С филиалами всегда непросто. Обычно в них нет ИТ-специалистов, поэтому в филиалах сложнее управлять и обеспечивать безопасность среды. Сотрудники филиалов часто страдают от длительных задержек при попытке обратиться к ресурсам, размещенным на серверах головного офиса. В Windows Server 2008 R2 есть несколько функций, которые позволяют решить проблему производительность и безопасности в среде филиалов.
BranchCache
BranchCache позволяет снять остроту проблемы задержек в WAN-каналах, когда пользователи пытаются обратиться к данным в корпоративной сети по WAN-подключению. В BranchCache задача решается путем кеширования часто используемых данных, чтобы их не нужно было каждый раз загружать по WAN-каналу.
Для нормальной работы BranchCache необходимо, чтобы все рабочие станции в филиале работали под управлением Windows 7. Все файловые и веб-серверы в головном офисе должны работать под управлением Windows Server 2008 R2. .
BranchCache может работать в одном из двух возможных режимов. Выбор режима в основном определяется размером филиала. Если в филиале менее 50 пользователей, сервер BranchCache не нужен. В этом случае BranchCache может работать в режиме распределенного кеша. В этом режиме каждая рабочая станция с Windows 7 может кешировать сетевые данные и предоставлять доступ к этому кешу пользователям филиала.
Единственное ограничение на использование режима распределенного кеша заключается в том, что он работает, только если в филиале одна подсеть. Если в филиале имеется несколько подсетей, то рабочие станции будут кешировать данные только в рамках своей подсети.
Другой режим BranchCache больше подходит для крупных филиалов и называется режимом размещенного кеша (Hosted Cache Mode). В этом режиме BranchCache размещается на выделенной машине с Windows Server 2008 R2. Каждой рабочей станции с Windows 7 известно полное доменное имя сервера, к которому она должна обращаться за хранящимся в кеше контентом.
По умолчанию в Windows Server 2008 R2 функциональность BranchCache отключена. Чтобы включить BranchCache, откройте Server Manager на своем сервере BranchCache, щелкните контейнер Features, а затем — ссылку Add Features. В списке доступных функций выберите BranchCache (рис. 1), после чего последовательно щелкните Next, Install и Close.
.jpg)
Рис. 1.Включение функциональности BranchCache
Настройка сервера BranchCache
Процедура настройки BranchCache зависит от типа кешируемого контента. BranchCache может кешировать данные файлового сервера, интрасетевого сервера или сервера приложения BITS. Так как чаще всего BranchCache используют для кеширования данных файлового сервера, я расскажу о настройке именно этого варианта.
Сначала на файловых серверах надо включить службу роли BranchCache for Network Files. Это можно сделать на любом файловом сервере под управлением Windows Server 2008 R2, на котором расположены данные, которые надо кешировать. Для этого добавьте в роль File Server службу роли BranchCache for Network Files (рис. 2).
.jpg)
Рис. 2. На файловых серверах надо включить службу роли BranchCache for Network Files
Затем надо сконфигурировать сервер BranchCache средствами групповых политик. При наличии только одного сервера BranchCache это можно сделать в локальной политике безопасности этого сервера.
Откройте редактор групповых политик Group Policy Editor и в дереве консоли перейдите к узлу Computer Configuration/Policies/Administrative Templates/Network/Lanman Server. Дважды щелкните политику Hash Publication for BranchCache и включите его, выбрав Enabled. Нужно выбрать политику «Allow Hash Publications for All File Shares» (Разрешить публикацию хеша для всех общих папок ) или «Allow Hash Publication for File Shares Tagged with Windows BranchCache Support» (Разрешить публикацию хеша только для общих папок, для которых включена служба BranchCache) (рис. 3). Выполнив выбор, щелкните ОК.
.jpg)
Рис. 3. Надо разрешить публикацию хешей на общих папках
Надо сразу же настроить на сервере BranchCache пространство на жестком диске, выделяемое для хранения кешируемого контента. По умолчанию BranchCache занимает 5% диска. Желательно увеличить это значение, особенно если это выделенный сервер. Настройка выделенного пространства на диске предусматривает изменение реестра, поэтому перед этой операцией рекомендуется сделать полную резервную копию системы. Любые ошибки при изменении реестра могут привести к полной неработоспособности Windows.
Откройте редактор реестра и перейдите к разделу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters. Дважды щелкните параметр HashStorageLimitPercent. Укажите, какую долю (в процентах) диска надо выделить под кешируемые данные (рис. 4). Если параметр HashStorageLimitPercent не существует, его надо создать.
.jpg)
Рис. 4. Средствами реестра можно регулировать объем дискового пространства, выделяемого для BranchCache
Последнее, что нужно сделать при настройке BranchCache, — включить поддержку BranchCache на общих папках с файлами. Для этого щелкните общую папку и выберите Properties. На странице свойств папки перейдите к вкладке Sharing и щелкните кнопку Advanced Sharing, а затем — кнопку Caching. Установите флажки «Only the Files and Programs that Users Specify Are Available Offline» (Только указанные пользователем файлы и программы доступны в автономном режиме) и «Enable BranchCache» (Включить BranchCache) (рис. 5), после чего щелкните OK.
.jpg)
Рис. 5.Нужно включить BranchCache на каждой общей папке с файлами, для которой нужно организовать кеширование
Конфигурирование клиентов BranchCache
После включения на сервере функциональности BranchCache, нужно настроить клиентов филиала. Лучше всего для этого использовать групповую политику компьютеров филиала.
В редакторе групповой политики откройте групповые политики, которые управляют параметрами безопасности филиала. В дереве политик перейдите к узлу Computer Configuration/Policies/Administrative Templates/Network/BranchCache. Здесь есть несколько политик, относящихся к BranchCache. Дважды щелкните параметр Turn on BranchCache, выберите Enabled и щелкните OK. Затем дважды щелкните «Turn on BranchCache – Hosted Cache Mode» выберите Enabled и щелкните OK.
Также нужно включить параметр «BranchCache for Network Files». При включении этого параметра вы сможете определять задержку (в миллисекундах), при превышении которой, при превышении которой будет выполняться кеширование. Иначе говоря, вы сможете кешировать только файлы, доступ к которым требует определенного времени. Это удобно, если в филиале есть файловые сервер и вы хотите, чтобы кешировался только контент, загружаемый с удаленного файлового сервера, или если нужно кешировать очень большие файлы.
В некоторых сетях для нормальной работы BranchCache также потребуется задать правило брандмауэра. В режиме размещенного кеша нужно настроить доступ клиентов на прием HTTP-трафика с сервера BranchCache.
ReКонтроллеры доменов только для чтения
Контроллеры доменов только для чтения (RODC) предоставляют дополнительные средства для поддержки конечных пользователей филиала. Во всех версиях Windows Server, начиная с Windows 2000 Server, использовалась доменная модель со многими хозяевами. Это означает, что изменения Active Directory можно записывать на любом контроллере домена — далее изменения автоматически реплицируются на все контроллеры данного домена.
Однако нельзя напрямую обновить копию базы данных Active Directory на RODC. Обновления можно записывать только на доступные для записи контроллеры доменов. Эти обновления затем реплицируются на все остальные контроллеры данного домена, в том числе на контроллеры RODC.
Есть две причины преимущества использования RODC в филиале. Первая причина — доступность. Контроллер домена выполняет проверку подлинности запросов на вход в домен. Если в локальном филиале нет контроллера домена, пользователи филиала должны проходить проверку подлинности на контроллере домена в главном офисе. Это не только замедляет работу, но при отказе WAN-канала, пользователи филиала не смогут «достучаться» к контроллеру домена.
Разместив контроллер в филиале, можно избежать такой ситуации. При отказе WAN-канала пользователи все равно смогут проходить проверку подлинности. Проблема с развертыванием контроллера домена в филиале заключается в невозможности обеспечить его надлежащую физическую безопасность. Часто машину с контроллером домена размещают в слабо защищенном шкафу и практически не обслуживают.
В таких ситуациях RODC подходят идеально. Их защищенность позволяет компенсировать недостаток физической безопасности. Самое очевидное преимущество RODC в плане безопасности заключается в доступе к Active Directory в режиме только для чтения.
Так как база данных доступна только для чтения, не нужно беспокоиться о том, что кто-то получит физический доступ к контроллеру домена и попытается изменить данные Active Directory, распространив их по все сети. База данных обновляется только тогда, когда на RODC реплицируются обновления с других, полноценных и уполномоченных контроллеров домена.
Еще одна возможность обеспечения безопасности средствами RODC — хранение неполной версии базы данных Active Directory. В базе данных Active Directory обычно хранятся учетные данные все учетных записей пользователей и компьютеров в домене. Однако по умолчанию RODC не хранят никаких учетных данных пользователей или компьютеров. Когда пользователь проходит проверку подлинности, решение о том, кешировать ли пользовательский пароль на RODC, принимается на основе политики репликации паролей на RODC.
Кеширование паролей позволяет гарантировать, что RODC сможет обрабатывать пользовательские запросы на вход в систему. Оно также не позволяет контроллеру домена получить полный набор учтенных данных для входа в домен. На RODC кешируются только учетные данные пользователей данного филиала.
Вместе с тем, если попытаться укрепить безопасность за счет отключения кеширования учтенных данных ан RODC, это может свести на нет все преимущества от развертывания RODC. Все запросы на проверку подлинности должны будут обрабатываться полноценным контроллером домена.
Развертывание RODC
Перед развертыванием RODC надо обеспечить, чтобы функциональный уровень леса Active Directory был не ниже Windows Server 2003. Также нужно использовать ADPREP (ADPREP /ForestPrep), чтобы подготовить лес Active Directory, а также домен для размещения RODC (команда ADPREP/DomainPrep /gpprep).
Если домен обслуживается контроллерами под управлением Windows Server 2003, надо выполнить команду ADPREP с параметром /rodcprep. Не забудьте также до развертывания RODC, что в среде должен быть как минимум один доступный для записи контроллер домена под управлением Windows Server 2008 или 2008 R2.
В остальном процесс развертывания RODC прост. При запуске утилиты Dcpromo для повышения роли сервера до контроллера домена в мастере можно выбрать флажок, указывающий, что нужно установить контроллер с доступом только для чтения (рис. 6)
.jpg)
Рис. 6.Выберите соответствующий флажок, чтобы установить контроллер домена, доступный только для записи.
Кешированием учетных записей на RODC управляет политика Password Replication Policy. В сущности это список, который определяет пользователей и группы, учетные данные которых подлежат репликации наRODC. При построении списка вы можете разрешать или запрещать репликацию пароля пользователя или группы.
Не стоит включать репликацию административных паролей. Также нужно выделить пользователей, пароли которых надо реплицировать, в отдельную группу безопасности Active Directory. Тогда репликацией паролей отдельных пользователей можно управлять, просто добавляя или удаляя их из этой группы. Помните, что при противоречии в политиках у запрещений приоритет всегда выше.
Управлять политикой Password Replication Policy можно средствами консоли Active Directory Users and Computers. Разверните узел контроллера домена, щелкните правой кнопкой значок своего RODC и выберите Properties. Откроется окно свойств RODC. Параметры политики Password Replication Policy находятся на одноименной вкладке (рис. 7).
.jpg)
Рис. 7. Управление репликацией учетных данных пользователей
Перегрузка WAN-канала может стать серьезной проблемой в филиалах, но развертывание BranchCache и локальных RODC-контроллеров позволяет значительно разгрузить WAN-канал, обеспечив при этом повышение безопасности. Все это позволит значительно повысить удобство работы ваших пользователей в филиалах.