Windows Server 2008 R2：將分公司的使用體驗最佳化

使用 BranchCache 和唯讀網域控制站，可以協助您確保分公司的使用者擁有順暢的體驗。

Brien M. Posey

分支機搆始終存在一組特殊的挑戰。 現場的 IT 人員，沒有分支機搆往往會更難管理和保護。 在分支機搆的員工往往經驗緩慢的回應時間，當他們嘗試訪問資源存儲在伺服器上位於主要辦事處。 有幾個功能，在 Windows Server 2008 R2，直接解決了分支辦公室環境的獨特性能和安全性需求。

BranchCache

BranchCache 可以説明減輕一些灣擠塞，當使用者嘗試訪問公司網路中的資料，通過 WAN 連接時發生。 BranchCache 通過本地緩存頻繁使用的資料，因此不需要每次請求時檢索它在廣域網路上這一點。

若要使用 BranchCache，所有的分支辦公室中的工作站必須運行 Windows 7。 所有檔案伺服器和 Web 伺服器中的總辦事處必須在運行 Windows Server 2008 R2。

有兩種方式可使用 BranchCache 時。 您應該使用的模式很大程度上取決於您的分支機搆的大小。 如果您的分支機搆有少於 50 個使用者，您不需要 BranchCache 的伺服器。 相反，您可以運行 BranchCache 和分散式緩存模式。 在此模式中，每個 Windows 7 的工作站能夠緩存網路內容和分支辦公室使用者提供到緩存的訪問。

使用分散式緩存模式的主要限制是它只支援單個子網的分支機搆。 如果您的分支機搆使用多個子網，然後每個 Windows 7 的工作站將只能提供到同一子網內的其他工作站的緩存資料。

其他 BranchCache 模式是更好地適合於較大的分支機搆 ； 這被稱為宿主緩存模式。 在此模式中，BranchCache 駐留在一個指定的 Windows Server 2008 R2 機器上。 每個 Windows 7 的工作站具有完全限定的功能變數名稱伺服器，它應該尋找緩存的內容。

Windows Server 2008 R2 在預設情況下，BranchCache 處於禁用狀態。 要啟用 BranchCache，BranchCache 伺服器上打開伺服器管理器、 功能容器中，按一下然後按一下添加功能的連結。 從可用的功能的清單中選擇 BranchCache 選項 （請參見圖 1），按一下下一步，其次是安裝和關閉。

圖 1 你要啟用並配置 BranchCache 作為一種功能。

BranchCache 伺服器配置

您需要做的 BranchCache 配置的具體方法取決於您要緩存的內容的類型而有所不同。 BranchCache 可以緩存的檔案伺服器資料、 內聯網伺服器資料或位應用程式伺服器資料。 由於緩存的檔案伺服器資料是最常用的 BranchCache，我將涵蓋檔案伺服器配置過程。

BranchCache 配置快取檔案伺服器資料的第一步是要啟用 BranchCache 的檔案伺服器上的網路檔角色服務。 任何包含您需要緩存資料的 Windows Server 2008 R2 檔案伺服器上執行此操作。 通過 BranchCache 的網路檔角色服務添加到檔案伺服器角色執行此操作 （請參閱圖 2)。

圖 2 您需要添加 BranchCache 網路檔角色服務到您的檔案伺服器。

在過程中的下一步是使用群組原則配置 BranchCache 伺服器。 假設您有一台 BranchCache 伺服器，你可以做這 BranchCache 伺服器的本地安全性原則中。

打開群組原則編輯器並流覽到電腦配置主控台樹狀目錄 |政策 |管理範本 |網路 |藍曼潔具伺服器。 BranchCache 設置為雜湊出版物上按兩下，然後按一下啟用。 你將不得不選擇要麼允許雜湊出版物所有檔共用或允許雜湊發佈的檔共用標記使用 Windows BranchCache 支援選項 （請參見圖 3)。 完成選擇後，按一下確定。

圖 3 您必須允許雜湊發佈的檔共用。

當你在 BranchCache Server 上時，您還應配置的硬碟空間可用於緩存的內容。 預設情況下，BranchCache 使用達 5%的可用硬碟空間。 您可能要增加這一數額，尤其是如果你有一台專用的伺服器。 設置磁碟空間限制涉及註冊表編輯，因此請在編輯註冊表之前備份的一個完整的系統。 編輯註冊表時犯了一個錯誤，可以銷毀視窗。

打開登錄編輯程式，然後定位到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters。 按兩下 HashStorageLimitPercent 的值。 指定您要使用的緩存資料的伺服器的硬碟空間有多少 （請參見圖 4)。 輸入的值的百分比。 您需要創建一個 HashStorageLimitPercent 的值，如果不存在。

圖 4 您可以使用系統登錄來調節所需數量的磁碟空間，用於通過 BranchCache。

最後一個伺服器端配置任務是對您的檔共用設置 BranchCache 支援標籤。 要這樣做，檔共用上右擊並從快顯功能表中選擇屬性命令。 當顯示檔共用的屬性工作表時，選擇共用選項卡，然後按一下高級共用按鈕，跟著緩存按鈕。 只選擇的檔和程式的使用者指定的可用離線選項，以及啟用 BranchCache 選項 （請參見圖 5），然後按一下確定。

圖 5 必須要允許緩存每個單獨的檔共用上啟用 BranchCache。

配置用戶端 BranchCache

一旦您在您的伺服器上啟用了 BranchCache，你得在分支機搆中配置用戶端。 要執行此操作的最佳方法是修改為分支辦公室中的電腦的群組原則。

使用群組原則編輯器打開群組原則來控制您的分支機搆的安全設置。 流覽電腦配置策略樹 |政策 |管理範本 |網路 |BranchCache。 您將看到有關 BranchCache 的幾群組原則設置。 按兩下打開 BranchCache 設置，按一下啟用，然後確定。 下一步，按兩下打開 BranchCache — — 主辦緩存模式，按一下啟用，然後確定。

你還得要啟用網路檔設置為 BranchCache。 當您啟用了此設置時，您可以選擇指定滯後時間值 （以毫秒為單位） 以上，應快取檔案。 換句話說，您可以選擇只緩存需要一段時間來訪問的檔。 如果您有分支辦公室中的檔案伺服器，並只想從遠端檔案伺服器，送入的緩存內容，或如果您只想快取檔案很大，這很方便。

取決於您的網路如何配置的您也可能創建防火牆規則，以便使用 BranchCache。 在宿主的緩存模式中，您必須配置客戶接受從 BranchCache 伺服器的 HTTP 通信量。

唯讀網域控制站

唯讀網域控制站 (Rodc) 還可以説明優化在分支機搆中的最終使用者體驗。 每個版本的 Windows 伺服器，因為 Windows 2000 伺服器已使用多主機的域模型。 這意味著您可以編寫任何 DC 和 DC 的活動目錄的更改將複製到域中的其他 Dc 的所做的更改。

但是，您不能直接更新存儲在 RODC 上的 Active Directory 資料庫的副本。 你僅能將更新寫入可寫的區議會。 這些更新程式然後被覆制到所有其他域，包括 Rodc 中的 Dc。

有兩個主要原因為什麼 Rodc 都是有益的分支辦事處的支援。 第一個原因不得不做的可用性。 區議會對使用者登錄請求進行身份驗證。 如果一個分支辦公室沒有本地的 DC，然後這些使用者被被迫進行身份驗證的總辦事處的 DC。 不僅是這緩慢的情況下，如果 WAN 鏈路出現故障，然後在分支機搆中的使用者將無法訪問直流。

放置分支辦公室中的 DC，可以説明避免這種情況。 如果 WAN 鏈路出現故障，使用者可以在網路上仍然進行驗證。 在分支機搆設立 DC 的問題是缺乏足夠的物理安全。 很多時候，DC 是簡單地設置在衣櫥裡沒有真正的物理安全和沒有現場支援。

Rodc 非常適合於在這些類型的情況下使用。 他們硬化有助於彌補缺乏物理安全的方式。 最明顯的安全功能 Rodc 報價是 Active Directory 資料庫的唯讀副本。

該資料庫的副本是唯讀的因為您不必擔心有人物理訪問到 DC，操縱活動目錄，和複製整個網路的未經授權的修改。 對資料庫的唯一更改發生時授權區議會將更新複製到 RODC。

Rodc 改善安全分支辦公室的另一種方式是通過存儲活動目錄資料庫的完整副本。 活動目錄資料庫通常包含的所有域的使用者帳戶和電腦帳戶的憑據。 然而，Rodc 不要在預設情況下存儲任何使用者或電腦的憑據。 當使用者進行身份驗證時，密碼複寫原則確定是否緩存在 RODC 上的使用者的密碼。

緩存的密碼，確保在 RODC 是能夠處理使用者登錄。 它可以防止直流有一套完整的緩存憑據的域。 只有分支機搆使用者 RODC 駐留的位置應該有其緩存的憑據。

留憑據緩存被禁用，您可以提高在 RODC 的安全，而這樣做所以可能打敗部署 RODC 的目的。 所有的身份驗證請求便要處理的可寫的 DC。

部署 RODC

您可以部署 RODC 之前，請確保活動目錄林功能級別設置為 Windows Server 2003 或更高版本。 您還需要使用 ADPREP 準備到 Active Directory 林中 (ADPREP/ForestPrep） 和域將包含在 RODC (ADPREP / 域準備 /gpprep）。

如果域目前運行在 Windows 伺服器 2003年區議會上，然後還需要使用 /rodcprep 開關運行 ADPREP。 順便說一下，你也要部署至少一個可寫入 Windows Server 2008 或之前，部署您的第一個 RODC 2008 R2 直流。

否則，Rodc 的實際部署過程很簡單。 Dcpromo 促進直流伺服器運行時，嚮導中包含一個核取方塊，您可以使用，使伺服器 RODC （請參見圖 6)。

圖 6 選擇該選項以使網域控制站，唯讀。

密碼複寫原則將控制是否在 RODC 上存儲使用者憑據。 這項政策是本質上是一個清單，用於控制使用者和組，才可複製其憑據。 生成清單時，您可以允許或拒絕使用者或組的密碼複製的能力。

您應該避免複製管理密碼。 您還應創建您要複製其密碼的使用者活動目錄的安全性群組。 然後您可以分別允許該組中的每個使用者處理而不是複製。 請記住： 否認優先審批政策設置矛盾的事件中。

您可以通過打開活動目錄使用者和電腦主控台訪問密碼複寫原則。 展開區議會容器、 你 RODC 上按右鍵並從快顯功能表中選擇屬性命令。 然後你會看到該屬性工作表 RODC 的。 您可以通過密碼複寫原則選項卡的密碼複寫原則來管理 （請參見圖 7)。

圖 7 ，您可以選擇授權複製的使用者憑據。

WAN 頻寬的擠塞情況可以分支機搆的一個主要問題。 使用 BranchCache 和本地部署 Rodc 可以顯著減少 WAN 頻寬利用率，同時也提高了安全性。 這些因素都可以説明您改善分支辦公室為您的使用者體驗。

**Brien M. Posey**是微軟最有價值的專業和技術與成千上萬的文章和書給他的信用數十個自由撰稿人。 您可以訪問他的網站 brienposey.com。

相關的內容

• “Windows Server 2008 R2 伺服器 Core：確保分支機搆連接"
• “BranchCache 和 DirectAccess：改善分支辦公室體驗"
• "微軟 Lync 伺服器 2010年：談談您的分支辦公室"