11

WIN408 - Nouveautés réseau de Windows Server 2008 R2

Arnaud LheureuxLead Security Premier Field EngineerMicrosoft EMEA CSS

22

Agenda

Architecture, Hautes performances, gestion de l’énergie

Dépannage & architecture de traçageNouveaux scénarii

BranchCache, DirectAccess, VPN Reconnect, DNSSec

Amélioration des servicesDHCP, NAP

33

Architecture, Hautes performances, gestion de l’énergie

44

Gestion de l’énergie

Meilleur support de la mise en veilleConditions de réveil dépendent du contexte réseau (Windows 6.1

ajoute le support de TCP SYN et 802.1x) au bitmap et magic packetGestion de l’énergie pour les réseaux filaires

Lorsque le câble réseau est déconnecté, passage en mode D3Ré-établissement en D0 à la connexion du câbleNécessite un support matériel (*DeviceSleepOnDisconnect)

Wifi basse consommationNégociation avec le point d’accès avant de passer en basse

consommation Gestion de l’énergie pour les réseaux sans fil

Support de WoWLAN

55

Hautes performances – Hyper-V

Support du task offloading:LSOv2, IPv6, Jumbo Frames

Support de TCP Chimney pour les VMActivé par défaut lorsque cela est possibleNouveaux compteurs PerfMon et interfaces netsh pour le monitoring et la configuration

Architecture de VM Queues Création des files VM avec Classification des paquets reçus pour chaque VM au niveau hardwareApplication du VLAN filtering en hardwareDMA depuis les VMRépartition sur les multiples cœurs CPU pour de multiples VMMeilleure montée en charge réseau et consommation CPU du parent

moindreNécessite un support matériel (*VMQ)

66

Network I/O Data Path

Parent Partition VM1 VM2

Ethernet

VM BUS

TCP/IP TCP/IP

VM NIC 1

VM NIC 2

Virtual Machine Switch

NIC

MiniportDriver

RoutingVLAN Filtering

Data Copy Port 1Port 2

77

Network I/O Data Path with VMQ

Parent Partition VM1 VM2

Ethernet

VM BUS

TCP/IP TCP/IP

VM NIC 1

VM NIC 2

Virtual Machine Switch

MiniportDriver

Switch/Routing unit

Q1 DefaultQueueQ2

RoutingVLAN filtering

Data Copy Port 1Port 2

NIC

88

Répartition de charge et haute dispo

Comment gérer la répartition de charge réseau et la haute dispo ?

Très demandé Repose sur les fonctionnalités de teaming offertes par les

constructeursSolutions basées sur 802.3ad fournies par les principaux

constructeurs sont compatibles avec Hyper-V R2Support de VMQ dépend des capacités de ces

(hardware+drivers)

99

Répartition de charge et haute dispo

Parent Partition VM1 VM2

VM BUS

TCP/IP TCP/IP

VM NIC 1

VM NIC 2

Virtual Machine Switch

NIC 1

MiniportDriver

RoutingVLAN Filtering

Data Copy Port 1Port 2

NIC 2

MiniportDriver

LBFO Driver

Team NIC

Switch

1010

Architecture de dépannage

Network Diagnostic Framework, Unified Tracing

1111

Network Diagnostic Framework

Ensemble de technologies pour aider au diagnostic des problèmes réseaux courantsAmélioré dans 2008 R2

Diagnostic plus précis, ajouts de scénariosInvocation directe dans l’interface « Centre de réseau & partage »Nouvelles actions de corrections inclues

Support du tracing unifiéTracing combinant composants Windows et trace réseau dans un

même fichier (trace ETL)Permettre de créer un package global contenant les évènements

système et leur traduction réseauExploitable avec Network Monitor, Event Viewer

1212

Windows Unified Tracing

Tracing unifié permet de tracer les composants du système basé sur des scénarios (18 par défaut)

Netsh trace sh scenarios

Address Acquisition

Direct Access File Sharing Internet

ClientInternet Server

L2SEC LAN Layer 2 MBN NDIS

Net Connection

P2P Grouping P2P PNRP Remote

Assistance RPC

WCN WFP IPsec

1313

Network Diagnostic Framework – GUI

1414

Network Diagnostic Framework – CLI

Invocation du diagnostic en ligne de commande via netsh netsh trace diagnose scenario=InternetClient

Diagnosing 'InternetClient' ... doneRoot causes found: 1Root cause #1--------------The DNS server isn't respondingRepairs available: 1 Repair #1 ---------- Contact your network administratorThe DNS server isn't responding.

1515

Utilisation du tracing unifié

Exemple de dépannage pour obtention d’adresse IPNetsh trace start scenario=AddressAcquisition capture=yes report=yesReproduction du problèmeNetsh trace stopRécupération et analyse de la trace ETL et du package NetTrace.cab dans %userprofile%\appdata\local\temp\nettraces

Contenu du package généré : paramètres de configuration relatifs au scenario, journaux d’évènements, compteurs de performance, version des pilotes, etc.

1616

Démo

Mise en œuvre du dépannage et des traces intégrées

1717

Intégration des Best Practices Analyzer

Intégration dans l’OS des BPA en interface graphique et PowershellDans le gestionnaire de serveur, accessible pour chaque rôleEn PS : Import-Module BestPractices

Fonctionne en local et à distance (via les composants RSAT des rôles respectifs)Permet d’évaluer les rôles réseau suivants:

DNSDHCPIISRDSNPAS (NPS, RRAS, HRA)

Evalue la configuration en fonction des prérequis fondamentaux, de la configuration de base, du fonctionnement normal, de la sécurité

1818

Best Practices Analyzer - DNS

Points de contrôle pour le rôle de serveur DNSConfiguration

DNS servers doit pointer sur lui-même Interface réseau doit avoir une information DNSAddresse IP du serveur DNS est valide Utilisation d’un serveur secondaireAddresse IP statiqueInterfaces réseau valide doivent être avant les non-valides

dans le binding orderOperations

Serveur peut résoudre son nom et localiser les ressources du domaine

1919

Nouveaux scénarii

DirectAccess, BranchCache, VPNReconnect, DNSSec

2020

Serveur DirectAccess

Client conforme

Client conforme

IPsec/IPv6

Ressources critiques (serveurs dans datacenter)

Serveur NAP / NPS

Internet

Utilisateur interneInfrastructure

Utilisateur interne

IPsec/IPv6

IPsec/IPv6

Clients ont un accès sécurisé transparent avec IPsec

Le trafic vers le réseau d’entreprise est routé au serveur Direct Access (Windows Server 2008 R2)

Utilisation de NAP pour le contrôle dynamique du périmètre

Fonctionnement de DirectAccess

IPv6 natif, tunnel dans IPv4,UDP, TLS, etc.

2121

Avantages de DirectAccess

Transparent

Internet ou réseau

d’entreprise sécurisé

Connexion automatique

Sécurisé

Chiffré par défaut

Contrôle serveur par

serveur Support de

l’authentification par

smartcardPolitique de

santé toujours en application

Manageable

Assistant de création de stratégies

Clients sont toujours

connectés au réseau

d’entreprise

Coût de possession

Stratégies d’access

grandement simplifiées

Pas de configuration

utilisateur

Pas de configuration complexe par

application

2222

IPv6 – Depuis Internet

IPv6 natifAddresse IPv4 public : utilisation de 6to4 pour encapsulation dans IPv4(protocole 41)Adresse IPv4 privée : utilisation de Teredo : IPv4 UDP (UDP 3544)

Sinon, utilisation de IP-HTTPS à travers le port tcp/443

Adresse IP du FAI

Public IPv4

Client DirectAcces

s

Adresse IPv6

utilisée

6to4Private IPv4

IPv6 Natif TeredoIPv6 natif

IPv6 natif

6to4

Teredo

IP-HTTPS

2323

IPv6 – Réseau interneSupport natif- Demande une mise à jour de

l’infrastructure et des machines- Décision stratégique de

l’entreprise

- ISATAP- IPv6 dans un routage et paquet

IPv4- Serveurs doivent être Server 2008

ou 2008 R2- Pas besoin de changement dans le

routage interne

Translation réseau- Traduit IPv6 en IPv4- Fonctionne avec tous les OS- Compatibilité applicative limité- UAG implémente NAT64/DNS64

IPv6 sur le LAN

IntranetInternet

NAT64/DNS64

Native IPv6

IPv6 Translation Technologies

IPv4

2424

Prérequis pour DirectAccess

FormationIPv6IPsecPKINAP (optionnel)

Clients DirectAccess : Windows 7, machines du domaineServeur DirectAccess :

Windows Server 2008 R2, joint au domaine2 adresses IPv4 publiques consécutives

Serveur DNS utilisé par clients DirectAccess doit être Windows Server 2008 SP2 à minima

2525

VPN Reconnect

« Je voudrais que mon VPN se reconnecte automatiquement »Ajoute une méthode additionnelle de connexion inclue par

défaut dans l’OSservers: Windows Server 2008R2Clients : Windows 7

S’ajoute à: L2TP/IPsecPPTPSSTP

Différence majeure avec DirectAccess? Pas transparent, besoin d’initier une première connexion

2626

InternetInternet

Serveurs

Réseau d’entreprise

2008R2RRAS

Client Windows 7

Accès au réseau d’entreprise via Internet sur un câble RJ45L’utilisateur se connecte à un point d’accès sans filVPN Reconnect permet a la session d’être rétablie de manière transparente

Fonctionnement de VPN Reconnect

Connexion au réseau

d’entreprise

Autre connexion internet

Tunnel VPN Reconnect

Utilisateur connecté à

Internet

2727

VPN Reconnect – IKEv2

Implémentation de IKEv2 (RFC4306)Phase I – Main Mode

Gestion & negociation des clésDiffie-Hellman inc. Modular Exponential (MODP) group 2, 5, and 14

AuthentificationParamètres de sécurité et canal sécurisé pour la phase II

Phase II – Quick ModeGestion des données

Utilisation de la SA MMParamètres de sécurité pour les communications

EncapsulationAlgorithme de hashAlgorithme de chiffrement

Trafic VPN envoyé au serveur VPN Reconnect dans le tunnel négocié en Quick Mode IKEv2

2828

VPN Reconnect – MOBIKE

Defini et permet la mobilité pour IKEv2Ré-établissement de la session (mise à jour de SA) sans

renégociation complèteEconomie de trafic (et de temps si latence importante)Economie de cycles CPU

Prévoit la sélection d’adresses lorsque plusieurs sont disponibles (côté serveur et côté client)Négociation complète IKEv2 # 4-8 Ko contre 500 octets pour ne

mise à jour de SA avec MOBIKEMeilleur support de la montée en charge (comparé à IKEv1)

pour le serveur VPN

2929

Démo

VPN Reconnect en action

3030

BranchCache

Framework pour l’optimisation de la bande passante entre un site central et une succursalePermet d’éviter les aller-retour réseau pour la consommation

des données Via un serveurVia un ensemble de machines

Protocoles mis en cache : SMB, HTTP ET HTTPS

3131

Get

GetID

Get

Data

Cache distribué

Get

IDData

Data

3232

Get

GetID

Put

Data

Cache dédié

Get

DataID

Search

Get

Sear

ch

Request

Offer

ID

ID

ID

Data

ID

Data

3333

Architecture – Optimisation HTTP

http.sys

IIS

BranchCache

wininet

Open URL

“Branch Cache Capable” Get data

Data

Data

Data

H1 H2 H4 H5Hashlist

Hashlist

HashlistHashlist

Data

Data

H3

BranchCache

IE

3434

DNSSec – Pourquoi ?

DNS est par définition un protocole qui n’inclus aucune considération de sécritéIl s’agit pourtant d’une pierre angulaire de l’InternetProblème:

Spoofing des réponses à tous les niveaux de cache peuvent survenir

Vilain pirate Vilain pirateVilain pirate

Client DNS Cache DNS Résolveur Serveur autoritaire

3535

DNSSec – Comment ?

DNSSec est une série d’extensions à DNS,décrites dans RFC 4033, 4034, 4035Solution proposée:

S’assurer que la réponse n’a pas été modifiée en routeS’assurer qu’une machine n’existe pasS’assurer que la réponse provient bien de la source autoritaire

Introduit la notion de signature de zoneEnregistrements additionnels dans une zone supportant DNSSec:

RRSIG : signature d’une réponseDNSKEY : clé publique de zoneDS : délégation sécuriséNSEC : prochain enregistrement sécurisé

A chaque modification la zone doit être signée a nouveauImpossible pour les zones à mises à jour dynamiques

3636

DNSSec – En pratique

Contrairement à DNS, pas de racine, il s’agit donc d’unifier les ilots de confiance (anchor points)A la création de votre zone publique sécurisée par DNSSec,

besoin de publier votre anchor pointSupport du client : Windows 7Support côté serveur : Windows Server 2008 R2

Après chaque mise à jour de la zone signée:1. Export de la zone dans un fichier2. Signature de la zone dans un fichier3. Dans DNS, forcer le rechargement de la zone à partir du

fichierDNSCMD.EXE est votre nouvel ami

3737

Amélioration des services

DHCP, NAP

3838

Nouveautés de DHCP 1/2

Protection des noms - RFC 4701Enregistrement dynamique des entrées A et PTR peut créer dupliquas si

clients proviennent de serveurs différentsEnregistrement de type DHCID dans le DNS permet d’identifier un client de

manière uniqueHash SHA-256 (client identifier+fqdn)

Filtrages MACPermet de contrôler l’attribution d’adresses IP par scopes

En fonction d’une liste blancheEn fonction d’une liste noireOu les deux

Forme: 11-22-*-*-*-*11-22-33-*-*-*11-22-33-44-55-66

3939

Nouveautés de DHCP 2/2

AuditionPossibilité d’auditer les activités de changements de configuration du

serveur Applications and Services Logs > Microsoft > Windows > DHCP Server >

Microsoft-Windows-DHCP Server Events/OperationalSupport d’IPv6

Ajout de l’option 15 – User ClassAjout de l’option 32 – Refresh Time

SplitScope WizardAssiste à la mise en place de la règle des 80/20 pour la répartition des

adressesAjoute automatiquement l’autre partie du scope et les exclusions

adéquates sur le serveur partenaireSpécification par scope de la latence de réponse souhaitée

4040

Démo

Utilisation de l’assistant Split Scope

4141

Nouveautés de NAP et NPS 1/2

NPS est un élément central de Network Access ProtectionValide les déclarations d’état de santé et les compare a la stratégie

de santé pour l’ensemble des moyens d’isolationMultiples configurations de SHV par serveur

Windows Server 2008 supporte uniquement un état de configuration par SHV et par serveurWindows Server 2008 R2 support de multiples configurations de

SHV sur la même machineAmélioration de la journalisation

Assistant pour la mise en œuvre, nouveau format DTS (XML)Création de la base SQL intégréPossibilité de journalisation simultanée (fichier+SQL)Possibilité de journalisation après échec (SQL et fichier)

4242

Nouveautés de NAP et NPS 2/2

Gestion des modèlesDéploiement facile et centralisé des stratégies d’accèsEléments pris en compte:

RADIUS shared secretRADIUS clientsRemote RADIUS serversIP filtersHealth policiesRemediation server groups

Les paramètres de modèles sont hérités dynamiquement du modèleUne stratégie qui utilise un modèle local sera modifiée si le modèle change

Utilisable également en exports par scripts netshConnexion et synchronisation à un autre serveur NPS

Synchronisation manuelle uniquement

4343

Démo

Gestion centralisé des stratégies avec NPS

4444

Conclusion

Windows Server 2008 R2 apporte les briques élémentaires assurant les performances et la sécurité de la plateformeContinue d’apporter de l’innovation dans les protocoles et

composants de baseApporte tout un lot de nouveaux scenarios permettant une

plus grande productivité et pérennité à l’infrastructure et au réseauAssurant à faible cout de possession un ensemble plus riche de

fonctionnalités

4545

Questions?

4646

Références

DirectAccess - http://www.microsoft.com/directaccessBranchCache - http://www.microsoft.com/branchcache VPN Reconnect - http://technet.microsoft.com/en-us/library/dd637830(WS.10).aspxScalable Networking with RSS - http://www.microsoft.com/whdc/device/network/ndis_rss.mspxHigh Speed Networking - http://technet.microsoft.com/en-us/network/dd277644.aspx Performance Tuning Guidelines for Windows Server 2008 R2 - http://www.microsoft.com/whdc/system/sysperf/Perf_tun_srv-R2.mspxIKEv1 and IKEv2: A Quantitative Analyses - http://www.math-info.univ-paris5.fr/~seret/paperb4F.pdf