Forefront TMG 和 BranchCache 託管快取部署在相同的主機

發佈時間: 2009年11月

更新日期: 2010年6月

適用於: Forefront Threat Management Gateway (TMG)

Important重要事項:
Forefront TMG 2010 Service Pack 1 (SP1) 會使用 Forefront TMG 做為 BranchCache 託管快取伺服器,簡化分公司的 BranchCache 部署。如需在 SP1 中規劃及設定 BranchCache 的資訊,請參閱規劃 BranchCache (SP1)在 Forefront TMG (SP1) 中設定 BranchCache

BranchCache 用戶端和 BranchCache 託管快取必須進行通訊。但是根據預設,Forefront TMG 會封鎖要明確送往主機或是源自於主機的大多數流量 (請參閱System policy rules)。若要允許 BranchCache 在託管快取模式下運作,您必須定義特定的 Forefront TMG 原則規則。

用戶端會起始託管快取通訊協定 (PCHC,預設連接埠為 443),將它所擷取之新內容的可用性公告給託管快取伺服器。接著,託管快取伺服器將會使用擷取通訊協定 (PCCRR,預設連接埠為 80) 起始新的連線,以便從用戶端擷取公告的資料。現在會在託管快取伺服器上快取資料。需要擷取快取資料的另一個用戶端將會起始擷取通訊協定 (PCCRR),以便連絡託管快取伺服器以及從快取中擷取內容。若要允許這個通訊,您必須定義兩個 Forefront TMG 原則規則:

  1. 允許託管快取輸入連線:允許用戶端將新的內容公告給託管快取伺服器,並從託管快取伺服器擷取內容的規則。

  2. 允許託管快取輸出連線:允許託管快取伺服器從用戶端擷取公告之內容的規則。

下列步驟描述如何建立及實作這些規則。

note附註:
當查詢記錄來追蹤 BranchCache 通訊時,建議使用這些步驟中用來定義規則和通訊協定的名稱,以提高可讀性。

選擇任何 BranchCache 用戶端並檢查登錄。如果修改了預設值,底下的登錄機碼將會包含實際值。

  • 擷取連接埠登錄機碼 (如果未指定,預設值為 80):
    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\PeerDist\DownloadManager\Peers\Connection

  • 託管快取連接埠登錄機碼 (如果未指定,預設值為 443):
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\PeerDist\HostedCache\Connection

  1. 選取 [防火牆原則] 節點。

  2. 選取 [工具箱] 索引標籤。

  3. 展開 [通訊協定]

  4. 按一下 [新增],然後選取 [通訊協定]

  5. 輸入通訊協定定義名稱「BranchCache - 擷取」,然後按 [下一步]

  6. 按一下 [新增],然後新增通訊協定,如下所示:

    1. 通訊協定類型:TCP

    2. 方向:輸出

    3. 連接埠範圍:從 80 到 80 (如果已經在步驟 1 指定則取代 80)

    4. 按一下 [確定]

  1. 選取 [防火牆原則] 節點。

  2. 選取 [工具箱] 索引標籤。

  3. 展開 [通訊協定]

  4. 按一下 [新增],然後選取 [通訊協定]

  5. 輸入通訊協定定義名稱「BranchCache - 公告」,然後按 [下一步]

  6. 按一下 [新增],然後新增通訊協定,如下所示:

    1. 通訊協定類型:TCP

    2. 方向:輸出

    3. 連接埠範圍:從 443 到 443 (如果已經在步驟 1 指定則取代 443)

    4. 按一下 [確定]

  1. 選取 [防火牆原則] 節點。

  2. 選取 [工作] 索引標籤。

  3. 按一下 [建立存取規則]

  4. 將規則名稱定義為「允許託管快取輸入連線」,然後按 [下一步]

  5. [規則動作] 頁面上,選取 [允許],然後按 [下一步]

  6. [這個規則套用到] 頁面上:

    1. 從清單中選擇 [選取的通訊協定],然後按一下 [新增] 按鈕。

    2. [新增通訊協定] 對話方塊中,展開 [使用者定義的通訊協定]

    3. 選取 [BranchCache - 擷取] 通訊協定,然後按一下 [新增]

    4. 選取 [BranchCache - 公告] 通訊協定,並按一下 [新增],然後按一下 [關閉]

    5. [下一步]

  7. [存取規則來源] 頁面上:

    1. 按一下 [新增]

    2. [新增網路實體] 對話方塊中,展開 [網路] 資料夾、選取 [內部網路],並按一下 [新增],然後再按 [關閉]

    3. [下一步]

  8. [存取規則目的地] 頁面上:

    1. 按一下 [新增]

    2. [新增網路實體] 對話方塊中,展開 [網路] 資料夾,選取 [本機主機],按一下 [新增],然後再按 [關閉]

    3. [下一步]

  9. [使用者組] 頁面上,按 [下一步],將規則套用到所有使用者。

  10. [完成新增存取規則精靈] 頁面上,按一下 [完成] 關閉精靈。

  1. 選取 [防火牆原則] 索引標籤。

  2. 選取 [工作] 索引標籤。

  3. 按一下 [建立存取規則]

  4. 將規則名稱定義為「允許託管快取輸出連線」,然後按 [下一步]

  5. [規則動作] 頁面上,選取 [允許],然後按 [下一步]

  6. [這個規則套用到] 頁面上:

    1. 從清單中選擇 [選取的通訊協定],然後按一下 [新增] 按鈕。

    2. [新增通訊協定] 對話方塊中,展開 [使用者定義的通訊協定]

    3. 選取 [BranchCache - 擷取] 通訊協定,然後按一下 [新增]

    4. [下一步]

  7. [存取規則來源] 頁面上:

    1. 按一下 [新增]

    2. [新增網路實體] 對話方塊中,展開 [網路] 資料夾,選取 [本機主機],按一下 [新增],然後再按 [關閉]

    3. [下一步]

  8. [存取規則目的地] 頁面上:

    1. 按一下 [新增]

    2. [新增網路實體] 對話方塊中,展開 [網路] 資料夾、選取 [內部網路],並按一下 [新增],然後再按 [關閉]

    3. [下一步]

  9. [使用者組] 頁面上,按 [下一步],將規則套用到所有使用者。

  10. [完成新增存取規則精靈] 頁面上,按一下 [完成] 關閉精靈。

按一下 [套用] 以儲存變更,並更新設定。

  1. 選擇分公司的任何用戶端。

  2. 開啟效能監視器,並追蹤 BranchCache 的 “Bytes from Cache” 計數器,然後記下目前的值。

    Tip提示:
    如需有關 BranchCache 計數器的詳細資訊,請參閱效能計數器 (http://go.microsoft.com/fwlink/?LinkId=165667)。

  3. 開啟網際網路瀏覽器。清除瀏覽器快取,確認這個驗證中不會使用快取。

    note附註:
    使用 Internet Explorer 8 清除快取的指示:

    1. [工具] 功能表上,選取 [網際網路選項]

    2. [一般] 索引標籤的 [瀏覽歷程記錄] 區段中,按一下 [刪除] 按鈕。

    3. 在開啟的對話方塊中,選取 [Temporary Internet Files] 核取方塊,然後清除其他核取方塊,再按一下 [刪除]

    4. 等候這項作業完成,然後關閉對話方塊。

  4. 使用用戶端,從 Windows 2008 R2 伺服器上的 HTTP/S 應用程式存取或下載「具有已知大小」的物件。

  5. 預期結果:

    • 如果未從分公司存取此物件,當第三次嘗試存取它時,計數器應該會遞增物件大小 (在嘗試之間,請確定您有清除瀏覽器快取)。

    • 如果已經從分公司存取此物件,當第一次或第二次嘗試存取時,計數器應該會遞增物件大小。

NIS 是 Forefront TMG 的一種通訊協定解碼型流量檢查功能,它會使用已知弱點的特徵標記來偵測並可能封鎖網路資源的攻擊 (如需有關 NIS 的詳細資訊,請參閱啟用及設定網路檢查系統)。

如果未啟用 NIS,本主題就不適用。若要檢查是否已啟用 NIS:

  1. 選取 [入侵防止系統] 節點。

  2. [工作] 窗格上,按一下 [設定內容]

  3. [一般] 索引標籤上,確認已經選取 [啟用 NIS] 核取方塊。

當啟用時,NIS 會檢查所有流量,包括要明確送往主機或是源自於主機的流量。因此,當使用者從託管快取伺服器擷取快取物件時,可能會遇到延遲增加的情況。

萬一受到的衝擊很大,建議您選擇下列其中一個選項來減輕問題:

  1. 針對要明確送往主機或是源自於主機的流量,以獨佔方式停用 NIS 檢查。

    note附註:
    針對要明確送往主機或是源自於主機的流量來停用 NIS 的風險很小,原因如下:

    • NIS 會套用到所有其他流量,繼續保護所有未修補的內部機器。Forefront TMG 本身 (當做位於邊緣的安全性裝置) 必須隨時都要修補,這樣才能免於受到所有已知威脅的侵害。

    • 根據預設,NIS 不會檢查要明確送往主機或是源自於主機的非 HTTP/HTTPS 流量,因此在本機主機上停用 NIS 不會影響其他通訊協定。

    • Forefront TMG 不會起始輸出網頁存取。因此,主機本身暴露在網頁威脅之下的弱點非常低。建議管理員不要從 Forefront TMG 主機瀏覽網際網路,這是常見的安全性作法。

    若要針對要明確送往主機或是源自於主機的流量來停用 NIS:

    1. 下列登錄機碼的預設值為 1。若要停用 localhost 流量檢查,請在主機上使用 Regedit,為它指派 0 的值。

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\IPS\IPS_LOCALHOST_INSPECTION_MODE

    2. 重新套用 Forefront TMG 原則:

      開啟任何防火牆原則規則,並在規則說明的任何地方增加空格。按一下 [套用]

  2. 將 BranchCache 通訊協定預設連接埠號碼 (從 80 到 443) 變更為自訂連接埠號碼。

    說明:根據預設,NIS 只會針對 localhost 流量檢查 HTTP 和 HTTPS。若要保留該檢查而不影響 BranchCache 效能,必須將 BranchCache 預設連接埠變更為其他任何可用的連接埠。

 
顯示: