- BranchCache
- Налаштування сервера BranchCache
- Конфігурація клієнтів BranchCache
- ReКонтроллери доменів тільки для читання
- розгортання RODC
Функціональність BranchCache і контролери домену тільки для читання дозволяють сильно спростити роботу користувачів в філіях.
З філіями завжди непросто. Зазвичай в них немає ІТ-фахівців, тому в філіях складніше управляти і забезпечувати безпеку середовища. Співробітники філій часто страждають від тривалих затримок при спробі звернутися до ресурсів, розміщених на серверах головного офісу. У Windows Server 2008 R2 є кілька функцій, які дозволяють вирішити проблему продуктивність і безпеки в середовищі філій.
BranchCache
BranchCache дозволяє зняти гостроту проблеми затримок в WAN-каналах, коли користувачі намагаються звернутися до даних в корпоративній мережі по WAN-підключення. У BranchCache завдання вирішується шляхом кешування часто використовуваних даних, щоб їх не потрібно було кожен раз завантажувати по WAN-каналу.
Для нормальної роботи BranchCache необхідно, щоб всі робочі станції в філії працювали під управлінням Windows 7. Всі файлові і веб-сервери в головному офісі повинні працювати під управлінням Windows Server 2008 R2. .
BranchCache може працювати в одному з двох можливих режимів. Вибір режиму в основному визначається розміром філії. Якщо у філії менше 50 користувачів, сервер BranchCache не потрібен. В цьому випадку BranchCache може працювати в режимі розподіленого кеша. В цьому режимі кожна робоча станція з Windows 7 може кешувати мережеві дані та надавати доступ до цього кешу користувачам філії.
Єдине обмеження на використання режиму розподіленого кешу полягає в тому, що він працює, тільки якщо у філії одна підмережа. Якщо у філії є кілька підмереж, то робочі станції будуть кешувати дані тільки в рамках своєї підмережі.
Інший режим BranchCache більше підходить для великих філій і називається режимом розміщеного кеша (Hosted Cache Mode). В цьому режимі BranchCache розміщується на виділеній машині з Windows Server 2008 R2. Кожній робочої станції з Windows 7 відомо повне доменне ім'я сервера, до якого вона повинна звертатися за що зберігається в кеші контентом.
За замовчуванням в Windows Server 2008 R2 функціональність BranchCache відключена. Щоб включити BranchCache, відкрийте Server Manager на своєму сервері BranchCache, клацніть контейнер Features, а потім - посилання Add Features. У списку доступних функцій виберіть BranchCache (рис. 1), після чого послідовно клацніть Next, Install і Close.
Мал. 1. Включення функціональності BranchCache
Налаштування сервера BranchCache
Процедура настройки BranchCache залежить від типу кешіруемого контенту. BranchCache може кешувати дані файлового сервера, інтрасетевого сервера або сервера додатки BITS. Так як найчастіше BranchCache використовують для кешування даних файлового сервера, я розповім про налаштування саме цього варіанту.
Спочатку на файлових серверах треба включити службу ролі BranchCache for Network Files. Це можна зробити на будь-якому файловому сервері під керуванням Windows Server 2008 R2, на якому розташовані дані, які треба кешувати. Для цього додайте в роль File Server службу ролі BranchCache for Network Files (рис. 2).
Мал. 2. На файлових серверах треба включити службу ролі BranchCache for Network Files
Потім треба конфігурувати сервер BranchCache засобами групових політик. При наявності тільки одного сервера BranchCache це можна зробити в локальній політиці безпеки цього сервера.
Відкрийте редактор групових політик Group Policy Editor і в дереві консолі перейдіть до вузла Computer Configuration / Policies / Administrative Templates / Network / Lanman Server. Двічі клацніть політику Hash Publication for BranchCache і увімкніть його, вибравши Enabled. Потрібно вибрати політику «Allow Hash Publications for All File Shares» (Дозволити публікацію хешу для всіх загальних папок) або «Allow Hash Publication for File Shares Tagged with Windows BranchCache Support» (Дозволити публікацію хешу тільки для загальних папок, для яких включена служба BranchCache) (рис. 3). Виконавши вибір, клацніть ОК.
Мал. 3. Треба дозволити публікацію хешів на загальних папках
Треба відразу ж налаштувати на сервері BranchCache простір на жорсткому диску, що виділяється для зберігання кешіруемого контенту. За замовчуванням BranchCache займає 5% диска. Бажано збільшити це значення, особливо якщо це виділений сервер. Налаштування виділеного простору на диску передбачає зміну реєстру, тому перед цією операцією рекомендується зробити повну резервну копію системи. Будь-які помилки при зміні реєстру можуть привести до повної непрацездатності Windows.
Відкрийте редактор реєстру і перейдіть до розділу HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanmanServer \ Parameters. Двічі клацніть параметр HashStorageLimitPercent. Вкажіть, яку частку (у відсотках) диска треба виділити під кешіруемие дані (рис. 4). Якщо параметр HashStorageLimitPercent не існує, його треба створити.
Мал. 4. Засобами реєстру можна регулювати обсяг дискового простору, що виділяється для BranchCache
Останнє, що потрібно зробити при налаштуванні BranchCache, - включити підтримку BranchCache на загальних папках з файлами. Для цього клацніть загальну папку і виберіть Properties. На сторінці властивостей папки, перейдіть до вкладки Sharing і клацніть кнопку Advanced Sharing, а потім - кнопку Caching. Встановіть прапорці «Only the Files and Programs that Users Specify Are Available Offline » (Тільки зазначені користувачем файли і програми доступні в автономному режимі) і «Enable BranchCache» (Включити BranchCache) (рис. 5), після чого натисніть OK.
Мал. 5. Потрібно включити BranchCache на кожній загальнодоступному місці з файлами, для якої потрібно організувати кешування
Конфігурація клієнтів BranchCache
Після включення на сервері функціональності BranchCache, потрібно налаштувати клієнтів філії. Найкраще для цього використовувати групову політику комп'ютерів філії.
У редакторі групової політики відкрийте групові політики, які керують параметрами безпеки філії. У дереві політик перейдіть до вузла Computer Configuration / Policies / Administrative Templates / Network / BranchCache. Тут є кілька політик, що відносяться до BranchCache. Двічі клацніть параметр Turn on BranchCache, виберіть Enabled і натисніть OK. Потім двічі клацніть «Turn on BranchCache - Hosted Cache Mode» виберіть Enabled і натисніть OK.
Також потрібно включити параметр «BranchCache for Network Files». При включенні цього параметра ви зможете визначати затримку (в мілісекундах), при перевищенні якої, при перевищенні якої буде виконуватися кешування. Інакше кажучи, ви зможете кешувати тільки файли, доступ до яких вимагає певного часу. Це зручно, якщо у філії є файлові сервер і ви хочете, щоб кеш тільки контент, що завантажується з віддаленого файлового сервера, або якщо потрібно кешувати дуже великі файли.
У деяких мережах для нормальної роботи BranchCache також буде потрібно задати правило брандмауера. У режимі розміщеного кеша потрібно налаштувати доступ клієнтів на прийом HTTP-трафіку з сервера BranchCache.
ReКонтроллери доменів тільки для читання
Контролери доменів тільки для читання (RODC) надають додаткові кошти для підтримки кінцевих користувачів філії. У всіх версіях Windows Server, починаючи з Windows 2000 Server, використовувалася доменна модель з багатьма господарями. Це означає, що зміни Active Directory можна записувати на будь-якому контролері домена - далі зміни автоматично реплікуються на всі контролери даного домену.
Однак не можна безпосередньо оновити копію бази даних Active Directory на RODC. Оновлення можна записувати тільки на доступні для запису контролери доменів. Ці оновлення потім реплицируются на всі інші контролери даного домену, в тому числі на контролери RODC.
Є дві причини переваги використання RODC у філії. Перша причина - доступність. Контролер домену виконує перевірку справжності запитів на вхід в домен. Якщо в локальному філії немає контролера домену, користувачі філії повинні проходити перевірку автентичності на контролері домену в головному офісі. Це не тільки сповільнює роботу, але при відмові WAN-каналу, користувачі філії не зможуть «достукатися» до контролера домену.
Розмістивши контролер в філії, можна уникнути такої ситуації. При відмові WAN-каналу користувачі все одно зможуть проходити перевірку автентичності. Проблема з розгортанням контролера домену в філії полягає в неможливості забезпечити його належну фізичну безпеку. Часто машину з контролером домену розміщують в слабо захищеному шафі і практично не обслуговують.
У таких ситуаціях RODC підходять ідеально. Їх захищеність дозволяє компенсувати недолік фізичної безпеки. Найочевидніше перевагу RODC в плані безпеки полягає в доступі до Active Directory в режимі тільки для читання.
Так як база даних доступна тільки для читання, не потрібно турбуватися про те, що хтось отримає фізичний доступ до контролера домену та спробує змінити дані Active Directory, поширивши їх по всі мережі. База даних оновлюється тільки тоді, коли на RODC реплицируются поновлення з інших, повноцінних і уповноважених контролерів домену.
Ще одна можливість забезпечення безпеки засобами RODC - зберігання неповної версії бази даних Active Directory. У базі даних Active Directory зазвичай зберігаються облікові дані все облікових записів користувачів і комп'ютерів в домені. Однак за замовчуванням RODC не зберігають жодних облікових даних користувачів або комп'ютерів. Коли користувач проходить перевірку автентичності, рішення про те, кешувати чи пароль користувача на RODC, приймається на основі політики реплікації паролів на RODC.
Кешування паролів дозволяє гарантувати, що RODC зможе обробляти запити користувачів на вхід в систему. Воно також не дозволяє контролеру домену отримати повний набір врахованих даних для входу в домен. На RODC кешуються тільки облікові дані користувачів даної філії.
Разом з тим, якщо спробувати зміцнити безпеку за рахунок відключення кешування врахованих даних ан RODC, це може звести нанівець всі переваги від розгортання RODC. Всі запити на перевірку справжності повинні будуть оброблятися повноцінним контролером домену.
розгортання RODC
Перед розгортанням RODC треба забезпечити, щоб функціональний рівень лісу Active Directory був не нижче Windows Server 2003. Також потрібно використовувати ADPREP (ADPREP / ForestPrep), щоб підготувати ліс Active Directory, а також домен для розміщення RODC (команда ADPREP / DomainPrep / gpprep).
Якщо домен обслуговується контролерами під керуванням Windows Server 2003, треба виконати команду ADPREP з параметром / rodcprep. Не забудьте також до розгортання RODC, що в середовищі повинен бути як мінімум один доступний для запису контролер домену під керуванням Windows Server 2008 або 2008 R2.
В іншому процес розгортання RODC простий. При запуску утиліти Dcpromo для підвищення ролі сервера до контролера домену в майстра можна вибрати прапорець, який вказує, що потрібно встановити контролер з доступом тільки для читання (рис. 6)
Мал. 6. Виберіть відповідний прапорець, щоб встановити контролер домену, доступний тільки для запису.
Кешування облікових записів на RODC управляє політика Password Replication Policy. По суті це список, який визначає користувачів і групи, облікові дані яких підлягають реплікації наRODC. При побудові списку ви можете дозволяти або забороняти реплікацію пароля користувача або групи.
Не варто включати реплікацію адміністративних паролів. Також потрібно виділити користувачів, паролі яких треба реплицировать, в окрему групу безпеки Active Directory. Тоді репликацией паролів окремих користувачів можна управляти, просто додаючи або видаляючи їх з цієї групи. Пам'ятайте, що при протиріччі в політиках у заборон пріоритет завжди вище.
Керувати політикою Password Replication Policy можна засобами консолі Active Directory Users and Computers. Розгорніть вузол контролера домену, клацніть правою кнопкою миші свого RODC і виберіть Properties. Відкриється вікно властивостей RODC. Параметри політики Password Replication Policy знаходяться на однойменній вкладці (рис. 7).
Мал. 7. Управління реплікацією облікових даних користувачів
Перевантаження WAN-каналу може стати серйозною проблемою в філіях, але розгортання BranchCache і локальних RODC-контролерів дозволяє значно розвантажити WAN-канал, забезпечивши при цьому підвищення безпеки. Все це дозволить значно підвищити зручність роботи ваших користувачів в філіях.
** Брайен Поузі (Brien M. Posey) ** носить звання MPV і є незалежним автором, з-під пера якого вийшли тисячі статей і десятки книг. Зв'язатися з Брайеном можна через його веб-сайт brienposey.com .