DataID
Search
Get
Sear
ch
Request
Offer
ID
ID
ID
Data
ID
Data
3333
Architecture – Optimisation HTTP
http.sys
IIS
BranchCache
wininet
Open URL
“Branch Cache Capable” Get data
Data
Data
Data
H1 H2 H4 H5Hashlist
Hashlist
HashlistHashlist
Data
Data
H3
BranchCache
IE
3434
DNSSec – Pourquoi ?
DNS est par définition un protocole qui n’inclus aucune considération de sécritéIl s’agit pourtant d’une pierre angulaire de l’InternetProblème:
Spoofing des réponses à tous les niveaux de cache peuvent survenir
Vilain pirate Vilain pirateVilain pirate
Client DNS Cache DNS Résolveur Serveur autoritaire
3535
DNSSec – Comment ?
DNSSec est une série d’extensions à DNS,décrites dans RFC 4033, 4034, 4035Solution proposée:
S’assurer que la réponse n’a pas été modifiée en routeS’assurer qu’une machine n’existe pasS’assurer que la réponse provient bien de la source autoritaire
Introduit la notion de signature de zoneEnregistrements additionnels dans une zone supportant DNSSec:
RRSIG : signature d’une réponseDNSKEY : clé publique de zoneDS : délégation sécuriséNSEC : prochain enregistrement sécurisé
A chaque modification la zone doit être signée a nouveauImpossible pour les zones à mises à jour dynamiques
3636
DNSSec – En pratique
Contrairement à DNS, pas de racine, il s’agit donc d’unifier les ilots de confiance (anchor points)A la création de votre zone publique sécurisée par DNSSec,
besoin de publier votre anchor pointSupport du client : Windows 7Support côté serveur : Windows Server 2008 R2
Après chaque mise à jour de la zone signée:1. Export de la zone dans un fichier2. Signature de la zone dans un fichier3. Dans DNS, forcer le rechargement de la zone à partir du
fichierDNSCMD.EXE est votre nouvel ami
3737
Amélioration des services
DHCP, NAP
3838
Nouveautés de DHCP 1/2
Protection des noms - RFC 4701Enregistrement dynamique des entrées A et PTR peut créer dupliquas si
clients proviennent de serveurs différentsEnregistrement de type DHCID dans le DNS permet d’identifier un client de
manière uniqueHash SHA-256 (client identifier+fqdn)
Filtrages MACPermet de contrôler l’attribution d’adresses IP par scopes
En fonction d’une liste blancheEn fonction d’une liste noireOu les deux
Forme: 11-22-*-*-*-*11-22-33-*-*-*11-22-33-44-55-66
3939
Nouveautés de DHCP 2/2
AuditionPossibilité d’auditer les activités de changements de configuration du
serveur Applications and Services Logs > Microsoft > Windows > DHCP Server >
Microsoft-Windows-DHCP Server Events/OperationalSupport d’IPv6
Ajout de l’option 15 – User ClassAjout de l’option 32 – Refresh Time
SplitScope WizardAssiste à la mise en place de la règle des 80/20 pour la répartition des
adressesAjoute automatiquement l’autre partie du scope et les exclusions
adéquates sur le serveur partenaireSpécification par scope de la latence de réponse souhaitée
4040
Démo
Utilisation de l’assistant Split Scope
4141
Nouveautés de NAP et NPS 1/2
NPS est un élément central de Network Access ProtectionValide les déclarations d’état de santé et les compare a la stratégie
de santé pour l’ensemble des moyens d’isolationMultiples configurations de SHV par serveur
Windows Server 2008 supporte uniquement un état de configuration par SHV et par serveurWindows Server 2008 R2 support de multiples configurations de
SHV sur la même machineAmélioration de la journalisation
Assistant pour la mise en œuvre, nouveau format DTS (XML)Création de la base SQL intégréPossibilité de journalisation simultanée (fichier+SQL)Possibilité de journalisation après échec (SQL et fichier)
4242
Nouveautés de NAP et NPS 2/2
Gestion des modèlesDéploiement facile et centralisé des stratégies d’accèsEléments pris en compte:
RADIUS shared secretRADIUS clientsRemote RADIUS serversIP filtersHealth policiesRemediation server groups
Les paramètres de modèles sont hérités dynamiquement du modèleUne stratégie qui utilise un modèle local sera modifiée si le modèle change
Utilisable également en exports par scripts netshConnexion et synchronisation à un autre serveur NPS
Synchronisation manuelle uniquement
4343
Démo
Gestion centralisé des stratégies avec NPS
4444
Conclusion
Windows Server 2008 R2 apporte les briques élémentaires assurant les performances et la sécurité de la plateformeContinue d’apporter de l’innovation dans les protocoles et
composants de baseApporte tout un lot de nouveaux scenarios permettant une
plus grande productivité et pérennité à l’infrastructure et au réseauAssurant à faible cout de possession un ensemble plus riche de
fonctionnalités
4545
Questions?
4646
Références
DirectAccess - http://www.microsoft.com/directaccessBranchCache - http://www.microsoft.com/branchcache VPN Reconnect - http://technet.microsoft.com/en-us/library/dd637830(WS.10).aspxScalable Networking with RSS - http://www.microsoft.com/whdc/device/network/ndis_rss.mspxHigh Speed Networking - http://technet.microsoft.com/en-us/network/dd277644.aspx Performance Tuning Guidelines for Windows Server 2008 R2 - http://www.microsoft.com/whdc/system/sysperf/Perf_tun_srv-R2.mspxIKEv1 and IKEv2: A Quantitative Analyses - http://www.math-info.univ-paris5.fr/~seret/paperb4F.pdf