Меню Рубрики

Windows 2008 branchcache server

Windows Server 2008 R2: Оптимизация работы в филиалах

С филиалами всегда непросто. Обычно в них нет ИТ-специалистов, поэтому в филиалах сложнее управлять и обеспечивать безопасность среды. Сотрудники филиалов часто страдают от длительных задержек при попытке обратиться к ресурсам, размещенным на серверах головного офиса. В Windows Server 2008 R2 есть несколько функций, которые позволяют решить проблему производительность и безопасности в среде филиалов.

BranchCache

BranchCache позволяет снять остроту проблемы задержек в WAN-каналах, когда пользователи пытаются обратиться к данным в корпоративной сети по WAN-подключению. В BranchCache задача решается путем кеширования часто используемых данных, чтобы их не нужно было каждый раз загружать по WAN-каналу.

Для нормальной работы BranchCache необходимо, чтобы все рабочие станции в филиале работали под управлением Windows 7. Все файловые и веб-серверы в головном офисе должны работать под управлением Windows Server 2008 R2. .

BranchCache может работать в одном из двух возможных режимов. Выбор режима в основном определяется размером филиала. Если в филиале менее 50 пользователей, сервер BranchCache не нужен. В этом случае BranchCache может работать в режиме распределенного кеша. В этом режиме каждая рабочая станция с Windows 7 может кешировать сетевые данные и предоставлять доступ к этому кешу пользователям филиала.

Единственное ограничение на использование режима распределенного кеша заключается в том, что он работает, только если в филиале одна подсеть. Если в филиале имеется несколько подсетей, то рабочие станции будут кешировать данные только в рамках своей подсети.

Другой режим BranchCache больше подходит для крупных филиалов и называется режимом размещенного кеша (Hosted Cache Mode). В этом режиме BranchCache размещается на выделенной машине с Windows Server 2008 R2. Каждой рабочей станции с Windows 7 известно полное доменное имя сервера, к которому она должна обращаться за хранящимся в кеше контентом.

По умолчанию в Windows Server 2008 R2 функциональность BranchCache отключена. Чтобы включить BranchCache, откройте Server Manager на своем сервере BranchCache, щелкните контейнер Features, а затем — ссылку Add Features. В списке доступных функций выберите BranchCache (рис. 1), после чего последовательно щелкните Next, Install и Close.

Рис. 1.Включение функциональности BranchCache

Настройка сервера BranchCache

Процедура настройки BranchCache зависит от типа кешируемого контента. BranchCache может кешировать данные файлового сервера, интрасетевого сервера или сервера приложения BITS. Так как чаще всего BranchCache используют для кеширования данных файлового сервера, я расскажу о настройке именно этого варианта.

Сначала на файловых серверах надо включить службу роли BranchCache for Network Files. Это можно сделать на любом файловом сервере под управлением Windows Server 2008 R2, на котором расположены данные, которые надо кешировать. Для этого добавьте в роль File Server службу роли BranchCache for Network Files (рис. 2).

Рис. 2. На файловых серверах надо включить службу роли BranchCache for Network Files

Затем надо сконфигурировать сервер BranchCache средствами групповых политик. При наличии только одного сервера BranchCache это можно сделать в локальной политике безопасности этого сервера.

Откройте редактор групповых политик Group Policy Editor и в дереве консоли перейдите к узлу Computer Configuration/Policies/Administrative Templates/Network/Lanman Server. Дважды щелкните политику Hash Publication for BranchCache и включите его, выбрав Enabled. Нужно выбрать политику «Allow Hash Publications for All File Shares» (Разрешить публикацию хеша для всех общих папок ) или «Allow Hash Publication for File Shares Tagged with Windows BranchCache Support» (Разрешить публикацию хеша только для общих папок, для которых включена служба BranchCache) (рис. 3). Выполнив выбор, щелкните ОК.

Рис. 3. Надо разрешить публикацию хешей на общих папках

Надо сразу же настроить на сервере BranchCache пространство на жестком диске, выделяемое для хранения кешируемого контента. По умолчанию BranchCache занимает 5% диска. Желательно увеличить это значение, особенно если это выделенный сервер. Настройка выделенного пространства на диске предусматривает изменение реестра, поэтому перед этой операцией рекомендуется сделать полную резервную копию системы. Любые ошибки при изменении реестра могут привести к полной неработоспособности Windows.

Откройте редактор реестра и перейдите к разделу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters. Дважды щелкните параметр HashStorageLimitPercent. Укажите, какую долю (в процентах) диска надо выделить под кешируемые данные (рис. 4). Если параметр HashStorageLimitPercent не существует, его надо создать.

Рис. 4. Средствами реестра можно регулировать объем дискового пространства, выделяемого для BranchCache

Последнее, что нужно сделать при настройке BranchCache, — включить поддержку BranchCache на общих папках с файлами. Для этого щелкните общую папку и выберите Properties. На странице свойств папки перейдите к вкладке Sharing и щелкните кнопку Advanced Sharing, а затем — кнопку Caching. Установите флажки «Only the Files and Programs that Users Specify Are Available Offline» (Только указанные пользователем файлы и программы доступны в автономном режиме) и «Enable BranchCache» (Включить BranchCache) (рис. 5), после чего щелкните OK.

Рис. 5.Нужно включить BranchCache на каждой общей папке с файлами, для которой нужно организовать кеширование

Конфигурирование клиентов BranchCache

После включения на сервере функциональности BranchCache, нужно настроить клиентов филиала. Лучше всего для этого использовать групповую политику компьютеров филиала.

В редакторе групповой политики откройте групповые политики, которые управляют параметрами безопасности филиала. В дереве политик перейдите к узлу Computer Configuration/Policies/Administrative Templates/Network/BranchCache. Здесь есть несколько политик, относящихся к BranchCache. Дважды щелкните параметр Turn on BranchCache, выберите Enabled и щелкните OK. Затем дважды щелкните «Turn on BranchCache – Hosted Cache Mode» выберите Enabled и щелкните OK.

Также нужно включить параметр «BranchCache for Network Files». При включении этого параметра вы сможете определять задержку (в миллисекундах), при превышении которой, при превышении которой будет выполняться кеширование. Иначе говоря, вы сможете кешировать только файлы, доступ к которым требует определенного времени. Это удобно, если в филиале есть файловые сервер и вы хотите, чтобы кешировался только контент, загружаемый с удаленного файлового сервера, или если нужно кешировать очень большие файлы.

В некоторых сетях для нормальной работы BranchCache также потребуется задать правило брандмауэра. В режиме размещенного кеша нужно настроить доступ клиентов на прием HTTP-трафика с сервера BranchCache.

ReКонтроллеры доменов только для чтения

Контроллеры доменов только для чтения (RODC) предоставляют дополнительные средства для поддержки конечных пользователей филиала. Во всех версиях Windows Server, начиная с Windows 2000 Server, использовалась доменная модель со многими хозяевами. Это означает, что изменения Active Directory можно записывать на любом контроллере домена — далее изменения автоматически реплицируются на все контроллеры данного домена.

Однако нельзя напрямую обновить копию базы данных Active Directory на RODC. Обновления можно записывать только на доступные для записи контроллеры доменов. Эти обновления затем реплицируются на все остальные контроллеры данного домена, в том числе на контроллеры RODC.

Есть две причины преимущества использования RODC в филиале. Первая причина — доступность. Контроллер домена выполняет проверку подлинности запросов на вход в домен. Если в локальном филиале нет контроллера домена, пользователи филиала должны проходить проверку подлинности на контроллере домена в главном офисе. Это не только замедляет работу, но при отказе WAN-канала, пользователи филиала не смогут «достучаться» к контроллеру домена.

Разместив контроллер в филиале, можно избежать такой ситуации. При отказе WAN-канала пользователи все равно смогут проходить проверку подлинности. Проблема с развертыванием контроллера домена в филиале заключается в невозможности обеспечить его надлежащую физическую безопасность. Часто машину с контроллером домена размещают в слабо защищенном шкафу и практически не обслуживают.

В таких ситуациях RODC подходят идеально. Их защищенность позволяет компенсировать недостаток физической безопасности. Самое очевидное преимущество RODC в плане безопасности заключается в доступе к Active Directory в режиме только для чтения.

Так как база данных доступна только для чтения, не нужно беспокоиться о том, что кто-то получит физический доступ к контроллеру домена и попытается изменить данные Active Directory, распространив их по все сети. База данных обновляется только тогда, когда на RODC реплицируются обновления с других, полноценных и уполномоченных контроллеров домена.

Еще одна возможность обеспечения безопасности средствами RODC — хранение неполной версии базы данных Active Directory. В базе данных Active Directory обычно хранятся учетные данные все учетных записей пользователей и компьютеров в домене. Однако по умолчанию RODC не хранят никаких учетных данных пользователей или компьютеров. Когда пользователь проходит проверку подлинности, решение о том, кешировать ли пользовательский пароль на RODC, принимается на основе политики репликации паролей на RODC.

Кеширование паролей позволяет гарантировать, что RODC сможет обрабатывать пользовательские запросы на вход в систему. Оно также не позволяет контроллеру домена получить полный набор учтенных данных для входа в домен. На RODC кешируются только учетные данные пользователей данного филиала.

Вместе с тем, если попытаться укрепить безопасность за счет отключения кеширования учтенных данных ан RODC, это может свести на нет все преимущества от развертывания RODC. Все запросы на проверку подлинности должны будут обрабатываться полноценным контроллером домена.

Развертывание RODC

Перед развертыванием RODC надо обеспечить, чтобы функциональный уровень леса Active Directory был не ниже Windows Server 2003. Также нужно использовать ADPREP (ADPREP /ForestPrep), чтобы подготовить лес Active Directory, а также домен для размещения RODC (команда ADPREP/DomainPrep /gpprep).

Если домен обслуживается контроллерами под управлением Windows Server 2003, надо выполнить команду ADPREP с параметром /rodcprep. Не забудьте также до развертывания RODC, что в среде должен быть как минимум один доступный для записи контроллер домена под управлением Windows Server 2008 или 2008 R2.

В остальном процесс развертывания RODC прост. При запуске утилиты Dcpromo для повышения роли сервера до контроллера домена в мастере можно выбрать флажок, указывающий, что нужно установить контроллер с доступом только для чтения (рис. 6)

Рис. 6.Выберите соответствующий флажок, чтобы установить контроллер домена, доступный только для записи.

Кешированием учетных записей на RODC управляет политика Password Replication Policy. В сущности это список, который определяет пользователей и группы, учетные данные которых подлежат репликации наRODC. При построении списка вы можете разрешать или запрещать репликацию пароля пользователя или группы.

Не стоит включать репликацию административных паролей. Также нужно выделить пользователей, пароли которых надо реплицировать, в отдельную группу безопасности Active Directory. Тогда репликацией паролей отдельных пользователей можно управлять, просто добавляя или удаляя их из этой группы. Помните, что при противоречии в политиках у запрещений приоритет всегда выше.

Управлять политикой Password Replication Policy можно средствами консоли Active Directory Users and Computers. Разверните узел контроллера домена, щелкните правой кнопкой значок своего RODC и выберите Properties. Откроется окно свойств RODC. Параметры политики Password Replication Policy находятся на одноименной вкладке (рис. 7).

Рис. 7. Управление репликацией учетных данных пользователей

Перегрузка WAN-канала может стать серьезной проблемой в филиалах, но развертывание BranchCache и локальных RODC-контроллеров позволяет значительно разгрузить WAN-канал, обеспечив при этом повышение безопасности. Все это позволит значительно повысить удобство работы ваших пользователей в филиалах.

Источник

Руководство по развертыванию BranchCache BranchCache Deployment Guide

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

С помощью этого руководства можно узнать, как развернуть BranchCache в Windows Server 2016. You can use this guide to learn how to deploy BranchCache in Windows Server 2016.

Помимо этого раздела, в этом руководстве содержатся следующие разделы. In addition to this topic, this guide contains the following sections.

Общие сведения о развертывании BranchCache BranchCache Deployment Overview

BranchCache — это технология оптимизации пропускной способности глобальной сети (WAN), включенная в некоторые выпуски Windows Server 2016, Windows Server ® 2012 R2, Windows server ® 2012, windows Server ® 2008 R2 и связанные клиентские операционные системы Windows. BranchCache is a wide area network (WAN) bandwidth optimization technology that is included in some editions of Windows Server 2016, Windows Server® 2012 R2, Windows Server® 2012, Windows Server® 2008 R2, and related Windows client operating systems.

Для оптимизации пропускной способности глобальной сети служба BranchCache копирует данные с серверов содержимого главного офиса и помещает их в кэш на компьютерах филиала, что позволяет обеспечить для клиентских компьютеров в филиалах локальный доступ к данным вместо доступа по глобальной сети. To optimize WAN bandwidth, BranchCache copies content from your main office content servers and caches the content at branch office locations, allowing client computers at branch offices to access the content locally rather than over the WAN.

В филиалах содержимое кэшируется на серверах, на которых выполняется функция BranchCache в Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2. Если в филиале нет доступных серверов, содержимое кэшируется на клиентских компьютерах, работающих под управлением Windows 10 ® , windows ® 8,1, Windows 8 или Windows 7 ® . At branch offices, content is cached either on servers that are running the BranchCache feature of Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , or Windows Server 2008 R2 — or, if there are no servers available in the branch office, content is cached on client computers that are running Windows 10®, Windows® 8.1, Windows 8, or Windows 7® .

После того как клиентский компьютер запрашивает и получает содержимое из основного или облачного центра обработки данных, а содержимое кэшируется в филиале, другие компьютеры в том же филиале могут получить содержимое локально, а не обращаться к серверу содержимого по каналу WAN. After a client computer requests and receives content from the main office or cloud datacenter and the content is cached at the branch office, other computers at the same branch office can obtain the content locally rather than contacting the content server over the WAN link.

Преимущества развертывания BranchCache Benefits of deploying BranchCache

BranchCache кэширует файлы, веб-приложения и содержимое приложений в филиалах, что позволяет клиентским компьютерам получать доступ к данным через локальную сеть (LAN), а не к содержимому через медленные подключения WAN. BranchCache caches file, web, and application content at branch office locations, allowing client computers to access data using the local area network (LAN) rather than accessing the content over slow WAN connections.

BranchCache сокращает трафик WAN и время, необходимое для пользователей филиала по открытию файлов в сети. BranchCache reduces both WAN traffic and the time that is required for branch office users to open files on the network. BranchCache всегда предоставляет пользователям самые последние данные и обеспечивает защиту содержимого путем шифрования кэшей на сервере размещенного кэша и на клиентских компьютерах. BranchCache always provides users with the most recent data, and it protects the security of your content by encrypting the caches on the hosted cache server and on client computers.

Содержание руководства What this guide provides

Это руководство по развертыванию позволяет развертывать BranchCache в следующих режимах: This deployment guide allows you to deploy BranchCache in the following modes:

Режим распределенного кэша. Distributed cache mode. В этом режиме клиентские компьютеры филиала загружают содержимое с серверов содержимого в основном офисе или в облаке, а затем кэшируют содержимое для других компьютеров в том же филиале. In this mode, branch office client computers download content from the content servers in the main office or cloud, and then cache the content for other computers in the same branch office. В режиме распределенного кэша не требуется серверный компьютер в филиале. Distributed cache mode does not require a server computer in the branch office.

Режим размещенного кэша. Hosted cache mode. В этом режиме клиентские компьютеры филиала загружают содержимое с серверов содержимого в основном офисе или в облаке, а сервер размещенного кэша извлекает содержимое с клиентов. In this mode, branch office client computers download content from the content servers in the main office or cloud, and a hosted cache server retrieves the content from the clients. Затем сервер размещенного кэша кэширует содержимое для других клиентских компьютеров. The hosted cache server then caches the content for other client computers.

В этом руководство также приводятся инструкции по развертыванию трех типов серверов содержимого. This guide also provides instructions on how to deploy three types of content servers. Серверы содержимого содержат исходное содержимое, которое загружается клиентскими компьютерами филиала, а для развертывания BranchCache в любом режиме требуется один или несколько серверов содержимого. Content servers contain the source content that is downloaded by branch office client computers, and one or more content server is required to deploy BranchCache in either mode. Типы серверов содержимого: The content server types are:

Серверы содержимого на основе веб-сервера. Web server-based content servers. Эти серверы содержимого отправляют содержимое на клиентские компьютеры BranchCache с помощью протоколов HTTP и HTTPS. These content servers send content to BranchCache client computers using the HTTP and HTTPS protocols. Эти серверы содержимого должны работать под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 или версий Windows Server 2008 R2, поддерживающих BranchCache и установленного компонента BranchCache. These content servers must be running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 versions that support BranchCache and upon which the BranchCache feature is installed.

Серверы приложений на основе BITS. BITS-based application servers. Эти серверы содержимого отправляют содержимое на клиентские компьютеры BranchCache с помощью фоновая интеллектуальная служба передачи (BITS). These content servers send content to BranchCache client computers using the Background Intelligent Transfer Service (BITS). Эти серверы содержимого должны работать под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 или версий Windows Server 2008 R2, поддерживающих BranchCache и установленного компонента BranchCache. These content servers must be running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 versions that support BranchCache and upon which the BranchCache feature is installed.

Серверы содержимого на основе файлового сервера. File server-based content servers. Эти серверы содержимого должны работать под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 или версий Windows Server 2008 R2, поддерживающих BranchCache и установленной роли сервера файловых служб. These content servers must be running Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , or Windows Server 2008 R2 versions that support BranchCache and upon which the File Services server role is installed. Кроме того, необходимо установить и настроить службу роли BranchCache для сетевых файлов роли сервера файловых служб. In addition, the BranchCache for network files role service of the File Services server role must be installed and configured. Эти серверы содержимого отправляют содержимое на клиентские компьютеры BranchCache с помощью протокола SMB. These content servers send content to BranchCache client computers using the Server Message Block (SMB) protocol.

Требования к развертыванию BranchCache BranchCache deployment requirements

Ниже приведены требования к развертыванию BranchCache с помощью этого руководством. Following are the requirements for deploying BranchCache by using this guide.

Для обеспечения функциональных возможностей BranchCache серверы файлов и веб-содержимого должны работать под управлением одной из следующих операционных систем: windows Server 2016, windows Server 2012 R2, windows Server 2012 или windows Server 2008 R2. File and Web content servers must be running one of the following operating systems to provide BranchCache functionality: Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , or Windows Server 2008 R2 . Клиенты Windows 8 и более поздних версий по-прежнему видят преимущества BranchCache при доступе к серверам содержимого под управлением Windows Server 2008 R2, однако они не могут использовать новые технологии создания блоков и хэширования в Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012. Windows 8 and later clients continue to see benefits from BranchCache when accessing content servers that are running Windows Server 2008 R2 , however they are unable to make use of the new chunking and hashing technologies in Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012.

Клиентские компьютеры должны работать под управлением Windows 10, Windows 8.1 или Windows 8, чтобы использовать самую последнюю модель развертывания, а также улучшения фрагментации и хэширования, появившиеся в Windows Server 2012. Client computers must be running Windows 10, Windows 8.1, or Windows 8 to make use of the most recent deployment model and the chunking and hashing improvements that were introduced with Windows Server 2012 .

Серверы размещенного кэша должны работать под управлением windows Server 2016, windows Server 2012 R2 или windows Server 2012, чтобы использовать улучшения развертывания и функции масштабирования, описанные в этом документе. Hosted cache servers must be running Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012 to make use of the deployment improvements and scale features described in this document. Компьютер, работающий под управлением одной из этих операционных систем, настроенный в качестве сервера размещенного кэша, может продолжать обслуживать клиентские компьютеры под управлением Windows 7, но для этого он должен иметь сертификат, подходящий для протокола TLS, как описано в разделе руководства по развертываниюwindows Server 2008 R2 и Windows 7 BranchCache. A computer that is running one of these operating systems that is configured as a hosted cache server can continue to serve client computers that are running Windows 7 , but to do so, it must be equipped with a certificate that is suitable for Transport Layer Security (TLS), as described in the Windows Server 2008 R2 and Windows 7 BranchCache Deployment Guide.

Домен Active Directory необходим, чтобы воспользоваться преимуществами групповая политика и автоматического обнаружения размещенного кэша, но для домена не требуется использовать BranchCache. An Active Directory domain is required to take advantage of Group Policy and hosted cache automatic discovery, but a domain is not required to use BranchCache. Можно настроить отдельные компьютеры с помощью Windows PowerShell. You can configure individual computers by using Windows PowerShell. Кроме того, не требуется, чтобы контроллеры домена работали под Windows Server 2012 или более поздней версии, чтобы использовать новые параметры групповая политика BranchCache. Административные шаблоны BranchCache можно импортировать на контроллеры домена, работающие под управлением операционных систем более ранних версий. Кроме того, можно выполнить удаленное создание объектов групповой политики на других компьютерах под управлением Windows 10, Windows Server 2016, Windows 8.1, Windows Server 2012 R2, Windows 8 или Windows Server 2012. In addition, it is not required that your domain controllers are running Windows Server 2012 or later to utilize new BranchCache Group Policy settings; you can import the BranchCache administrative templates onto domain controllers that are running earlier operating systems, or you can author the group policy objects remotely on other computers that are running Windows 10, Windows Server 2016, Windows 8.1, Windows Server 2012 R2, Windows 8, or Windows Server 2012.

Active Directory сайты используются для ограничения области серверов размещенного кэша, которые обнаруживаются автоматически. Active Directory sites are used to limit the scope of hosted cache servers that are automatically discovered. Для автоматического обнаружения сервера размещенного кэша клиентские и серверные компьютеры должны принадлежать одному сайту. To automatically discover a hosted cache server, both the client and server computers must belong to the same site. BranchCache предназначен для минимального воздействия на клиенты и серверы и не требует дополнительных требований к оборудованию, помимо тех, которые необходимы для работы соответствующих операционных систем. BranchCache is designed to have a minimal impact on clients and servers and does not impose additional hardware requirements beyond those needed to run their respective operating systems.

Журнал и документация по BranchCache BranchCache history and documentation

Служба BranchCache впервые появилась в Windows 7 ® и Windows server ® 2008 R2 и была улучшена в операционных системах windows Server 2012, Windows 8 и более поздних версий. BranchCache was first introduced in Windows 7® and Windows Server® 2008 R2, and was improved in Windows Server 2012, Windows 8, and later operating systems.

При развертывании службы BranchCache в операционных системах, отличных от Windows Server 2016, доступны следующие ресурсы документации. If you are deploying BranchCache in operating systems other than Windows Server 2016, the following documentation resources are available.

  • Сведения о BranchCache в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 см. в статье Общие сведения о BranchCache. For information about BranchCache in Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2, see BranchCache Overview.
  • Сведения о BranchCache в Windows 7 и Windows Server 2008 R2 см. в разделе BranchCache для Windows server 2008 R2. For information about BranchCache in Windows 7 and Windows Server 2008 R2, see BranchCache for Windows Server 2008 R2.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Windows 2008 boot recovery
  • Windows 2003 увеличить размер диска
  • Windows 2003 синий экран при установке
  • Windows 2003 серый экран
  • Windows 2003 расширить системный диск