Windows Server 2008 R2: Optimización de la experiencia en las sucursales

BranchCache y los controladores de dominio de sólo lectura permiten entregar una experiencia agradable a los usuarios en las sucursales.

Brien M. Posey

Sucursales siempre presenten un conjunto de desafíos especiales. Sin personal de TI a domicilio, sucursales tienden a ser más difícil de administrar y proteger. Empleados de las sucursales a menudo experimentan tiempos de respuesta lentos cuando intentan acceder a los recursos almacenados en servidores ubicados en la Oficina principal. Hay varias características en Windows Server 2008 R2 que abordan directamente las necesidades únicas de rendimiento y seguridad de los entornos de sucursales.

BranchCache

BranchCache ayuda a aliviar algunos de la WAN congestión que se produce cuando los usuarios intentan tener acceso a datos de la red corporativa a través de una conexión WAN. BranchCache hace caché localmente los datos utilizados con frecuencia por lo que no es necesario recuperar la WAN cada vez que se solicite.

Para utilizar BranchCache, todas las estaciones de trabajo en la sucursal deben ejecutar Windows 7. Todos los servidores de archivos y servidores Web de la Oficina principal deben estar ejecutando Windows Server 2008 R2.

Hay dos modos disponibles cuando se utiliza BranchCache. El modo que debe usar depende en gran medida el tamaño de su sucursal. Si su Oficina tiene menos de 50 usuarios, no necesitará un servidor BranchCache. En su lugar, puede ejecutar BranchCache y modo de caché distribuido. En este modo, cada estación de trabajo Windows 7 es capaz de contenido de la red de caché y proporcionan acceso a la caché a los usuarios de la Oficina de sucursal.

La principal limitación para utilizar el modo caché distribuida es que sólo soporta una única subred en la sucursal. Si tu sucursal utiliza varias subredes, cada estación de trabajo Windows 7 sólo podrán proporcionar datos caché a otras estaciones de trabajo dentro de la misma subred.

El otro modo BranchCache es más adecuado para grandes sucursales; se denomina modo de caché alojado. En este modo, BranchCache reside en una máquina designada de Windows Server 2008 R2. Cada estación de trabajo Windows 7 tiene un nombre de dominio completo del servidor al que debe buscar el contenido de la caché.

BranchCache está deshabilitada de forma predeterminada en Windows Server 2008 R2. Para habilitar BranchCache, abrir el administrador de servidor en servidor BranchCache, haga clic en el contenedor de funciones y, a continuación, haga clic en el enlace Agregar funciones. Elija la opción BranchCache de la lista de funciones disponibles (véase figura 1), haga clic en siguiente, seguido de instalación y cierre.

You have to enable and configure BranchCache as a feature

Figura 1 tienes que habilitar y configurar BranchCache como una función.

Configurar el servidor BranchCache

El método exacto de configuración BranchCache que necesitará hacer variará en función de los tipos de contenido que desee de la caché. BranchCache puede almacenar en caché datos de servidor de archivos, datos del servidor de Intranet o BITS datos de servidor de aplicaciones. Porque el almacenamiento en caché de datos del servidor de archivos es el uso más común de BranchCache, hablaré del proceso de configuración del servidor de archivos.

El primer paso para configurar BranchCache para datos de servidor de archivos de caché es permitir la BranchCache para servicio de rol de archivos de red en los servidores de archivos. Hacer esto en cualquier servidor de archivos de Windows Server 2008 R2 que contiene los datos que necesita en la memoria caché. Ello agregando BranchCache para servicio de rol de archivos de red para la función de servidor de archivo (consulte figura 2).

You’ll need to add the BranchCache for Network Files role service to your file servers.

Figura 2 necesitará agregar BranchCache para servicio de rol de archivos de red para sus servidores de archivos.

El siguiente paso en el proceso es utilizar Directiva de grupo para configurar el servidor BranchCache. Suponiendo que dispone de un único servidor BranchCache, puede hacerlo en Directiva de seguridad local del servidor BranchCache.

Abra el Editor de directivas de grupo y navegar por el árbol de la consola de configuración del equipo | Directivas | Plantillas administrativas | Red | Servidor LANMAN. Haga doble clic en la publicación de Hash para BranchCache configuración y haga clic en habilitada. Vas a tener que elegir o publicaciones de Hash permiten para todos los espacios compartidos o la publicación de Hash permiten para archivo acciones etiquetadas con la opción de soporte de Windows BranchCache (véase figura 3). Después de hacer su selección, haga clic en Aceptar.

You must allow hash publication for file shares.

Figura 3 debe permitir la publicación de hash para recursos compartidos de archivos.

Mientras esté en el servidor BranchCache, también se debe configurar la cantidad de espacio de disco duro disponible para contenido de la caché. De forma predeterminada, BranchCache utiliza hasta cinco por ciento del espacio disponible en disco duro. Puede que desee aumentar esta cantidad, especialmente si tiene un servidor dedicado. La configuración de los límites de espacio de disco implica la edición del registro, por lo que un sistema completo de copia de seguridad antes de editar el registro. Cometiendo un error al editar el registro puede destruir Windows.

Abra el Editor del registro y desplácese a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters. Haga doble clic en el valor de HashStorageLimitPercent. Especificar la cantidad de espacio de disco duro del servidor que desea utilizar para los datos almacenados en caché (véase figura 4). Introduzca el valor como un porcentaje. Deberás crear un valor de HashStorageLimitPercent si ya no existe.

You can use the system registry to regulate the amount of disk space that’s used by BranchCache.

Figura 4 puede utilizar el registro del sistema para regular la cantidad de espacio de disco que se utiliza por BranchCache.

Es la última tarea de configuración de servidor establecer la etiqueta de apoyo BranchCache en tus archivos compartidos. Para ello, haga clic en un recurso compartido de archivos y seleccione el comando Propiedades del menú contextual. Cuando se muestra la hoja de propiedades para el recurso compartido de archivos, seleccione la ficha compartir y haga clic en el botón avanzadas de uso compartido, seguido por el botón de caché. Seleccione el solo los archivos y programas que opción usuarios especificar están disponible sin conexión, así como la opción de habilitar BranchCache (véase figura 5), haga clic en Aceptar.

You must enable BranchCache on each individual file share for which you want to allow caching

Figura 5 en cada recurso compartido de archivo individual que desea permitir el almacenamiento en caché debe habilitar BranchCache.

Configuración de clientes BranchCache

Una vez que has activado BranchCache en el servidor, tendrás que configurar a los clientes de la sucursal. La mejor manera de hacerlo es modificar la Directiva de grupo para los equipos de la sucursal.

Utilice el Editor de directivas de grupo para abrir la Directiva de grupo que controla la configuración de seguridad para su sucursal. Navegar por el árbol de Directiva a configuración del equipo | Directivas | Plantillas administrativas | Red | BranchCache. Verás varias opciones de política de grupo relacionadas con BranchCache. Haga doble clic en activar el configuración BranchCache, haga clic en habilitada y OK. Doble a continuación, clic en Activar BranchCache – acogió el modo de caché y haga clic en habilitada, entonces OK.

También tendrás que habilitar el BranchCache para configuración de archivos de red. Cuando se habilita esta opción, tiene la opción de especificar un valor de latencia (en milisegundos) que deben almacenarse en caché archivos. En otras palabras, tiene la opción de sólo caché que toman un tiempo para acceder a los archivos. Esto es útil si tiene un servidor de archivos en la sucursal y sólo desea el contenido de la caché que se extrae de un servidor de archivos remoto, o si sólo desea almacenar en caché los archivos muy grandes.

Dependiendo de cómo esté configurada la red, también podría tener que crear una regla de firewall para facilitar mediante BranchCache. En el modo de caché alojado, debe configurar clientes para aceptar tráfico HTTP desde el servidor BranchCache.

Controladores de dominio de sólo lectura

Controladores de dominio de sólo lectura (RODC) también pueden ayudar a optimizar la experiencia del usuario final en las sucursales. Cada versión de servidor de Windows desde Windows 2000 Server ha utilizado un modelo de dominio con varios maestros. Esto significa que puede escribir los cambios en el directorio activo de cualquier DC y DC replicará los cambios a los otros controladores de dominio dentro del dominio.

Sin embargo, no puede actualizar directamente la copia de la base de datos de Active Directory almacenado en un RODC. Sólo está permitido escribir actualizaciones para controladores de dominio de escritura. Esas versiones, a continuación, se replican en todos los DC del dominio, incluidos los RODC.

Hay dos razones principales por qué son beneficiosos para apoyo de oficina sucursal RODC. La primera razón tiene que ver con la disponibilidad. DCs autentican las solicitudes de inicio de sesión del usuario. Si una sucursal no tiene un controlador de dominio local, los usuarios están obligados a autenticar contra un DC en la Oficina principal. No sólo esto es lento, pero si el vínculo WAN falla, entonces los usuarios en la sucursal no podrá acceder a un DC.

Colocación de un DC en la sucursal puede ayudar a evitar esta situación. Si falla un enlace WAN, los usuarios aún pueden autenticarse en la red. El problema con la configuración de un controlador de dominio en una sucursal es la falta de seguridad física adecuada. Muchas veces, la DC es simplemente configurar en un armario con ninguna seguridad física real y sin soporte in situ.

RODC son ideales para su uso en estos tipos de situaciones. Son endurecidas de una manera que ayuda a compensar la falta de seguridad física. La oferta de RODC de característica de seguridad más obvia es la copia de sólo lectura de la base de datos de Active Directory.

Porque la copia de la base de datos es de sólo lectura, no tendrá que preocuparse por alguien obtener acceso físico a la DC, manipulación de Active Directory y replicar modificaciones no autorizadas a través de la red. Los únicos cambios a la base de datos ocurren cuando DCs autorizadas replican las actualizaciones el RODC.

Otra forma de que RODC mejorar seguridad de oficina sucursal es almacenando una copia incompleta de la base de datos de Active Directory. Normalmente, la base de datos de Active Directory contiene las credenciales para todos los usuarios del dominio y las cuentas de equipo. Sin embargo, RODC no almacenan las credenciales de cualquier usuario o un equipo de forma predeterminada. Cuando un usuario se autentica, una directiva de replicación de contraseñas determina si se debe almacenar en caché la contraseña del usuario en el RODC.

Almacenamiento en caché las contraseñas garantiza que el RODC es capaz de procesar los inicios de sesión de usuario. Evita que la DC tiene un conjunto completo de credenciales almacenadas en caché para ese dominio. Sólo sucursal usuarios de office donde reside el RODC deben tener sus credenciales en caché.

Mientras que puede mejorar la seguridad de los RODC dejando credenciales caché deshabilitada, haciendo así puede derrotar el propósito de la implementación de un RODC. Todas las solicitudes de autenticación tendrían que ser procesados por un escritura DC.

Implementación de un RODC

Antes de desplegar un RODC, asegúrese de que se establece el nivel funcional del bosque de Active Directory en Windows Server 2003 o posterior. También deberás utilizar ADPREP para preparar el bosque de Active Directory (ADPREP/ForestPrep) y el dominio que va a contener el RODC (ADPREP/DomainPrep /gpprep).

Si el dominio está ejecutando actualmente en controladores de dominio de Windows Server 2003, entonces también deberás ejecutar ADPREP con el modificador /rodcprep. Por cierto, también debe implementar al menos una escritura Windows Server 2008 o 2008 R2 DC antes de implementar su primer RODC.

De lo contrario, el proceso de despliegue efectivo de RODC es simple. Al ejecutar Dcpromo para promover el servidor a un controlador de dominio, el asistente contiene una casilla de verificación se puede utilizar para hacer que el servidor un RODC (véase figura 6).

Select the option to make the domain controller read-only.

Figura 6 Seleccione la opción para que el controlador de dominio de sólo lectura.

La Directiva de replicación de contraseñas controlará si las credenciales de usuario se almacenan en el RODC. Esta política es esencialmente una lista que controla los usuarios y grupos que pueden tener sus credenciales replicados. Cuando cree la lista, puede permitir o denegar la posibilidad de replicar un usuario o la contraseña del grupo.

Debe evitar la replicación de contraseñas administrativas. También debe crear un grupo de seguridad de Active Directory para usuarios cuyas contraseñas que desea replicar. A continuación, puede permitir replicación para ese grupo en lugar de tratar de cada usuario individualmente. Tenga en cuenta que las negaciones tienen precedencia sobre aprobaciones de contradicciones de la configuración de directiva.

Puede acceder a la Directiva de replicación de contraseñas abriendo el Active Directory consola usuarios y equipos. Expanda el contenedor de DCs, pulse el botón derecho en el RODC y elegir el comando Propiedades del menú contextual. A continuación verá la hoja de propiedades para el RODC. Puede administrar la Directiva de replicación de contraseñas a través de la ficha Directiva de replicación de contraseñas (véase figura 7).

You have the option of authorizing the replication of user credentials.

Figura 7 tiene la opción de autorizar la replicación de las credenciales de usuario.

Congestión del ancho de banda WAN puede ser una cuestión importante para las sucursales. Utilizando BranchCache y desplegado localmente RODC pueden reducir significativamente el uso de ancho de banda WAN, mientras también mejora la seguridad. Ambos de estos factores pueden ayudar a mejorar la experiencia de oficina sucursal para sus usuarios.

Brien M. Posey

**Brien M. Posey**es un profesional más valioso Microsoft y escritor técnico con miles de artículos y decenas de libros en su haber. Puede visitar su sitio Web en brienposey.com.

Contenido relacionado