Geum.ru

Опубликовано: ноябрь 2008 г

Вид материалаРуководство

Содержание


Безопасное удаленное подключение частных и общедоступных компьютеров
Повышение производительности филиалов
Рисунок 31. Проблема в работе филиала
Рисунок 32. Сценарий развертывания сервера BranchCache™
Размещаемое кэширование HTTP-содержимого: описание возможностей
Настройка BranchCache для кэширования HTTP-содержимого
Общее описание задачи
Пуск выделите пункт Администрирование
Проверка: включен ли режим сервера размещенного кэша
Проверка SSL-привязок
Просмотр SSL-сертификата
Включение BranchCache на клиентских компьютерах с помощью групповой политики
Общее описание задачи
Пуск выделите пункт Администрирование
Настройка параметров групповой политики правил для входящих подключений бранд­мауэра Windows для BrancheCache
Закрытие консоли управления группо­выми политиками
Оценка производительности кэширования HTTP-содержимого
Общее описание задачи
Загрузка HTTP-содержимого на первый клиентский компьютер
Загрузка HTTP-содержимого на второй клиентский компьютер
...
Полное содержание
Подобный материал:
1   ...   5   6   7   8   9   10   11   12   13

Безопасное удаленное подключение частных и общедоступных компьютеров


Еще одной типичной проблемой, с которой сталкиваются удаленные пользователи, является необходимость подключения к интранет-ресурсам с компьютеров, не при­надлежащих организации, в которой работает пользователь (например, с компьютеров в интернет-кафе). Большинство пользователей не может обращаться к интранет-ресурсам без помощи предоставленного организацией мобильного компьютера.

Совместное применение удаленного рабочего пространства, виртуализации представлений и шлюза удаленных рабочих столов позволяет пользователям удаленно работать со своими интранет-ресурсами с компьютеров под управлением Windows 7, не устанавливая дополнительное ПО. Благодаря этому пользователи могут удаленно работать со своими настольными компьютерами так же, как если бы они работали на компьютерах в интрасети.

На следующем рисунке показаны некоторые новые возможности, предоставляемые VDI и службами терминалов в Windows Server 2008 R2. Дополнительные сведения об этих возможностях см. в разделе «Безопасное удаленное подключение частных и общедоступных компьютеров» главы «Совместная работа с Windows 7» документа Технический обзор Windows Server 2008 R2.

С точки зрения пользователя рабочий стол удаленного компьютера под управлением Windows 7 начинает выглядеть так же, как рабочий стол пользователя в интрасети, включая значки, элементы меню «Пуск» и установленные приложения, такие же, как на компьютере пользователя. Когда удаленный пользователь завершает сеанс удаленного доступа, на удаленном компьютере под управлением Windows 7 восстанавливается предыдущая конфигурация среды рабочего стола.

Повышение производительности филиалов


Чтобы уменьшить сложность ИТ-среды филиалов и расходы на ее содержание, организации стремятся централизовывать приложения. Однако по мере центра­лизации растут требования к доступности и качеству каналов глобальной сети. Вследствие централизации повышается загрузка каналов глобальной сети и снижается производительность приложений. Недавние исследования показали, что, несмотря на снижение затрат на каналы глобальной сети, эти затраты по-прежнему составляют значительную часть эксплуатационных расходов организаций.




Рисунок 31. Проблема в работе филиала

Поддерживаемая Windows Server 2008 R2 и клиентами Windows 7 технология работы с кэшем филиалов BranchCache™ снижает загрузку соединяющих филиалы каналов глобальной сети и повышает удобство работы пользователей, кэшируя часто используемое содержимое на локальных компьютерах в сети филиала.

Обращаясь к содержимому, которое хранится на серверах в корпоративном центре обработки данных, клиентские компьютеры в филиале сохраняют копию полученного содержимого в локальной сети филиала. При последующих обращениях к этому содержимому предоставляется информация из локального кэша, что уменьшает время доступа и снижает загрузку каналов глобальной сети между филиалом и корпоративной сетью. BranchCache™ кэширует содержимое, передаваемое по протоколам HTTP и SMB, и позволяет обращаться к нему только авторизованным пользователям. При этом проверка подлинности выполняется на серверах в центре обработки данных. BranchCache™ работает с содержимым, зашифрованным по протоколу SSL или IPSEC, и ускоряет доставку такого содержимого.

Для развертывания BranchCache™ можно использовать следующие варианты. Кэшируемое содержимое сохраняется на расположенном в филиале выделенном сервере BranchCache™. Это наиболее популярный метод, повышающий доступность кэша и ориентированный на крупные филиалы, в которых к кэшу BranchCache™ может одновременно обращаться большое число пользователей. Размещение сервера BranchCache™ в филиале гарантирует доступность содержимого и обеспечивает безопасность на всех этапах обработки запросов на получение этого содержимого.




Рисунок 32. Сценарий развертывания сервера BranchCache™

Второй вариант развертывания ориентирован на обслуживание запросов на получение содержимого, которое хранится на конечных узлах. Этот вариант предназначен для очень маленьких удаленных офисов, в которых работает 5–10 пользователей, и не требует установки выделенного сервера. Вместо этого сервер BranchCache™ разме­щается в корпоративной сети и при получении клиентского запроса проверяет, запра­шивалось ли это содержимое ранее. Если содержимое уже запрашивалось удаленным филиалом, сервер возвращает набор хэшированных ссылок на местоположение нужного содержимого в удаленной сети (как правило, на ПК другого пользователя), после чего исходный запрос обслуживается указанным компьютером. Если нужное содержимое не запрашивалось ранее или пользователь, который запрашивал это содержимое, не доступен, нужное содержимое передается обычным образом по каналам глобальной сети.




Рисунок 33. Одноранговая модель развертывания BranchCache™

Размещаемое кэширование HTTP-содержимого: описание возможностей


Что посмотреть, как работает размещаемое кэширование HTTP-содержимого, выполните следующие задачи:

  1. Настройка BranchCache для кэширования HTTP-содержимого
  2. Включение BranchCache на клиентских компьютерах с помощью параметров групповой политики
  3. Оценка производительности кэширования HTTP-содержимого



Примечание. Выполняйте эти действия в тестовой среде, поскольку они могут отрицательно повлиять на рабочую среду. Кроме того, для выполнения описанных ниже действий необходимо смоделировать подключение, осуществляемое по глобальной сети.
Настройка BranchCache для кэширования HTTP-содержимого

Для выполнения заданий необходимо войти в систему с учетной записью, являющейся членом группы безопасности «Администраторы предприятия».

Таблица 12. Настройка BranchCache для кэширования HTTP-содержимого

Общее описание задачи
Подробное описание

Запуск диспетчера серверов

  1. В меню Пуск выделите пункт Администрирование и щелкните элемент Диспетчер серверов.

Установка Windows BranchCache
  1. В диспетчере серверов щелкните элемент Компоненты.
  2. В разделе Сводка компонентов щелкните пункт Добавить компоненты.
  3. В мастере добавления компонентов установите флажок Кэш филиалов Windows в разделе Компоненты, щелкните пункт Далее, а затем щелкните пункт Установить.

Подождите завершения установки.
  1. Нажмите кнопку Закрыть.

Включение режима сервера размещенного кэша
  1. В меню Пуск введите в поле Начать поиск строку cmd и нажмите клавишу Ввод.
  2. В командной строке введите следующую команду и нажмите клавишу Ввод.

netsh peerdist set service mode=HOSTEDSERVER

Проверка: включен ли режим сервера размещенного кэша
  1. В командной строке введите следующую команду и нажмите клавишу Ввод.

Netsh peerdist show status all

Проверка
SSL-привязок
  1. В командной строке введите следующую команду и нажмите клавишу Ввод.

Netsh http show sslcert

Для работы размещенного кэша необходимо сопоставление SSL-сертификатов.

Просмотр SSL-сертификата
  1. В командной строке введите следующие команды. После ввода каждой команды нажимайте клавишу Ввод.

PowerShell

CD Cert:

CD LocalMachine

CD MY

Get-ChildItem | Format-List *

exit
  1. Обратите внимание на значение поля Субъект.

При настройке клиентов, использующих размещенный кэш, необходимо вводить имя компьютера, указанное в этом поле.


Включение BranchCache на клиентских компьютерах с помощью групповой политики

Для выполнения заданий необходимо войти в систему с учетной записью, являющейся членом группы безопасности «Администраторы предприятия».

Таблица 13. Включение BranchCache с помощью групповой политики

Общее описание задачи
Подробное описание

Запуск консоли управления групповой политикой

  1. В меню Пуск выделите пункт Администрирование и щелкните элемент Управление групповой политикой.

Создание объекта групповой политики
  1. В консоли управления групповой политикой выберите элемент имя_леса\Домены\имя_домена\Объекты групповой политики, щелкните элемент Объекты групповой политики правой кнопкой мыши и выберите команду Создать.
  2. В окне Новый объект групповой политики введите в поле Имя название Политика кэша филиала и нажмите кнопку ОК.

Настройка параметров групповой политики кэша филиала
  1. В консоли управления групповой политикой щелкните элемент Политика кэша филиала правой кнопкой мыши и выберите команду Изменить.

Запустится редактор групповых политик.
  1. В окне редактора групповых политик выберите раздел Конфигурация компьютера/Политики/Административные шаблоны: определения политик (ADMX-файлы) получены с локального компьютера/
    Сеть/Кэш     филиалов Windows.
  2. Установите следующие значения перечисленных ниже параметров (где имя_сервера — полное доменное имя настраиваемого сервера).
  • Кэш филиалов Windows: включен
  • Кэш филиалов Windows — режим размещенного кэша: включен
  • Кэш филиалов Windows — режим размещенного кэша: Расположение кэша: имя_сервера.

Настройка параметров групповой политики правил для входящих подключений бранд­мауэра Windows для BrancheCache
  1. В окне редактора групповых политик выберите раздел Конфигурация компьютера/Политики/Параметры Windows/Параметры безопасности/Брандмауэр Windows в режиме повышенной безопасности/Правила для входящих подключений.
  2. В меню Действие выберите пункт Новое правило.


  3. Создайте правило для входящих подключений, используя следующие значения.
  • Тип правила: Предопределенные: Одноранговое распространение — транспорт HTTP (использует HTTP)
  • Действие: Разрешить подключение
  1. В меню Действие выберите пункт Новое правило.
  2. Создайте правило для входящих подключений, используя следующие значения.
  • Тип правила: Предопределенные: Одноранговое распространение — размещенный кэш (использует HTTP)
  • Действие: Разрешить подключение

Настройка параметров групповой политики правил для исходящих подключений бранд­мауэра Windows для BrancheCache
  1. В окне редактора групповых политик выберите раздел Конфигурация компьютера/Политики/Параметры Windows/Параметры безопасности/Брандмауэр Windows в режиме повышенной безопасности/Правила для исходящих подключений.
  2. В меню Действие выберите пункт Новое правило.
  3. Создайте правило для исходящих подключений, используя следующие значения.
  • Тип правила: Предопределенные: Одноранговое распространение — транспорт HTTP (использует HTTP)
  • Действие: Разрешить подключение
  1. В меню Действие выберите пункт Новое правило.
  2. Создайте правило для исходящих подключений, используя следующие значения.
  • Тип правила: Предопределенные: Одноранговое распространение — размещенный кэш (использует HTTP)
  • Действие: Разрешить подключение

Закрытие редактора групповых политик
  1. Закройте редактор групповых политик.

Закрытие консоли управления группо­выми политиками
  1. Закройте консоль управления групповыми политиками.


Оценка производительности кэширования HTTP-содержимого

Для выполнения заданий необходимо войти в систему с учетной записью, являющейся членом группы безопасности «Администраторы предприятия».

Примечание. Выполните следующие действия на двух клиентских компьютерах, которые подключены к серверу каналом глобальной сети и на которых установлены соответствующие параметры групповой политики.

Таблица 14. Оценка производительности кэширования HTTP-содержимого

Общее описание задачи
Подробное описание

Запуск Internet Explorer на первом клиентском компьютере

  1. На первом клиентском компьютере щелкните значок Internet Explorer на панели быстрого запуска.

Загрузка HTTP-содержимого на первый клиентский компьютер
  1. В Internet Explorer перейдите по адресу http_сайт (где http_сайт —URL-адрес веб-сайта, на котором находится требуемое содержимое).
  2. Сохраните содержимое (например, файл или изображение) с сайта.
  3. Запомните скорость загрузки содержимого.

Запуск Internet Explorer на втором клиентском компьютере
  1. На втором клиентском компьютере щелкните значок Internet Explorer на панели быстрого запуска.

Загрузка HTTP-содержимого на второй клиентский компьютер
  1. В Internet Explorer перейдите по адресу http_сайт (где http_сайт —URL-адрес веб-сайта, на котором находится требуемое содержимое).
  2. Сохраните содержимое (например, файл или изображение) с сайта.
  3. Запомните скорость загрузки содержимого.

Примечание. Содержимое должно загрузиться почти сразу, поскольку оно загружается из размещаемого кэша.

Определение размера размещаемого кэша
  1. На сервере, на котором находится кэш филиалов, в командной строке введите следующую команду и нажмите клавишу Ввод.

Netsh peerdist show status all

Параметр Текущий размер кэша показывает объем данных в кэше.


Размещаемое кэширование SMB-содержимого: описание возможностей


Что посмотреть, как работает размещаемое кэширование SMB-содержимого, выполните следующие задачи:

  1. Создание общей папки в сети для хранения кэша филиала
  2. Публикация хэшей файлов и создание хэшей для файлов, хранящихся в общей папке в сети
  3. Оценка производительности кэширования SMB-содержимого

Примечание. Выполняйте эти действия в тестовой среде, поскольку они могу отрицательно повлиять на рабочую среду. Кроме того, для выполнения описанных ниже действий необходимо смоделировать подключение, осуществляемое по глобальной сети.
Создание общей папки в сети для хранения кэша филиала

Для выполнения заданий необходимо войти в систему с учетной записью, являющейся членом группы безопасности «Администраторы предприятия».

Таблица 15. Настройка BranchCache для кэширования SMB-содержимого

Общее описание задачи
Подробное описание

Запуск диспетчера серверов

  1. В меню Пуск выделите пункт Администрирование, а затем щелкните Управление общими ресурсами и хранилищами.

Создание общей папки в сети для хранения кэша филиала
  1. В области Действия консоли Управление общими ресурсами и хранилищами щелкните элемент Подготовить общий ресурс.
  2. В поле Папка введите строку C:\inetpub\wwwroot, а затем щелкните пункт Далее.
  3. На странице Разрешения нажмите кнопку Далее.
  4. Введите CorpFiles в поле Имя общего ресурса и нажмите кнопку Далее.
  5. Нажмите кнопку Дополнительно.
  6. На вкладке Кэширование щелкните элемент Включить кэш филиалов Windows и нажмите кнопку ОК.
  7. На странице Параметры SMB нажмите кнопку Далее.
  8. На странице Разрешения SMB нажмите кнопку Далее.
  9. На странице Публикация в пространстве имен DFS нажмите кнопку Далее.
  10. Нажмите кнопку Создать.
  11. Нажмите кнопку Закрыть.
Публикация хэшей файлов и создание хэшей для файлов

Для выполнения заданий необходимо войти в систему с учетной записью, являющейся членом группы безопасности «Администраторы предприятия».

Таблица 16. Публикация хэшей файлов и создание хэшей для файлов

Общее описание задачи
Подробное описание

Запуск диспетчера серверов

  1. В меню Пуск введите в поле Начать поиск строку gpedit.msc и нажмите клавишу Ввод.

Запустится редактор локальных групповых политик.

Настройка параметров хэширования публикаций
  1. В окне редактора групповых политик выберите раздел Конфигурация компьютера/Политики/Административные шаблоны/Сеть/LanManServer.
  2. Установите для параметра Хэшировать публикации для Windows Branch Cache значение Включен и убедитесь, что выбран параметре Включить хэширование публикаций для всех общих папок.
  3. Закройте редактор локальных групповых политик.

Создание хэшей
  1. Введите в командной строке следующую команду и нажмите клавишу Ввод. Вместо параметра имя_сервера укажите имя настроенного ранее сервера.

Hashgen –s \\имя_сервера\corpfiles