Windows Server 2008 R2: Optymalizacja gałęzi

  1. Branchcache
  2. Konfigurowanie serwera BranchCache
  3. Konfigurowanie klientów BranchCache
  4. Kontrolery domeny tylko do odczytu
  5. Wdrożenie kontrolera RODC

Funkcja BranchCache i kontrolery domeny tylko do odczytu znacznie upraszczają obsługę użytkowników w oddziałach.

Z gałęziami jest zawsze trudne. Zwykle nie mają specjalistów IT, więc oddziałom trudniej jest zarządzać i zabezpieczać swoje środowisko. Pracownicy oddziałów często cierpią z powodu dużych opóźnień podczas próby uzyskania dostępu do zasobów przechowywanych na serwerach centrali. W systemie Windows Server 2008 R2 dostępnych jest kilka funkcji, które rozwiązują problem wydajności i bezpieczeństwa w środowisku oddziału firmy.

Branchcache

BranchCache pomaga złagodzić problem opóźnień w kanałach WAN, gdy użytkownicy próbują uzyskać dostęp do danych w sieci firmowej za pośrednictwem połączenia WAN. W BranchCache problem rozwiązuje się poprzez buforowanie często używanych danych, dzięki czemu nie musi być ładowany za każdym razem przez kanał WAN.

BranchCache wymaga, aby wszystkie stacje robocze w oddziale działały w systemie Windows 7. Wszystkie serwery plików i sieci w centrali muszą mieć zainstalowany system Windows Server 2008 R2. .

BranchCache może pracować w jednym z dwóch możliwych trybów. Wybór trybu zależy głównie od rozmiaru gałęzi. Jeśli oddział ma mniej niż 50 użytkowników, serwer BranchCache nie jest potrzebny. W tym przypadku BranchCache może pracować w trybie rozproszonej pamięci podręcznej. W tym trybie każda stacja robocza z systemem Windows 7 może buforować dane sieciowe i zapewniać dostęp do tej pamięci podręcznej użytkownikom oddziałów.

Jedynym ograniczeniem dotyczącym korzystania z trybu rozproszonej pamięci podręcznej jest to, że działa tylko wtedy, gdy oddział ma jedną podsieć. Jeśli gałąź ma kilka podsieci, stacje robocze będą buforować dane tylko we własnej podsieci.

Inny tryb BranchCache jest bardziej odpowiedni dla dużych gałęzi i jest nazywany trybem hostowanej pamięci podręcznej. W tym trybie BranchCache jest obsługiwany na dedykowanym komputerze z systemem Windows Server 2008 R2. Każda stacja robocza z systemem Windows 7 zna w pełni kwalifikowaną nazwę domeny serwera, do którego musi się stosować w przypadku treści przechowywanych w pamięci podręcznej.

Domyślnie BranchCache jest wyłączony w systemie Windows Server 2008 R2. Aby włączyć BranchCache, otwórz Menedżera serwera na serwerze BranchCache, kliknij kontener Funkcje, a następnie kliknij łącze Dodaj funkcje. Na liście dostępnych funkcji wybierz BranchCache (Rysunek 1), a następnie kliknij Next, Install and Close.

Na liście dostępnych funkcji wybierz BranchCache (Rysunek 1), a następnie kliknij Next, Install and Close

Rys. 1. Włączanie funkcji BranchCache

Konfigurowanie serwera BranchCache

Konfiguracja BranchCache zależy od typu buforowanej zawartości. BranchCache może buforować dane z serwera plików, serwera intranetowego lub serwera aplikacji BITS. Ponieważ BranchCache jest najczęściej używany do buforowania danych serwera plików, porozmawiam o tym, jak skonfigurować tę opcję.

Po pierwsze, usługa roli BranchCache for Network Files musi być włączona na serwerach plików. Można to zrobić na dowolnym serwerze plików z systemem Windows Server 2008 R2, w którym znajdują się dane przeznaczone do buforowania. Aby to zrobić, dodaj usługę roli BranchCache dla plików sieciowych do roli serwera plików (Rysunek 2).

Aby to zrobić, dodaj usługę roli BranchCache dla plików sieciowych do roli serwera plików (Rysunek 2)

Rys. 2. Na serwerach plików musisz włączyć usługę roli BranchCache for Network Files.

Następnie musisz skonfigurować serwer BranchCache za pomocą zasad grupy. Jeśli jest tylko jeden serwer BranchCache, można to zrobić w lokalnej polityce bezpieczeństwa serwera.

Otwórz Edytor zasad grupy iw drzewie konsoli przejdź do Konfiguracja komputera / Zasady / Szablony administracyjne / Sieć / Serwer Lanman. Kliknij dwukrotnie zasadę Hash Publication for BranchCache i włącz ją, wybierając Enabled. Musisz wybrać Zezwalaj na publikację Hash dla wszystkich udziałów plików (Zezwalaj na publikację Hash dla wszystkich folderów publicznych) lub Zezwalaj na publikację Hash dla udziałów plików oznaczonych wsparciem dla Windows BranchCache (Zezwalaj na publikację Hash tylko dla folderów publicznych, dla których włączony jest BranchCache) (Rys. 3). Po dokonaniu wyboru kliknij OK.

Po dokonaniu wyboru kliknij OK

Rys. 3. Konieczne jest zezwolenie na publikację skrótów w folderach udostępnionych.

Musisz natychmiast skonfigurować na serwerze BranchCache miejsce na dysku twardym przydzielone do przechowywania buforowanej zawartości. BranchCache domyślnie zajmuje 5% dysku. Pożądane jest zwiększenie tej wartości, zwłaszcza jeśli jest to serwer dedykowany. Ustawienie przydzielonej przestrzeni dyskowej umożliwia modyfikację rejestru, dlatego przed tą operacją zaleca się wykonanie pełnej kopii zapasowej systemu. Wszelkie błędy podczas zmiany rejestru mogą doprowadzić do całkowitej niesprawności systemu Windows.

Otwórz edytor rejestru i przejdź do HKEY_LOCAL_MACHINE System CurrentControlSet Usługi LanmanServer Parametry. Kliknij dwukrotnie parametr HashStorageLimitPercent. Określ, jaka część (w procentach) dysku powinna zostać przydzielona na dane buforowane (rys. 4). Jeśli parametr HashStorageLimitPercent nie istnieje, musisz go utworzyć.

Jeśli parametr HashStorageLimitPercent nie istnieje, musisz go utworzyć

Rys. 4. Rejestr może dostosować ilość miejsca na dysku przydzielonego do BranchCache.

Ostatnią rzeczą, którą musisz zrobić podczas konfigurowania BranchCache, jest włączenie obsługi BranchCache w folderach udostępniania plików. Aby to zrobić, kliknij folder udostępniony i wybierz Właściwości. Na stronie właściwości folderu przejdź do karty Udostępnianie i kliknij przycisk Udostępnianie zaawansowane, a następnie przycisk Buforowanie. Zaznacz pola „Tylko pliki i programy, które użytkownicy określają są dostępne w trybie offline” i „Włącz BranchCache” (rys. 5), a następnie kliknij przycisk OK.

Rys. 5. Musisz włączyć BranchCache w każdym udostępnionym folderze plików, dla którego musisz zorganizować buforowanie.

Konfigurowanie klientów BranchCache

Po włączeniu funkcji BranchCache na serwerze należy skonfigurować klientów oddziału. W tym celu najlepiej jest użyć polityki grupowej komputera w oddziale.

W Edytorze zasad grupy otwórz zasady grupy, które kontrolują ustawienia zabezpieczeń oddziału. W drzewie zasad przejdź do Konfiguracja komputera / Zasady / Szablony administracyjne / Sieć / BranchCache. Istnieje tutaj kilka zasad związanych z BranchCache. Kliknij dwukrotnie opcję Turn on BranchCache, wybierz opcję Enabled i kliknij przycisk OK. Następnie kliknij dwukrotnie „Turn on BranchCache - Hosted Cache Mode”, wybierz Enabled i kliknij OK.

Musisz także włączyć opcję BranchCache for Network Files. Gdy ten parametr jest włączony, będzie można określić opóźnienie (w milisekundach), po przekroczeniu którego zostanie przekroczone, jeśli zostanie przekroczone, zostanie przeprowadzone buforowanie. Innymi słowy, można buforować tylko pliki, które wymagają dostępu do określonego czasu. Jest to przydatne, jeśli oddział ma serwer plików i chcesz buforować tylko zawartość pobraną ze zdalnego serwera plików lub jeśli potrzebujesz buforować bardzo duże pliki.

W niektórych sieciach BranchCache będzie również musiał ustawić regułę zapory dla normalnego działania. W trybie Hostowana pamięć podręczna należy skonfigurować dostęp klienta do odbierania ruchu HTTP z serwera BranchCache.

Kontrolery domeny tylko do odczytu

Kontrolery domeny tylko do odczytu (RODC) zapewniają dodatkowe narzędzia do obsługi użytkowników końcowych w oddziałach. We wszystkich wersjach systemu Windows Server, począwszy od Windows 2000 Server, wykorzystano model domeny z wieloma hostami. Oznacza to, że zmiany w usłudze Active Directory mogą być rejestrowane na dowolnym kontrolerze domeny - wtedy zmiany są automatycznie replikowane do wszystkich kontrolerów tej domeny.

Nie można jednak bezpośrednio zaktualizować kopii bazy danych usługi Active Directory na kontrolerze RODC. Aktualizacje mogą być zapisywane tylko do zapisywalnych kontrolerów domeny. Aktualizacje te są następnie replikowane do wszystkich innych kontrolerów tej domeny, w tym kontrolerów RODC.

Istnieją dwa powody korzystania z RODC w oddziale. Pierwszym powodem jest dostępność. Kontroler domeny uwierzytelnia żądania wejścia do domeny. Jeśli lokalny oddział nie ma kontrolera domeny, użytkownicy oddziału muszą uwierzytelnić się na kontrolerze domeny w głównym biurze. To nie tylko spowalnia pracę, ale jeśli kanał WAN nie powiedzie się, użytkownicy oddziałów nie będą mogli „dotrzeć” do kontrolera domeny.

Umieszczając kontroler w oddziale, możesz uniknąć tej sytuacji. Jeśli kanał WAN nie powiedzie się, użytkownicy nadal będą mogli się uwierzytelnić. Problem z wdrożeniem kontrolera domeny w oddziale firmy polega na niemożności zapewnienia odpowiedniego bezpieczeństwa fizycznego. Często maszyna z kontrolerem domeny jest umieszczona w słabo chronionej szafie i praktycznie nie działa.

W takich sytuacjach kontrolery RODC są idealne. Ich bezpieczeństwo pozwala zrekompensować brak fizycznego bezpieczeństwa. Najbardziej oczywistą zaletą kontrolera RODC jest dostęp do usługi Active Directory w trybie tylko do odczytu.

Ponieważ baza danych jest tylko do odczytu, nie musisz się martwić, że ktoś będzie miał fizyczny dostęp do kontrolera domeny i spróbuje zmienić dane usługi Active Directory, dystrybuując je we wszystkich sieciach. Baza danych jest aktualizowana tylko wtedy, gdy aktualizacje są replikowane z innych, wysokiej jakości i autoryzowanych kontrolerów domeny do kontrolera RODC.

Inną funkcją zabezpieczeń narzędzi RODC jest przechowywanie niekompletnej wersji bazy danych usługi Active Directory. Baza danych usługi Active Directory zazwyczaj przechowuje poświadczenia wszystkich kont użytkowników i komputerów w domenie. Jednak domyślnie kontrolery RODC nie przechowują żadnych poświadczeń użytkowników ani komputerów. Po uwierzytelnieniu użytkownika decyzja, czy buforować hasło użytkownika na kontrolerze RODC, jest podejmowana na podstawie zasad replikacji haseł na kontrolerze RODC.

Buforowanie haseł zapewnia, że ​​kontroler RODC może przetwarzać żądania logowania użytkownika. Nie pozwala również kontrolerowi domeny uzyskać pełnego zestawu zarejestrowanych danych, aby wejść do domeny. Na kontrolerze RODC buforowane są tylko poświadczenia użytkowników tej gałęzi.

Jeśli jednak spróbujesz wzmocnić bezpieczeństwo, wyłączając buforowanie zapisanych danych w kontrolerze RODC, może to zniweczyć wszystkie korzyści z wdrożenia kontrolera RODC. Wszystkie żądania uwierzytelnienia będą musiały być obsługiwane przez pełny kontroler domeny.

Wdrożenie kontrolera RODC

Przed wdrożeniem kontrolera RODC należy upewnić się, że poziom funkcjonalności lasu usługi Active Directory wynosi przynajmniej Windows Server 2003. Należy także użyć ADPREP (ADPREP / ForestPrep) do przygotowania lasu usługi Active Directory, a także domeny do obsługi kontrolera RODC (polecenie ADPREP / DomainPrep / gpprep).

Jeśli domena jest obsługiwana przez kontrolery z systemem Windows Server 2003, należy uruchomić komendę ADPREP z opcją / rodcprep. Przed wdrożeniem kontrolera RODC należy pamiętać, że w środowisku musi istnieć co najmniej jeden zapisywalny kontroler domeny z systemem Windows Server 2008 lub 2008 R2.

Reszta procesu wdrażania RODC jest prosta. Podczas uruchamiania narzędzia Dcpromo, w celu zwiększenia roli serwera w kontrolerze domeny w kreatorze, można zaznaczyć pole wyboru wskazujące, że należy zainstalować kontroler z dostępem tylko do odczytu (rys. 6)

Rys. 6. Zaznacz odpowiednie pole wyboru, aby ustawić kontroler domeny tylko do zapisu.

Buforowanie konta RODC jest kontrolowane przez zasady replikacji haseł. W istocie jest to lista, która identyfikuje użytkowników i grupy, których poświadczenia są replikowane na RDC. Budując listę, możesz zezwolić lub zabronić replikacji hasła użytkownika lub grupy.

Nie powinieneś włączać replikacji haseł administracyjnych. Musisz także przydzielić użytkowników, których hasła muszą być replikowane do oddzielnej grupy zabezpieczeń Active Directory. Następnie replikacja haseł poszczególnych użytkowników może być kontrolowana przez dodanie lub usunięcie ich z tej grupy. Pamiętaj, że gdy istnieje sprzeczność w zasadach zakazów, priorytet jest zawsze wyższy.

Możesz zarządzać zasadami replikacji haseł za pomocą konsoli Użytkownicy i komputery usługi Active Directory. Rozwiń węzeł kontrolera domeny, kliknij prawym przyciskiem myszy ikonę kontrolera RODC i wybierz Właściwości. Zostanie otwarte okno Właściwości kontrolera RODC. Replikacja haseł Ustawienia zasad polityki znajdują się na karcie o tej samej nazwie (rys. 7).

7)

Rys. 7. Zarządzaj replikacją poświadczeń użytkownika

Przeładowanie kanału WAN może być poważnym problemem w oddziałach, ale wdrożenie BranchCache i lokalnych kontrolerów RODC znacznie odciąża kanał WAN, zapewniając jednocześnie większe bezpieczeństwo. Wszystko to znacznie poprawi użyteczność Twoich użytkowników w oddziałach.

** Brian Posey (Brien M. Posey) ** nosi tytuł MPV i jest niezależnym autorem, tysiącami artykułów i dziesiątkami opublikowanych książek. Skontaktuj się z Brianem za pośrednictwem jego strony internetowej. brienposey.com .

Меню сайта
Мини-профиль
  • Регистрация Напомнить пароль?

    Бесплатно можно смотреть фильмы онлайн и не забудьте о шаблоны dle на нашем ресурсе фильмы бесплатно скачать c лучшего сайта
    Опросы
    Топ новости