Upload
internet
View
109
Download
0
Embed Size (px)
Citation preview
NomeCargoMicrosoft Brasil
Windows Server 2008 R2e Windows 7Melhores Juntos
AgendaDirectAccessBranchCacheSMBServiços de Área de
Trabalho Remota para VDI
DirectAccess
Servidores do Datacenter
Internet
Rede Corporativa
Identidades: Autenticação forte necessária para todos os usuários
Autorização: A integridade da máquina é validada ou remediada antes da permissão de acesso à
rede
Visão de Rede Confiável
Protecão: Todas as transações de rede são autenticadas e
criptografadas
Cliente Remoto
Cliente Local
Diretivas são baseadas na identidade, não no local
DEMONSTRAÇÃO
DirectAccess
Conectividade: IPv6
Proteção a Dados: IPsec
Resolução de Nome:
DNS e NRPT
Bases Técnicas
O DirectAccess requer IPv6Se IPv6 nativo não estiver disponível, clientes remotos usam Tecnologias de Transição IPv6A rede corporativa pode implantar IPv6 nativo, tecnologias de transição ou NAT-PT
Conectividade: IPv6Opções do IPv6
O DirectAccess funciona melhor se a Rede Corporativa tiver IPv6 nativo implantado
IntranetInternet
NAT-PT
IPv6 Nativo
Tecnologias de Transição IPv6
IPv4
O IPsec integra-se fortemente com o IPv6, permitindo ao mecanismo de regras determinar quando e como o tráfego deve ser protegido
Proteção a Dados: IPsec
Extremidade a borda
Fim a fim
Extremidade a borda
Fim a fim
• Clientes DirectAccess remotos utilizam roteamento inteligente por padrão
• A Tabela de Diretivas de Resolução de Nome permite que isso aconteça com eficiência e segurança
• Envia consultas de nome a servidores DNS internos com base em espaço de nome DNS pré-configurado
Resolução de Nome: DNS e a NRPT
Conexão DirectAccess
Conexão de Internet
• Suporte nativo a IPv6• Endereços IPv4 públicos
usarão 6to4 para encapsular o IPv6 dentro do Protocolo IP 41
• Endereços IPv4 privados usarão Teredo para encapsular o IPv6 dentro do UDP IPv4 (UDP 3544)
• Se o cliente não puder conectar-se ao Servidor do DirectAccess, o IP-HTTPS fará a conexão via porta 443
Conectividade ExternaEndereço
IP Atribuído pelo ISP:
IPv4 público
Cliente DirectAcces
s
Endereço IPv6 Usado
para conexão:
6to4IPv4 privado
IPv6 nativo TeredoIPv6 nativo
IPv6 nativo
6to4
Teredo
IP-HTTPS
Nativo- Servidores podem executar qualquer
OS que suporte totalmente o IPv6- Exige infraestrutura IPv6- Melhor escolha ao longo do tempo
ISATAP- IPv6 dentro do IPv4- Servidores devem ser Windows
Server 2008 ou R2- Sem atualizações de roteador
NAT-PT- Converte IPv6 em IPv4- Trabalha com qualquer SO- O UAG tem isso incorporado
IPv6 Interno Opções do IPv6
O DirectAccess funciona melhor se a Rede Corporativa tiver IPv6 nativo implantado
IntranetInternet
NAT-PT
IPv6 nativo
Tecnologias de Transição IPv6
IPv4
Servidor do DirectAccess
Cliente DirectAccess
Internet
IP-HTTPS
Gateway do IPsec
IPsec
Criptografado+ESP
IPsec Criptografado+ESP
IPsec Externo
Descarregamento de Hardware de IPsec Suportado
Rede Corporativ
a
Servidor do DirectAccess
Aplicações de Linha de Negócios
Sem IPsec
Gateway do IPsec
Apenas Integridade do IPsec
(Autorização)Integridade do
IPsec + Criptografia
IPsec Interno
Servidor do DirectAccessCliente
DirectAccess
Túnel 1: Túnel de InfraestruturaAutorização: Certificado da Máquina
Extremidade: AD/DNS/Gerenciamento
Túnel 2: Túnel de AplicaçõesAutorização: Certificado de Máquina + (Kerberos ou Certificado de Usuário)
Extremidade: Qualquer
Detalhe do Túnel do IPsec
Lado do cliente apenasRequer um ponto à esquerdaTabela estática que define que servidores DNS o cliente usará para os nomes listadosConfigurável via GPO na Configuração do Computador|Diretivas|Configurações do Windows|Diretiva de Resolução de NomePode ser visualizado com diretiva exibir nome NETSH
NRPT
NRPT
.ad.contoso.com
2001:db8:b90a:c7d8::1782001:db8:b90a:c7d8::183
.lab.contoso.com
2001:db8:b90a:c7a8::202
*.sql.contoso.com
2001:db8:b90a:c7e4::801
Conhecimento do clienteO cliente deve ter um conhecimento de trabalho básico ou IPsec e TCP/IPO cliente deve estar interessado em aprender sobre e implantar novas tecnologias, como o IPv6
Clientes DirectAccess: Windows 7, máquinas associadas a domínioServidor do DirectAccess: Windows Server 2008 R2, máquinas associadas a domínioServidores DNS suportando clientes DirectAccess devem ser Windows Server 2008 SP2 ou posteriores
Requisitos para o DirectAccess
BranchCache
Links lentos e caros de WAN entre os escritórios principal e remotos
• Alta utilização do link• Agilidade de aplicações insatisfatória• Tendência para centralização de dados
Histórico de problemas
• Reduzir utilização da largura de banda• Melhorar a experiência do usuário final• Preservar a segurança e2e• Simples de implantar
BranchCache
Obtém
ObtémID
Obtém
Dados
Cache Distribuído
Obtém
IDDados
Dados
Obtém
ObtémID
Coloca
Dados
Cache Hospedado
Obtém
DadosID
Pesquisa
Obté
m
Pesq
uis
a
Solicitação
Oferece
ID
ID
ID
Dados
ID
Dados
Cache HospedadoDados armazenados em cache no servidor host
Recomendado para escritórios remotos maiores
Cache armazenado centralmente: pode usar o servidor existente no escritório remoto
A disponibilidade do cache é alta
Permite armazenamento em cache em todo o escritório remoto
Cache Hospedado vs Distribuído
Empresa
Cache Distribuído
Recomendado para escritórios remotos sem infraestrutura
Fácil de implantar: habilitado em clientes através de Diretiva de Grupo
A disponibilidade do cache diminui com laptops que ficam offline
Cache DistribuídoDados armazenados em cache entre os clientes
Estrutura geral
IE
HTTP
BranchCache™
SMB
Explorer
Aplicações de Terceiros
CopyFileOffice WMPBITSOfficeSharePoint
IISServidor de Arquivos
Gerenciamento deDiretivas de Grupo
Instale servidores de conteúdo R2 com recurso BranchCache™
Diretivas de Grupo para habilitar clientes
CacheArmazenado
Opcionalmente, instale um cache hospedado em seu escritório remoto.
Implantação
Implantação - Servidor de conteúdo
Deve executar o Server 2008 R2Servidor HTTP (IIS) - Instale o recurso BranchCache a partir do Gerenciador de ServidoresServidor SMB (Servidor de arquivos) – Instale o recurso de serviço de função BranchCache dentro da função de servidor de arquivos usando o Gerenciador de ServidoresÉ só...
Implantação – Cache DistribuídoIdentifique o "escritório remoto"• Um Site do Active Directory• Uma faixa de endereços IP• Um conjunto de computadores clientes
específicos
Escolha como implantar• Diretiva de Grupo• netsh
Implante nos clientes!• Diretiva de Grupo: Use arquivos ADMX
integrados• netsh: Execute netsh branchcache set service distributed em todos os clientes relevantes
Implantação – Cache HospedadoConfigure o cache hospedado• Instale o recurso BranchCache em um servidor
R2• Instale um certificado de autorização de servidor
para uso com SSL• Execute netsh branchcache set service hostedserver no cache hospedado
Identifique a Ramificação
Escolha como implantar
Implante nos clientes!• Diretiva de Grupo: Use arquivos ADMX integrados• netsh: Execute netsh branchcache set service hostedclient location=<> em todos os clientes
BranchCache para ConfigMgr• ConfigMgr 2007 SP2 com WS08R2 DP• Pode ser usado no lugar do Ponto de Distribuição de
Ramificação• Modo de Cache Distribuído apenas• O BranchCache não engloba subredes, o BDP abrange• BranchCache não funciona com o XP, o BDP funciona• O Vista com BITS 4.0 possui recursos BranchCache
parciais• Se você tiver um servidor no escritório remoto, torne-
o um DP (ponto de distribuição)
BranchCache para Vista e XP• O Vista com BITS 4.0 suporta Tráfego HTTP do
BranchCache, mas não SMB• Pode ser usado com o ConfigMgr 2007 SP2
para atualizações de software• O DP deve ser o WS08R2• Atualize o XP para o Windows 7
• Clientes usando o WSUS para atualizações precisarão do3.0 SP2 para suporte a recursos do BranchCache no Windows Server 2008 R2.
BranchCache para WSUS
Streaming HTTP no AppV otimizado usando BranchCacheAplicações virtuais têm que atravessar o link de WAN apenas uma vezElimine Servidores do IIS (servidores de preparação do AppV) no escritório remoto
Suporte disponível no Windows 7 e Windows Server 2008 R2
BranchCache para Application Virtualization (AppV)
BranchCache para SharePoint e IISObjetivos• Melhorar a agilidade nas respostas do SharePoint e IIS em
escritórios remotos sem a necessidade de infraestrutura separada
• Capacitar Office Web Apps a ter um melhor desempenho em escritórios remotos
Integração• O IIS e o SharePoint precisam ser executados no Windows
Server 2008 R2• Os usuários nunca recebem conteúdo obsoleto; se o conteúdo
for atualizado, seus identificadores mudam
Suporte disponível para Windows 7 e Windows 2008 R2
BranchCache para Servidores de Arquivos
• O SMB 2.1 introduz o “Leasing e OpLocks” – mecanismos para melhorar o comportamento de protocolos no link de WAN
• A integração do BranchCache assegura que dados precisem mover-se pelo link WAN apenas uma vez
• O Cache Transparente do SMB permite melhores cenários móveis
• Arquivos Offline permite acesso mesmo quando o link de WAN estiver inativo
• Toda a semântica de aplicações em torno de bloqueio são automaticamente mantidas
Disponível no Windows 7 e Windows Server 2008 R2
Escalonamento e DesempenhoEscala• O cache distribuído se escalona bem até aproximadamente 100
usuários por escritório remoto• O tráfego de Descoberta WS é uma consideração-chave• Os resultados podem variar• Altamente dependente do conteúdo, carga de trabalho e padrões de
uso
• A escalabilidade do Cache Hospedado é comparável a cargas de trabalho de servidores de arquivos padrão
O BranchCache…Não faz mal
Evita necesidade de descobertas
Suporta grupos de trabalho e domínio
Processa hashes em cache durante a publicação
Suporta múltiplas sub-redes no modo Cache Hospedado
Suporta configuração por diretivas e NetSH
Usa HTTP (tcp:80) para bloquear downloads
Usa WS-D (UDP:3702) para descoberta
Suporta IPv4 e IPv6
Suporta monitoramento e relatórios SCOM
O BranchCache não…Processa conteúdo em cache no caminho da gravação
Suporta descoberta de Cache Distribuído além da sub-rede local
Usa nem requer IPSec
Responde a equivalentes com latência >= 300ms
Requer IPv6
Pode ser acessado durante uma queda na rede WAN
Suporta PowerShell
Suporta cenários em casa ou na Internet
Inicia automaticamente o serviço de servidor por padrão
Fornece ferramentas de migração de cache
Suporta SharePoint 14 em RTM
SMB 2.x
Limitações do SMB1Considerado “loquaz”Desempenho de WAN insatisfatório devido a limitação de pipelining / combinaçãoLimites arbitrários no número de usuários, arquivos abertos, compartilhamentosO protocolo evoluiu através de várias versões ao longo de muitos anos
Difícil de estender, manter e proteger devido ao grande número/ variedade de comandos
Motivações para o SMB2O acesso dados via WAN se tornou muito mais comumO desempenho de LAN aumentou muito (1Gb atuais, 10Gb futuramente)Fundou uma base sólida para inovação continuada
A Necessidade do SMB2
A escalabilidade para compartilhamento de arquivos cresceu muito
O desempenho melhorou maciçamenteA combinação de solicitações reduz a "loquacidade"Leituras/gravações maiores podem preencher o pipe com latência de link significativa
Seguro e robustoIdentificadores duráveisConfigurações de assinatura de mensagens aprimorados (o HMAC SHA-256 substitui o MD5)Pequeno conjunto de comandos reduz a superfície de ataque e a complexidade
Suporte simbólico a linksA avaliação de symlinks envolvendo caminhos remotos é limitada por padrãoPode ser criado apenas por administradores (via Diretivas de Grupo)
Benefícios do SMB2Limites SMB1 SMB2
Número de usuários Max 2^16 Max 2^64
Número de arquivos abertos
Max 2^16 Max 2^64
Número de compartilhamentos
Max 2^16 Max 2^32
Total SMB1 SMB2
Opcodes >100 19
Melhor utilização de WANBenefícios devidos à combinação de:
Melhorias no stack TCPPipelining de solicitações ao SMB2Suporte a grandes solicitações do SMB2Melhorias no CopyFileEx()
Buffers grandesAssíncrono, sem cache, IO
Desempenho de CopyFile do SMB2
Solicitação de GravaçãoResposta de Gravação
Pré-Vista Vista
XCOPY, remoto->Local, 1Gb / 100ms RTT
Desempenho de CopyFile do SMB2
8 Mb file 700 Mb file
38483249
4991
814
10490
XP-SMB1 Vista-SMB1 Vista-SMB2
Taxa d
e t
ransf
erê
nci
a
em
kb/s
Benefícios dramáticos na enumeração de diretórios do Explorer, devidos a uma combinação de:
solicitações combinadas/especulativasarmazenamento de diretório e atributos em cache
Para esse cenário, um diretório contendo cerca de 50 arquivos do Excel 2007 foram abertos usando o Windows ExplorerRede – 1Gb/s, 100ms RTT
Desempenho do Explorer no SMB2
Series1
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5
Vista SP1 SMB2
Vista SMB1
Response Time in Seconds
Fornecido pela primeira vez no Windows Vista RTMNem todos os recursos de protocolo usados pela implementação do Windows Vista RTM Dialeto aumentado para o Windows Server 2008 / Windows Vista SP1
Aperfeiçoamentos do Windows Server 2008 / Windows Vista SP1Usa combinação de solicitaçõesCache: enumerações de diretórios e atributos de arquivoCache: consultas de compartilhamento comum e propriedades de sistema de arquivos
Versões do SMB2
OS de Cliente/Servidor
Windows anterior Windows Vista RTM
Windows Vista SP1 Windows Server 2008
Windows anterior SMB 1 SMB 1 SMB 1
Windows Vista RTM SMB1 SMB2 (v2.001) SMB 1
Windows Vista SP1Windows Server 2008
SMB1 SMB 1 SMB2 (v2.002)
Arquivos Offline no Windows Vista / Windows 7
Transições diretasSincronização mais rápidaSuporte a arquivos grandes como PSTs do OutlookCriptografia por usuário"Modo de links Lentos" AperfeiçoadoConversão em fantasma – namespace de cliente/servidor uniforme Melhor interoperabilidade com o DFSSuporte gravável a API
Mais aperfeiçoamentos do R2Sincronização em Segundo Plano• Arquivos offline são sincronizados automaticamente em segundo plano• O modo de links lentos é ATIVADO por padrão (quando a latência de ida e volta ≥ 80ms)• Totalmente integrado com a Central de Sincronização, mostrando o horário da última
atualização• Definições configuráveis para administradores de TI
Abertura e Fechamento de Arquivo de Aplicação aperfeiçoados• Otimizações do SMB reduzem as trocas necessárias para abrir e salvar arquivos de
aplicações
Cache Transparente• Armazene automaticamente em cache o arquivo de rede no disco do cliente local• A cópia armazenada é usada apenas se as versões local/servidor forem iguais• Todas as modificações de arquivos são feitas no servidor • Administradores podem controlar através de Diretivas de Grupo (não habilitadas por
padrão em redes rápidas)
Serviços de Área de Trabalho Remotapara VDI
A VDI é tipicamente limitada pela memória e E/S do disco
• O Windows 7 tem geralmente menos E/S que o Windows XP• O Windows 7 geralmente requer mais RAM que o Windows XP• O Windows 7 é mais rápido de provisionar que o Windows XP• A RAM é um limite artificial temporário
Recomendações:• Minimize serviços de sistema desnecessários• Minimize o tráfego da rede• Protetores e redesenhos de tela afetam a E/S da rede• Assegure que aplicações sejam verificadas para eficiência de E/S do disco• Certifique-se de que os drivers mais recentes estejam sendo usados
http://blogs.msdn.com/rds/archive/2009/11/02/windows-7-with-rdp7-best-os-for-vdi.aspx
Recomendações de VDIWindows 7: Uma escolha viável para VDI
Windows 7: Experiência do Usuário
Suporte Real a Vários Monitores• Permite aos usuários exibir sua área de trabalho remota em vários
monitores configurados da mesma maneira como se a área de trabalho ou aplicações fossem executadas localmente
Aceleração de Bitmaps Aperfeiçoada• Permite que conteúdo de mídia avançada, como stacks de
elementos gráficos portáteis (Silverlight, Flash) e conteúdo 3D, seja renderizado no host e enviado como bitmaps acelerados para o cliente remoto
Suporte Multimídia e Entrada de Áudio• Proporciona experiência multimídia de alta qualidade com recursos
de redirecionamento de multimídia
Aero Glass para Servidor de Área de Trabalho Remota• Proporciona a mesma aparência nova do Windows 7 quando se
usam os RDS
RemoteFX para VDI (Habilitado através do SP1)• Experiência de Usuário de última geração controlada pela placa
gráfica do servidor
• Suportado apenas no Windows 7
Grato por sua Atenção!