- BranchCache
- Настройка сервера BranchCache
- Канфігураванне кліентаў BranchCache
- ReКонтроллеры даменаў толькі для чытання
- разгортванне RODC
Функцыянальнасць BranchCache і кантралёры дамена толькі для чытання дазваляюць моцна спрасціць працу карыстальнікаў у філіялах.
З філіяламі заўсёды няпроста. Звычайна ў іх няма ІТ-адмыслоўцаў, таму ў філіялах складаней кіраваць і забяспечваць бяспеку асяроддзя. Супрацоўнікі філіялаў часта пакутуюць ад працяглых затрымак пры спробе звярнуцца да рэсурсаў, размешчаных на серверах галаўнога офіса. У Windows Server 2008 R2 ёсць некалькі функцый, якія дазваляюць вырашыць праблему прадукцыйнасць і бяспекі ў асяроддзі філіялаў.
BranchCache
BranchCache дазваляе зняць вастрыню праблемы затрымак у WAN-каналах, калі карыстальнікі спрабуюць звярнуцца да дадзеных у карпаратыўнай сеткі па WAN-падлучэнні. У BranchCache задача вырашаецца шляхам кэшавання часта выкарыстоўваюцца дадзеных, каб іх не трэба было кожны раз загружаць па WAN-каналу.
Для нармальнай працы BranchCache неабходна, каб усе рабочыя станцыі ў філіяле працавалі пад кіраваннем Windows 7. Усе файлавыя і вэб-серверы ў галаўным офісе павінны працаваць пад кіраваннем Windows Server 2008 R2. .
BranchCache можа працаваць у адным з двух магчымых рэжымаў. Выбар рэжыму ў асноўным вызначаецца памерам філіяла. Калі ў філіяле менш за 50 карыстальнікаў, сервер BranchCache не патрэбны. У гэтым выпадку BranchCache можа працаваць у рэжыме размеркаванага кэша. У гэтым рэжыме кожная працоўная станцыя з Windows 7 можа кэшыраваць сеткавыя дадзеныя і прадастаўляць доступ да гэтага кешью карыстальнікам філіяла.
Адзінае абмежаванне на выкарыстанне рэжыму размеркаванага кэша заключаецца ў тым, што ён працуе, толькі калі ў філіяле адна падсеткі. Калі ў філіяле маецца некалькі падсетак, то рабочыя станцыі будуць кэшыраваць дадзеныя толькі ў рамках сваёй падсеткі.
Іншы рэжым BranchCache больш падыходзіць для буйных філіялаў і называецца рэжымам размешчанага кэша (Hosted Cache Mode). У гэтым рэжыме BranchCache размяшчаецца на выдзеленай машыне з Windows Server 2008 R2. Кожнай рабочай станцыі з Windows 7 вядома поўнае даменнае імя сервера, да якога яна павінна звяртацца за якія захоўваюцца ў кэшы кантэнтам.
Па змаўчанні ў Windows Server 2008 R2 функцыянальнасць BranchCache адключаная. Каб уключыць BranchCache, адкрыйце Server Manager на сваім серверы BranchCache, пстрыкніце кантэйнер Features, а затым - спасылку Add Features. У спісе даступных функцый абярыце BranchCache (мал. 1), пасля чаго паслядоўна пстрыкніце Next, Install і Close.
Мал. 1. Уключэнне функцыянальнасці BranchCache
Настройка сервера BranchCache
Працэдура налады BranchCache залежыць ад тыпу кешируемого кантэнту. BranchCache можа кэшыраваць дадзеныя файлавага сервера, интрасетевого сервера або сервера прыкладання BITS. Бо часцей за ўсё BranchCache выкарыстоўваюць для кэшаваньня дадзеных файлавага сервера, я раскажу пра наладу менавіта гэтага варыянту.
Спачатку на файлавых серверах трэба ўключыць службу ролі BranchCache for Network Files. Гэта можна зрабіць на любым файлавым серверы пад кіраваннем Windows Server 2008 R2, на якім размешчаны дадзеныя, якія трэба кэшыраваць. Для гэтага неабходна дадаць да ролю File Server службу ролі BranchCache for Network Files (мал. 2).
Мал. 2. На файлавых серверах трэба ўключыць службу ролі BranchCache for Network Files
Затым трэба сканфігураваць сервер BranchCache сродкамі групавых палітык. Пры наяўнасці толькі аднаго сервера BranchCache гэта можна зрабіць у лакальнай палітыцы бяспекі гэтага сервера.
Адкрыйце рэдактар групавых палітык Group Policy Editor і ў дрэве кансолі перайдзіце да вузла Computer Configuration / Policies / Administrative Templates / Network / Lanman Server. Двойчы пстрыкніце палітыку Hash Publication for BranchCache і ўключыце яго, выбраўшы Enabled. Трэба абраць палітыку «Allow Hash Publications for All File Shares» (Дазволіць публікацыю хэша для ўсіх агульных папак) або «Allow Hash Publication for File Shares Tagged with Windows BranchCache Support» (Дазволіць публікацыю хэша толькі для агульных папак, для якіх ўключана служба BranchCache) (мал. 3). Выканаўшы выбар, пстрыкніце ОК.
Мал. 3. Трэба дазволіць публікацыю Хэшаў на агульных папках
Трэба адразу ж наладзіць на сэрвэры BranchCache прастору на цвёрдым дыску, якое выдаткоўваецца для захоўвання кешируемого кантэнту. Па змаўчанні BranchCache займае 5% дыска. Пажадана павялічыць гэта значэнне, асабліва калі гэта выдзелены сервер. Настройка вылучанага прасторы на дыску прадугледжвае змяненне рэестра, таму перад гэтай аперацыяй рэкамендуецца зрабіць поўную рэзервовую копію сістэмы. Любыя памылкі пры змене рэестра могуць прывесці да поўнай непрацаздольнасці Windows.
Адкрыйце рэдактар рэестра і перайдзіце да падзелу HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanmanServer \ Parameters. Двойчы пстрыкніце параметр HashStorageLimitPercent. Пакажыце, якую долю (у працэнтах) дыска трэба выдзеліць пад кешируемые дадзеныя (мал. 4). Калі параметр HashStorageLimitPercent не існуе, яго трэба стварыць.
Мал. 4. Сродкамі рэестра можна рэгуляваць аб'ём дыскавай прасторы, які выдаткоўваецца для BranchCache
Апошняе, што трэба зрабіць пры наладзе BranchCache, - уключыць падтрымку BranchCache на агульных папках з файламі. Для гэтага пстрыкніце агульную тэчку і абярыце Properties. На старонцы уласцівасцяў папкі перайдзіце да ўкладцы Sharing і пстрыкніце кнопку Advanced Sharing, а затым - кнопку Caching. Усталюйце сцяжкі «Only the Files and Programs that Users Specify Are Available Offline » (толькі пэўныя карыстальнікам файлы і праграмы даступныя ў аўтаномным рэжыме) і «Enable BranchCache» (Уключыць BranchCache) (мал. 5), пасля чаго пстрыкніце OK.
Мал. 5. Трэба ўключыць BranchCache на кожнай агульнай тэчцы з файламі, для якой трэба арганізаваць кэшаванне
Канфігураванне кліентаў BranchCache
Пасля ўключэння на сэрвэры функцыянальнасці BranchCache, трэба наладзіць кліентаў філіяла. Лепш за ўсё для гэтага выкарыстоўваць групавую палітыку кампутараў філіяла.
У рэдактары групавой палітыкі адкрыйце групавыя палітыкі, якія кіруюць параметрамі бяспекі філіяла. У дрэве палітык перайдзіце да вузла Computer Configuration / Policies / Administrative Templates / Network / BranchCache. Тут ёсць некалькі палітык, якія адносяцца да BranchCache. Двойчы пстрыкніце параметр Turn on BranchCache, абярыце Enabled і пстрыкніце OK. Затым двойчы пстрыкніце «Turn on BranchCache - Hosted Cache Mode» выберыце Enabled і пстрыкніце OK.
Таксама трэба ўключыць параметр «BranchCache for Network Files». Пры ўключэнні гэтага параметру вы зможаце вызначаць затрымку (у мілісекундах), пры перавышэнні якой, пры перавышэнні якой будзе выконвацца кэшаванне. Інакш кажучы, вы зможаце кэшыраваць толькі файлы, доступ да якіх патрабуе пэўнага часу. Гэта зручна, калі ў філіяле ёсць файлавыя сервер і вы хочаце, каб кэшыраваць толькі кантэнт, загружаны з аддаленага файлавага сервера, або калі трэба кэшыраваць вельмі вялікія файлы.
У некаторых сетках для нармальнай працы BranchCache таксама спатрэбіцца задаць правіла брандмаўэра. У рэжыме размешчанага кэша трэба наладзіць доступ кліентаў на прыём HTTP-трафіку з сервера BranchCache.
ReКонтроллеры даменаў толькі для чытання
Кантралёры даменаў толькі для чытання (RODC) прадастаўляюць дадатковыя сродкі для падтрымкі канчатковых карыстальнікаў філіяла. Ва ўсіх версіях Windows Server, пачынаючы з Windows 2000 Server, выкарыстоўвалася даменная мадэль з многімі гаспадарамі. Гэта азначае, што змены Active Directory можна запісваць на любым кантролеры дамена - далей змены аўтаматычна реплицируются на ўсе кантралёры дадзенага дамена.
Аднак нельга наўпрост абнавіць копію базы дадзеных Active Directory на RODC. Абнаўлення можна запісваць толькі на даступныя для запісу кантралёры даменаў. Гэтыя абнаўлення затым реплицируются на ўсе астатнія кантралёры дадзенага дамена, у тым ліку на кантролеры RODC.
Ёсць дзве прычыны перавагі выкарыстання RODC ў філіяле. Першая прычына - даступнасць. Кантролер дамена выконвае праверку сапраўднасці запытаў на ўваход у дамен. Калі ў лакальным філіяле няма кантролера дамена, карыстальнікі філіяла павінны праходзіць праверку сапраўднасці на кантролеры дамена ў галоўным офісе. Гэта не толькі запавольвае працу, але пры адмове WAN-канала, карыстальнікі філіяла не змогуць "дастукацца" да кантролер дамена.
Размясціўшы кантролер ў філіяле, можна пазбегнуць такой сітуацыі. Пры адмове WAN-канала карыстальнікі ўсё роўна змогуць праходзіць праверку сапраўднасці. Праблема з разгортваннем кантролера дамена ў філіяле заключаецца ў немагчымасці забяспечыць яго належную фізічную бяспеку. Часта машыну з кантролерам дамена размяшчаюць у слаба абароненым шафе і практычна не абслугоўваюць.
У такіх сітуацыях RODC падыходзяць ідэальна. Іх абароненасць дазваляе кампенсаваць недахоп фізічнай бяспекі. Самае відавочнае перавага RODC ў плане бяспекі заключаецца ў доступе да Active Directory ў рэжыме толькі для чытання.
Так як база дадзеных даступная толькі для чытання, не трэба турбавацца аб тым, што хтосьці атрымае фізічны доступ да кантролер дамена і паспрабуе змяніць дадзеныя Active Directory, распаўсюдзіўшы іх па ўсе сеткі. База дадзеных абнаўляецца толькі тады, калі на RODC реплицируются абнаўлення з іншых, паўнавартасных і ўпаўнаважаных кантролераў дамена.
Яшчэ адна магчымасць забеспячэння бяспекі сродкамі RODC - захоўванне няпоўнай версіі базы дадзеных Active Directory. У базе дадзеных Active Directory звычайна захоўваюцца ўліковыя дадзеныя ўсё уліковых запісаў карыстальнікаў і кампутараў у дамене. Аднак па змаўчанні RODC не шануюць ніякіх уліковых дадзеных карыстальнікаў або кампутараў. Калі карыстальнік праходзіць праверку сапраўднасці, рашэнне аб тым, кэшыраваць Ці карыстацкі пароль на RODC, прымаецца на аснове палітыкі рэплікацыі пароляў на RODC.
Кэшаванне пароляў дазваляе гарантаваць, што RODC зможа апрацоўваць прыстасаваныя запыты на ўваход у сістэму. Яно таксама не дазваляе кантролеру дамена атрымаць поўны набор ўлічаных дадзеных для ўваходу ў дамен. На RODC кешируются толькі ўліковыя дадзеныя карыстальнікаў дадзенага філіяла.
Разам з тым, калі паспрабаваць умацаваць бяспеку за кошт адключэння кэшавання ўлічаных дадзеных ан RODC, гэта можа звесці на нішто ўсе перавагі ад разгортвання RODC. Усе запыты на праверку сапраўднасці павінны будуць апрацоўвацца паўнавартасным кантролерам дамена.
разгортванне RODC
Перад разгортваннем RODC трэба забяспечыць, каб функцыянальны ўзровень лесу Active Directory быў не ніжэй Windows Server 2003. Таксама трэба выкарыстоўваць ADPREP (ADPREP / ForestPrep), каб падрыхтаваць лес Active Directory, а таксама дамен для размяшчэння RODC (каманда ADPREP / DomainPrep / gpprep).
Калі дамен абслугоўваецца кантролерамі пад кіраваннем Windows Server 2003, трэба выканаць каманду ADPREP з параметрам / rodcprep. Не забудзьцеся таксама да разгортвання RODC, што ў асяроддзі павінен быць як мінімум адзін даступны для запісу кантролер дамена пад кіраваннем Windows Server 2008 ці 2008 R2.
У астатнім працэс разгортвання RODC просты. Пры запуску ўтыліты Dcpromo для павышэння ролі сервера да кантролера дамена ў майстру можна выбраць сцяжок, які паказвае, што трэба ўсталяваць кантролер з доступам толькі для чытання (мал. 6)
Мал. 6. Абярыце адпаведны сцяжок, каб усталяваць кантролер дамена, даступны толькі для запісу.
Кэшаваннем уліковых запісаў на RODC кіруе палітыка Password Replication Policy. У сутнасці гэта спіс, які вызначае карыстальнікаў і групы, уліковыя дадзеныя якіх падлягаюць рэплікацыі наRODC. Пры пабудове спісу вы можаце дазваляць або забараняць рэплікацыю пароля карыстальніка ці групы.
Не варта ўключаць рэплікацыю адміністрацыйных пароляў. Таксама трэба вылучыць карыстальнікаў, паролі якіх трэба реплицировать, у асобную групу бяспекі Active Directory. Тады рэплікацыяй пароляў асобных карыстальнікаў можна кіраваць, проста дадаючы або выдаляючы іх з гэтай групы. Памятаеце, што пры супярэчнасці ў палітыках у забарон прыярытэт заўсёды вышэй.
Кіраваць палітыкай Password Replication Policy можна сродкамі кансолі Active Directory Users and Computers. Разгарніце вузел кантролера дамена, пстрыкніце правай кнопкай значок свайго RODC і абярыце Properties. Адкрыецца акно уласцівасцяў RODC. Параметры палітыкі Password Replication Policy знаходзяцца на аднайменнай ўкладцы (мал. 7).
Мал. 7. Упраўленне рэплікацыяй уліковых дадзеных карыстальнікаў
Перагрузка WAN-канала можа стаць сур'ёзнай праблемай у філіялах, але разгортванне BranchCache і лакальных RODC-кантролераў дазваляе значна разгрузіць WAN-канал, забяспечыўшы пры гэтым павышэнне бяспекі. Усё гэта дасць магчымасць значна павысіць зручнасць працы вашых карыстальнікаў у філіялах.
** Брайен Поузі (Brien M. Posey) ** носіць званне MPV і з'яўляецца незалежным аўтарам, з-пад пяра якога выйшлі тысячы артыкулаў і дзясяткі кніг. Звязацца з Брайеном можна праз яго вэб-сайт brienposey.com .