Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Tech-Ed EMEA 2009 – Tag 4

Posted by JoergS - 12. November 2009

Hi.

Tag 4 und somit der vorletzte Tag der Tech-Ed EMEA 2009 in Berlin.

Für mich standen folgende Vorträge und Themen auf dem Plan:

CLI312 Group Policy Changes for Windows 7 and Windows Server 2008 R2
Presenter: Michael Kleef

  • Windows 7
    • Bisher Funktion als Teil des Winlogon, bei Vista und Win7 jetzt ein eigener Dienst
    • 1500 GPs in XP + 800 Vista + 300 in Win7, über 3000 ADMX Settings
    • Network Location Awareness (NLA) Dienst prüft die Verfügbarkeit eines DC´s, alle 90 min Refresh der GPO´s
    • User.env.log in XP jetzt XML Eventlog Gefiltert auf GPO Events
    • ADM Templates jetzt Sprachunabhänige XML Files ADMX die Sprachen in ADML Dateien
    • In XP nur ein Lokale GPO, nun mehrfache Lokale GPO´s möglich
  • Windows Server 2008 R2
    • SYSVOL Replikation Umstellung auf DFS-R (Windows Server 2008 Domain Mode), alles min. W2k8 DC´s, Self-Healing SysVol
    • Central GPO Store – Kopieren des Lokalen Verzeichnisses „%WINDIR%PolicyDeinitions nach „%SYSVOL%\PolicyDefinitions“
  • PowerShell Scripting in GP, PowerShell cmdlets für GPMC Operationen, GPMC muss installiert sein!
  • Policy Preferences sind keine Policy sondern Empfehlungen, User kann diese Einstellungen ändern, GPO´s sind verbindliche Einstellungen, Client Side Extensions (CSE) müssen installiert werden
  • Vista Update für CSE ist zum Ende des Jahres geplant für Support von Windows 7 Policy Preferences
  • Wireless Policys, PKI Policys, Bitlocker, NAP, Applocker,
  • Advanced Audit Policy Configuration nur Windows 7 und Server 2008 R2, CSE Update für Vista wird das verbessern
  • Immer die neusten GPMC Tools nutzen, nicht neue Windows 7/Server 2008 R“2 GPMC nutzen dann wieder die alte GPMC (Server 2003)

CLI401 Windows 7 and Windows Server 2008 R2 Kernel Changes (*PDC at TechEd)
Presenter: Mark Russinovich

  • Windows 7 und Server 2008 R2 Kernel Version 6.1
  • 64 bit only, Server Core WOW64 optional
  • Windows 7 Footprint Reduzierung gegenüber Vista 10-15 %, über 400 Komponenten
  • Windows Server 2008 R2 Footprint Reduzierung gegenüber Server 2008 10 %
  • Core Parking (auf Server und Hyperthreading Workstations, SMT) und komplette Prozessoren können in Deep Sleep State geschickt werden (Intel Core i5 / i7)
  • Unified Background Process manager, registriert nicht benötige Dienste (Event basierende Dienste), Bluetooth, IP Adress, Domain Join W32, …, Dienste werden gestartet und gestoppt
  • Virtual Accounts NT Service\servicename, managed Accounts, Dienste die isoliert von anderen Diensten im eigenen Security Kontext laufen
  • Managed Service Accounts, AD managed diese Accounts wie Computerkonten
  • Bitlocker 200 MB hide Partition unverschlüsselt zum Start der verschlüsselten Partitionen
  • Bitlocker to Go verschlüsselt USB-Sticks und -Platten, per Passwort oder SmartCard
  • Native VHD Support, Boot von VHDs,Ziel: max. 10% Performance Verlust
  • DFSS Dynamic Fair Share Scheduling – RDS (TS) Sessions werden zwischen allen User gleich behandelt, kein User kann mehr die komplette Performance des TS Servers beeinflußen
  • Support bis zu 256 Cores/prozessoren
  • Entfernen des Dispatcher Lock

SVR401 DirectAccess Technical Drilldown, Part 1 of 2: IPv6 and Transition Technologies
Presenter: John Craddock

  • Direct Access
  • Patch Mmgt, GPOs, Health Check, NAP, RDP, …
  • MAC Adress Privacy – Permanent Interface identifer
  • ZoneID bei mehr NICs
  • Dual IP Stack
  • Transition Technologies:
    • Ipv6 over ipv4
    • IP -> 6to4 ISATAP
    • UDP -> Teredo
    • HTTPS (IP-HTTPS)
  • 6to4
    • 2002:wwxx:yyzz:0:0:0:wwxx:yyzz
    • Wwxx:yyzz ist die IPv4 Adresse als Hex
    • 144.19.200.2 ist dann 9013:c802
  • ISATAP – Intra-Site Tunneling
    • ISATAP Global Block List in DNS aktivieren (dnscmd /query globalblocklist)
    • 10.20.100.55 ist dann fd00:9999:0:100:0:5efe:10.20.100.55
  • IPv4 only Hosts
    • NAT-PT und DNS-ALG wird benötigt
    • Forefront UAG, Support für NAT64 und DNS64
  • Teredo
    • Client hinter 1 oder mehr NATs
    • Teredo Clients spricht mit dem Teredo Server um den NAT Typ rauszufinden
    • 2 IPv4 Adressen für den Teredo Server nötig
    • 2001 Teredo Prefix
    • Teredo Port 35
  • IP-HTTPS
    • Wenn Teredo Port block wird IP-HTTPS als Alternative genutzt
    • Zertikate müssen ausgestellt werden
    • CRL muss erreichbar sein

SVR402 DirectAccess Technical Drilldown, Part 2 of 2: Putting It All Together
Presenter: John Craddock

  • Ipsec
    • Ipsec Tunnel (authenticatied and encrypted)
    • Authenticated connects (computer and user authentication)
    • ESP Tunnel (NULL) zum Direct Acces Endpoint oder ESP Tunnel direkt bis zum App-Server
  • Direct Access über IP-HTTPS ist doppelt verschlüsselt
  • Network Location & Network Resolution
  • Über die HTTPS Website nls.corp.example.com wird über NRPT (Resolution Policy Table) festgestellt ob der Client im Internet ist (DA) oder im CorpNe
  • Direct Access
    • ISATAP Global Block List in DNS aktivieren (dnscmd /query globalblocklist)
    • Computer Zertifikate müssen dem DA Server ausgestellt werden (internal Zertifikate und öffentliches Zertifikate
    • CRL muss verfügbar sein (veröffentlicht)
    • Add Direct Accces Mgmt Console Feature
    • DA Setup
    • Step 1: Computer/User Gruppe für DA Zugriff definieren
    • Step 2: Auswahl der Netzwerkinterfaces für internal und external Netzwerke
    • Zertifkate auswählen für Corp Net und HTTPS Zertifikat für external Name
    • Step 3: Infrastructure Server definieren -> NLS Server auswählen (HTTPS Website) -> NLRP Tabelle wird automatisch erzeugt für corp.example.com und nls.corp.example.com und ggf. noch Isatap.corp.example.com
    • Step 4: App-Server definieren
    • Ggf. End-to-End Authentication einstellen
    • Save + Finish
  • IPSec ESP Null benötigt Server 2008
  • Ipsec über IPv6 kein Support für Windows Server 2003
  • 2 Faktor Authentification benötigt Windows Server 2008 Funktional Level
  • Direct Acces GPO für Windows 7 Clients erstellen
  • DA Server und DA Client MÜSSEN Domain Member sein

SIA403 A Deep Dive on the New Microsoft Forefront Threat Management Gateway
Presenters: David Cross, Donny Rose

  • Web Client Protection
  • Mail Protection (Exchange Edge Rolle + Forefront Protection for Exchange)
  • NIS/NIPS
  • NPS/NAP
  • Remote Access (VPN, SSTP, Secure Publishing)
  • Mgmt Funtionen erweitert
  • Arrays, Load Balancing
  • Malware Inspection nur Outbound NICHT inbound -> UAG
  • HTTP/HTTPS Inspection In und Outbound
  • UTM Unified Thread Management
  • TMG Direct Access per IPv6 only zu Windows Server 2008 kein Support für IPv6 zu Windows Server 2003 -> UAG oder z.B. auch Cisco NAT-PT
  • LLQ Files im TMG Logvereichnis für temp. Downtime des SQL Express Dienstes
  • MRS – Microsoft Reputation Service, Anti-Malware Datenbank für URL-Filtering
  • URL-Filtering User Lizenz nötig zusätzlich zur Prozessor Lizenz
  • VoIP Traversal (kein OCS Support :-(! )
  • ISP Link Redundancy (Load Balancing/Failover)
  • NIS System Updates Erweiterung für 3rd Party auf der Liste aber noch kein Zeitplanplan
  • RTM ???
  • Release ??? in EN/US und Deutschland 

Nach den Session folgte in der Community Halle wieder ein Buffet, an dem ich mich mit Nicki Wruck ausgetauscht habe.

Jetzt gehts noch zur German Language Party im Blue Man Group Haus.

Tech-Ed EMEA 2009 Berlin anzeigen

Na dann, Viel Spass beim selber Testen!
CU

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: