Windows 7 和 Windows Server 2008 R2

發行項
08/18/2016

BranchCache 和 DirectAccess：強化分公司體驗

Gary Olsen

W hile unwashed 的 masses 最後會因為八月有在 Windows Server 2008 R2 和 Windows 7、選擇一種已工作以發行候選 (RC) 程式碼後五月及製造 (RTM) 版本發行其第一個窺視。您可能在您 ’re 無論使用何種群組已經被許多手法與。或許您已邀請加入 Windows 7 預覽「家廠商，」像我，例如。 (我 son-in-law 裝載一但只因為他想從 Microsoft 免費軟體)。即使您已現在該主要手法，您 couldn’t 有避免各個許多媒體報表 extolling 或質疑這些產品都可從新的程式碼樹狀結構，和構成新的 OS 的新功能。

BranchCache 和 DirectAccess 可說帝王 jewels 這些版本的是值得注意。與 BranchCache，Microsoft 目標是讓分公司員工相同在企業分公司使用的檔案為其對等的經驗。與 DirectAccess，Microsoft 為目標，遠端使用者連線到公司網路透過虛擬私人網路 (VPN)。

因為是典型與 Microsoft，您只取得良好的東西上新的產品。在這種情況下您只可以實作 BranchCache 和 Windows 7 用戶端和 2008 R2 伺服器。 let’s 看更深層看每個新功能。

BranchCache

BranchCache 可以分支辦公室經驗改善，快取常用的檔案在本機，其中一個 Windows Server 2008 R2 伺服器或使用者工作站上，而不是集中強迫使用者透過存取檔案位於網路共用。 BranchCache 是很酷，但有警告。

IT 可以部署 BranchCache 分散式快取模式或裝載式快取模式中的 (請參閱的 圖 1)。 IT 設定透過「群組原則模式，以便在另一個使用裝載在一個辦公室的模式和分散式的模式需要實作兩個原則及據此規劃組織單位 (OU) 結構。 Microsoft 建議您部署的 50 或更少用戶端的站台內分散式快取模式，但它會取決於在速度和頻寬的 WAN 連結，以及其他因素。分散式快取模式將會需要較大的硬碟，並可能是記憶體和其他資源，因此有些時候會更最好使用裝載式快取模式特別是如果有 ’s 現有 2008 R2 伺服器在站台。在另外分散式快取模式只可以使用本機子網路上。所以如果在站台多個子網路，在每一個子網路上的用戶端會有快取檔案供其他人下載它子網路上。不過，裝載式快取模式可以做多個子網路在站台，因此，就會選擇裝載式快取模式的另一個原因。

圖 1 A 分支辦公室可使用分散式或主控模式的 BranchCache 。

在分散式快取模式中沒有檔案伺服器位於分支辦公室。改，透過原則，使用者的所有電腦都都 BranchCache 用戶端，也就是它們都有分支站台中的其他人可以下載的快取文件能夠 — 如果他們 ’re 目前的版本。

比方說 let’s 說 Caroline 要求文件 Reports.docx 從中央站台中 BranchCache 啟用檔案伺服器。 BranchCache 傳送中繼資料描述檔案的內容。在中繼資料的雜湊然後會用來搜尋本機子網路中內容。如果沒有找到在她的電腦 ’s 本機磁碟機上快取複本。在天中稍後 Tyler 需要修改 Reports.docx，讓他的連絡人上總公司檔案伺服器，以取得要編輯複本共用。檔案伺服器傳回中繼資料，然後用戶端找出，並從 Caroline ’s 下載之內容的搜尋電腦。這是安全地使用衍生自雜湊在中繼資料中的加密金鑰。第二天 Abigail 需要修改該相同的文件。處理程序是相同，但她會開啟在 Tyler ’s 電腦上快取副本。再次，版本資訊會保留在伺服器。用戶端會聯繫伺服器以判斷是否有在其網站上最新版本的複本。

這是三個 BranchCache 如使用者使用不同的文件，將會進入的案例播放。其他兩個是：

分支辦公室工作者要求本機電腦上不會快取的文件總公司檔案伺服器。使用者會收到一個會再快取在本機的複本。
分支辦公室工作者要求檔案伺服器為快取在本機網站中的文件，但該電腦關閉的。用戶端會從檔案伺服器中取得新複本，並會快取在他的個人電腦。未來的要求導致這最新的快取的複本。

在每個案例文件也儲存到總公司檔案伺服器。以此方式如果 Caroline 傳回，而且想要存取文件，但現在裝載了最新版本的 Abigail ’s 電腦已關閉，她將從總公司伺服器接收文件。

裝載式快取模式與 IT 與 BranchCache 分公司中設定 Windows 2008 R2 檔案伺服器，藉由安裝 [BranchCache] 功能，並設定群組原則，來告訴用戶端使用裝載式快取模式。描述分散式快取模式程序的運作相同這裡，但該檔案會被快取儲存在本機設定的 BranchCache 伺服器，而不是使用者 ’ 電腦。

附註：內容由中央辦公室站台中的 [檔案] 伺服器維護的中繼資料會傳送至每個用戶端，從 BranchCache 啟用伺服器要求一個檔案。這用來判斷任何本機用戶端或伺服器 (根據哪一個快取模式用於) 是否具有最新副本。

在分支站台 BranchCache 啟用伺服器可用於其他用途如 Web 或 Windows Server 更新服務」 (WSUS) 伺服器。特殊的考量必須在這些情況下進行和述Microsoft BranchCache 部署指南》以及Microsoft BranchCache 最早 Adopter ’s 快速入門.

BranchCache 組態

若要進行 BranchCache 必須瞭解群組原則物件 (GPO) 的運作方式，以及如何設定您的 OU 結構會影響每個站台電腦。請記得 BranchCache 案例中涉及的所有伺服器必須都是 Windows Server 2008 R2 與所有用戶端 Windows 7。這裡 ’s 程序：

步驟 1。 安裝 BranchCache 功能透過伺服器管理員。

步驟 2。 如果您檔案伺服器上使用 BranchCache 需要為遠端檔案 (請參閱的 圖 2) 安裝檔案服務角色以及 BranchCache。

圖 2 A BranchCache 安裝需要啟用檔案服務及 BranchCache 的 遠端檔案角色。

步驟 3。 設定 BranchCache GPO。請至 [電腦設定] | 原則 | 系統管理範本 | 網路 | BranchCache。您會看到五個可能的設定：

打開 BranchCache. 這有啟用所有 BranchCaching (請參閱的 圖 3)。請注意啟用 BranchCache 不啟用 Distributes 或裝載式快取模式原則設定的情況下會造成本機 Windows 7 用戶端，在本機快取檔案。這會很有用，如果多個使用者使用一台電腦。

圖 3 群組原則管理主控台中啟用的分支辦公室快取 BranchCache

組 BranchCache 分散式快取模式. 這適用於所有的用戶端在 GPO 中。
將 [BranchCache 裝載快取模式] 設定。 指定要裝載 (Host) 快取伺服器。這些角色是互斥的。只有一個可以設定站台。
設定 BranchCache 的網路檔案。 如果未設定或停用，這會定義 80ms年的延遲的閾值。如果檔案要求會採用多個 80ms年，檔案便會變成到快取。啟用此設定，並將延遲值依需要變更。
設定用於用戶端電腦快取的磁碟空間的百分比. 這是在使用者 ’s 磁碟的百分之 5 的預設設定。您必須與此選項以取得右量服務與給予使用者所需空間快取播放。如果您有廣泛有所不同大小，磁碟設定如某些會有更大的快取容量比其他人，這可能會發生問題。

Set Disk Space

步驟 4。 設定在 BranchCache 原則設定「 LanMan 伺服器」的 GPO。在 GPO 在步驟 3 中相同的區域，前往 LanMan 伺服器設定]，並查看屬性，如「雜湊 BranchCache 的發行集」。三個選項如下：

不允許在所有的共用資料夾上的雜湊出版物。
允許所有的共用資料夾的雜湊出版品。
允許只用於 BranchCache 已啟用共用資料夾的雜湊出版物。

在想要成為 BranchCache 內容伺服器的 2008 R2 伺服器執行檔案服務伺服器角色的伺服器也必須執行網路檔案服務角色 BranchCache，且必須啟用雜湊出版物。 BranchCache 也會個別地啟用檔案共用上。伺服器 (例如非網域伺服器組態)，或透過群組原則的伺服器群組上，您可以個別地啟用雜湊出版物。因此，BranchCache 可在所有共用資料夾上啟用，共用資料夾的部份，或完全停用。

步驟 5。 設定 Windows 防火牆」允許輸入的 TCP 連接埠 80 (套用到用戶端電腦) GPO 設定。

步驟 6。 一旦設定所有項目，而且具有使用者 ’ 檔案存在的檔案共用移至 [伺服器管理員 | 檔案服務 | 共用及存放裝置管理。中間窗格會列出共用資料夾。以滑鼠右鍵按一下共用上，選取 [內容]，然後按一下 [進階]。在快取處理] 索引標籤上啟用 BranchCache (請參閱的 圖 4)。附註：如果無法使用 BranchCache 選項，然後 BranchCache 功能 wasn’t 安裝正確，或者將原則設定停用，如前所述。

圖 4 啟用檔案共用與使用共用和儲存裝置管理控制項的 BranchCache 。

BranchCache 用戶端組態

預設所有 Windows 7 用戶端會針對這表示沒有要在用戶端本身上啟用的 BranchCache 都啟用。不過，有所需的用戶端的相關步驟：

設定防火牆設定。雖然這先前所述，也有其他裝載式快取模式的需求。從 Microsoft 另有註明這份文件的結尾，請參閱 BranchCache 文件。
用戶端必須包含一個原則，可讓 BranchCache 並定義要使用哪一種快取模式的組織單位中。再次，請參閱文件結尾的這份文件以取得詳細資料。

BranchCache：「

這裡 ’s 我喜歡 BranchCache 有關：

它可以使用 [背景智慧型傳送系統 (BITS) 來啟用在背景中的檔案傳輸，如果使用者登入，即使在應用程式結束。這是很棒的功能，為分公司連線透過慢速連結。應該重新啟動系統是必要，檔案傳輸會繼續，完成之後。此工作的當然應用程式必須被寫入才能充分善用 BITS。
BranchCache 是可以透過 Netsh 命令列公用程式設定，而是制訂上TechNet ’s Windows Server R2 的 BranchCache 站台.
您可以監視 BranchCache 透過用戶端、檔案伺服器和快取主機計數器的效能。不只這些是有幫助的效能診斷就我可以告訴，觀賞這些計數器唯一的方法，請參閱是否用戶端真的收到快取的複本。
BranchCache 環境是可透過「群組原則控制。

BranchCache：不佳

BranchCache 當然會有它的位置，但要小心這些缺點：

因為基本上是分散式快取模式會將每個工作站變成檔案伺服器中，裝載經常存取的檔案很多的用戶端電腦可能會遭受效能命中。這將需要某些測試以判斷實際的影響。
在某些情況下用戶端可能會需要額外的硬碟空間，以便允許足夠的快取大小。
快取的用戶端將現在競爭與對等電腦的網路資源。
延遲可能會裁剪初始的快取處理程序或當檔案中，沒有快取期間中。只有 Windows 7 用戶端和 Windows Server 2008 R2 伺服器可以參與，所以完整的首展，這項功能可能要花一些時間。

如果您可以左右對齊在分支辦公室中放入檔案伺服器，為何不使用分散式檔案共用」 (DFS)？而不是 messing 與快取檔案，您可以使用分散式檔案系統-複寫 (DFS-R) 複寫檔案，以及維護與 DFS 命名空間。您可能會發現網路的檔案快取的優點以及也許 BranchCache 會使用 DFS 共用。或也許您找到一些效能界限快取是較有效率的方式比 DFS R。在另一方面，BranchCache 在伺服器上的影響就是比成熟的 DFS 組態較低。重點是，您必須研究您的需求，並檢查與 BranchCache 可用選項。當然每個環境都不同，而且什麼可能辦公室 won’t 在其他一些分支中造成問題。的所有情況下沒有一個正確的答案。

DirectAccess

DirectAccess，與 Microsoft 解決不良的 VPN 經驗使用者已有自 Windows 2000 之後即使有許多改良後初始實作。 DirectAccess 設定用戶端可以從從遠端位置存取內部網路網站而不必以手動方式建立 VPN 連結。在很多要他們 delight 的加法 IT staffs 可以透過網際網路連線，而不是透過 VPN 管理遠端機器。即使沒有 DirectAccess，遠端使用者可以利用新的自動重新連線到 VPN 功能。這樣如果我在家裡工作連接到我的公司 ’s 內部網路和網際網路連結低於、 VPN 將重新建立連線，可以使用網際網路時 — 而不 pestering 我重新連線，然後重新輸入我的認證，如我就必須執行 — 經常重複 — 沒有 DirectAccess。

在實際上從使用者 ’s 觀點 DirectAccess 是不可見的。當啟用用戶端上的使用者按一下內部網路連結上時，DirectAccess 處理連線與中斷連線。使用者沒有以開啟 [連線管理員、輸入他們的認證，依此類推等待連線中。

當遠端連線即時時使用者依預設具有一個「分割通道」設定 (請參閱的 [圖 5])。這可讓內部網路、使用裝置 (如印表機) 的區域網路和網際網路的同時存取。在典型 VPN 案例而分割通道不，連線到網際網路表示第一次跳頻內部網路上，然後通過公司的網路閘道的連線能力。在另外我必須不能存取我的區域網路雖然因應措施有可能。所以再次 DirectAccess 被設計來授與遠端使用者有更多「在辦公室」經驗比傳統的 VPN 提供。

圖 5 DirectAccess 讓分割通道設定的同時連線公司網路和 網際網路。

觀點 IT ’s，當電腦位在網際網路上時 (記得是否安裝，就會永遠啟用 DirectAccess)，修補程式、原則和其他更新皆可輕鬆 — 且透過 IPsec 連線不安全 — 套用。

DirectAccess 需求

在基本 DirectAccess 組態 DirectAccess 伺服器是提供內部資源，包括應用程式的伺服器的遠端使用者連線邊緣網路上憑證授權單位 (CA) DNS 和網域控制站 (DC)。 CA 和應用程式伺服器必須設定為接受 IPv6 流量。以下是 DirectAccess 組態的基本元件：

在使用中的目錄網域 DirectAccess 用戶端將只能存取 Windows 2008 或 2008 R2 DC。
群組原則定義必須強制執行到的 DirectAccess 設定：
- 識別 DirectAccess 用戶端。
- 設定名稱解析原則資料表 (NRPT)。
- 移除 DNS 全域限制清單中的 [內部網站自動通道位址通訊協定 (ISATAP)。

DirectAccess 伺服器必須：
- 是的 Active Directory 網域成員。
- 在 Windows Server 2008 R2 上執行。
- 兩個網路介面卡設定了 (一個用於內部網路和網際網路連線能力的其他)。
- 有兩個連續靜態 IPv4 位址可以解析外部。

安裝與 DirectAccess 管理「功能」 (透過伺服器管理員)，並且安裝執行組態精靈。

IIS/Web 伺服器可以讓判斷 Intranet 資源是否可執行到的功能。應用程式伺服器必須設定為允許存取，由 DirectAccess 啟用用戶端。
以便在必要的 CA 使用安裝 Active Directory 憑證服務，以及核發憑證進行驗證。
任一個原生 IPv6 網路或轉換技術必須要有整個內部網路。
使用 IPsec 原則安全驗證和 DirectAccess 連線加密，用戶端會驗證使用者登入之前。
您可以找到需要的防火牆中的例外狀況，Microsoft DirectAccess 最早 Adopter ’s 快速入門.

您可以看到 DirectAccess 無效心 faint。單獨的 IPv6 需求一定會引發問題 — 而且需要大部分的組織實作轉換技術 — 但是 2008 R2 不會有元件。在另外您必須啟用透過公開金鑰基礎結構 (PKI) 的安全性、提供驗證服務及設定 IPv6 識別應用程式伺服器。執行 DirectAccess 安裝程式精靈之前, 也必須設定安全性群組、建立防火牆原則安裝程式 [DNS 和完成許多其他必要條件。

DirectAccess 伺服器

DirectAccess 伺服器會執行一些透過伺服器管理員 ’s DirectAccess 安裝精靈定義的功能 (請參閱的 圖 6)。

圖 6 初始 DirectAccess 安裝程式，透過 伺服器管理員。

DirectAccess 精靈執行四個基本的工作。透過精靈您將會：

識別會 DirectAccess 啟用的用戶端。如果設定的信任，您可以列出從其他網域或樹系這裡，安全性群組。您必須定義適當安全性群組，即可在執行精靈之前。
定義連線能力和 DirectAccess 伺服器的安全性 (憑證)。您將會識別哪個網路介面是在網際網路邊和其連接到內部網路。安裝 CA 並建立憑證之前來執行 DirectAccess 安裝精靈。在另外定義智慧卡原則。
找出 DC DNS 並在 DirectAccess 環境中使用管理和其他基礎結構伺服器的選擇性地。您也必須識別為網路位置伺服器高度可用的伺服器。 DirectAccess 伺服器可以擔任此角色。
識別應用程式伺服器設定為接受來自 DirectAccess 用戶端的連線。預設值為沒有額外的端對端授權，但您可以選取 IPsec 原則為基礎的安全性選項。

DNS 及 [NRTP

如先前所述，DirectAccess 用戶端可以直接存取內部網路。若要啟用這，您必須實作該定義每個 DNS 名稱區，而不是每個網路介面的 DNS 伺服器的 NRPT。我將這視為條件式轉寄 Windows 2003 和 2008年的 DNS 伺服器的運作的方式您可以在其中定義以適當的 IP 位址連線至該伺服器的 DNS 命名空間。 NRPT 可讓用戶端避免標準 DNS 反覆項目，然後直接前往 DirectAccess 伺服器。

這裡 ’s [NRPT 運作 (請參閱的 圖 7) 的方式：

名稱查詢要求比對為公司內部網路指向 DirectAccess 伺服器已設定命名空間。
NRPT 包含 IP 位址和 DirectAccess 伺服器 ’s 完全合格網域名稱 (FQDN)。使用 IP 位址時至 DNS 伺服器連線被加密的安全連線。
使用 FQDN 時它必須透過網際網路進行解析，並尋找公司的 DNS 伺服器。
如果用戶端會傳送 (如 www.microsoft.com) NRPT 中未定義為命名空間的名稱解析要求，然後它依照透過網際網路的一般名稱解析

圖 7 NRPT 啟用定義的 DNS 伺服器，每個 DNS 名稱區，而不是每個 介面。

NRPT 設定基礎結構伺服器安裝程式頁面中 DirectAccess 安裝期間，精靈會填入 IPv6 位址的 DNS 伺服器中。命名解析原則新的群組原則設定為 2008 R2，定義特定的原則設定，例如 IPsec DNS 伺服器，以及如何 isn’t 查詢之網路中的命名空間時，就會發生後援的名稱解析。您在電腦設定] 中找到這 | Windows 設定 | 名稱解析原則 (請注意您必須輸入網域命名空間前置字元的點與「」— 比方說 emea.corp。網路)。

您可以公開 NRPT 目錄必須使用 Netsh 命令： Netsh 名稱顯示原則.

如此將會顯示定義的命名空間。

防火牆排除項目

防火牆排除項目將視您實作 IPv6 網路的方式，而且您使用轉換技術而定。在另外遠端用戶端必須連線到任何檔案或應用程式伺服器必須適當設定的 Windows 防火牆。 圖 8 和 圖 9 ，下方放映分別防火牆的網際網路及近端內部網路雙面防火牆的排除項目，DirectAccess] 伺服器。顯然您只需要設定排除項目，如您所使用的技術。 (請注意，即使 [圖 9 列出 IPv4 + NAT-PT，Windows 2008 R2 不實作它)

圖 8 的 網際網路防火牆的防火牆設定

轉換技術	若要允許的通訊協定
Teredo	UDP 3544
6to4	IP 通訊協定 41
IP-https	TCP 443
原生 IPv6	ICMPv6 通訊協定 50

圖 9 的 內部網路防火牆的防火牆設定

連線-IPv6

因為 IPv6 允許 DirectAccess 用戶端，以維護持續連線到公司網路上的資源，它們必須全部執行通訊協定。即使您有完全實作的 IPv6 網路，允許遠端連線可能需要轉換技術，可會讓 DirectAccess 用戶端藉由封裝內的 IPv4 封包的 IPv6 來連接到 IPv4 資源的使用。這些技術包括 6to4 IP HTTPS 和 Teredo。 ISATAP 也是封裝技術，但只在內部使用。我 won’t 進入詳細說明此處，但的 圖 10 顯示基本的連線選項。

圖 10 慣用 DirectAccess 用戶端的連線選項

如果用戶端指派 a:	慣用的連線方法：
全域可路由傳送 IPv6 位址	全域可路由傳送 IPv6 位址
公用 IPv4 位址	6to4
私用 (NAT) 的 IPv4 位址	Teredo
如果用戶端無法使用上述連線	IP-https

* 來源:Microsoft*

在內部網路邊的原生 IPv6 不 DirectAccess 允許使用 ISATAP 從 IPv4 位址產生的 IPv6 位址，並實作它自己的鄰居搜索。 ISATAP 使用啟用 DirectAccess 用戶端存取 IPv4 網路上的資源。比方說時 ISATAP 用戶端開機，它必須找到 ISATAP 路由器。它會發出 DNS 查詢針對 ISATAP < 網域名稱 >。這樣的 Corp. 淨它會尋找 ISATAP.corp。網路。 Windows 2008 DNS 會實作 GlobalQueryBlockList 一種額外的安全性功能，包括 ISATAP 依預設值。這會使略過任何 ISATAP < 網域名稱 > 要求。因此，您必須清除 ISATAP 從清單中。透過 DNSCMD 命令或藉由登錄項目，請執行這項作業。

在命令提示字元輸入 dnscmd /config /globalqueryblocklist wpad ，再按 ENTER 鍵。這會定義 [GlobalQueryBlockList 為僅有 WPAD 它 (因此移除 ISATAP)。您也可能完成這個動作到登錄機碼在回收

HKLM:\System\Current 控制 Set\Services\DNS\Parameters. 編輯 GlobalQueryBlockList ，並且移除 ISATAP。

您也可以個別地實作 6to4 主機上或整個網路上，透過 IPv4 網路傳送 IPv6 封包。有趣的是，如果 6to4 實作對整個網路，需要只有一個 IPv4 位址。它並不支援 IPv4 和 IPv6 專用主機之間的流量。

Teredo 也提供 IPv6 封包進行路由傳送 IPv4 網路，但用戶端是背後沒有為 IPv6 設定的網路位址轉譯 (NAT) 伺服器時使用。它將 IPv6 封包儲存 IPv4 資料包，允許轉送從 NAT。

Windows 7 和 Server 2008 R2 已實作稱為「 IP-HTTPS 通在 IPv4 HTTPS IPv6 封包的通訊協定。 IP HTTPS 具有比其他通訊協定的差效能，而您可以新增額外的 IP HTTPS 伺服器稍微提升效能。 IP HTTPS 是相當簡單的通訊協定，若要啟用以取得 IPv6 移轉 IPv4 網路連線能力運作。

在設計 DirectAccess 用戶端組態時您可以使用 DNS 及 [NRPT 分隔網際網路及近端內部網路流量，或者您可以使用所謂強制通道，強制透過通道的所有流量。強制其中需要 IP HTTPS，透過群組原則設定 電腦 Configuration\Policies\Administrative 網路 \ 網路 Connections\Route 所有透過內部網路流量 已啟用的通道。此原則需要套用到 DirectAccess 用戶端。我先前注意 DirectAccess 用戶端可以存取本機資源連線到內部網路時。這仍然適用，則為 True IP HTTPS 用戶端，但是如果使用者嘗試存取網際網路站台，例如它會被路由透過內部網路。

當然是 IPv6 需求和複雜的組態是缺點 DirectAccess，但是那些輕易超越由使用者經驗改善和輕鬆的遠端用戶端管理 IT。

很棒的承諾

遠端工作人員的數目是它們在某個分支在家庭辦公室] 或道路增加。 BranchOffice 和 DirectAccess 保留很棒的承諾，分公司與其他遠端工作者，而 IT 管理員和系統管理員可能會明智調查它們。既不這些將會快速且容易安裝程式，而且會有許多選項和可用的功能。在另外這些功能只能在上執行 Windows 7 用戶端和 Windows Server 2008 R2 伺服器讓這肯定會影響實作時間表。 IT 管理員和系統管理員就是明智研究可用 Microsoft 文件，並設定在以確保成功的測試實驗室。