Windows Server 2008 R2: Otimize a experiência da filial

A utilização do BranchCache e de controladores de domínio somente leitura pode ajudar você a facilitar a experiência de seus usuários de filiais.

Brien M. Posey

Filiais sempre apresentam um conjunto especial de desafios. Sem uma equipe de TI no local, filiais tendem a ser mais difíceis de gerenciar e proteger. Funcionários nas filiais muitas vezes experimentam tempos de resposta lento quando eles tentarem acessar recursos armazenados em servidores localizados no escritório principal. Há vários recursos no Windows Server 2008 R2 que lidar diretamente com as necessidades exclusivas de desempenho e segurança de ambientes de filiais.

BranchCache

O BranchCache ajuda a aliviar um pouco o congestionamento de rede de longa distância que ocorre quando os usuários tentam acessar dados da rede corporativa através de uma conexão WAN. BranchCache faz isso em cache localmente dados usados com freqüência para que ele não precise recuperá-lo na WAN toda vez for solicitado.

Para usar o BranchCache, todas as estações de trabalho da filial devem estar executando o Windows 7. Todos os servidores de arquivos e servidores Web no escritório principal devem estar executando o Windows Server 2008 R2.

Há dois modos diferentes disponíveis ao usar o BranchCache. O modo que você deve usar depende em grande medida o tamanho de sua filial. Se sua filial tem menos de 50 usuários, você não precisa de um servidor de BranchCache. Em vez disso, você pode executar o BranchCache e o modo de Cache distribuído. Neste modo, cada estação de trabalho do Windows 7 é capaz de conteúdo de rede do cache e fornecer acesso ao cache para os usuários de escritório filial.

A principal limitação para usando o modo de Cache distribuído é que suporta apenas uma única sub-rede na filial. Se sua filial usa várias sub-redes, cada estação de trabalho Windows 7 só será capaz de fornecer dados de cache para outras estações de trabalho dentro da mesma sub-rede.

O outro modo BranchCache é mais adequado para maiores filiais; é chamado modo de Cache hospedado. Neste modo, o BranchCache reside em uma máquina com Windows Server 2008 R2 designada. Cada estação de trabalho do Windows 7 tem um nome de domínio totalmente qualificado do servidor para que ele deve procurar o conteúdo em cache.

O BranchCache está desabilitado por padrão no Windows Server 2008 R2. Para habilitar o BranchCache, abra o Gerenciador de servidores no seu servidor de BranchCache, clique no recipiente de recursos e, em seguida, clique no link Adicionar recursos. Escolha a opção de BranchCache na lista de recursos disponíveis (ver Figura 1), clique em Avançar, seguido por instalar e fechar.

Figura 1 você deve habilitar e configurar o BranchCache como um recurso.

Configurando o servidor BranchCache

O método exato de configuração de BranchCache, que você vai precisar fazer irá variar dependendo dos tipos de conteúdo que você deseja para armazenar em cache. BranchCache pode armazenar em cache dados de servidor de arquivos, servidor de Intranet dados ou dados de servidor de aplicativos de BITS. Como o cache de dados de servidor de arquivo é o uso mais comum para BranchCache, abordarei o processo de configuração do servidor de arquivos.

A primeira etapa na configuração BranchCache para dados de servidor de arquivo de cache é habilitar o BranchCache para o serviço de função de arquivos de rede em seus servidores de arquivos. Fazer isso em qualquer servidor de arquivo do Windows Server 2008 R2 que contém dados que você precisa para armazenar em cache. Para fazer isso, adicionando o BranchCache para o serviço de função de arquivos de rede para a função de servidor de arquivos (veja Figura 2).

Figura 2 você precisará adicionar o BranchCache para o serviço de função de arquivos de rede para os servidores de arquivo.

O próximo passo no processo é usar a diretiva de grupo para configurar o servidor do BranchCache. Supondo que você tenha um único servidor de BranchCache, você pode fazer isso na diretiva de segurança local do servidor BranchCache.

Abra o Editor de diretiva de grupo e navegar através da árvore de console para configuração do computador | Políticas | Modelos administrativos | Rede | Servidor LanMan. Clique duas vezes em publicação de Hash para configuração de BranchCache e clique em habilitado. Você terá que escolher ou publicações de Hash permitir para todos os compartilhamentos de arquivos ou a publicação de Hash permitir para tags de compartilhamentos de arquivo com a opção de suporte do Windows BranchCache (ver Figura 3). Depois de fazer sua seleção, clique em OK.

Figura 3 você deve permitir a publicação de hash para compartilhamentos de arquivo.

Enquanto você estiver no servidor BranchCache, você também deve configurar a quantidade de espaço em disco disponível para o conteúdo armazenado em cache. Por padrão, o BranchCache usa até cinco por cento de espaço disponível no disco rígido. Você pode querer aumentar este montante, especialmente se você tiver um servidor dedicado. Definir os limites de espaço em disco envolve a edição do registro, para ter um sistema completo backup antes de editar o registro. Cometer um erro ao editar o registro pode destruir o Windows.

Abra o Editor do registro e navegue até HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters. Clique duas vezes no valor HashStorageLimitPercent. Especificar a quantidade de espaço em disco do servidor que deseja usar para dados armazenados em cache (consulte Figura 4). Digite o valor como uma porcentagem. Você precisará criar um valor de HashStorageLimitPercent se já não existir.

Figura 4 você pode usar o registro do sistema para regular a quantidade de espaço em disco que é usado pelo BranchCache.

A última tarefa de configuração do servidor é definir a marca de suporte do BranchCache em seus compartilhamentos de arquivo. Para fazer isso, clique com botão direito em um compartilhamento de arquivo e selecione o comando Propriedades no menu de atalho. Quando a folha de propriedades para o compartilhamento de arquivos é exibida, selecione a guia Compartilhamento e clique no botão Avançado divisão, seguido do botão de cache. Selecionar somente os arquivos e programas essa opção usuários especificar estão disponíveis Offline, bem como a opção de habilitar BranchCache (ver Figura 5), em seguida, clique em OK.

Figura 5 você deve habilitar o BranchCache em cada compartilhamento de arquivos individuais para os quais você deseja permitir cache.

Configurar clientes de BranchCache

Depois que você tiver habilitado o BranchCache em seu servidor, você terá que configurar os clientes da filial. A melhor maneira de fazer isso é modificar a diretiva de grupo para os computadores da filial.

Use o Editor de diretiva de grupo para abrir a diretiva de grupo que controla as configurações de segurança para sua filial. Navegue através da árvore de diretiva para configuração do computador | Políticas | Modelos administrativos | Rede | BranchCache. Você verá várias configurações de diretiva de grupo relacionadas ao BranchCache. Clique duas vezes no Turn na configuração de BranchCache, clique em habilitado e, em seguida, OK. Em seguida, clique duplo em ligar o BranchCache – modo de Cache hospedado e clique em habilitado, em seguida, OK.

Você também terá que habilitar o BranchCache para configuração de arquivos de rede. Quando você ativar esta configuração, você tem a opção de especificar um valor de latência (em milissegundos) acima dos quais arquivos devem ser armazenadas em cache. Em outras palavras, você tem a opção de cache somente arquivos que demoram um pouco para acessar. Isso é útil se você tiver um servidor de arquivos da filial e deseja apenas cache o conteúdo sendo puxado de um servidor de arquivos remoto, ou se você só deseja armazenar em cache arquivos muito grandes.

Dependendo de como sua rede está configurada, talvez você precise criar uma regra de firewall para facilitar a usar o BranchCache. No modo de cache hospedado, você deve configurar os clientes para aceitar o tráfego HTTP do servidor BranchCache.

Controladores de domínio somente leitura

Controladores de domínio somente leitura (RODCs) também podem ajudar a otimizar a experiência do usuário final em filiais. Cada versão do Windows Server desde o Windows 2000 Server tem usado um modelo de domínio vários mestres. Isso significa que você pode gravar alterações no Active Directory de qualquer DC e o DC replicará as alterações para os outros DCs dentro do domínio.

No entanto, você não pode atualizar diretamente a cópia do banco de dados do Active Directory armazenado em um RODC. Você só está autorizado a gravar atualizações de DCs graváveis. Essas atualizações, em seguida, são replicadas para todos os outros DCs do domínio, incluindo RODCs.

Há duas razões principais porque os RODCs são benéficos para apoio de escritório filial. A primeira razão tem a ver com a disponibilidade. Os DCs autenticam solicitações de logon do usuário. Se uma filial não tem um controlador de domínio local, os usuários são forçados a autenticar em um controlador de domínio no escritório principal. Não só isto é lento, mas se o link da WAN falhar, em seguida, os usuários da filial não será capaz de acessar um DC.

Colocar um controlador de domínio na filial pode ajudar a evitar esta situação. Se uma conexão WAN falhar, os usuários ainda podem autenticar logon na rede. O problema com a criação de um controlador de domínio em uma filial é a falta de segurança física adequada. Muitas vezes, o DC é simplesmente configurar em um armário com nenhuma segurança física real e não há suporte no local.

Os RODCs são ideais para uso neste tipo de situações. Eles são endurecidos de uma forma que ajuda a compensar a falta de segurança física. A oferta de RODCs de recurso de segurança mais óbvia é a cópia somente leitura do banco de dados do Active Directory.

Porque a cópia do banco de dados é somente leitura, você não terá que se preocupar com alguém ganhar acesso físico para o DC, manipulando o Active Directory e replicar as modificações não autorizadas em toda a rede. As únicas alterações para o banco de dados ocorrem quando autorizados DCs replicam atualizações para o RODC.

Outra maneira que RODCs melhorar a segurança do escritório filial é armazenando uma cópia incompleta do banco de dados do Active Directory. O banco de dados do Active Directory normalmente contém as credenciais para todas as contas de computador e usuário do domínio. No entanto, os RODCs não armazenam as credenciais de usuário ou computador por padrão. Quando um usuário se autentica, uma diretiva de replicação de senha determina se armazenar em cache a senha do usuário no RODC.

Cache de senhas garante que o RODC é capaz de processar logons de usuário. Ele impede que a DC tendo um conjunto completo de credenciais em cache para esse domínio. Apenas ramo usuários do office onde reside o RODC devem ter suas credenciais armazenadas em cache.

Enquanto você pode melhorar a segurança do RODC, deixando o cache de credenciais desativada, então pode derrotar a finalidade da implantação de um RODC. Todas as solicitações de autenticação, em seguida, teria de ser processada por um controlador de domínio gravável.

Implantação de um RODC

Antes de você pode implantar um RODC, verifique se que o nível funcional da floresta do Active Directory é definido para o Windows Server 2003 ou posterior. Você também precisará usar o ADPREP para preparar a floresta do Active Directory (ADPREP/ForestPrep) e o domínio que irá conter o RODC (ADPREP/DomainPrep /gpprep).

Se o domínio está executando atualmente em DCs do Windows Server 2003, em seguida, você também precisará execute ADPREP com a opção /rodcprep. Aliás, você também precisará implantar pelo menos um gravável do Windows Server 2008 ou 2008 R2 DC antes de implantar seu primeiro RODC.

Caso contrário, o processo de implantação real para RODCs é simple. Quando você executa a Dcpromo para promover o servidor a controlador de domínio, o assistente contém uma caixa de seleção, você pode usar para fazer o servidor de um RODC (ver Figura 6).

Figura 6 Selecione a opção de fazer o controlador de domínio somente leitura.

A diretiva de replicação de senha irá controlar se as credenciais do usuário são armazenadas no RODC. Esta política é essencialmente uma lista que controla a usuários e grupos que têm permissão para ter suas credenciais replicados. Como criar a lista, você pode permitir ou negar a capacidade de replicar um usuário ou a senha do grupo.

Você deve evitar a replicação de senhas administrativas. Você também deve criar um grupo de segurança do Active Directory para usuários cujas senhas você deseja replicar. Em seguida, você pode permitir a replicação para esse grupo em vez de lidar com cada usuário individualmente. Tenha em mente que recusas têm precedência sobre as aprovações de contradições de configuração de diretiva.

Você pode acessar a diretiva de replicação de senha, abrindo o Active Directory usuários e computadores console. Expanda o contêiner do DCs, clique com botão direito em seu RODC e escolha o comando Propriedades no menu de atalho. Em seguida, você verá a folha de propriedades para o RODC. Você pode gerenciar a diretiva de replicação de senha através da guia Diretiva de replicação de senha (ver Figura 7).

Figura 7 você tem a opção de autorizar a replicação de credenciais de usuário.

Congestionamento de largura de banda WAN pode ser um grande problema para escritórios filiais. Usar o BranchCache e implantados localmente RODCs podem reduzir significativamente o uso de largura de banda WAN, melhorando também a segurança. Ambos estes elementos podem ajudá-lo a melhorar a experiência do escritório filial para seus usuários.

**Brien M. Posey**é um Microsoft Most Valuable Professional e escritor técnico freelance com milhares de artigos e dezenas de livros para o seu crédito. Você pode visitar o seu site em brienposey.com.

Conteúdo relacionado

• “Windows Server 2008 R2 Server Core: Protegendo a Branch Office conexão"
• “BranchCache e DirectAccess: Melhorar a experiência do escritório filial"
• "Microsoft Lync Server 2010: Falar em suas filiais"