350 likes | 496 Vues
Windows Server 2008 etätoimipisteiden hallinnassa. {. }. Mika Seitsonen Senior- konsultti FC Sovelto Oyj. Ari Auvinen Vanhempi teknologia-asiantuntija Microsoft Oy. {. }. Etätoimipisteiden aiheuttamat haasteet. Toimipisteiden IT - osaaminen. Maantieteellisesti hajallaan.
E N D
Windows Server 2008 etätoimipisteiden hallinnassa { } Mika Seitsonen Senior-konsultti FC Sovelto Oyj Ari Auvinen Vanhempiteknologia-asiantuntija Microsoft Oy { }
Etätoimipisteidenaiheuttamathaasteet Toimipisteiden IT -osaaminen Maantieteellisestihajallaan Tietoturva Kustannukset Ketteryys Yhdistelmäyksittäisiäratkaisujaosanainfranoptimointia
Windows Server 2008:n laajennukset etätoimipisteiden hallintaan Verkkoteknologianparannukset Nopeampitiedonsiirto Tietoturvallinenjaetähallittavaalusta Keskitettyhallintajasuojatuttiedot
Verkkoteknologian parannukset Lisäätehoa Haasteet Verkkoprotokollienrajoitukset Latenssijahävikki Verkkoyhteyksienvaihteluesim. Langattomassaverkossa Erilaisetliikenteetverkossa Windows Server 2008:n ominaisuudet: TCP Receive Window Auto-Scaling and Compound TCP TCP Fast Recovery Generic QoS at Network Layer
Uusi TCP/IP pino • IPv4 & IPv6 samassapinossa • Koodinylläpitomahdollista • Natiivitukisekä IPv4 että IPv6 • Receive Side Scaling • Enables SMP driven network IO • Dead Gateway Detection • Detects a dead gateway and fails over to secondary • Automatic fail-back • TCP Receive Window Auto-Tuning • Compound TCP
TCP Receive Window Size Windows XP & Windows Server 2003 • Max TCP windows size of 64KB • NO AUTO TUNING • Severely limits round trip times • Sender transmits are limited to advertised receive window size • Window size backs off by 50% with packet loss • Windows size increased slightly with every ACK • Manual tuning of receive window size does not offer ideal results
Receive Window Auto-Tuning Windows Server 2008 & Windows Vista • Auto-tune enabled by default • Max receive window determined by: • Application consumption capacity • Network capacity and conditions
Receive Window Auto-Tuning Control States
File Shares – Streaming Improvement Lukemisenjakirjoittaminennopeutussamanaikaisillapyynnöillä Request Download speed (kb/sec), 100 ms RTT Response SMB1 SMB2
File Shares – Chattiness Improvement Liikenteen vähentäminen yhdistämällä Open Dir Open Dir Response Query Dir Query Dir Query Volume Response Response Query Volume Close Dir Response Close Dir Query Dir Response Satisfied from cache Query Volume
Suorituskyvynvertailu Up to a 3.5X improvement in throughput and time-to-completion Up to a 2.5X improvement in throughput and time-to-completion over Windows XP • Examples of Networking Scenarios Tested • Copying 10 MB Microsoft Office Files over a WAN • Opening 10 MB Microsoft Office Files over a WAN • Downloading a 10 MB User Profile over a WAN • Accessing 10 MB Office Files off SharePoint Services across a WAN • Simulated WAN Details • Simulated T1/E1 at 2-Mbps with ~100 ms latency Source: The Tolly Group, Document # 207180
Compound TCP (CTCP) Windows Server 2008 & Windows Vista • Compound TCP • Aggressively increases send window for high-bandwidth, high-latency flows • Maximizes throughput by monitoring variations in delay and loss • Replacing the older slow start and congestion avoidance algorithms • Works with auto-tune to improve performance • Minimal impact on existing TCP flows • MSIT testing shows ~6% impact • On by default in WS08 • Off by default in Vista
Dead Gateway Detection Windows Server 2008 & Windows Vista • Dynamic fault tolerance using multiple default gateways • Dynamically fail over to backup link • Changes from WS03 SP1 • Dynamic failback to primary DG • Detect dead gateways in route
Distributed File System DFS Folder Targets DFS Namespace \\SEA-SVR-01\Tools Namespace Server \\Contoso\Public Tools DFS Replication Namespace Root \\NYC-SVR-01\Tools Software Tools Folder Tools \\SEA-SVR-02\Training Folders with Targets Training Guides Training Guides
Updatedfile copy The quick fox jumped The quick fox jumped The quick fox jumped The quick fox jumped MD421 MD411 over the lazy brown dog. over the lazy brown dog. over the lazy brown dog. MD422 over the lazy brown dog. MD412 The dog was so lazy that he didn’t notice The brown dog was MD423 The brown dog was MD413 so lazy that he didn’t notice so lazy that he didn’t notice MD424 the fox jumping over him. MD414 the fox jumping over him. the fox jumping over him. the fox jumping over him. MD425 Enabling Technology - RDC Remote Differential Compression Client Server Original file Updated file Request file MD421 … MD425 [use recursion] Fetch new chunks 3, 4 “The brown dog was” “so lazy that he …”
WS2003 R2 DFSR* • Performance and Scalability Limits • Data buffer copied multiple times for multiple replication partners • Impact on server OS • Limited number of concurrent transfers (4) • Synchronous RPC calls from single replication partner • Time-consuming Dirty Shutdown Recovery procedure • Large staging space requirements * DFSR - DFS Replication
Windows Server 2008 DFSR • SYSVOL-replikointi • Suorituskyvynparannukset • Parannettu Dirty Shutdown Recovery • Read Only Domain Controller (RODC) -tuki
Sysvol DFSR-replikointi Windows Server 2008 domain functional level required • Migration tool provided for migrating from FRS to DFSR replication for upgraded domain controllers • DCs promoted to new Windows Server 2008 forest will use DFSR by default
Demo Windows Server 2008 DFS
Turvaa tietosi Tietoturva laajennukset Windows Server 2008 etätoimipisteessä mahdollistaa tiedon turvaamisen, pienentää “hyökkäys pinta-alaa ja mahdollistaa kontrolloidun palvelinkirjautumisen ja kontrolloidut AD -muutokset. Windows Server 2008 ominaisuudet: Bit Locker Drive Encryption Read Only Domain Controllers. Server Core Haasteet Riski tiedon menettämiselle Ei kontrolloidut AD -muutokset Vaikeudet pienentää palvelimen “hyökkäys pinta-alaa”
Turvaatiedotpalvelimissa Bit Locker Driver Encryption Bit Locker Drive Encryption • Salaakaikkilevyosiot • Mahdollisuusvaikuttaasalaustapoihinjatunnistukseen • AutomaattisestiavaimetvarmuuskopioidaanAD:hen • Suojausennenkäyttöjärjestelmänkäynnistymistä • USB avain, PIN, jaTPM-pohjainentunnistus Turvaa tiedot vaikka palvelimen levyt joutuisivat ulkopuolisten käsiin.
Read OnlyDomainController (RODC) • Tausta ja tavoite • RODC:navulla voidaan viedä autentikointipalvelut lähelle käyttäjiä • Vääriin käsiin joutuneen DC-koneen haittojen minimointi • DC:n hyökkäysrajapinnan pienentäminen • Toteutus • Yksisuuntainen AD-tietokannan replikointi
Salasanojen replikointipolitiikka • Määritys RODC-koneen koneobjektissa • Sallitaan niille, jotka ovat Allow-listalla, mutteivät Deny-listalla
Toiminta varkaudesta toivuttaessa RODC-koneobjektinDelete-operaatio (kun ADUC kytkeytyneenä normaali-DC:hen)
Server Core -roolit ja ominaisuudet Palvelinroolit Ominaisuudet
Demo Server CoreReadOnlyDomainController
Intelligently Control Network Access Reduce the risk of unauthorized access to networked resources Windows Firewall with Advanced Security Helps protect computers from unsolicited inbound and outbound network traffic Programmatically manage the features of Windows Firewall by allowing applications to create, enable, and disable firewall exceptions Server and Domain Isolation Dynamic segmentation of the Windows environment into more secure & isolated logical networks Provides an additional layer of policy-driven protection
Demo Windows Firewall with Advanced Security
Referenssiarkkitehtuurit Siirtyminen • Referenssiarkkitehtuurin kehitys • Microsoft Systems Architecture • Windows Server System ReferenceArchitecture • IPD (Infrastructure Planning and Design) • Tänään ladattavissa seitsemän (7) teknologian oppaat