Konfiguracja komputerów mobilnych PAWEŁ PŁAWIAK Training and Development Manager for Microsoft Technology Compendium - Centrum Edukacyjne pawel.plawiak@compendium.pl
Informacje techniczne Pomocy technicznej online przez cały czas trwania sesji udziela Basia Szawarska >>> [Basia / Pomoc techniczna]. Odpowiedzi na najczęściej zadawane pytania znajdziecie na: http://www.wss.pl/frmthread.aspx?tid=91871 Plik z prezentacją jest do pobrania z poziomu klienta Live Meeting.
Statystyki Poprawne odpowiedzi Błędne odpowiedzi 100% 80% 60% 40% 20% 0% 2 8 % 5 7 % 7 2 % 4 3 % 2 9 % 7 1 % 2 7 % 7 3 % 1 sesja 2 sesja 3 sesja 4 sesja 5 sesja 6 sesja 7 sesja 8 sesja 1 9 % 8 1 %
Statystyki Maksymalna liczba uczestników 200 150 100 50 1 4 0 1 4 7 1 3 0 1 1 2 1 0 0 0 1 sesja 2 sesja 3 sesja 4 sesja 5 sesja 6 sesja 7 sesja 8 sesja
Konkurs W trakcie każdego LM (od dziś) w pewnym momencie zostanie przedstawione na slajdzie pytanie. Osoba, która odpowie na nie poprawnie jako pierwsza otrzyma nagrodę koszulkę polo z logo wss.pl. Liczą się odpowiedzi udzielone wyłącznie przez moduł Q&A. 7 szt. Osoby, które w trakcie spotkania lub najpóźniej do godziny 23.00 tego samego dnia prześlą na adres pawel.plawiak@compendium.pl odpowiedź a w sumie odpowiedzą poprawnie na co najmniej 5 pytań będą uczestniczyły w finałowym losowaniu nagród.
Nagrody finałowe Vouchery 100% na egzamin 1 szt. 10 szt. 7 szt. 1 szt.
Tematyka spotkania Konfiguracja DirectAccess konfiguracja strony klienckiej konfiguracja uwierzytelniania wymagania infrastruktury sieciowej Konfiguracja BitLocker i BitLocker To Go konfiguracja polityk BitLocker i BitLocker To Go zarządzanie kodami platformy TPM konfiguracja klucza uruchomienia magazynu wsparcie agentów odzyskiwania danych Konfiguracja opcji mobilnych polityki plików trybu offline buforowanie przezroczyste tworzenie i migrowanie polityk zasilania Konfiguracja połączeń zdalnych ustanawianie połączeń VPN i uwierzytelniania włączanie opcji ponownego połączenia VPN zaawansowane ustawienia kontroli zabezpieczeń korygowanie kwarantanny NAP połączenia dial-up pulpit zdalny publikowanie aplikacji
DirectAccess DirectAccess jest technologią, która ewentualnie może zastąpić tradycyjne połączenia VPN Działanie DirectAccess jest determinowane infrastrukturą IPv6 IPSec
DirectAccess DirectAccess zapewnia użytkownikowi stały dostęp do zasobów bez konieczności logowania DirectAccess jest technologią dwukierunkową DirectAccess umożliwia kontrolę w zakresie dostępności zasobów dla użytkowników i komputerów zdalnych
Działanie DirectAccess Klient inicjuje połączenie (podłączenie do sieci, logowanie) Klient wykrywa, czy jest podłączony do nowej sieci i próbuje dołączyć się do specjanej strony intranetowej (konfiguracja tej strony jest realizowana przez administratora serwera DirectAccess). Jeżeli klient może połączyć się ze specjalną stroną intranetową żadne dodatkowej czynności nie są wymagane. Jeżeli klient nie jest w stanie połaczyć się ze specjalną witryną intranetową wykonywane są następujące czynności: Klient weryfikuje czy jest dostepna macierzysta sieć IPv6 Jeśli sieć macierzysta IPv6 nie jest dostępna, Windows 7 próbuje ustanowić tunel IPv6 over IPv4 na początku wykorzystując 6to4 a następnie technologię Teredo. Jeśli klient nie może ustanowić połączenia z wykorzystaniem Teredo lub 6to4 w związku z działaniem zapory ogniowej lub serwera proxy następuje próba połączenia z wykorzystaniem Internet Protocol-Hypertext Protocol Secure (IP-HTTPS). (IP-HTTPS dokonuje enkapsulacji ruchu IPv6 w połączeniu HTTPS). Zabezpieczona protokołem IPSec sesja DirectAccess zostaje ustanowiona kiedy klient Windows 7 oraz serwer usługi DirectAccess dokonają wzajemnego uwierzytelnienia za pomocą certyfikatów (DirectAccess wspiera uwierzytelnianie wyłącznie za pomocą certyfikatów). Serwer DirectAccess weryfikuje członkostwo w dedykowanej grupie w usłudze Active Directory Domain Services (AD DS), która stanowi element autoryzacji dostępu do usługi DirectAccess. Klient zostaje dołączony do odpowiednich zasobów w sieci korporacyjnej.
Metody połączeń DirectAccess Połączenie klienta Adresacja publiczna IPv6 Adresacja publiczna IPv4 Adresacja prywatna IPv4 (NAT) Klient podłączony do sieci Internet ale bez możliwości połączenia do sieci z uwagi na ograniczenia np. ustawienia zapory ogniowej Metoda połączenia DirectAccess Adresacja publiczna IPv6 6to4 Teredo IP-HTTPS
Konfiguracja klienta DirectAccess DirectAccess wspierany jest wyłączenie w ramach Windows 7 Ultimate i Enterprise dołączonych do domeny Konfiguracja DirectAccess wymaga dodania kont komputerów do specjalnej grupy zabezpieczeń Konfiguracja klienta DirectAccess realizowana jest przez Group Policy Działanie DirectAccess wymaga posiadania przez klienta certyfikatu dla komputera
Polityki konfiguracji klienta DirectAccess (1)
Polityki konfiguracji klienta DirectAccess (2)
Polityki konfiguracji klienta DirectAccess (3) Konfiguracja Teredo Konfiguracja 6to4 Konfiguracja IP-HTTPS
Rozwiązywanie problemów z DirectAccess
Konfiguracja serwera DirectAccess Zainstalowany Windows Server 2008 R2 będący członkiem domeny Dwa interfejsy sieciowe Ważny certyfikat na potrzeby uwierzytelniania serwera (1) Połączenie z Internetem i przypisane do interfejsu dwa następujące po sobie adresy publiczne IPv4 (2) Bezpośrednie połączenie z siecią korporacyjną Utworzona globalna grupa zabezpieczeń (nazwa dowolna)
Konfiguracja serwera DirectAccess DirectAccess Management Console Ważne porty UDP port 3544 >>> ruch Teredo IPv4 protocol 41 >>> ruch 6to4 TCP port 443 >>> ruch IP-HTTPS ICMPv6 and IPv4 Protocol 50 >>> klienci zdalni posiadający adresy IPv6
Wirtualne sieci prywatne DC Poufność danych (ang. Data Confidentiality) DI Integralność danych (ang. Data Integrity) RP Ochrona powtórzeniowa (ang. Replay Protection) DOA Uwierzytelnianie miejsca pochodzenia danych (ang. Data Origin Authentication)
Protokoły VPN PPTP (MPPE) L2TP (IPSec) SSTP (SSL)
Wirtualne sieci prywatne Użytkownicy standardowi mogą tworzyć połączenia VPN
Protokoły uwierzytelniania VPN Smart Card or Other Certificate
Funkcja VPN Reconnect Nowa funkcja Windows 7 Tylko dla IKEv2
Pulpit zdalny Terminal Services Remote Desktop Services Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Remote Desktop Gateway (1) Remote Desktop Gateway (RD Gateway) Umożliwiają użyktownikom z sieci Internet nawiązywanie połączeń Remote Desktop bez konieczności ustanawiania połączeń VPN
Remote Desktop Gateway (2)
Remote Desktop Gateway (3)
Publikowanie aplikacji (RemoteApp) RemoteApp zapewnia dostęp zdalny do programów, który jest uzyskiwany za pośrednictwem usług terminalowych i zachowujący się podobnie do programów uruchamianych na komputerze lokalnym użytkownika. Użytkownicy mogą uruchamiać programy trybu RemoteApp równolegle z programami lokalnymi. Użytkownik może minimalizować i maksymalizować okno programu oraz zmieniać jego rozmiar.
Połączenia dial-up
Konfiguracja połączeń przychodzących
Audyt połączeń zdalnych
BitLocker BitLocker jest funkcją pozwalającą na szyfrowanie całych dysków Windows 7 Enterprise Windows 7 Ultimate Zapewnienie ochrony danych na wypadek kradzieży nawet jeśli sprawca jest w posiadaniu hasła do komputera Zapewnienie ochrony danych w sytuacji sprzedaży/pozbycia się dysku Ochrona integralności środowiska startowego
Tryby BitLocker TPM-only mode BitLocker without a TPM TPM with startup key TPM with PIN and startup key TPM with PIN
Zarządzanie TPM
Konfiguracja Data Recovery Agents (1) DRAs są specjalnymi kontami użytkowników, które można wykorzystać do odzyskania zaszyfrowanych danych
Konfiguracja Data Recovery Agents (2)
Włączanie BitLocker
BitLocker To Go
Przyczyny wyzwalające tryb odtwarzania BitLocker Zmienione środowisko startowe (np. zmodyfikowany jeden z plików startowych) Wyłączony lub wyczyszczony moduł TPM Próba startu bez TPM, PIN, klucza na USB Dołączenie zaszyfrowanego technologią BitLocker woluminu do innego komputera
manage-bde.exe
Pliki trybu offline Pliki trybu offline są funkcją, która umożliwia komputerom przenośnym przechowywanie zawartości zasobów sieciowych File server TRYB ONLINE Client Professional Enterprise Ultimate synchronizacja File server TRYB OFFLINE Client
Offline files - tryby pracy Online mode Auto offline mode Manual offline mode
Polityki trybu offline
Buforowanie transparentne Buforowanie transparentne (ang. transparent caching) zapewnia automatyczne buforowanie plików w zasobach sieciowych. Buforowanie transparentne dostępne jest tylko lokalnie na komputerze i nie zapewnia synchronizacji jak w przypadku plików trybu offline.
Wykluczenia plików trybu offline
Sync Center synchronizacja plików zarządzanie plikami offline rozwiązywanie konfliktów synchronizacji
Konfiguracja folderów udostępnionych w trybie offline
Zarządzanie energią Standard settings Advanced settings
Opcje zasilania Administrators Non-Administrators
Zaawansowane ustawienia planu zasilania Require A Password On Wakeup Turn Off Hard Disk Desktop Background Settings Sleep USB Settings Power Buttons And Lid PCI Express Processor Power Management Display Multimedia Settings Battery
Polityki związane z zasadami zasilania Konfiguracja tylko przez GPO Allow Applications To Prevent Automatic Sleep Allow Automatic Sleep With Open Network Files Turn On The Ability For Applications To Prevent Sleep Transition
Konfiguracja ustawień zasilania z wiersza poleceń
Konfiguracja komputerów mobilnych PYTANIA