Глава 5
Технология BranchCache
Технология BranchCache предназначена для ускорения работы с документами
в филиалах за счет их кэширования. Технология эта появилась только в Windows 7
SP1 и Windows Server 2008 R2 соответственно и доступна она лишь пользователям
домена, работающим в этих операционных системах или более новых (Windows
8/10, Windows Server 2012/2016). Информация о поддерживаемых версиях Windows
доступна по ссылке:
https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/
support-for-windows-features-and-networks
.
Технология BranchCache позволяет кэшировать в филиале информацию из основ-
ного офиса, предоставляемого с серверов Windows Server 2008 R2 или более позд-
них версий как по протоколу SMB (Server Message Block, блок сообщений серве-
ра) — для обычных сетевых папок общего доступа, так и по протоколу HTTP/
HTTPS — для веб-сервера IIS.
Существуют два варианта настройки технологии. Вариант
выделенного кэша
пред-
полагает наличие в филиале сервера Windows 2008 R2/2012/2016, на котором хра-
нится и обновляется кэш. В варианте
распределенного кэша
данные хранятся на
пользовательских системах (Windows 7 SP1, 8, 10). Выбор варианта осуществляется
при настройке технологии (определяется в групповой политике), каждый из них
имеет сильные и слабые стороны и должен быть выбран в зависимости от конфигу-
рации филиала.
Если в общих чертах описать технологию BranchCache, то процесс происходит сле-
дующим образом. При запросе данных клиент сначала обращается на сервер ос-
новного офиса (соответственно, если этот сервер недоступен, то и воспользоваться
кэшированными данными, хранящимися в офисе, не удастся). Сервер предоставля-
ет метаданные файла, т. е. его хэш-функцию (строго говоря, файл разбивается на
блоки и контролируется именно хэш-функция блока). В силу особенностей работы
IIS, хэш-функция клиентом будет сформирована только при втором обращении
к файлу по протоколу HTTP, и, соответственно, данные из кэша можно будет полу-
чить только при
третьем
обращении к этому файлу. При работе по протоколу
SMB данные в кэше будут доступны при втором обращении к файлу. Клиент, по-
лучив хэш-функцию, проверяет наличие файла в филиале (широковещательным
1
запросом — в случае распределенного кэша и уникастовым — при хранении кэша
на сервере). Если файл в кэше имеется, он передается с компьютеров филиала, если
нет (или, например, обновлен на сервере, и хэш-функции не совпадают), то копиру-
ется по каналу связи центральный офис — филиал. Естественно, что на каждом
этапе проверяются права доступа к файлу.
В результате того, что хэш-функция примерно в две тысячи раз меньше размера
файла, операции с ней по каналу связи между офисами выполняются существенно
быстрее, чем копирование собственно данных. Но эффект от включения функции
BranchCache будет лишь в том случае, если сами данные меняются редко, а обра-
щения к ним с компьютеров филиала достаточно часты.
1
Поэтому компьютеры должны находиться в пределах локального сегмента сети.
Работа в глобальной сети
243
Для того чтобы включить BranchCache, следует добавить компонент
BranchCache
(
BranchCache для удаленных файлов
в случае файлового сервера) в настройках
сервера и настроить групповую политику как для сервера, так и для клиентов.
Дополнительно желательно — для повышения уровня защищенности данных —
настроить для серверов использование сертификатов (описание доступно в доку-
ментации по технологии).
Доступ из-за межсетевого экрана
Заблуждением является мнение, что межсетевой экран препятствует любой попыт-
ке подключения к персональному компьютеру извне. Если компьютеру разрешен
доступ в глобальную сеть, то нельзя исключить и обратную возможность — под-
ключение к нему из внешнего мира.
Мы не станем рассматривать возможности, использующие уязвимости межсетевых
экранов. Они есть и будут. Но чтобы воспользоваться ими, нужно иметь серьезный
опыт. Однако есть способы, доступные любому пользователю. На рис. 5.13 (из ру-
ководства LogMeIn) обычному пользователю доходчиво объясняются возможности
его подключения к данным локальной системы из любой точки Сети.
Рис. 5.13.
Подключение к данным компьютера возможно из любой точки Интернета
Идея доступа к локальному компьютеру извне заключается в следующем. На этот
локальный компьютер устанавливается программа, которая инициирует подключе-
ние к заданному серверу в глобальной сети. Поскольку такое подключение осу-
ществляется
изнутри
сети по разрешенным протоколам, то оно пропускается меж-
сетевым экраном. Компьютер, с которого требуется подключиться к системе,
защищенной межсетевым экраном, получает доступ к ней через сервер соответст-
вующей программы. Обычно в этих целях применяется обозреватель Интернета
(поскольку эта программа доступна в любых интернет-кафе и других публичных
точках).
244
Глава 5
Подобных решений существует много. Можно упомянуть бесплатное решение
LogMeIn (
https://secure.logmein.com/solutions/personal/
), Anyplace Control (
http://
www.anyplace-control.com/solutions.shtml
) и др. Поэтому блокирование на меж-
сетевом экране списка таких серверов не решает кардинально проблему безопасно-
сти — не исключена возможность появления нового сервера или перехода на иное
программное решение.
Предотвратить описанный способ нарушения безопасности информационной сис-
темы можно, если полностью исключить возможность установки пользователем
приложений (тотальным контролем запускаемого программного обеспечения).
ГЛ А В А
6
Управление
информационной системой
Управление компьютерной информационной системой невозможно без инструмен-
тов, помогающих администратору выполнять различные рутинные операции.
Обычно администратору нужно знать состав информационной системы, контроли-
ровать функционирование ее компонентов, а также централизованно управлять ими.
Состав информационной системы
К сожалению, документированию информационной системы редко уделяется
должное внимание. Многие думают: мол, мне это не нужно, а те, кто будет после
меня, — пусть разбираются сами. Поэтому новому администратору приходится
тратить много усилий на инвентаризацию. Это в корне неправильно, поскольку,
когда вы сами придете на новое место работы, то вам тоже придется разбираться
самостоятельно.
Что такое инвентаризация информационной системы? Это построение схемы сети,
составление списка компьютеров, списка используемого программного обеспече-
ния и прочего оборудования (принтеры, маршрутизаторы, коммутаторы и т. д.).
Построение топологии существующей СКС
Чтобы эффективно устранять неисправности, администратору нужно знать, к како-
му порту подключен тот или иной компьютер, как соединено между собой актив-
ное оборудование и т. п. Соответственно, администратор должен иметь документа-
цию, содержащую описание линий связи, а также журналы кроссировок, журналы
со сведениями о ремонтных работах и пр.
Если ваша структурированная кабельная сеть (СКС) построена на
управляемых
коммутаторах, то сведения о реальной топологии можно получить автоматически
(вместе с информацией о портах и подключенном к ним оборудовании). Программ
для построения топологии сети предостаточно. Вот одна из них — «10-Страйк:
Схема Сети» (рис. 6.1). Программа не только позволяет создать схему сети по про-
токолу SNMP, но и экспортировать ее в MS Visio, что очень удобно.
246
Достарыңызбен бөлісу: |