Melhores Juntos
Nome
Cargo
Microsoft Brasil
DirectAccess
BranchCache
SMB
Serviços de Área de Trabalho
Remota para VDI
Internet
Cliente
Remoto
Rede
Corporativa
Identidades: Autenticação forte
necessária para todos os usuários
Servidores do
Datacenter
Cliente
Local
Autorização: A integridade da máquina
é validada ou remediada antes da
permissão de acesso à rede
Protecão: Todas as transações de rede
são autenticadas e criptografadas
Diretivas são baseadas na identidade, não no local
DirectAccess
Resolução de Nome:
DNS e NRPT
Proteção a Dados: IPsec
Conectividade: IPv6
Opções do IPv6
O DirectAccess requer IPv6
Se IPv6 nativo não estiver
disponível, clientes remotos
usam Tecnologias de Transição
IPv6
A rede corporativa pode
implantar IPv6 nativo, tecnologias
de transição ou NAT-PT
O DirectAccess funciona melhor se
a Rede Corporativa tiver IPv6 nativo
implantado
Internet
Intranet
NAT-PT
IPv6 Nativo
Tecnologias de Transição IPv6
IPv4
O IPsec integra-se fortemente com o IPv6, permitindo ao mecanismo de regras
determinar quando e como o tráfego deve ser protegido
 Extremidade
 Extremidade
a borda
 Fim a fim
a borda
 Fim a fim
Conexão
DirectAccess
Conexão de
Internet
• Clientes DirectAccess remotos utilizam roteamento inteligente
por padrão
• A Tabela de Diretivas de Resolução de Nome permite que isso
aconteça com eficiência e segurança
• Envia consultas de nome a servidores DNS internos com base em
espaço de nome DNS pré-configurado
Endereço
IP Atribuído
pelo ISP:
Endereço
IPv6 Usado
para
conexão:
privado
IPv6público
nativo
IPv4
6to4
Teredo
IPv6
nativo
Cliente
DirectAccess
IPv6 nativo
6to4
Teredo
IP-HTTPS
• Suporte nativo a IPv6
• Endereços IPv4 públicos
usarão 6to4 para encapsular
o IPv6 dentro do Protocolo IP
41
• Endereços IPv4 privados
usarão Teredo para
encapsular o IPv6 dentro do
UDP IPv4 (UDP 3544)
• Se o cliente não puder
conectar-se ao Servidor do
DirectAccess, o IP-HTTPS fará
a conexão via porta 443
Opções do IPv6
Nativo
- Servidores podem executar qualquer
OS que suporte totalmente o IPv6
- Exige infraestrutura IPv6
- Melhor escolha ao longo do tempo
O DirectAccess funciona melhor se
a Rede Corporativa tiver IPv6 nativo
implantado
Internet
Intranet
ISATAP
- IPv6 dentro do IPv4
- Servidores devem ser Windows
Server 2008 ou R2
- Sem atualizações de roteador
NAT-PT
NAT-PT
- Converte IPv6 em IPv4
- Trabalha com qualquer SO
- O UAG tem isso incorporado
IPv6 nativo
Tecnologias de Transição IPv6
IPv4
Cliente DirectAccess
Internet
Servidor do
DirectAccess
IP-HTTPS
IPsec Criptografado+ESP
Gateway do
IPsec
Descarregamento de Hardware de
IPsec Suportado
Servidor do
DirectAccess
Rede
Corporativa
Sem IPsec
Apenas Integridade
do IPsec
(Autorização)
Gateway do
IPsec
Integridade do IPsec
+ Criptografia
Aplicações de
Linha de Negócios
Servidor do
DirectAccess
Cliente DirectAccess
Túnel 1: Túnel de Infraestrutura
Autorização: Certificado da Máquina
Extremidade: AD/DNS/Gerenciamento
Túnel 2: Túnel de Aplicações
Autorização: Certificado de Máquina + (Kerberos
ou Certificado de Usuário)
Extremidade: Qualquer
Lado do cliente apenas
Requer um ponto à esquerda
Tabela estática que define que servidores DNS o cliente usará para
os nomes listados
Configurável via GPO na Configuração do
Computador|Diretivas|Configurações do Windows|Diretiva de
Resolução de Nome
NRPT
Pode ser visualizado com
.ad.contoso.com
2001:db8:b90a:c7d8::178
diretiva exibir nome
2001:db8:b90a:c7d8::183
NETSH
.lab.contoso.com 2001:db8:b90a:c7a8::202
*.sql.contoso.com
2001:db8:b90a:c7e4::801
Conhecimento do cliente
O cliente deve ter um conhecimento de trabalho básico ou IPsec
e TCP/IP
O cliente deve estar interessado em aprender sobre e implantar
novas tecnologias, como o IPv6
Clientes DirectAccess: Windows 7, máquinas associadas a
domínio
Servidor do DirectAccess: Windows Server 2008 R2,
máquinas associadas a domínio
Servidores DNS suportando clientes DirectAccess devem
ser Windows Server 2008 SP2 ou posteriores
Links lentos e caros de WAN entre os escritórios principal e remotos
•
•
•
Alta utilização do link
Agilidade de aplicações insatisfatória
Tendência para centralização de dados
•
•
•
•
Reduzir utilização da largura de banda
Melhorar a experiência do usuário final
Preservar a segurança e2e
Simples de implantar
ID
Dados
Dados
ID
Dados
ID
ID
Pesquisa
Dados
ID
ID
ID
Dados
Empresa
Cache Distribuído
Cache Hospedado
Dados armazenados em cache entre os clientes
Dados armazenados em cache no servidor host
Recomendado para escritórios remotos
sem infraestrutura
Recomendado para escritórios remotos
maiores
Fácil de implantar: habilitado em
clientes através de Diretiva de Grupo
Cache armazenado centralmente: pode
usar o servidor existente no escritório
remoto
A disponibilidade do cache diminui com
laptops que ficam offline
A disponibilidade do cache é alta
Permite armazenamento em cache em
todo o escritório remoto
Aplicações de Terceiros
Office
CopyFile
Explorer
SharePoint
SMB
Office
HTTP
BranchCache™
BITS
WMP
IE
Diretivas de Grupo para
habilitar clientes
Instale servidores de
conteúdo R2 com recurso
BranchCache™
Cache
Armazenado
IIS
Servidor de Arquivos
Gerenciamento de
Diretivas de Grupo
Opcionalmente, instale um
cache hospedado em seu
escritório remoto.
Deve executar o Server 2008 R2
Servidor HTTP (IIS) - Instale o recurso
BranchCache a partir do Gerenciador de
Servidores
Servidor SMB (Servidor de arquivos) – Instale o
recurso de serviço de função BranchCache dentro
da função de servidor de arquivos usando o
Gerenciador de Servidores
É só...
Identifique o "escritório remoto"
• Um Site do Active Directory
• Uma faixa de endereços IP
• Um conjunto de computadores clientes específicos
Escolha como implantar
• Diretiva de Grupo
• netsh
Implante nos clientes!
• Diretiva de Grupo: Use arquivos ADMX integrados
• netsh: Execute netsh branchcache set service
distributed em todos os clientes relevantes
Configure o cache hospedado
• Instale o recurso BranchCache em um servidor R2
• Instale um certificado de autorização de servidor para
uso com SSL
• Execute netsh branchcache set service
hostedserver no cache hospedado
Identifique a Ramificação
Escolha como implantar
Implante nos clientes!
• Diretiva de Grupo: Use arquivos ADMX integrados
• netsh: Execute netsh branchcache set service
hostedclient location=<> em todos os clientes
• ConfigMgr 2007 SP2 com WS08R2 DP
• Pode ser usado no lugar do Ponto de Distribuição de
Ramificação
• Modo de Cache Distribuído apenas
• O BranchCache não engloba subredes, o BDP abrange
• BranchCache não funciona com o XP, o BDP funciona
• O Vista com BITS 4.0 possui recursos BranchCache
parciais
• Se você tiver um servidor no escritório remoto, torneo um DP (ponto de distribuição)
• O Vista com BITS 4.0 suporta Tráfego HTTP do
BranchCache, mas não SMB
• Pode ser usado com o ConfigMgr 2007 SP2
para atualizações de software
• O DP deve ser o WS08R2
• Atualize o XP para o Windows 7
• Clientes usando o WSUS para atualizações
precisarão do3.0 SP2 para suporte a recursos
do BranchCache no Windows Server 2008 R2.
Streaming HTTP no AppV otimizado usando
BranchCache
Aplicações virtuais têm que atravessar o link de WAN
apenas uma vez
Elimine Servidores do IIS (servidores de preparação do
AppV) no escritório remoto
Suporte disponível no Windows 7 e Windows Server 2008 R2
Objetivos
• Melhorar a agilidade nas respostas do SharePoint e IIS em
escritórios remotos sem a necessidade de infraestrutura
separada
• Capacitar Office Web Apps a ter um melhor desempenho em
escritórios remotos
Integração
• O IIS e o SharePoint precisam ser executados no Windows
Server 2008 R2
• Os usuários nunca recebem conteúdo obsoleto; se o conteúdo
for atualizado, seus identificadores mudam
Suporte disponível para Windows 7 e Windows 2008 R2
• O SMB 2.1 introduz o “Leasing e OpLocks” – mecanismos
para melhorar o comportamento de protocolos no link de
WAN
• A integração do BranchCache assegura que dados
precisem mover-se pelo link WAN apenas uma vez
• O Cache Transparente do SMB permite melhores cenários
móveis
• Arquivos Offline permite acesso mesmo quando o link de
WAN estiver inativo
• Toda a semântica de aplicações em torno de bloqueio são
automaticamente mantidas
Disponível no Windows 7 e Windows Server 2008 R2
Escala
• O cache distribuído se escalona bem até aproximadamente 100
usuários por escritório remoto
•
•
O tráfego de Descoberta WS é uma consideração-chave
Os resultados podem variar
• Altamente dependente do conteúdo, carga de trabalho e padrões de
uso
• A escalabilidade do Cache Hospedado é comparável a cargas de
trabalho de servidores de arquivos padrão
Não faz mal 
Evita necesidade de descobertas
Suporta grupos de trabalho e domínio
Processa hashes em cache durante a publicação
Suporta múltiplas sub-redes no modo Cache Hospedado
Suporta configuração por diretivas e NetSH
Usa HTTP (tcp:80) para bloquear downloads
Usa WS-D (UDP:3702) para descoberta
Suporta IPv4 e IPv6
Suporta monitoramento e relatórios SCOM
Processa conteúdo em cache no caminho da gravação
Suporta descoberta de Cache Distribuído além da sub-rede local
Usa nem requer IPSec
Responde a equivalentes com latência >= 300ms
Requer IPv6
Pode ser acessado durante uma queda na rede WAN
Suporta PowerShell
Suporta cenários em casa ou na Internet
Inicia automaticamente o serviço de servidor por padrão
Fornece ferramentas de migração de cache
Suporta SharePoint 14 em RTM
Limitações do SMB1
Considerado “loquaz”
Desempenho de WAN insatisfatório devido a
limitação de pipelining / combinação
Limites arbitrários no número de usuários, arquivos abertos,
compartilhamentos
O protocolo evoluiu através de várias versões ao longo de muitos anos
Difícil de estender, manter e proteger devido ao grande número/
variedade de comandos
Motivações para o SMB2
O acesso dados via WAN se tornou muito mais comum
O desempenho de LAN aumentou muito
(1Gb atuais, 10Gb futuramente)
Fundou uma base sólida para inovação continuada
A escalabilidade para
compartilhamento de arquivos
cresceu muito
Limites
SMB1
SMB2
Número de usuários
Max 2^16
Max 2^64
Número de arquivos
abertos
Max 2^16
Max 2^64
Número de
compartilhamentos
Max 2^16
Max 2^32
O desempenho melhorou maciçamente
A combinação de solicitações reduz a "loquacidade"
Leituras/gravações maiores podem preencher o pipe com latência de link significativa
Seguro e robusto
Total
SMB1
SMB2
Opcodes
>100
19
Identificadores duráveis
Configurações de assinatura de mensagens aprimorados (o HMAC SHA-256 substitui o MD5)
Pequeno conjunto de comandos reduz a superfície de ataque e a complexidade
Suporte simbólico a links
A avaliação de symlinks envolvendo caminhos remotos é limitada por padrão
Pode ser criado apenas por administradores (via Diretivas de Grupo)
Melhor utilização de WAN
Benefícios devidos à combinação de:
Melhorias no stack TCP
Pipelining de solicitações ao SMB2
Suporte a grandes solicitações do SMB2
Melhorias no CopyFileEx()
Buffers grandes
Assíncrono, sem cache, IO
Solicitação de
Gravação
Resposta de
Gravação
Vista
Pré-Vista
XCOPY, remoto->Local, 1Gb / 100ms RTT
4991
38
249
814
483
8 Mb file
XP-SMB1
700 Mb file
Vista-SMB1
Vista-SMB2
Taxa de transferência
em kb/s
10490
Benefícios dramáticos na enumeração de diretórios do Explorer,
devidos a uma combinação de:
solicitações combinadas/especulativas
armazenamento de diretório e atributos em cache
Para esse cenário, um diretório contendo cerca de 50
arquivos do Excel 2007 foram abertos usando o Windows Explorer
Rede – 1Gb/s, 100ms RTT
Vista SP1 SMB2
Vista SMB1
0
1
2
3
4
Response Time in Seconds
5
Fornecido pela primeira vez no Windows Vista RTM
Nem todos os recursos de protocolo usados pela implementação do
Windows Vista RTM
Dialeto aumentado para o Windows Server 2008 / Windows Vista SP1
Aperfeiçoamentos do Windows Server 2008 / Windows Vista SP1
Usa combinação de solicitações
Cache: enumerações de diretórios e atributos de arquivo
Cache: consultas de compartilhamento comum e propriedades de sistema de
arquivos
OS de
Cliente/Servidor
Windows anterior
Windows Vista RTM
Windows Vista SP1
Windows Server 2008
Windows anterior
SMB 1
SMB 1
SMB 1
Windows Vista RTM
SMB1
SMB2 (v2.001)
SMB 1
Windows Vista SP1
Windows Server 2008
SMB1
SMB 1
SMB2 (v2.002)
Transições diretas
Sincronização mais rápida
Suporte a arquivos grandes como PSTs do Outlook
Criptografia por usuário
"Modo de links Lentos" Aperfeiçoado
Conversão em fantasma – namespace de cliente/servidor
uniforme
Melhor interoperabilidade com o DFS
Suporte gravável a API
Sincronização em Segundo Plano
•
•
•
•
Arquivos offline são sincronizados automaticamente em segundo plano
O modo de links lentos é ATIVADO por padrão (quando a latência de ida e volta ≥ 80ms)
Totalmente integrado com a Central de Sincronização, mostrando o horário da última
atualização
Definições configuráveis para administradores de TI
Abertura e Fechamento de Arquivo de Aplicação aperfeiçoados
•
Otimizações do SMB reduzem as trocas necessárias para abrir e salvar arquivos de
aplicações
Cache Transparente
•
•
•
•
Armazene automaticamente em cache o arquivo de rede no disco do cliente local
A cópia armazenada é usada apenas se as versões local/servidor forem iguais
Todas as modificações de arquivos são feitas no servidor
Administradores podem controlar através de Diretivas de Grupo (não habilitadas por
padrão em redes rápidas)
para VDI
A VDI é tipicamente limitada pela memória e E/S do disco
•
O Windows 7 tem geralmente menos E/S que o Windows XP
•
O Windows 7 geralmente requer mais RAM que o Windows XP
•
O Windows 7 é mais rápido de provisionar que o Windows XP
•
A RAM é um limite artificial temporário
Recomendações:
•
Minimize serviços de sistema desnecessários
•
Minimize o tráfego da rede
•
Protetores e redesenhos de tela afetam a E/S da rede
•
Assegure que aplicações sejam verificadas para eficiência de E/S do disco
•
Certifique-se de que os drivers mais recentes estejam sendo usados
http://blogs.msdn.com/rds/archive/2009/11/02/windows-7-with-rdp7-best-os-for-vdi.aspx
Aero Glass para Servidor de Área de Trabalho Remota
•
Proporciona a mesma aparência nova do Windows 7 quando se usam os
RDS
Suporte Multimídia e Entrada de Áudio
•
Proporciona experiência multimídia de alta qualidade com recursos de
redirecionamento de multimídia
Suporte Real a Vários Monitores
•
Permite aos usuários exibir sua área de trabalho remota em vários monitores
configurados da mesma maneira como se a área de trabalho ou aplicações
fossem executadas localmente
Aceleração de Bitmaps Aperfeiçoada
•
Permite que conteúdo de mídia avançada, como stacks de elementos
gráficos portáteis (Silverlight, Flash) e conteúdo 3D, seja renderizado no host
e enviado como bitmaps acelerados para o cliente remoto
RemoteFX para VDI (Habilitado através do SP1)
•
Experiência de Usuário de última geração controlada pela placa gráfica do
servidor
•
Suportado apenas no Windows 7