Windows Server 2008 R2: Ottimizzazione dell'esperienza delle succursali
L'utilizzo della funzionalità BranchCache e dei controller di dominio di sola lettura consente di garantire un'esperienza lineare agli utenti delle succursali.
Brien M. Posey
Filiali sempre presentano una speciale serie di sfide. Senza un personale IT in loco, filiali tendono ad essere più difficili da gestire e garantire. Gli impiegati a filiali esperienza spesso i tempi di risposta lenta quando cercano di accedere alle risorse archiviate su server situati presso la sede principale. Ci sono numerose funzionalità di Windows Server 2008 R2 che affrontano direttamente le esigenze specifiche di prestazioni e sicurezza di filiali.
BranchCache
BranchCache aiuta ad alleviare alcuni della congestione WAN che si verifica quando gli utenti tentano di accedere ai dati dalla rete azienda tramite una connessione WAN. BranchCache fa localmente nella cache dati utilizzati frequentemente in modo non ha bisogno di recuperare sulla WAN, in ogni volta che viene richiesto.
Per utilizzare BranchCache, tutte le postazioni di lavoro nella filiale devono eseguire Windows 7. Tutti i file server e server Web nell'ufficio principale deve essere in esecuzione Windows Server 2008 R2.
Ci sono due diverse modalità disponibili quando si utilizza BranchCache. La modalità da che utilizzare dipende in larga misura le dimensioni della vostra filiale. Se la vostra filiale ha meno di 50 utenti, non sarà necessario un server BranchCache. Invece, è possibile eseguire BranchCache e modalità Cache distribuita. In questo modo, ogni postazione di lavoro di Windows 7 è in grado di contenuto di rete della cache e fornire l'accesso alla cache per gli utenti di office di ramo.
Il limite principale utilizzando la modalità Cache distribuita è che supporta solo una singola subnet nella filiale. Se la vostra filiale utilizza più subnet, poi ciascuna workstation Windows 7 sarà solo in grado di fornire la memorizzazione di dati alle altre workstation all'interno della stessa subnet.
L'altra modalità di BranchCache è più adatta per le più grandi filiali; si chiama modalità Cache ospitata. In questa modalità, BranchCache risiede su una macchina Windows Server 2008 R2 designata. Ciascuna workstation Windows 7 ha un nome di dominio completo del server a cui dovrebbe apparire per il contenuto della cache.
BranchCache è disattivata per impostazione predefinita in Windows Server 2008 R2. Per abilitare l'utilizzo di BranchCache, aprire gestione Server sul vostro server BranchCache, fare clic sul contenitore caratteristiche e poi cliccare sul link Aggiungi funzionalità. Scegliere l'opzione di BranchCache dall'elenco delle funzionalità disponibili (vedere Figura 1), fare clic su avanti, seguita da installare e Close.
.jpg)
Figura 1 devi abilitare e configurare BranchCache come una caratteristica.
Configurazione del Server BranchCache
Il metodo esatto di configurazione BranchCache, che sarà necessario fare varierà secondo i tipi di contenuto che si desidera della cache. BranchCache possibile memorizzare nella cache dati di file server, Server Intranet dati o dati di server di applicazione di bit. Poiché la memorizzazione nella cache di dati di file server è l'uso più comune per BranchCache, tratterò il processo di configurazione di server di file.
Il primo passo nella configurazione di BranchCache di dati del server cache file consiste nell'abilitare il BranchCache per servizio ruolo file server file di rete. Farlo su qualsiasi server di file di Windows Server 2008 R2 contenente i dati che è necessario della cache. BranchCache per il servizio di ruolo di file di rete, aggiungere al ruolo File Server (vedere Figura 2).
.jpg)
Figura 2 sarà necessario aggiungere il BranchCache per file di rete servizio ruolo al file server.
Il passo successivo nel processo è quello di utilizzare criteri di gruppo per configurare il server di BranchCache. Supponendo che si dispone di un unico server di BranchCache, è possibile farlo nel criterio di protezione locale del server BranchCache.
Aprire l'Editor dei criteri di gruppo e navigare attraverso la struttura della console di configurazione Computer | Politiche | Modelli amministrativi | Rete | LanMan Server. Fare doppio clic sulla pubblicazione Hash per WindowsBranchCache impostazione e fare clic su attivata. Dovrete scegliere o pubblicazioni permettono di Hash per tutte le condivisioni di File o la pubblicazione di Hash consentire per condivisioni di File contrassegnati con opzione di supporto di Windows BranchCache (vedere Figura 3). Dopo aver effettuato la selezione, fare clic su OK.
.jpg)
Figura 3 È necessario consentire la pubblicazione hash per condivisioni di file.
Mentre siete al BranchCache Server, è inoltre necessario configurare la quantità di spazio su disco disponibile per il contenuto della cache. Per impostazione predefinita, BranchCache utilizza fino al cinque per cento di spazio disponibile su disco rigido. Si consiglia di aumentare tale importo, soprattutto se si dispone di un server dedicato. Impostazione dei limiti di spazio disco comporta la modifica del Registro di sistema, quindi fare un sistema completo backup prima di modificare il Registro di sistema. Facendo un errore durante la modifica del Registro di sistema può distruggere Windows.
Aprire l'Editor del Registro di sistema e passare alla HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters. Fare doppio clic sul valore HashStorageLimitPercent. Specificare la quantità di spazio su disco del server da utilizzare per i dati memorizzati nella cache (vedere Figura 4). Immettere il valore in percentuale. È necessario creare un valore di HashStorageLimitPercent se uno non esiste già.
.jpg)
Figura 4 È possibile utilizzare il Registro di sistema per regolare la quantità di spazio su disco utilizzato da BranchCache.
L'ultimo compito di configurazione lato server consiste nell'impostare il tag di supporto BranchCache su condivisioni di file. A tale scopo, fare clic destro su una condivisione di file e selezionare il comando di proprietà dal menu di scelta rapida. Quando viene visualizzata la finestra delle proprietà della condivisione file, selezionare la scheda condivisione e fare clic sul pulsante avanzate di condivisione, seguito dal pulsante Caching. Selezionare l'unico file e programmi tale opzione utenti specificare sono disponibili Offline, come pure l'opzione Abilita BranchCache (vedere Figura 5), quindi fare clic su OK.
.jpg)
Figura 5 è necessario abilitare BranchCache in ogni condivisione di singoli file per cui si desidera consentire la memorizzazione nella cache.
Configurazione di client BranchCache
Una volta che hai attivato BranchCache sul vostro server, dovrete configurare i client nella filiale. Il modo migliore per farlo è quello di modificare i criteri di gruppo per i computer della filiale.
Utilizzare l'Editor dei criteri di gruppo per aprire i criteri di gruppo che controlla le impostazioni di protezione per il vostro ufficio filiale. Navigare attraverso l'albero di politica alla configurazione Computer | Politiche | Modelli amministrativi | Rete | BranchCache. Vedrai le diverse impostazioni gruppo relative al BranchCache. Fare doppio clic sulla sua volta sull'impostazione di BranchCache, fare clic su attivata, quindi OK. Successivamente, fare doppio clic su accendere BranchCache – modalità Cache ospitata e fare clic su Enabled, quindi OK.
Avrete anche abilitare il BranchCache per impostazione file di rete. Quando si attiva questa impostazione, hai la possibilità di specificare un valore di latenza (in millisecondi) sopra il quale file dovrebbero essere memorizzato nella cache. In altre parole, hai l'opzione di solo caching file che prendono un po di accedere. Questo è utile se si dispone di un file server nella filiale e vogliono solo il contenuto della cache essere tirato da un server di file remoto, o se si desidera memorizzare nella cache file molto grandi.
A seconda di come la rete è configurata, potrebbe anche essere necessario creare una regola di firewall per facilitare l'utilizzo di BranchCache. In modalità cache ospitata, è necessario configurare i client di accettare il traffico HTTP dal server BranchCache.
Controller di dominio di sola lettura
Controller di dominio di sola lettura (RODC) può aiutare a ottimizzare l'esperienza dell'utente finale nelle filiali. Ogni versione di Windows Server, poiché Windows 2000 Server ha usato un modello di dominio multi-master. Questo significa che è possibile scrivere le modifiche ad Active Directory di qualsiasi DC e DC replicherà le modifiche ai altri controller di dominio all'interno del dominio.
Tuttavia, è possibile aggiornare direttamente la copia del database Active Directory memorizzato su un RODC. Ti è permesso solo di scrivere gli aggiornamenti al controller di dominio scrivibile. Tali aggiornamenti vengono replicati poi altri controller di dominio nel dominio, tra cui i RODC.
Ci sono due ragioni principali perché RODC sono benefici per il supporto di ufficio del ramo. La prima ragione ha a che fare con disponibilità. DCs autenticare le richieste di accesso utente. Se una filiale non ha un locale DC, gli utenti sono costretti per autenticare contro un DC nell'ufficio principale. Non solo questo è lento, ma se il collegamento WAN fallisce, quindi gli utenti nella filiale non sarà in grado di accedere a un controller di dominio.
Immissione di un DC nella filiale può aiutare a evitare questa situazione. Se un collegamento WAN non riesce, gli utenti possono autenticare ancora sulla rete. Il problema con la creazione di una DC in una filiale è la mancanza di un'adeguata protezione fisica. Spesso, la DC è sufficiente impostare in un armadio con alcuna sicurezza fisico reale e nessun supporto in loco.
RODC sono ideali per l'uso in questi tipi di situazioni. Sono induriti in un modo che aiuta a compensare la mancanza di sicurezza fisica. L'offerta di RODC di funzionalità protezione più evidente è la copia di sola lettura del database di Active Directory.
Poiché la copia del database è di sola lettura, non dovrete preoccuparvi di qualcuno l'accesso fisico ai DC, manipolando Active Directory e replica delle modifiche non autorizzate in tutta la rete. Le uniche modifiche al database si verificano quando autorizzato DCs replicare gli aggiornamenti a QUEST'ultimo.
Un altro modo che RODC migliorare ramo ufficio sicurezza è da archiviare una copia incompleta del database di Active Directory. Normalmente, il database di Active Directory contiene le credenziali per tutti di account utente di dominio e computer. Tuttavia, RODC non memorizzano qualsiasi credenziali utente o del computer per impostazione predefinita. Quando un utente esegue l'autenticazione, un criterio di replica password determina se la password dell'utente su QUEST'ultimo nella cache.
Memorizzazione nella cache le password assicura che QUEST'ultimo è in grado di elaborare gli accessi degli utenti. Impedisce la DC avendo un set completo di credenziali memorizzate nella cache per il dominio. Solo utenti di office del ramo dove risiede il RODC dovrebbero avere le credenziali memorizzate nella cache.
Mentre si può migliorare la sicurezza di QUEST'ultimo lasciando credential cache disabilitata, facendo così può annullare l'obiettivo della distribuzione di un controller. Tutte le richieste di autenticazione avrebbe quindi dovuto essere elaborato da un controller di dominio scrivibile.
Distribuzione di un controller
Prima è possibile distribuire un RODC, assicurarsi che il livello di funzionalità foresta di Active Directory è impostato su Windows Server 2003 o versione successiva. È inoltre necessario utilizzare ADPREP per preparare la foresta di Active Directory (ADPREP/ForestPrep) e il dominio che conterrà il RODC (ADPREP/DomainPrep /gpprep).
Se il dominio è attualmente in esecuzione sul controller di dominio di Windows Server 2003, quindi è anche necessario eseguire ADPREP con l'opzione di /rodcprep. Per inciso, sarà anche necessario distribuire almeno un scrivibile Windows Server 2008 o 2008 R2 DC prima di distribuire il primo controller.
In caso contrario, il processo di distribuzione effettivo per RODC è semplice. Quando si esegue Dcpromo per promuovere il server a un controller di dominio, la procedura guidata contiene una casella di controllo è possibile utilizzare per rendere il server RODC (vedere Figura 6).
.jpg)
Figura 6 selezionare l'opzione per rendere il controller di dominio di sola lettura.
I criteri di replica Password controllerà se le credenziali dell'utente sono memorizzati su QUEST'ultimo. Questa politica è essenzialmente una lista che controlla gli utenti e i gruppi che sono ammessi ad avere le proprie credenziali replicate. Come si compila l'elenco, è possibile consentire o negare la possibilità di replicare un utente o la password del gruppo.
Si dovrebbe evitare di replicare le password amministrative. È inoltre necessario creare un gruppo di protezione di Active Directory per gli utenti di cui password che si desidera replicare. Quindi è possibile consentire la replica per quel gruppo invece di trattare con ogni utente individualmente. Tenete a mente che smentite anteporsi approvazioni in caso di contraddizioni di impostazione politica.
È possibile accedere i criteri di replica Password aprendo l'Active Directory utenti e computer console. Espandere il contenitore DCs, fai clic destro sul vostro RODC e scegliere Proprietà dal menu di scelta rapida. Poi si vedrà il foglio di proprietà per QUEST'ultimo. È possibile gestire i criteri di replica Password attraverso la scheda Criteri di replica Password (vedere Figura 7).
.jpg)
Figura 7 hai la possibilità di autorizzare la replica delle credenziali utente.
Congestione di ampiezza di banda WAN può essere un grosso problema per le filiali. Utilizzo di BranchCache e distribuito localmente RODC possono ridurre notevolmente l'utilizzo di larghezza di banda WAN, migliorando anche la sicurezza. Entrambi questi fattori possono contribuire a migliorare l'esperienza di branch office per gli utenti.
.jpg)
**Brien M. Posey**è un Microsoft Most Valuable Professional e scrittore freelance tecnico con migliaia di articoli e dozzine di libri al suo attivo. Potete visitare il suo sito Web a brienposey.com.