Windows Server 2008 R2: Verbesserung der Zweigstellenumgebung
Mittels BranchCache und schreibgeschützter Domänencontroller können Sie Benutzern in Zweigstellen eine reibungslos funktionierende Umgebung bereitstellen.
Brien M. Posey
Zweigstellen stellen immer eine besondere Herausforderungen. Ohne IT-Personal vor Ort tendenziell Zweigstellen schwieriger zu verwalten und zu sichern. Mitarbeiter in Zweigstellen erleben oft langsame Reaktionszeiten, wenn sie versuchen, Zugriff auf Ressourcen auf Servern befindet sich in der Zentrale gespeichert. Es gibt verschiedene Features in Windows Server 2008 R2, die direkt die einzigartige Leistung und Sicherheit von Zweigstellenumgebungen Bedürfnisse.
BranchCache
BranchCache hilft, einige der die WAN Überlastung lindern, die tritt auf, wenn Benutzer versuchen, Daten aus dem Firmennetzwerk über eine WAN-Verbindung zugreifen. BranchCache wird lokal Zwischenspeichern häufig verwendete Daten müssen sie nicht jedes Mal, wenn dies angefordert wird über das WAN abrufen.
Wenn BranchCache verwenden möchten, müssen alle Workstations in der Zweigstelle Windows 7 ausgeführt werden. Alle Datei-Servern und Web-Server in der Hauptniederlassung müssen Windows Server 2008 R2 ausgeführt werden.
Es sind zwei verschiedene Modi verfügbar, wenn BranchCache verwenden. Der Modus, den Sie verwenden sollten, hängt weitgehend von der Größe Ihrer Niederlassung. Wenn Ihre Zweigstelle weniger als 50 Benutzer verfügt, müssen Sie kein BranchCache-Servers. Stattdessen können Sie BranchCache und verteilten Cachemodus ausführen. In diesem Modus jede Workstation Windows 7 ist in der Lage, Cacheinhalt Netzwerk und bieten Zugriff auf den Cache für die Branch Office-Benutzer.
Die primäre Begrenzung auf verteilte Cache Modus ist, dass es nur ein einzelnes Subnetz in der Zweigstelle unterstützt. Wenn Ihre Zweigstelle mehrere Subnetze verwendet, wird dann jeder Workstation Windows 7 nur Zwischenspeichern von Daten auf anderen Arbeitsstationen innerhalb im selben Subnetz bereitstellen können.
Der anderen BranchCache-Modus eignet sich besser für größere Niederlassungen; It's called Modus für gehostete Caches. In diesem Modus befindet sich BranchCache auf einem bestimmten Computer Windows Server 2008 R2. Jede Workstation Windows 7 hat einen vollständig qualifizierten Domänennamen des Servers, zu dem es für den zwischengespeicherten Inhalt aussehen sollte.
BranchCache ist standardmäßig in Windows Server 2008 R2 deaktiviert. Wenn Sie BranchCache aktivieren, öffnen Sie Server-Manager auf dem BranchCache-Server, klicken Sie auf den Container Features, und klicken Sie dann auf Features hinzufügen. Wählen Sie die BranchCache-Option aus der Liste der verfügbaren Features (siehe Abbildung 1), klicken Sie auf weiter, gefolgt von installieren und in der Nähe.
Abbildung 1 Sie haben zu aktivieren und Konfigurieren von BranchCache als eine Funktion.
Konfigurieren des BranchCache-Servers
Die genaue Methode des BranchCache-Konfiguration, die Sie tun müssen ist die Arten von Inhalten abhängig, die Sie zwischenspeichern möchten. BranchCache kann Dateiserverdaten, Intranet-Server oder BITS Anwendung Serverdaten Zwischenspeichern. Da Dateiserverdaten Zwischenspeichern die häufigste Verwendung für BranchCache ist, werde ich den Konfigurationsprozess für Datei-Server behandeln.
Der erste Schritt beim Konfigurieren von BranchCache zum Zwischenspeichern von Datei-Serverdaten ist zum Aktivieren von BranchCache für Netzwerkdateien-Rollendienst auf Ihren Dateiservern. Tun Sie dies auf einem Windows Server 2008 R2 Datei-Server, enthält Daten, die Sie, um Cache benötigen. Dies tun, indem Sie den BranchCache für Netzwerkdateien-Rollendienst der Dateiserverrolle hinzufügen (siehe Abbildung 2).
Abbildung 2 müssen Sie hinzufügen den BranchCache für Netzwerkdateien-Rollendienst auf Ihre Datei-Server.
Der nächste Schritt in diesem Prozess ist es, mithilfe von Gruppenrichtlinien zum Konfigurieren des BranchCache-Servers. Vorausgesetzt, dass Sie einen einzigen BranchCache-Server haben, können Sie dies in der lokalen Sicherheitsrichtlinie des BranchCache-Servers tun.
Öffnen Sie den Gruppenrichtlinien-Editor, und navigieren Sie durch die Konsolenstruktur auf Computerkonfiguration | Richtlinien | Administrative Vorlagen | Netzwerk | LanMan Server. Doppelklicken Sie auf Hashveröffentlichung für BranchCache Einstellung, und klicken Sie auf aktiviert. Du musst entweder erlauben Hash Publikationen für alle Dateifreigaben oder die ermöglichen Hashveröffentlichung für Datei Aktien markiert mit Windows BranchCache Support-Option auswählen (siehe Abbildung 3). Klicken Sie nachdem Sie die Auswahl auf OK.
Abbildung 3 Sie dürfen Hashveröffentlichung für Datei Aktien.
Während Sie auf dem BranchCache-Server sind, sollten Sie auch die Menge an Festplattenspeicher für zwischengespeicherte Inhalte konfigurieren. BranchCache verwendet standardmäßig bis zu fünf Prozent der verfügbaren Festplattenspeicher. Sie können diesen Betrag erhöhen vor allem, wenn Sie einen dedizierten Server. Festlegen der Festplatte Speicherplatz Grenzen umfasst Bearbeitung der Registrierung, so stellen ein Vollsystem Sicherung vor dem Bearbeiten der Registrierung. Machen einen Fehler während der Bearbeitung der Registrierungs kann Windows zerstören.
Öffnen Sie den Registrierungs-Editor, und navigieren Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters. Doppelklicken Sie auf den HashStorageLimitPercent-Wert. Angeben, wie viel von dem Server Festplattenspeicher für zwischengespeicherte Daten verwenden möchten (siehe Abbildung 4). Geben Sie den Wert als Prozentsatz. Sie müssen einen HashStorageLimitPercent Wert zu erstellen, falls diese nicht bereits existiert.
Abbildung 4 können Sie die Systemregistrierung zur Regulierung der Menge an Speicherplatz, die wird von BranchCache.
Die letzte Konfigurationsaufgabe serverseitige ist das BranchCache-Unterstützung-Tag auf Ihre Dateifreigaben festlegen. Dazu mit der rechten Maustaste auf einer Dateifreigabe, und wählen Sie im Kontextmenü den Befehl Eigenschaften. Wenn das Eigenschaftenblatt für die Dateifreigabe angezeigt wird, wählen Sie die Registerkarte Freigabe, und klicken Sie auf Erweiterte Freigabe, gefolgt von Schaltfläche Zwischenspeichern. Wählen Sie nur die Dateien und Programme die Option Benutzer anzugeben sind Offline verfügbar, als auch die Option aktivieren Sie BranchCache (finden Sie unter Abbildung 5), klicken Sie dann auf OK.
Abbildung 5 müssen Sie BranchCache auf jedes einzelne Dateifreigabe für die Sie Zwischenspeicherung zulassen möchten.
Konfigurieren von BranchCache-Clients
Sobald Sie BranchCache auf dem Server aktiviert haben, müssen Sie zum Konfigurieren der Clients in der Zweigstelle. Der beste Weg, dies zu tun ist, ändern Sie die Gruppenrichtlinie für die Computer in der Zweigstelle.
Verwenden Sie den Gruppenrichtlinien-Editor der Gruppenrichtlinien öffnen, die die Sicherheitseinstellungen für Ihre Zweigstelle steuert. Navigieren Sie durch die Richtlinienstruktur zu Computerkonfiguration | Richtlinien | Administrative Vorlagen | Netzwerk | BranchCache. Sie sehen verschiedene Gruppenrichtlinieneinstellungen mit Bezug zu BranchCache. Doppelklicken Sie auf dem Turn auf BranchCache Einstellung, klicken Sie auf aktiviert, dann OK. Doppelklicken Sie anschließend auf Aktivieren Sie BranchCache-Modus für gehostete Caches und klicken Sie auf aktiviert, dann OK.
Sie haben auch den BranchCache für Netzwerkdateien Einstellung aktivieren. Wenn Sie diese Einstellung aktivieren, müssen Sie die Option zur Angabe eines Latenzwert (in Millisekunden) über dem Dateien zwischengespeichert werden soll. Mit anderen Worten, haben Sie die Möglichkeit, nur Zwischenspeichern von Dateien, die für den Zugriff auf eine Weile dauern. Dies ist praktisch, wenn Sie haben eine Datei-Server in der Zweigstelle und Cacheinhalt gezogen von einer remote-Dateiserver nur möchten oder wenn Sie nur sehr große Dateien zwischenspeichern möchten.
Je nachdem, wie Ihr Netzwerk konfiguriert ist müssen Sie auch eine Firewallregel zu erleichtern, mit BranchCache erstellen. Im Modus für gehostete Caches konfigurieren Sie Clients HTTP-Verkehr von den BranchCache-Servers akzeptiert.
Read-Only-Domänencontroller
Read-only-Domänencontroller (RODCs) können auch optimieren die Benutzerfreundlichkeit in Zweigstellen. Jede Version von Windows Server seit Windows 2000 Server wurde einen Multimaster-Domänenmodell verwendet. Dies bedeutet, dass Sie schreiben können Änderungen an Active Directory alle DC und DC die Änderungen auf die anderen DCs in der Domäne repliziert werden.
Allerdings können nicht Sie die Kopie der Active Directory-Datenbank auf einem RODC gespeichert direkt aktualisieren. Sie sind nur erlaubt, Updates in schreibbaren Domänencontroller zu schreiben. Diese Aktualisierungen werden dann auf alle anderen Domänencontroller in der Domäne, einschließlich RODCs repliziert.
Es gibt zwei Hauptgründe, warum RODCs für Branch Office-Unterstützung von Vorteil sind. Der erste Grund hat zu tun mit der Verfügbarkeit. DCs authentifizieren Benutzeranmeldeanforderungen. Wenn eine Zweigstelle einen lokalen DC hat, sind diese Benutzer gezwungen, zur Authentifizierung gegenüber einem DC in der Hauptniederlassung. Nicht nur ist dies langsam, aber wenn die WAN-fehlschlägt, dann Benutzer in der Zweigstelle Verbindung nicht auf einen DC zugreifen.
Platzieren einen DC in der Zweigstelle kann helfen, diese Situation zu vermeiden. Wenn eine WAN-Verbindung fehlschlägt, können Benutzer immer noch auf das Netzwerk authentifizieren. Das Problem mit der Einrichtung eines DC in einer Zweigstelle ist der Mangel an angemessenen physische Sicherheit. Oft ist der DC einfach in einem Schrank mit keine reale physische Sicherheit und keine vor-Ort-Support eingerichtet.
RODCs sind ideal für den Einsatz in solchen Situationen. Sie sind in einer Weise, die hilft, für den Mangel an physische Sicherheit bis machen gehärtet. Das offensichtlichste Sicherheit Feature RODCs Angebot ist die nur-Lese-Kopie der Active Directory-Datenbank.
Da die Datenbankkopie schreibgeschützt ist, müssen Sie nicht befürchten jemand gewinnt physischen Zugriff auf den DC, Bearbeiten von Active Directory und nicht autorisierte Änderungen über das Netzwerk repliziert. Die einzigen Änderungen an die Datenbank auftreten, wenn autorisierte DCs Aktualisierungen an den RODC zu replizieren.
Eine weitere Möglichkeit RODCs Zweigstellensicherheit verbessern ist durch eine unvollständige Kopie der Active Directory-Datenbank speichern. Active Directory-Datenbank enthält normalerweise die Anmeldeinformationen für alle von der Domäne Benutzer- und Computerkonten. Jedoch nicht auf RODCs standardmäßig Benutzer- oder Computeranmeldeinformationen gespeichert. Wenn ein Benutzer authentifiziert, bestimmt eine Kennwortreplikationsrichtlinie, ob das Kennwort des Benutzers auf dem RODC zwischengespeichert.
Zwischenspeichern von Kennwörtern wird sichergestellt, dass der RODC Benutzeranmeldungen verarbeiten kann. Es verhindert den DC einen vollständigen Satz von zwischengespeicherten Anmeldeinformationen für die Domäne. Nur Branch Office-Benutzer in dem sich der RODC befindet, sollte ihre zwischengespeicherten Anmeldeinformationen haben.
Während Sie die Sicherheit des RODC durch Verlassen der Zwischenspeicherung von Anmeldeinformationen deaktiviert verbessern können, kann tun also Niederlage der Zweck der Bereitstellung eines RODC. Alle Authentifizierungsanforderungen müsste dann durch einen beschreibbaren Domänencontroller verarbeitet werden.
Bereitstellung eines RODC
Bevor Sie einen RODC bereitstellen können, stellen Sie sicher, dass die Funktionsebene die Gesamtstruktur des Active Directory auf Windows Server 2003 oder höher festgelegt ist. Sie müssen auch mithilfe von ADPREP bereiten Sie die Active Directory-Gesamtstruktur (ADPREP/ForestPrep) und der Domäne, die den RODC (ADPREP/DomainPrep/gpprep) enthalten wird.
Wenn die Domäne auf Windows Server 2003-DCs derzeit ausgeführt wird, müssen Sie auch ADPREP mit dem Schalter/rodcprep ausführen. Übrigens müssen Sie auch mindestens einen beschreibbaren Windows Server 2008 oder 2008 R2 DC vor dem Bereitstellen Ihrer ersten RODC bereitstellen.
Andernfalls ist der tatsächliche Bereitstellungsprozess für RODCs einfach. Beim Ausführen von "Dcpromo" Förderung den Server auf einen Domänencontroller enthält der Assistent das Kontrollkästchen Sie den Server einen RODC zu machen können (siehe Abbildung 6).
Abbildung 6 Wählen Sie die Option der Domänencontroller nur-Lese-vornehmen.
Die Kennwortreplikationsrichtlinie wird gesteuert, ob Benutzeranmeldeinformationen auf dem RODC gespeichert werden. Diese Richtlinie ist im Wesentlichen eine Liste, die Steuerelemente, die Benutzer und Gruppen, die ihre Anmeldeinformationen repliziert haben dürfen. Wenn Sie die Liste erstellen, können Sie zuzulassen oder zu verweigern die Möglichkeit, einem Benutzer oder Passwort der Gruppe zu replizieren.
Vermeiden Sie administrative Kennwörter repliziert. Sie sollten auch eine Active Directory-Sicherheitsgruppe für Benutzer erstellen deren Kennwörter repliziert werden sollen. Dann können Sie Replikation für diese Gruppe anstelle von jeden Benutzer einzeln. Denken Sie daran, dass verweigerte Zulassungen im Falle von Widersprüchen Politik Einstellung Vorrang.
Öffnen Sie die Active Directory-Benutzer und Computer-Konsole können Sie die Kennwortreplikationsrichtlinie zugreifen. Erweitern Sie den Container DCs, mit der rechten Maustaste auf den RODC und wählen Sie im Kontextmenü den Befehl Eigenschaften. Dann sehen Sie das Eigenschaftenblatt für den RODC. Sie können die Kennwortreplikationsrichtlinie über die Registerkarte Kennwortreplikationsrichtlinie verwalten (siehe Abbildung 7).
Abbildung 7 haben Sie die Möglichkeit der Zulassung der Replikations der Benutzer Anmeldeinformationen.
WAN-Bandbreite Verkehrsstaus kann ein wichtiges Thema für Zweigstellen. Mithilfe von BranchCache und lokal bereitgestellt RODCs können erheblich reduzieren WAN-Bandbreitennutzung, gleichzeitig auch die Sicherheit verbessern. Beide dieser Faktoren helfen Ihnen die Branch Office-Erfahrung für die Benutzer zu verbessern.
**Brien M. Posey**ist ein Microsoft Most Valuable Professional und freiberuflicher technischer Redakteur bei Tausende von Artikeln und Dutzenden Büchern zu seinem Kredit. Sie können seine Website unter brienposey.com.