Exporteren (0) Afdrukken
Alles uitvouwen

Overzicht van BranchCache

Gepubliceerd: februari 2012

Bijgewerkt: november 2013

Van toepassing op: Windows 8, Windows Server 2012



Dit onderwerp, dat is bedoeld voor IT-professionals (Information Technology), biedt een overzicht van de informatie over BranchCache, met inbegrip van BranchCache-modi, functies, mogelijkheden en de BranchCache-functionaliteit die beschikbaar is in verschillende besturingssystemen.

Wie is geïnteresseerd in BranchCache?

Als u een systeembeheerder, netwerk- of opslagoplossingsarchitect of andere IT-professional bent, is BranchCache mogelijk interessant voor u in de volgende omstandigheden:

  • U ontwerpt of biedt ondersteuning voor IT-infrastructuur voor een organisatie met twee of meer fysieke locaties en een WAN-verbinding (Wide Area Network) van de filialen met het hoofdkantoor.

  • U ontwerpt of biedt ondersteuning voor IT-infrastructuur voor een organisatie die cloudtechnologieën heeft geïmplementeerd, en waar een WAN-verbinding wordt gebruikt door werknemers voor toegang tot gegevens en toepassingen op externe locaties.

  • U wilt WAN-bandbreedtegebruik optimaliseren door de hoeveelheid netwerkverkeer tussen de filialen en het hoofdkantoor te verminderen.

  • U hebt op uw hoofdkantoor inhoudsservers geïmplementeerd of u bent van plan deze te implementeren, welke servers overeenkomen met de configuraties die in dit onderwerp worden beschreven.

  • Op de clientcomputers in uw filialen wordt Windows® 8 of Windows® 7 uitgevoerd.

Dit onderwerp bevat de volgende secties:

BranchCache is een optimalisatietechnologie voor WAN-bandbreedte die is opgenomen in bepaalde versies van de besturingssystemen Windows Server® 2012 en Windows® 8 evenals in sommige versies van Windows Server® 2008 R2 en Windows® 7. Voor het optimaliseren van WAN-bandbreedte wanneer gebruikers toegang hebben tot inhoud op externe servers, kopieert BranchCache inhoud van de inhoudsservers op uw hoofdkantoor of van in de cloud gehoste inhoudsservers. Vervolgens wordt deze inhoud opgeslagen in een cache op filiaallocaties, zodat clientcomputers in filialen lokale toegang tot de inhoud hebben in plaats van via het WAN.

In filialen wordt inhoud opgeslagen op servers die zijn geconfigureerd als host van de cache of, wanneer er geen server beschikbaar is in het filiaal, op clientcomputers waarop Windows 8 of Windows 7 wordt uitgevoerd. Nadat een clientcomputer inhoud van het hoofdkantoor heeft gevraagd en ontvangen en de inhoud in de cache in het filiaal is opgeslagen, kunnen andere computers in het filiaal de inhoud lokaal verkrijgen in plaats van de inhoud van de inhoudsserver te downloaden via de WAN-koppeling.

Wanneer er volgende aanvragen voor dezelfde inhoud worden gedaan door clientcomputers, downloaden de clientcomputers inhoudsinformatie van de server in plaats van de werkelijke inhoud. Informatie over de inhoud bestaat uit hashes die worden berekend met behulp van de oorspronkelijke inhoud en deze zijn zeer klein vergeleken met de inhoud in de oorspronkelijke gegevens. Clientcomputers gebruiken vervolgens de inhoudsinformatie om de inhoud te zoeken in een cache in het filiaal, of de cache nu is opgeslagen op een clientcomputer of op een server. Clientcomputers en servers gebruiken ook inhoudsinformatie om inhoud in een cache te beveiligen, zodat deze niet kan worden geopend door onbevoegden.

BranchCache verhoogt de productiviteit van de eindgebruiker door reactietijden van inhoudsquery's voor clients en servers in filialen te verbeteren, en kan tevens de netwerkprestaties verbeteren door het verkeer via WAN-koppelingen te verminderen.

BranchCache heeft twee werkmodi: gedistribueerde cache en gehoste cache.

Wanneer u BranchCache in de modus gedistribueerde cache implementeert, wordt de inhoudscache in een filiaal verdeeld over clientcomputers.

Wanneer u BranchCache in de modus gehoste cache implementeert, wordt de inhoudscache in een filiaal gehost op een of meer servercomputers die servers voor gehoste cache worden genoemd.

noteOpmerking
U kunt BranchCache met beide modi implementeren, maar er kan slechts één modus per filiaal worden gebruikt. Als u twee filialen hebt, één met server en één zonder server, kunt u BranchCache in de modus gehoste cache implementeren op het kantoor met een server, terwijl u BranchCache in de modus gedistribueerde cache implementeert op het kantoor met alleen de clientcomputers.

In de volgende afbeelding is BranchCache geïmplementeerd in beide modi.

BranchCache-modi

De modus gedistribueerde cache is vooral geschikt voor kleine filialen die geen lokale server voor gebruik als server voor gehoste cache hebben. Met de modus gedistribueerde cache kunt u BranchCache implementeren in filialen zonder extra hardware.

Als het filiaal waar u BranchCache wilt implementeren, aanvullende infrastructuur bevat, zoals een of meer servers waarop andere taken worden uitgevoerd, is het implementeren van BranchCache in de modus gehoste cache nuttig om de volgende redenen:

De modus gehoste cache verhoogt de efficiëntie van de cache omdat er inhoud beschikbaar is, zelfs als de client die de gegevens oorspronkelijk heeft aangevraagd en in de cache heeft opgeslagen, offline is. Omdat de server voor gehoste cache altijd beschikbaar is, wordt er meer inhoud in de cache opgeslagen, zodat er meer WAN-bandbreedte wordt bespaard en de efficiëntie van BranchCache wordt verbeterd.

De modus gedistribueerde cache werkt op een enkel subnet. In een filiaal met meerdere subnetten dat is geconfigureerd voor de modus gedistribueerde cache, kan een bestand dat is gedownload naar één subnet niet worden gedeeld met clientcomputers op andere subnetten. Als gevolg hiervan kunnen clientcomputers op andere subnetten niet zien dat een bestand al is gedownload en ontvangen ze het betreffende bestand van de inhoudsserver op het hoofdkantoor waarbij WAN-bandbreedte wordt verbruikt. Wanneer u de modus gehoste cache implementeert, is dit echter niet het geval - alle clients in een filiaal met meerdere subnetten hebben toegang tot een enkele cache die is opgeslagen op de server voor gehoste cache, zelfs als de clients zich op verschillende subnetten bevinden. Daarnaast biedt BranchCache in Windows Server 2012 de mogelijkheid tot het implementeren van meer dan één server voor gehoste cache per filiaal.

CautionGa voorzichtig te werk
Als u BranchCache gebruikt voor het opslaan van bestanden en mappen in een SMB-cache, schakelt u Offlinebestanden niet uit. Als u Offlinebestanden uitschakelt, werkt BranchCache SMB-caching niet goed.

Wanneer u BranchCache implementeert, wordt de broninhoud op uw hoofdkantoor opgeslagen op BranchCache-inhoudsservers. De volgende typen inhoudsservers worden ondersteund door BranchCache:

noteOpmerking
Alleen broninhoud – dat wil zeggen inhoud die clientcomputers in eerste instantie verkrijgen van een BranchCache-inhoudsserver – wordt door BranchCache versneld. Inhoud die clientcomputers rechtstreeks vanuit andere bronnen, zoals webservers op internet of Windows Update verkrijgen, wordt door clientcomputers of servers voor gehoste cache niet opgeslagen in de cache en vervolgens gedeeld met andere computers in het filiaal. Als u de inhoud van Windows Update wilt versnellen, kunt u echter een toepassingsserver voor Windows Server Update Services (WSUS) in uw hoofdkantoor installeren en deze configureren als BranchCache-inhoudsserver.

Ondersteunde webservers zijn onder meer computers met Windows Server 2012 of Windows Server® 2008 R2 waarop de functie Webserver (IIS) is geïnstalleerd en die gebruikmaken van Hypertext Transfer Protocol (HTTP) of HTTPS (HTTP Secure). Bovendien moet op de webserver het onderdeel BranchCache zijn geïnstalleerd. Voor meer informatie over Webserver (IIS) in Windows Server 2012, raadpleegt u Webserveroverzicht (IIS).

Ondersteunde bestandsservers zijn computers met Windows Server 2012 of Windows Server 2008 R2 waarop de serverfunctie Bestandsservices en de functieservice BranchCache voor netwerkbestanden zijn geïnstalleerd. Deze bestandsservers maken gebruik van Server Message Block (SMB) voor het uitwisselen van informatie tussen computers. Nadat de installatie van de bestandsserver is voltooid, moet u ook mappen delen en het genereren van hashes voor gedeelde mappen inschakelen met behulp van Groepsbeleid of Beleid voor lokale computer om BranchCache in te schakelen. Voor meer informatie over Bestands- en opslagservices in Windows Server 2012 raadpleegt u File and Storage Services Overview.

Ondersteunde toepassingsservers zijn computers met Windows Server 2012 of Windows Server 2008 R2 waarop Background Intelligent Transfer Service (BITS) is geïnstalleerd en ingeschakeld. Bovendien moet op de toepassingsserver het onderdeel BranchCache zijn geïnstalleerd. U kunt bijvoorbeeld Microsoft Windows Server Update Services-servers (WSUS) en Microsoft System Center Configuration Manager Branch Distribution Point-servers implementeren als BranchCache-inhoudsservers.

De cloud heeft een enorm potentieel om operationele kosten te verlagen en nieuwe schaalniveaus te bereiken, maar als taken worden weggehaald bij de mensen die ervan afhankelijk zijn, kan dat de netwerkkosten verhogen en de productiviteit schaden. Gebruikers verwachten hoge prestaties en het zal hen een zorg zijn waar hun toepassingen en gegevens worden gehost. BranchCache kan de prestaties van netwerktoepassingen verbeteren en het bandbreedteverbruik verlagen met een gedeelde gegevenscache. Het verbetert de productiviteit in filialen en op hoofdkantoren, waar werknemers gebruikmaken van servers die zijn geïmplementeerd in de cloud.

Omdat BranchCache geen nieuwe hardware of wijzigingen in de netwerktopologie vereist, is het een ideale oplossing voor het verbeteren van de communicatie tussen kantoorlocaties en openbare en persoonlijke clouds.

Voor meer informatie over cloudtechnologieën in Windows Server 2012 raadpleegt u Uw cloudinfrastructuur opzetten: scenario-overzicht.

Er zijn twee versies van inhoudsinformatie:

  • Inhoudsinformatie die compatibel is met computers waarop Windows Server 2008 R2 en Windows 7 wordt uitgevoerd, wordt versie 1 of V1 genoemd. Met BranchCache V1-bestandssegmentatie zijn bestandssegmenten groter dan in V2 en hebben ze een vaste grootte. Segmenten met een grote vaste omvang hebben tot gevolg dat, wanneer een gebruiker een wijziging aanbrengt waardoor de bestandslengte wordt gewijzigd, niet alleen het segment met de wijziging ongeldig is geworden, maar alle segmenten tot aan het einde van het bestand ongeldig zijn geworden. De volgende aanroep van het gewijzigde bestand door een andere gebruiker in het filiaal resulteert dus in beperkte besparing van WAN-bandbreedte omdat de gewijzigde inhoud en alle inhoud na de wijziging wordt verzonden via de WAN-koppeling.

  • Inhoudsinformatie die compatibel is met computers waarop Windows Server 2012 en Windows 8 wordt uitgevoerd, wordt versie 2 of V2 genoemd. V2-inhoudsinformatie maakt gebruik van kleinere segmenten met variabele grootte die een hogere tolerantie hebben voor wijzigingen in een bestand. Dit verhoogt de kans dat segmenten uit een oudere versie van het bestand opnieuw kunnen worden gebruikt wanneer gebruikers toegang krijgen tot een bijgewerkte versie, zodat ze alleen het gewijzigde gedeelte van het bestand ophalen van de inhoudsserver en dus minder WAN-bandbreedte gebruiken.

In de volgende tabel vindt u informatie over de inhoudsinformatieversie die wordt gebruikt, afhankelijk van welke besturingssystemen voor de client, inhoudsserver en server voor gehoste cache u gebruikt in uw BranchCache-implementatie.

noteOpmerking
Het acroniem "OS" betekent in de onderstaande tabel besturingssysteem.

 

OS op client OS op inhoudsserver OS op server voor gehoste cache Inhoudsinformatieversie

Windows Server 2008 R2 en Windows 7

Windows Server 2012 of Windows Server 2008 R2

Windows Server 2012 of Windows Server 2008 R2; geen voor de modus gedistribueerde cache

V1

Windows Server 2012 en Windows 8

Windows Server 2008 R2

Windows Server 2012 of Windows Server 2008 R2; geen voor de modus gedistribueerde cache

V1

Windows Server 2012 en Windows 8

Windows Server 2012

Windows Server 2008 R2; geen voor de modus gedistribueerde cache

V1

Windows Server 2012 en Windows 8

Windows Server 2012

Windows Server 2012; geen voor de modus gedistribueerde cache

V2

Als u beschikt over inhoudsservers en servers voor gehoste cache met Windows Server 2012, maken deze gebruik van de inhoudsinformatieversie die van toepassing is op basis van het besturingssysteem van de BranchCache-client die informatie opvraagt. Wanneer computers met Windows Server 2012 en Windows 8 inhoud aanvragen, maken de inhoudsserver en de servers voor gehoste cache gebruik van V2-inhoudsinformatie; wanneer computers met Windows Server 2008 R2 en Windows 7 inhoud aanvragen, maken de inhoudsservers en de servers voor gehoste cache gebruik van V1-inhoudsinformatie.

Wanneer u BranchCache in de modus gedistribueerde cache implementeert, delen clients die gebruikmaken van verschillende inhoudsinformatieversies, geen inhoud met elkaar.

U kunt Serverbeheer gebruiken in Windows Server 2012 om het onderdeel BranchCache of de functieservice BranchCache voor netwerkbestanden of de serverfunctie Bestandsservices te installeren. U kunt de volgende tabel gebruiken om te bepalen of de functieservice of het onderdeel moet worden geïnstalleerd.

 

Functionaliteit Locatie van computer Dit BranchCache-element installeren

Inhoudsserver (op BITS gebaseerde toepassingsserver)

Hoofdkantoor of een datacenter in cloud

BranchCache-onderdeel

Inhoudsserver (webserver)

Hoofdkantoor of een datacenter in cloud

BranchCache-onderdeel

Inhoudsserver (bestandsserver met het SMB-protocol)

Hoofdkantoor of een datacenter in cloud

Functieservice BranchCache voor netwerkbestanden van de serverfunctie Bestandsservices

Server voor gehoste cache

Filiaal

Het onderdeel BranchCache waarbij de modus server voor gehoste cache is ingeschakeld

Clientcomputer met BranchCache

Filiaal

Geen installatie vereist; BranchCache en een BranchCache-modus (gedistribueerd of gehost) op de client inschakelen

Om de functieservice of het onderdeel te installeren opent u Serverbeheer en selecteert u de computers waarop u BranchCache-functionaliteit wilt inschakelen. Klik in Serverbeheer op Beheren en klik vervolgens op Functies en onderdelen toevoegen. De wizard Functies en onderdelen toevoegen wordt geopend. Als u de wizard uitvoert, moet u de volgende selecties maken:

  • Op de wizardpagina Type installatie selecteren selecteert u Installatie die op de functie of het onderdeel is gebaseerd.

  • Als u een bestandsserver met BranchCache installeert, selecteert u op de wizardpagina Serverfuncties selecteren de optie Bestandsservices. Verderop in het configuratieproces van de wizard selecteert u ook BranchCache voor netwerkbestanden. Als u geen bestandsserver met BranchCache wilt installeren, installeert u niet de functie Bestandsservices met de functieservice BranchCache voor netwerkbestanden.

  • Op de wizardpagina functies selecteren, als u installeert een inhoudsserver die niet een bestandsserver of u een server voor gehoste cache, selecteer installeert BranchCache. Als u geen andere inhoudsserver dan een bestandsserver of een server voor gehoste cache wilt installeren, moet u het onderdeel BranchCache niet installeren.

Hierna volgt een lijst met besturingssystemen die ondersteuning bieden voor verschillende typen BranchCache-functionaliteit.

  • Windows® 8 Enterprise

  • Windows® 7 Enterprise

  • Windows® 7 Ultimate

De Windows Server 2012-familie van besturingssystemen kan worden gebruikt als BranchCache-inhoudsservers.

Bovendien kan de Windows Server® 2008 R2-familie van besturingssystemen worden gebruikt als BranchCache-inhoudsservers, met de volgende uitzonderingen:

  • BranchCache wordt niet ondersteund in Server Core-installaties van Windows Server® 2008 R2 Enterprise met Hyper-V.

  • BranchCache wordt niet ondersteund in Server Core-installaties van Windows Server® 2008 R2 Datacenter met Hyper-V.

De Windows Server 2012-familie van besturingssystemen kan worden gebruikt als BranchCache-servers voor gehoste cache.

Bovendien kunnen de volgende Windows Server® 2008 R2-besturingssystemen worden gebruikt als BranchCache servers voor gehoste cache:

  • Windows Server® 2008 R2 Enterprise

  • Windows Server 2008 R2 Enterprise met Hyper-V

  • Server Core-installatie van Windows Server 2008 R2 Enterprise

  • Server Core-installatie van Windows Server 2008 R2 Enterprise met Hyper-V

  • Windows Server 2008 R2 voor Itanium-systemen

  • Windows Server® 2008 R2 Datacenter

  • Windows Server® 2008 R2 Datacenter met Hyper-V

  • Server Core-installatie van Windows Server 2008 R2 Datacenter met Hyper-V

BranchCache implementeert een veilig-ontwerpaanpak die naadloos samenwerkt met uw bestaande netwerkbeveiligingsarchitecturen, zonder dat er extra apparatuur of een complexe extra beveiligingsconfiguratie is vereist.

BranchCache is niet invasief en wijzigt geen Windows-verificatie- of machtigingsprocessen. Nadat u BranchCache hebt geïmplementeerd, wordt de verificatie nog steeds uitgevoerd met domeinreferenties en de manier waarop autorisatie met toegangsbeheerlijsten (ACL's) functioneert, wordt niet gewijzigd. Daarnaast blijven andere configuraties functioneren net zoals vóór BranchCache-implementatie.

Het beveiligingsmodel van BranchCache is gebaseerd op het maken van metagegevens, in de vorm van een reeks hashes. Deze hashes worden ook wel inhoudsinformatie genoemd.

Nadat de inhoudsinformatie is gemaakt, wordt deze in BranchCache-berichtenuitwisseling gebruikt in plaats van de werkelijke gegevens, en wordt deze uitgewisseld met behulp van de ondersteunde protocollen (HTTP, HTTPS en SMB).

Gegevens in de cache worden versleuteld bewaard en zijn niet toegankelijk voor clients die niet gemachtigd zijn voor toegang tot inhoud uit de oorspronkelijke bron. Clients moeten worden geverifieerd en gemachtigd door de oorspronkelijke inhoudsbron voordat ze inhoudsmetagegevens kunnen ophalen, en moeten beschikken over de inhoudsmetagegevens voor toegang tot de cache in het lokale kantoor.

Omdat de inhoudsinformatie uit meerdere elementen wordt samengesteld, is de waarde van de inhoudsinformatie altijd uniek. Deze elementen zijn:

  • De werkelijke inhoud (zoals webpagina's of gedeelde bestanden) waaruit de hashes worden afgeleid.

  • Configuratieparameters, zoals de hash-algoritme en de blokgrootte. Voor het genereren van inhoudsinformatie verdeelt de inhoudsserver de inhoud in segmenten en vervolgens in blokken. BranchCache maakt gebruik van beveiligde cryptografische hashes voor het identificeren en controleren van elk blok en segment, waarbij het hash-algoritme SHA256 wordt ondersteund.

  • Een serversleutel Alle inhoudsservers moeten worden geconfigureerd met een serversleutel die een binaire waarde van willekeurige lengte is.

noteOpmerking
Het gebruik van een serversleutel zorgt ervoor dat clientcomputers niet zelf inhoudsinformatie kunnen genereren. Hiermee voorkomt u dat kwaadwillende gebruikers brute aanvallen met BranchCache-clientcomputers uitvoeren om kleine wijzigingen in de inhoudsversies te raden in situaties waarin de client toegang had tot een eerdere versie, maar geen toegang heeft tot de huidige versie.

BranchCache gebruikt de serversleutel als een sleutel om een inhoudsspecifieke hash af te leiden die naar gemachtigde clients wordt verzonden. Deze hash wordt gegenereerd door een hash-algoritme toe te passen op de combinatie van serversleutel en de hash van gegevens.

Deze hash wordt de segmentsleutel genoemd. BranchCache gebruikt segmentsleutels om communicatie te beveiligen. BranchCache maakt bovendien een hashlijst met blokken (dit is een lijst met gehashte gegevensblokken) en de hash van gegevens, die wordt gegenereerd door de hashlijst met blokken te hashen.

De inhoudsinformatie omvat het volgende:

  • De hashlijst met blokken:

    BlockHashi = Hash(dataBlocki)   1<=i<=n

  • De hash van gegevens (HoD):

    HoD = Hash(BlockHashList)

  • Segmentsleutel (Kp):

    Kp = HMAC(Ks, HoD)

BranchCache maakt gebruik van het protocol Peer Content Caching en het protocol Retrieval Framework voor het implementeren van de processen die vereist zijn voor het beveiligd opslaan in cache en het ophalen van gegevens tussen inhoudscaches.

Bovendien behandelt BranchCache inhoudsinformatie met dezelfde mate van beveiliging die wordt gebruikt bij het behandelen en verzenden van de inhoud zelf.

De stroom van inhoudsinformatie en werkelijke inhoud is verdeeld in vier fasen:

  1. BranchCache-processen: Inhoud aanvragen

  2. BranchCache-processen: Inhoud zoeken

  3. BranchCache-processen: Inhoud ophalen

  4. BranchCache-processen: Inhoud in cache opslaan

In de volgende secties worden deze fasen beschreven.

In de eerste fase vraagt de clientcomputer in het filiaal inhoud, zoals een bestand of een webpagina, van een inhoudsserver op een externe locatie, zoals een hoofdkantoor. De inhoudsserver controleert of de clientcomputer is gemachtigd om de gevraagde inhoud ontvangen. Als de clientcomputer is gemachtigd en op zowel de inhoudsserver als de client BranchCache is ingeschakeld, genereert de inhoudsserver informatie over de inhoud.

De inhoudsserver verzendt vervolgens de inhoudsinformatie naar de clientcomputer via hetzelfde protocol dat zou zijn gebruikt voor de werkelijke inhoud. Als de clientcomputer bijvoorbeeld een webpagina heeft aangevraagd via HTTP, verzendt de inhoudsserver de inhoudsinformatie via HTTP. Als gevolg hiervan garandeert het beveiligingsniveau op draadniveau dat de inhoud en de informatie over de inhoud identiek zijn.

Nadat het eerste gedeelte van de inhoudsinformatie (hash van gegevens + segmentsleutel) is ontvangen, worden de volgende acties uitgevoerd door de clientcomputer:

  • Gebruikt de segmentsleutel (Kp) als de codeersleutel (Ke).

  • Genereert de segment-id (HoHoDk) uit de HoD en Kp:

    HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string “MS_P2P_CACHING” with NUL terminator.

De primaire dreiging op deze laag is het risico voor de segmentsleutel, maar BranchCache versleutelt de inhoudsgegevensblokken om de segmentsleutel te beschermen. BranchCache doet dit met behulp van de codeersleutel die is afgeleid van de segmentsleutel van het inhoudssegment waarin de inhoudsblokken zich bevinden. Deze aanpak garandeert dat een entiteit die niet in het bezit is van de serversleutel, de werkelijke inhoud in een gegevensblok niet kan onthullen. De segmentsleutel wordt behandeld met dezelfde mate van beveiliging als het platte-tekstsegment zelf, omdat een entiteit met kennis van de segmentsleutel voor een bepaald segment het segment van peers kan verkrijgen en dit vervolgens kan decoderen. Kennis van de serversleutel levert niet onmiddellijk tekst zonder opmaak op, maar kan worden gebruikt om bepaalde soorten gegevens af te leiden uit de versleutelde tekst en enkele gedeeltelijk bekende gegevens vervolgens bloot te stellen aan een brute gisaanval. De serversleutel moet daarom vertrouwelijk worden behandeld.

Nadat de inhoudsinformatie is ontvangen door de clientcomputer, gebruikt de client de segment-id om de gevraagde inhoud te zoeken in de cache van het lokale filiaal, waarbij het niet uitmaakt of die cache is gedistribueerd tussen clientcomputers of zich bevindt zich op een server voor gehoste cache.

Als de clientcomputer is geconfigureerd voor de modus gehoste cache, is deze geconfigureerd met de computernaam van de server voor gehoste cache en contacteert de client de betreffende server voor het ophalen van de inhoud.

Als de clientcomputer is geconfigureerd voor de modus gedistribueerde cache, kan de inhoud echter worden opgeslagen in meerdere caches op meerdere computers in het filiaal. De clientcomputer moet uitvinden waar de inhoud zich bevindt, voordat de inhoud wordt opgehaald.

Wanneer clientcomputers zijn geconfigureerd voor de modus gedistribueerde cache, zoeken ze inhoud met behulp van een ontdekkingsprotocol dat is gebaseerd op het Web Services Dynamic Discovery-protocol (WS-Discovery). Clients verzenden WS-Discovery-multicast-testberichten om cache-inhoud te vinden via het netwerk. Testberichten bevatten de segment-id, waarmee clients kunnen controleren of de gevraagde inhoud overeenkomt met de inhoud die in de cache is opgeslagen. Clients die het initiële testbericht ontvangen, antwoorden de aanvragende client met unicast-test-overeenkomstberichten als de segment-id overeenkomt met inhoud die lokaal in de cache is opgeslagen.

Het succes van het WS-Discovery-proces is afhankelijk van het feit of de client die de detectie uitvoert, over de juiste, door de inhoudsserver opgegeven, inhoudsinformatie beschikt voor de inhoud die de client aanvraagt.

De belangrijkste bedreiging voor gegevens tijdens de inhoudsaanvraagfase is het openbaar maken van informatie, aangezien toegang tot de inhoudsinformatie gemachtigde toegang tot inhoud impliceert. Om dit risico beperken wordt tijdens het detectieproces de inhoudsinformatie niet bekendgemaakt, met uitzondering van de segment-id die niets onthult over het platte-tekstsegment dat de inhoud bevat.

Bovendien kan een andere clientcomputer die wordt uitgevoerd door een kwaadwillende gebruiker op hetzelfde subnet van het netwerk, het BranchCache-detectieverkeer waarnemen dat via de router naar de oorspronkelijke inhoudsbron gaat.

Als de gevraagde inhoud niet in het filiaal gevonden is, vraagt de client de inhoud rechtstreeks bij de inhoudsserver op via de WAN-koppeling.

Nadat de inhoud is ontvangen, wordt deze toegevoegd aan de lokale cache, ofwel op de clientcomputer of op een server voor gehoste cache. In dit geval voorkomt de inhoudsinformatie dat een client of een server voor gehoste cache inhoud aan de lokale cache toevoegt die niet overeenkomt met de hashes. Het proces van het controleren van de inhoud door het vergelijken van hashes zorgt ervoor dat alleen geldige inhoud aan de cache wordt toegevoegd en dat de integriteit van de lokale cache is beveiligd.

Nadat een clientcomputer de gewenste inhoud heeft gevonden op de inhoudshost, die ofwel een server voor gehoste cache of een clientcomputer in de modus gedistribueerde cache is, start de clientcomputer het proces voor het ophalen van de inhoud.

De clientcomputer verzendt eerst een verzoek naar de inhoudshost voor het eerste blok dat benodigd is. De aanvraag bevat de segment-id en het blokbereik waarmee de gewenste inhoud wordt geïdentificeerd. Omdat er slechts één blok wordt geretourneerd, bevat het blokbereik slechts een enkel blok. (Aanvragen voor meerdere blokken worden momenteel niet ondersteund.) Het verzoek wordt door de client ook opgeslagen in de lokale lijst met uitstaande aanvragen.

Na het ontvangen van een geldig verzoekbericht vanaf een client, controleert de inhoudshost of het blok dat is opgegeven in de aanvraag, bestaat in de inhoudscache van de inhoudshost.

Als de inhoudshost in het bezit is van het inhoudsblok, stuurt de inhoudshost een antwoord met daarin de segment-id, de blok-id, het versleutelde gegevensblok en de initialisatievector die wordt gebruikt voor het versleutelen van het blok.

Als de inhoudshost niet in bezit is van het inhoudsblok, stuurt de inhoudshost een leeg responsbericht. Hierdoor weet de clientcomputer dat de inhoudshost niet over het gevraagde blok beschikt. Een leeg responsbericht bevat de segment-id en blok-id van het aangevraagde blok, samen met een gegevensblok met een grootte van nul.

Wanneer de clientcomputer het antwoord van de inhoudshost ontvangt, controleert de client of het bericht overeenkomt met een verzoekbericht in de lijst met uitstaande aanvragen. (De segment-id en blokindex moeten overeenkomen met die van een uitstaande aanvraag.)

Als dit controleproces mislukt en de clientcomputer geen bijbehorend verzoekbericht in de lijst met uitstaande aanvragen heeft, wordt het bericht door de clientcomputer verwijderd.

Als dit controleproces slaagt en de clientcomputer een bijbehorend verzoekbericht in de lijst met uitstaande aanvragen heeft, wordt het blok door de clientcomputer ontsleuteld. Vervolgens valideert de client het ontsleutelde blok aan de hand van de juiste blokhash uit de inhoudsinformatie die de client in eerste instantie van de oorspronkelijke inhoudsserver heeft verkregen.

Als de validering van het blok is geslaagd, wordt het ontsleutelde blok in de cache opgeslagen.

Dit proces wordt herhaald totdat de client beschikt over alle vereiste blokken.

noteOpmerking
Als de volledige inhoudssegmenten niet aanwezig zijn op één computer, wordt door het ophaalprotocol inhoud van een combinatie van bronnen opgehaald en samengesteld: een set van clientcomputers in de modus gedistribueerde cache, een server voor gehoste cache en - als de filiaalcaches niet de volledige inhoud bevatten - de oorspronkelijke inhoudsserver op het hoofdkantoor.

Voordat BranchCache inhoudsinformatie of inhoud verzendt, worden de gegevens versleuteld. BranchCache versleutelt het blok in het responsbericht. In Windows 7 is AES-128 de standaardversleutelingsalgoritme die door BranchCache wordt gebruikt, is Ke de codeersleutel en is 128 bits de sleutelgrootte, zoals bepaald door de versleutelingsalgoritme. BranchCache genereert een initialisatievector die geschikt is voor de algoritme en gebruikt de codeersleutel voor het versleutelen van het blok. BranchCache legt de versleutelingsalgoritme en de initialisatievector vervolgens vast in het bericht. Servers en clients wisselen de codeersleutel nooit uit, noch delen ze of verzenden ze elkaar de codeersleutel. De client ontvangt de codeersleutel van de inhoudsserver die als host fungeert voor de broninhoud. Vervolgens ontsleutelt de client het blok met de versleutelingsalgoritme en initialisatievector die het heeft ontvangen van de server. Er is geen andere expliciete verificatie of machtiging ingebouwd in het downloadprotocol.

De primaire beveiligingsrisico's op dit niveau zijn:

  • Onrechtmatig wijzigen van gegevens:

    Een client die gegevens aan een aanvrager levert en die de gegevens manipuleert. Het beveiligingsmodel van BranchCache gebruikt hashes om te bevestigen dat de client noch de server de gegevens heeft gewijzigd.

  • Openbaar maken van informatie:

    BranchCache verzendt versleutelde inhoud naar een client die de juiste segment-id opgeeft. Segment-id's zijn openbaar zodat elke client versleutelde inhoud kan ontvangen. Als een kwaadwillende gebruiker versleutelde inhoud verkrijgt, moet deze gebruiker de codeersleutel voor het ontsleutelen van de inhoud kennen. Het bovenste-laagprotocol voert verificatie uit en verstrekt de inhoudsinformatie aan de geverifieerde en gemachtigde client. De beveiliging van de inhoudsinformatie komt overeen met de beveiliging van de inhoud zelf en BranchCache maakt de inhoudsinformatie nooit bekend.

    Een kwaadwillende gebruiker snuffelt aan de draad om de inhoud te verkrijgen. BranchCache versleutelt alle bestandsoverdracht tussen clients met behulp van AES128 waarbij Ke de geheime sleutel is, zodat wordt voorkomen dat gegevens uit de draad worden gelezen. Inhoudsinformatie die wordt gedownload van de inhoudsserver, wordt op exact dezelfde manier beschermd als de gegevens zelf en is daarom niet meer of minder beveiligd tegen openbaarmaking dan wanneer BranchCache niet zou zijn gebruikt.

  • Denial of Service:

    Een client wordt overspoeld door verzoeken om gegevens. BranchCache-protocollen bevatten wachtrijbeheertellers en -timers om te voorkomen dat clients overbelast raken.

Op clientcomputers in de modus gedistribueerde cache en op servers voor gehoste cache die zich in filialen bevinden, worden mettertijd inhoudscaches opgebouwd naarmate er inhoud wordt opgehaald via WAN-koppelingen.

Wanneer clientcomputers zijn geconfigureerd in de modus gehoste cache, voegen ze inhoud toe aan hun eigen lokale cache en bieden ze ook gegevens aan de server voor gehoste cache aan. Het protocol voor gehoste cache voorziet in een mechanisme voor clients om de server voor gehoste cache te informeren over de beschikbaarheid van inhoud en segment. Als u inhoud naar de server voor gehoste cache wilt uploaden, informeert de client de server dat er een segment beschikbaar is. De server voor gehoste cache haalt vervolgens alle inhoudsinformatie op die is gekoppeld aan het aangeboden segment, en downloadt de blokken in het segment dat daadwerkelijk nodig is. Dit proces wordt herhaald totdat de client geen segmenten meer heeft aan te bieden aan de server voor gehoste cache.

Als u de server voor gehoste cache wilt bijwerken met behulp van het protocol voor gehoste cache, moet aan de volgende vereisten worden voldaan:

  • De clientcomputer moet beschikken over een reeks blokken binnen een segment dat kan worden aangeboden aan de server voor gehoste cache. De client moet inhoudsinformatie leveren voor het aangeboden segment; deze bestaat uit het segment-id, de gegevens-hash van het segment, de segmentsleutel en een lijst met alle blokhashes die deel uitmaken van het segment.

  • Voor servers voor gehoste cache met Windows Server 2008 R2 is een certificaat voor een gehoste-cacheserver en een bijbehorende persoonlijke sleutel vereist en de certificeringsinstantie (CA) die het certificaat heeft uitgegeven, moet worden vertrouwd door clientcomputers in het filiaal. Hierdoor kunnen de client en server deelnemen aan HTTPS-serververificatie.

    ImportantBelangrijke
    Voor servers voor gehoste cache met Windows Server 2012 is geen certificaat voor een gehoste-cacheserver en de bijbehorende persoonlijke sleutel vereist.

  • De clientcomputer is geconfigureerd met de computernaam van de server voor gehoste cache en het poortnummer voor Transmission Control Protocol (TCP) waarop de server voor gehoste cache naar BranchCache-verkeer luistert. Het certificaat van de gehoste-cacheserver is gekoppeld aan deze poort. De computernaam van de server voor gehoste cache kan een volledige domeinnaam (FQDN) zijn als de server voor gehoste cache domeinlid is; of het kan de NetBIOS-naam van de computer zijn als de server voor gehoste cache geen lid is van een domein.

  • De clientcomputer luistert actief naar binnenkomende blokaanvragen. De poort waarop wordt geluisterd wordt doorgegeven als onderdeel van de aanbodberichten van de client naar de server voor gehoste cache. Hierdoor kan de server voor gehoste cache BranchCache-protocollen gebruiken om verbinding te maken met de clientcomputer om gegevensblokken in het segment op te halen.

  • De server voor gehoste cache begint te luisteren naar binnenkomende HTTP-aanvragen wanneer deze wordt geïnitialiseerd.

  • Als de server voor gehoste cache is geconfigureerd voor clientcomputerverificatie, moet zowel de client als de server voor gehoste cache HTTPS-verificatie ondersteunen.

Het toevoegen van inhoud aan de cache van de gehoste-cacheserver in een filiaal begint wanneer de client een INITIAL_OFFER_MESSAGE verzendt, met inbegrip van de segment-id. De segment-id in de aanvraag INITIAL_OFFER_MESSAGE wordt gebruikt om de bijbehorende gegevens-hash van het segment, een lijst met blokhashes en de segmentsleutel op te halen uit de blokcache van de gehoste-cacheserver. Als de server voor gehoste cache reeds over alle inhoudsinformatie voor een bepaald segment beschikt, bestaat het antwoord op de INITIAL_OFFER_MESSAGE uit OK en er vindt geen verzoek om blokken te downloaden plaats.

Als de server voor gehoste cache niet beschikt over alle aangeboden gegevensblokken die zijn gekoppeld aan de blokhashes in het segment, bestaat het antwoord op de INITIAL_OFFER_MESSAGE uit INTERESTED. Vervolgens verzendt de client een SEGMENT_INFO_MESSAGE waarin het enkele segment dat wordt aangeboden wordt beschreven. De server voor gehoste cache antwoordt met een OK-bericht en initieert het downloaden van de ontbrekende blokken van de aanbiedende clientcomputer.

De gegevenshash van het segment, de lijst met blokhashes en de segmentsleutel worden gebruikt om ervoor te zorgen dat de inhoud die wordt gedownload niet onrechtmatig of anderszins wordt gewijzigd. De gedownloade blokken worden toegevoegd aan de blokcache van de gehoste-cacheserver.

Deze sectie bevat informatie over de manier waarop BranchCache cachegegevens op clientcomputers en servers voor gehoste cache beveiligt.

De grootste bedreiging voor gegevens die zijn opgeslagen in de BranchCache is onrechtmatig wijzigen. Als een kwaadwillende gebruiker de inhoud en inhoudsinformatie die in de cache is opgeslagen onrechtmatig kan wijzigen, is het mogelijk om deze te gebruiken om te proberen een aanval te lanceren op de computers die van BranchCache gebruikmaken. Kwaadwillende gebruikers kunnen een aanval initiëren door schadelijke software in te voegen in de plaats van andere gegevens. BranchCache vermindert deze dreiging door alle inhoud met blokhashes in de inhoudsinformatie te valideren. Als een kwaadwillige gebruiker probeert om deze gegevens onrechtmatig te wijzigen, worden deze gegevens verwijderd en vervangen door geldige gegevens uit de oorspronkelijke bron.

Een secundaire bedreiging voor gegevens die zijn opgeslagen in de BranchCache, is het openbaar maken van informatie. In de modus gedistribueerde cache slaat de client alleen de inhoud op die deze zelf heeft aangevraagd; deze gegevens worden echter opgeslagen in leesbare tekst en lopen mogelijk gevaar. Om de toegang tot de lokale cache te helpen beperken tot alleen de BranchCache-service, wordt de lokale cache beschermd door bestandssysteemmachtigingen die zijn opgegeven in een ACL. Hoewel de ACL effectief is in het voorkomen dat onbevoegde gebruikers toegang krijgen tot de cache, is het mogelijk dat een gebruiker met beheerdersbevoegdheden toegang krijgt tot de cache door handmatig de machtigingen te wijzigen die zijn opgegeven in de ACL. BranchCache biedt geen bescherming tegen het misgebruik van een beheerdersaccount.

Gegevens die zijn opgeslagen in de inhoudscache zijn niet versleuteld, dus als lekkage van gegevens een zorg is, kunt u coderingstechnologieën gebruiken zoals BitLocker of Encrypting File System (EFS). De lokale cache die wordt gebruikt door BranchCache, zorgt niet voor een toegenomen dreiging van informatieonthulling door een computer in het filiaal; de cache bevat alleen kopieën van bestanden die zich onversleuteld elders op de schijf bevinden. Het versleutelen van de hele schijf is vooral belangrijk in omgevingen waar de fysieke beveiliging van de clients moeilijk te realiseren is. Het versleutelen van de hele schijf helpt bijvoorbeeld om gevoelige gegevens te beveiligen op mobiele computers die mogelijk worden meegenomen uit de filiaalomgeving.

In de modus gehoste cache is het openbaar maken van gegevens de grootste bedreiging voor de beveiliging van de server voor gehoste cache. BranchCache gedraagt zich in een omgeving voor gehoste cache op soortgelijke wijze als in de modus voor gedistribueerde cache, met bestandssysteemmachtigingen waarmee de gegevens in de cache worden beveiligd. Het verschil is dat op de server voor gehoste cache alle inhoud wordt opgeslagen die door een willekeurige computer met BranchCache in het filiaal wordt aangevraagd, in plaats van alleen de gegevens die door een enkele client worden aangevraagd. De gevolgen van inbreuk op deze cache kunnen veel ernstiger zijn, omdat veel meer gegevens gevaar lopen.

In een omgeving waar Windows Server 2008 R2 wordt uitgevoerd op de gehoste-cacheserver, is het gebruik van versleutelingstechnologieën zoals BitLocker of EFS aan te raden als een van de clients in het filiaal toegang heeft tot gevoelige gegevens via de WAN-koppeling. Het is ook nodig om fysieke toegang tot de gehoste cache te voorkomen, omdat schijfversleuteling alleen werkt wanneer de computer is uitgeschakeld wanneer de kwaadwillende gebruiker zich fysieke toegang verschaft. Als de computer is ingeschakeld of in de slaapstand verkeert, biedt schijfversleuteling weinig bescherming.

noteOpmerking
Op servers voor gehoste cache met Windows Server 2012 worden alle gegevens in de cache standaard versleuteld zodat het gebruik van extra coderingstechnologieën niet is vereist.

Zelfs als een client in de modus gehoste cache is geconfigureerd, worden gegevens nog steeds lokaal in de cache opgeslagen, en u kunt stappen nemen om ook de lokale cache te beschermen naast de cache op de server voor gehoste cache.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2015 Microsoft