BranchCacheBranchCache

S’applique à : Windows Server (canal semi-annuel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Cette rubrique, qui s'adresse aux professionnels de l'informatique, présente des informations générales sur BranchCache, notamment les modes BranchCache, les caractéristiques et les capacités, ainsi que les fonctionnalités BranchCache disponibles dans différents systèmes d'exploitation.This topic, which is intended for Information Technology (IT) professionals, provides overview information about BranchCache, including BranchCache modes, features, capabilities, and the BranchCache functionality that is available in different operating systems.

Notes

Outre cette rubrique, la documentation BranchCache suivante est disponible.In addition to this topic, the following BranchCache documentation is available.

À qui s’adresse BranchCache ?Who will be interested in BranchCache?

Si vous êtes administrateur système, architecte de solutions réseau ou de stockage, ou tout autre professionnel de l’informatique, BranchCache peut vous intéresser dans les cas suivants :If you are a system administrator, network or storage solution architect, or other IT professional, BranchCache might interest you under the following circumstances:

  • Vous assurez la conception ou la maintenance de l’infrastructure informatique d’une organisation disposant de deux emplacements physiques, ou plus, et d’une connexion de réseau étendu (WAN, Wide Area Network) des filiales vers le siège social.You design or support IT infrastructure for an organization that has two or more physical locations and a wide area network (WAN) connection from the branch offices to the main office.

  • Vous assurez la conception ou la maintenance de l’infrastructure informatique d’une organisation qui a déployé des technologies de nuage, et une connexion WAN est utilisée par les travailleurs pour accéder aux données et aux applications se trouvant dans des emplacements distants.You design or support IT infrastructure for an organization that has deployed cloud technologies, and a WAN connection is used by workers to access data and applications at remote locations.

  • Vous voulez optimiser l’utilisation de la bande passante du réseau étendu (WAN) en réduisant la quantité de trafic réseau entre les filiales et le siège social.You want to optimize WAN bandwidth usage by reducing the amount of network traffic between branch offices and the main office.

  • Vous avez déployé ou prévoyez de déployer, à votre siège social, des serveurs de contenu qui correspondent aux configurations décrites dans cette rubrique.You have deployed or are planning on deploying content servers at your main office that match the configurations that are described in this topic.

  • Les ordinateurs clients dans vos filiales exécutent Windows 10, Windows 8.1, Windows 8 ou Windows 7.The client computers in your branch offices are running Windows 10, Windows 8.1, Windows 8, or Windows 7 .

Cette rubrique contient les sections suivantes :This topic includes the following sections:

Qu’est-ce que BranchCache ?What is BranchCache?

BranchCache est une technologie d’optimisation de la bande passante du réseau étendu (WAN), incluse dans certaines éditions des systèmes d’exploitation Windows Server 2016 et Windows 10, ainsi que dans certaines éditions de Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8 , Windows Server 2008 R2 et Windows 7.BranchCache is a wide area network (WAN) bandwidth optimization technology that is included in some editions of the Windows Server 2016 and Windows 10 operating systems, as well as in some editions of Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 and Windows 7. Pour optimiser la bande passante d’un réseau étendu lorsque des utilisateurs accèdent à du contenu sur des serveurs distants, BranchCache extrait le contenu des serveurs de contenu de votre siège social ou du cloud hébergé et le met en cache sur les systèmes des filiales, permettant ainsi aux ordinateurs clients des filiales d’accéder localement au contenu au lieu de passer par le réseau étendu.To optimize WAN bandwidth when users access content on remote servers, BranchCache fetches content from your main office or hosted cloud content servers and caches the content at branch office locations, allowing client computers at branch offices to access the content locally rather than over the WAN.

Dans les filiales, le contenu est stocké sur des serveurs configurés pour héberger le cache ou, si aucun serveur n’est disponible dans la filiale, sur les ordinateurs clients qui exécutent Windows 10, Windows 8.1, Windows 8 ou Windows 7.At branch offices, content is stored either on servers that are configured to host the cache or, when no server is available in the branch office, on client computers that are running Windows 10, Windows 8.1, Windows 8 or Windows 7. Lorsqu’un ordinateur client demande et reçoit du contenu à partir du siège social et que le contenu est mis en cache dans la filiale, les autres ordinateurs de la même filiale peuvent obtenir le contenu localement au lieu de télécharger le contenu à partir du serveur de contenu via une liaison de réseau étendu (WAN).After a client computer requests and receives content from the main office and the content is cached at the branch office, other computers at the same branch office can obtain the content locally rather than downloading the content from the content server over the WAN link.

Lorsque des demandes ultérieures pour le même contenu sont effectuées par des ordinateurs clients, ceux-ci téléchargent les informations de contenu à partir du serveur au lieu du contenu proprement dit.When subsequent requests for the same content are made by client computers, the clients download content information from the server instead of the actual content. Les informations de contenu se composent de hachages qui sont calculés à l’aide de segments du contenu d’origine et qui sont extrêmement petits par rapport au contenu des données d’origine.Content information consists of hashes that are calculated using chunks of the original content, and are extremely small compared to the content in the original data. Les ordinateurs clients utilisent alors les informations de contenu pour localiser le contenu dans un cache de la filiale, que le cache se trouve sur un ordinateur client ou sur un serveur.Client computers then use the content information to locate the content from a cache in the branch office, whether the cache is located on a client computer or on a server. Les ordinateurs clients et les serveurs utilisent également les informations de contenu pour sécuriser le contenu mis en cache afin qu’il ne soit pas accessible par des utilisateurs non autorisés.Client computers and servers also use content information to secure cached content so that it cannot be accessed by unauthorized users.

BranchCache augmente la productivité de l’utilisateur final en améliorant les délais de réponse aux requêtes des clients et serveurs des filiales ; il peut également participer à l’amélioration des performances du réseau en réduisant le trafic sur les liaisons de réseau étendu (WAN).BranchCache increases end user productivity by improving content query response times for clients and servers in branch offices, and can also help improve network performance by reducing traffic over WAN links.

Modes BranchCacheBranchCache modes

BranchCache a deux modes de fonctionnement : le mode de cache distribué et le mode de cache hébergé.BranchCache has two modes of operation: distributed cache mode and hosted cache mode.

Lorsque vous déployez BranchCache en mode de cache distribué, le cache de contenu dans la filiale est distribué entre les ordinateurs clients.When you deploy BranchCache in distributed cache mode, the content cache at a branch office is distributed among client computers.

Lorsque vous déployez BranchCache en mode de cache hébergé, le cache de contenu dans la filiale est hébergé sur un ou plusieurs ordinateurs serveurs, lesquels sont appelés « serveurs de cache hébergé ».When you deploy BranchCache in hosted cache mode, the content cache at a branch office is hosted on one or more server computers, which are called hosted cache servers.

Notes

Vous pouvez déployer BranchCache à l’aide des deux modes. Cependant, un seul mode peut être utilisé par filiale.You can deploy BranchCache using both modes, however only one mode can be used per branch office. Par exemple, si vous avez deux filiales, une disposant d’un serveur et l’autre pas, vous pouvez déployer BranchCache en mode de cache hébergé dans le bureau ayant le serveur, tout en déployant BranchCache en mode de cache distribué dans le bureau disposant uniquement d’ordinateurs clients.For example, if you have two branch offices, one which has a server and one which does not, you can deploy BranchCache in hosted cache mode in the office that contains a server, while deploying BranchCache in distributed cache mode in the office that contains only client computers.

Dans l’illustration suivante, BranchCache est déployé dans les deux modes.In the following illustration, BranchCache is deployed in both modes.

Modes BranchCache

Le mode de cache distribué convient mieux aux petites filiales ne disposant pas d’un serveur local à utiliser en tant que serveur de cache hébergé.Distributed cache mode is best suited for small branch offices that do not contain a local server for use as a hosted cache server. Le mode de cache distribué vous permet de déployer BranchCache sans matériel supplémentaire dans les filiales.Distributed cache mode allows you to deploy BranchCache with no additional hardware in branch offices.

Si la filiale où vous voulez déployer BranchCache comprend une infrastructure supplémentaire, telle qu’un ou plusieurs serveurs exécutant d’autres charges de travail, le déploiement de BranchCache en mode de cache hébergé est avantageux pour les raisons suivantes :If the branch office where you want to deploy BranchCache contains additional infrastructure, such as one or more servers that are running other workloads, deploying BranchCache in hosted cache mode is beneficial for the following reasons:

Disponibilité améliorée du cacheIncreased cache availability

Le mode de cache hébergé augmente l’efficacité du cache, car le contenu est disponible même si le client qui avait demandé et mis en cache les données à l’origine n’est pas connecté.Hosted cache mode increases the cache efficiency because content is available even if the client that originally requested and cached the data is offline. Étant donné que le serveur de cache hébergé est toujours disponible, davantage de contenu est mis en cache, ce qui économise davantage la bande passante du réseau étendu et améliore l’efficacité de BranchCache.Because the hosted cache server is always available, more content is cached, providing greater WAN bandwidth savings, and BranchCache efficiency is improved.

Mise en cache centralisée pour les filiales à plusieurs sous-réseauxCentralized caching for multiple-subnet branch offices

Le mode de cache distribué ne fonctionne que sur un seul sous-réseau.Distributed cache mode operates on a single subnet. Dans une filiale comportant plusieurs sous-réseaux et qui est configurée pour le mode de cache distribué, un fichier téléchargé sur un sous-réseau ne peut pas être partagé avec des ordinateurs clients se trouvant sur d’autres sous-réseaux.At a multiple-subnet branch office that is configured for distributed cache mode, a file downloaded to one subnet cannot be shared with client computers on other subnets.

Par conséquent, les clients sur d’autres sous-réseaux, qui sont dans l’impossibilité de détecter que le fichier a déjà été téléchargé, obtiennent le fichier auprès du serveur de contenu du siège social, en utilisant la bande passante du réseau étendu dans le processus.Because of this, clients on other subnets, unable to discover that the file has already been downloaded, get the file from the main office content server, using WAN bandwidth in the process.

Ce n’est cependant pas le cas lorsque vous effectuez le déploiement en mode de cache hébergé : tous les clients d’une filiale comportant plusieurs sous-réseaux peuvent accéder à un seul et même cache, qui est stocké sur le serveur de cache hébergé, même si les clients se trouvent sur des sous-réseaux différents.When you deploy hosted cache mode, however, this is not the case - all clients in a multiple-subnet branch office can access a single cache, which is stored on the hosted cache server, even if the clients are on different subnets. De plus, BranchCache dans Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012 offre la possibilité de déployer plusieurs serveurs de cache hébergé par filiale.In addition, BranchCache in Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 provides the ability to deploy more than one hosted cache server per branch office.

Attention

Si vous utilisez BranchCache pour la mise en cache SMB des fichiers et dossiers, ne désactivez pas la fonctionnalité Fichiers hors connexion.If you use BranchCache for SMB caching of files and folders, do not disable Offline Files. Si vous la désactivez, la mise en cache SMB de BranchCache ne fonctionne pas correctement.If you disable Offline Files, BranchCache SMB caching does not function correctly.

Serveurs de contenu prenant en charge BranchCacheBranchCache-enabled content servers

Lorsque vous déployez BranchCache, le contenu source est stocké sur des serveurs de contenu prenant en charge BranchCache dans votre siège social ou dans un centre de données Cloud.When you deploy BranchCache, the source content is stored on BranchCache-enabled content servers in your main office or in a cloud data center. Les types de serveurs de contenu suivants sont pris en charge par BranchCache :The following types of content servers are supported by BranchCache:

Notes

Seul le contenu source, c’est-à-dire le contenu que les ordinateurs clients obtiennent initialement d’un serveur de contenu prenant en charge BranchCache, est accéléré par BranchCache.Only source content - that is, content that client computers initially obtain from a BranchCache-enabled content server - is accelerated by BranchCache. Le contenu que les ordinateurs clients obtiennent directement auprès d’autres sources, telles que des serveurs Web sur Internet ou Windows Update, n’est pas mis en cache par les ordinateurs clients ou les serveurs de cache hébergé puis partagé avec d’autres ordinateurs de la filiale.Content that client computers obtain directly from other sources, such as Web servers on the Internet or Windows Update, is not cached by client computers or hosted cache servers and then shared with other computers in the branch office. Toutefois, si vous souhaitez accélérer Windows Update contenu, vous pouvez installer un serveur d’applications Windows Server Update Services (WSUS) sur votre siège social ou centre de données Cloud et le configurer en tant que serveur de contenu BranchCache.If you want to accelerate Windows Update content, however, you can install a Windows Server Update Services (WSUS) application server at your main office or cloud data center and configure it as a BranchCache content server.

Serveurs WebWeb servers

Les serveurs Web pris en charge incluent les ordinateurs qui exécutent Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 sur lesquels le rôle serveur Web (IIS) est installé et qui utilisent le protocole HTTP (Hypertext Transfer Protocol) ou HTTP Secure ( HTTPS).Supported Web servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the Web Server (IIS) server role installed and that use Hypertext Transfer Protocol (HTTP) or HTTP Secure (HTTPS).

De plus, la fonctionnalité BranchCache doit être installée sur le serveur Web.In addition, the Web server must have the BranchCache feature installed.

Serveurs de fichiersFile servers

Les serveurs de fichiers pris en charge incluent les ordinateurs qui exécutent Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 sur lesquels le rôle serveur services de fichiers et le service de rôle BranchCache pour fichiers réseau sont installés.Supported file servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the File Services server role and the BranchCache for Network Files role service installed.

Ces serveurs de fichiers utilisent le protocole SMB (Server Message Block) pour échanger des informations entre les ordinateurs.These file servers use Server Message Block (SMB) to exchange information between computers. Une fois l’installation de votre serveur de fichiers terminée, vous devez également partager des dossiers et permettre la génération de hachage pour les dossiers partagés en utilisant une stratégie de groupe ou une stratégie de l’ordinateur local pour activer BranchCache.After you complete installation of your file server, you must also share folders and enable hash generation for shared folders by using Group Policy or Local Computer Policy to enable BranchCache.

Serveurs d’applicationsApplication servers

Les serveurs d’applications pris en charge incluent les ordinateurs qui exécutent Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 avec Service de transfert intelligent en arrière-plan (BITS) installé et activé.Supported application servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 with Background Intelligent Transfer Service (BITS) installed and enabled.

De plus, la fonctionnalité BranchCache doit être installée sur le serveur d’applications.In addition, the application server must have the BranchCache feature installed. Comme des exemples de serveurs d’applications, vous pouvez déployer des serveurs de points de distribution de branche Microsoft Windows Server Update Services (WSUS) et Microsoft System Center Configuration Manager en tant que serveurs de contenu BranchCache.As examples of application servers, you can deploy Microsoft Windows Server Update Services (WSUS) and Microsoft System Center Configuration Manager Branch Distribution Point servers as BranchCache content servers.

BranchCache et le CloudBranchCache and the cloud

Avec le nuage, le potentiel de réduire les frais de fonctionnement et de prendre une nouvelle ampleur est énorme. Toutefois, séparer les charges de travail des personnes qui en dépendent peut augmenter les coûts de mise en réseau et affecter la productivité.The cloud has enormous potential to reduce operational expenses and achieve new levels of scale, but moving workloads away from the people who depend on them can increase networking costs and hurt productivity. Les utilisateurs attendent des performances élevées et ne se soucient pas de l’endroit où leurs applications et leurs données sont hébergées.Users expect high performance and don't care where their applications and data are hosted.

BranchCache peut améliorer les performances d’applications en réseau et réduire la consommation de bande passante à l’aide d’un cache de données partagé.BranchCache can improve the performance of networked applications and reduce bandwidth consumption with a shared cache of data. Cette fonctionnalité améliore la productivité dans les filiales et dans les sièges sociaux, où les travailleurs utilisent des serveurs qui sont déployés dans le nuage.It improves productivity in branch offices and in headquarters, where workers are using servers that are deployed in the cloud.

Étant donné que BranchCache ne requiert pas de nouveau matériel ou de modifications de topologie de réseau, c’est une excellente solution pour améliorer la communication entre des bureaux et des nuages aussi bien publics que privés.Because BranchCache does not require new hardware or network topology changes, it is an excellent solution for improving communication between office locations and both public and private clouds.

Notes

Étant donné que certains proxys Web ne peuvent pas traiter les en-têtes de codage de contenu non standard, il est recommandé d’utiliser BranchCache avec le protocole HTTPs (Hyper Text Transfer Protocol Secure) et non HTTP.Because some Web proxies cannot process non-standard Content-Encoding headers, it is recommended that you use BranchCache with Hyper Text Transfer Protocol Secure (HTTPS) and not HTTP.

= = = = = = = Pour plus d’informations sur les technologies de Cloud dans Windows Server 2016, voir Software Defined Networking (SDN).======= For more information about cloud technologies in Windows Server 2016, see Software Defined Networking (SDN).

Versions des informations de contenuContent information versions

Il existe deux versions des informations de contenu :There are two versions of content information:

  • Les informations de contenu qui sont compatibles avec les ordinateurs exécutant Windows Server 2008 R2 et Windows 7 sont appelées version 1 ou v1.Content information that is compatible with computers running Windows Server 2008 R2 and Windows 7 is called version 1, or V1. Avec la segmentation de fichiers BranchCache V1, les segments de fichiers sont plus grands que dans V2 et ont une taille fixe.With V1 BranchCache file segmentation, file segments are larger than in V2 and are of fixed size. En raison des importantes tailles de segments fixes, lorsqu’un utilisateur apporte une modification qui change la longueur du fichier, non seulement le segment avec la modification est invalidé, mais tous les segments jusqu’à la fin du fichier le sont aussi.Because of large fixed segment sizes, when a user makes a change that modifies the file length, not only is the segment with the change invalidated, but all of the segments to the end of the file are invalidated. L’appel suivant pour le fichier modifié par un autre utilisateur de la filiale aboutit donc à des économies de bande passante du réseau étendu réduites, car le contenu modifié et l’intégralité du contenu après la modification sont envoyés par la liaison de réseau étendu.The next call for the changed file by another user in the branch office therefore results in reduced WAN bandwidth savings because the changed content and all content after the change are sent over the WAN link.

  • Les informations de contenu qui sont compatibles avec les ordinateurs exécutant Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012 et Windows 8 sont appelées version 2, ou v2.Content information that is compatible with computers running Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, and Windows 8 is called version 2, or V2. Les informations de contenu V2 utilisent des segments plus petits de taille variable qui sont plus tolérants aux modifications dans un fichier.V2 content information uses smaller, variable-sized segments that are more tolerant to changes within a file. Cela augmente la probabilité que des segments d’une version plus ancienne du fichier puissent être réutilisés lorsque les utilisateurs accèdent à une version mise à jour ; ils récupèrent ainsi uniquement la partie modifiée du fichier à partir du serveur de contenu et utilisent moins de bande passante du réseau étendu.This increases the probability that segments from an older version of the file can be reused when users access an updated version, causing them to retrieve only the changed portion of the file from the content server, and using less WAN bandwidth.

Le tableau suivant fournit des informations sur la version des informations de contenu qui est utilisée selon les systèmes d’exploitation du client, du serveur de contenu et du serveur de cache hébergé que vous utilisez dans votre déploiement BranchCache.The following table provides information on the content information version that is used depending upon which client, content server, and hosted cache server operating systems you are using in your BranchCache deployment.

Notes

Dans le tableau ci-dessous, l’acronyme « OS » désigne le système d’exploitation.In the table below, the acronym "OS" means operating system.

SE du clientClient OS SE du serveur de contenuContent Server OS SE du serveur de cache hébergéHosted Cache Server OS Version des informations de contenuContent Information Version
Windows Server 2008 R2 et Windows 7Windows Server 2008 R2 and Windows 7 Windows Server 2012 ou version ultérieureWindows Server 2012 or later Windows Server 2012 ou version ultérieure ; aucun pour le mode de cache distribuéWindows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 ou version ultérieure ; Windows 8 ou version ultérieureWindows Server 2012 or later; Windows 8 or later Windows Server 2008 R2Windows Server 2008 R2 Windows Server 2012 ou version ultérieure ; aucun pour le mode de cache distribuéWindows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 ou version ultérieure ; Windows 8 ou version ultérieureWindows Server 2012 or later; Windows 8 or later Windows Server 2012 ou version ultérieureWindows Server 2012 or later Windows Server 2008 R2Windows Server 2008 R2 V1V1
Windows Server 2012 ou version ultérieure ; Windows 8 ou version ultérieureWindows Server 2012 or later; Windows 8 or later Windows Server 2012 ou version ultérieureWindows Server 2012 or later Windows Server 2012 ou version ultérieure ; aucun pour le mode de cache distribuéWindows Server 2012 or later; none for distributed cache mode V2V2

Lorsque vous avez des serveurs de contenu et des serveurs de cache hébergé qui exécutent Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012, ils utilisent la version des informations de contenu qui est appropriée selon le système d’exploitation du client BranchCache qui demande des informations.When you have content servers and hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, they use the content information version that is appropriate based on the operating system of the BranchCache client that requests information.

Lorsque des ordinateurs exécutant Windows Server 2012 et Windows 8 ou des systèmes d’exploitation ultérieurs demandent du contenu, les serveurs de contenu et de cache hébergé utilisent les informations de contenu v2. Lorsque des ordinateurs exécutant Windows Server 2008 R2 et Windows 7 demandent du contenu, les serveurs de contenu et de cache hébergé utilisent les informations de contenu v1.When computers running Windows Server 2012 and Windows 8 or later operating systems request content, the content and hosted cache servers use V2 content information; when computers running Windows Server 2008 R2 and Windows 7 request content, the content and hosted cache servers use V1 content information.

Important

Lorsque vous déployez BranchCache en mode de cache distribué, les clients qui utilisent différentes versions des informations de contenu ne partagent pas le contenu entre eux.When you deploy BranchCache in distributed cache mode, clients that use different content information versions do not share content with each other. Par exemple, un ordinateur client exécutant Windows 7 et un ordinateur client exécutant Windows 10 qui sont installés dans la même filiale ne partagent pas de contenu entre eux.For example, a client computer running Windows 7 and a client computer running Windows 10 that are installed in the same branch office do not share content with each other.

Comment BranchCache gère les mises à jour de contenu dans les fichiersHow BranchCache handles content updates in files

Lorsque les utilisateurs des filiales modifient ou mettent à jour le contenu des documents, leurs modifications sont écrites directement sur le serveur de contenu dans le siège social sans implication de BranchCache.When branch office users modify or update the contents of documents, their changes are written directly to the content server in the main office without BranchCache's involvement. Cela est vrai que l'utilisateur ait téléchargé le document à partir du serveur de contenu ou qu'il l'ait obtenu à partir d'un cache hébergé ou distribué dans la filiale.This is true whether the user downloaded the document from the content server or obtained it from either a hosted or distributed cache in the branch office.

Quand le fichier modifié est demandé par un autre client dans une filiale, les nouveaux segments du fichier sont téléchargés depuis le serveur du siège social et ajoutés au cache distribué ou hébergé dans cette filiale.When the modified file is requested by a different client in a branch office, the new segments of the file are downloaded from the main office server and added to the distributed or hosted cache in that branch. Pour cette raison, les utilisateurs des filiales reçoivent toujours les dernières versions du contenu mis en cache.Because of this, branch office users always receive the most recent versions of cached content.

Guide d’installation de BranchCacheBranchCache installation guide

Vous pouvez utiliser Gestionnaire de serveur dans Windows Server 2016 pour installer la fonctionnalité BranchCache ou le service de rôle BranchCache pour fichiers réseau du rôle serveur services de fichiers.You can use Server Manager in Windows Server 2016 to install either the BranchCache feature or the BranchCache for Network Files role service of the File Services server role. Le tableau suivant vous permet de déterminer si vous devez installer le service de rôle ou la fonctionnalité.You can use the following table to determine whether to install the role service or the feature.

FonctionnalitésFunctionality Emplacement de l’ordinateurComputer location Installer cet élément BranchCacheInstall this BranchCache element
Serveur de contenu (serveur d’applications BITS)Content server (BITS-based application server) Siège social ou centre de données en nuageMain office or cloud data center Fonctionnalité BranchCacheBranchCache feature
Serveur de contenu () serveur WebContent server (Web server) Siège social ou centre de données en nuageMain office or cloud data center Fonctionnalité BranchCacheBranchCache feature
Serveur de contenu (serveur de fichiers à l’aide du protocole SMB)Content server (file server using the SMB protocol) Siège social ou centre de données en nuageMain office or cloud data center Service de rôle BranchCache pour fichiers réseau du rôle serveur Services de fichiersBranchCache for Network Files role service of the File Services server role
Serveur de cache hébergéHosted cache server FilialeBranch office Fonctionnalité BranchCache avec le mode de serveur de cache hébergé activéBranchCache feature with hosted cache server mode enabled
Ordinateur client prenant en charge BranchCacheBranchCache-enabled client computer FilialeBranch office Aucune installation nécessaire ; activez simplement BranchCache et un mode BranchCache () distribué ou hébergé sur le clientNo installation needed; just enable BranchCache and a BranchCache mode (distributed or hosted) on the client

Pour installer le service de rôle ou la fonctionnalité, ouvrez le Gestionnaire de serveur et sélectionnez les ordinateurs sur lesquels vous voulez activer la fonctionnalité BranchCache.To install either the role service or the feature, open Server Manager and select the computers where you want to enable BranchCache functionality. Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des fonctionnalités.In Server Manager, click Manage, and then click Add Roles and Features. L’Assistant Ajout de rôles et de fonctionnalités s’ouvre.The Add Roles and Features wizard opens. Lorsque vous exécutez l’Assistant, effectuez les sélections suivantes :As you run the wizard, make the following selections:

  • Dans la page Sélectionner le type d’installation de l’Assistant, sélectionnez Installation basée sur un rôle ou une fonctionnalité.On the wizard page Select Installation Type, select Role-based or Feature-based Installation.

  • Dans la page Sélectionner des rôles de serveursde l’Assistant, si vous installez un serveur de fichiers prenant en charge BranchCache, développez Services de fichiers et de stockage et services de fichiers et iSCSI, puis sélectionnez BranchCache pour fichiers réseau.On the wizard page Select Server Roles, if you are installing a BranchCache-enabled file server, expand File and Storage Services and File and iSCSI Services, and then select BranchCache for Network Files. Pour économiser de l’espace disque, vous pouvez également sélectionner le service de rôle déduplication des données , puis poursuivre l’installation et l’exécution de l’Assistant.To save disk space, you can also select the Data Deduplication role service, and then continue through the wizard to installation and completion. Si vous ne souhaitez pas installer un serveur de fichiers prenant en charge BranchCache, n’installez pas le rôle Services de fichiers et de stockage avec le service de rôle BranchCache pour fichiers réseau.If you do not want to install a BranchCache-enabled file server, do not install the File and Storage Services role with the BranchCache for Network Files role service.

  • Dans la page Sélectionner des fonctionnalitésde l’Assistant, si vous installez un serveur de contenu qui n’est pas un serveur de fichiers ou si vous installez un serveur de cache hébergé, sélectionnez BranchCache, puis poursuivez l’installation et l’exécution de l’Assistant.On the wizard page Select features, if you are installing a content server that is not a file server or you are installing a hosted cache server, select BranchCache, and then continue through the wizard to installation and completion. Si vous ne voulez pas installer un serveur de contenu autre qu’un serveur de fichiers ou un serveur de cache hébergé, n’installez pas la fonctionnalité BranchCache.If you do not want to install a content server other than a file server or a hosted cache server, do not install the BranchCache feature.

Versions de système d’exploitation pour BranchCacheOperating system versions for BranchCache

Voici la liste des systèmes d’exploitation qui prennent en charge les différents types de fonctionnalités BranchCache.Following is a list of operating systems that support different types of BranchCache functionality.

Systèmes d’exploitation pour les fonctionnalités des ordinateurs clients BranchCacheOperating systems for BranchCache client computer functionality

Les systèmes d’exploitation suivants fournissent à BranchCache la prise en charge de Service de transfert intelligent en arrière-plan (BITS), du protocole HTTP (Hyper Text Transfer Protocol) et du protocole SMB (Server Message Block).The following operating systems provide BranchCache with support for Background Intelligent Transfer Service (BITS), Hyper Text Transfer Protocol (HTTP), and Server Message Block (SMB).

  • Windows 10 EntrepriseWindows 10 Enterprise

  • Windows 10 ÉducationWindows 10 Education

  • Windows 8.1 EntrepriseWindows 8.1 Enterprise

  • Windows 8 EntrepriseWindows 8 Enterprise

  • Windows 7 EntrepriseWindows 7 Enterprise

  • Windows 7 Édition IntégraleWindows 7 Ultimate

Dans les systèmes d’exploitation suivants, BranchCache ne prend pas en charge les fonctionnalités HTTP et SMB, mais prend en charge la fonctionnalité des BITS BranchCache.In the following operating systems, BranchCache does not support HTTP and SMB functionality, but does support BranchCache BITS functionality.

  • Windows 10 professionnel, prise en charge de BITS uniquementWindows 10 Pro, BITS support only

  • Windows 8.1 Pro, prise en charge de BITS uniquementWindows 8.1 Pro, BITS support only

  • Windows 8 professionnel, prise en charge de BITS uniquementWindows 8 Pro, BITS support only

  • Windows 7 professionnel, prise en charge de BITS uniquementWindows 7 Pro, BITS support only

Notes

BranchCache n’est pas disponible par défaut dans les systèmes d’exploitation Windows Server 2008 ou Windows Vista.BranchCache is not available by default in the Windows Server 2008 or Windows Vista operating systems. Sur ces systèmes d’exploitation, toutefois, si vous téléchargez et installez la mise à jour de Windows Management Framework, la fonctionnalité BranchCache est disponible uniquement pour le protocole Service de transfert intelligent en arrière-plan (BITS).On these operating systems, however, if you download and install the Windows Management Framework update, BranchCache functionality is available for the Background Intelligent Transfer Service (BITS) protocol only. Pour plus d’informations et pour télécharger Windows Management Framework, consultez Windows Management Framework (Windows PowerShell 2,0, WinRM 2,0 et BITS 4,0) sur https://go.microsoft.com/fwlink/?LinkId=188677.For more information, and to download Windows Management Framework, see Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0, and BITS 4.0) at https://go.microsoft.com/fwlink/?LinkId=188677.

Systèmes d’exploitation pour les fonctionnalités du serveur de contenu BranchCacheOperating systems for BranchCache content server functionality

Vous pouvez utiliser les familles de systèmes d’exploitation Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012 en tant que serveurs de contenu BranchCache.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache content servers.

En outre, la famille de systèmes d’exploitation Windows Server 2008 R2 peut être utilisée en tant que serveurs de contenu BranchCache, avec les exceptions suivantes :In addition, the Windows Server 2008 R2 family of operating systems can be used as BranchCache content servers, with the following exceptions:

  • BranchCache n’est pas pris en charge dans les installations Server Core de Windows Server 2008 R2 Entreprise avec Hyper-V.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Enterprise with Hyper-V.

  • BranchCache n’est pas pris en charge dans les installations Server Core de Windows Server 2008 R2 Datacenter avec Hyper-V.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Datacenter with Hyper-V.

Systèmes d’exploitation pour les fonctionnalités de serveur de cache hébergé de BranchCacheOperating systems for BranchCache hosted cache server functionality

Vous pouvez utiliser les familles de systèmes d’exploitation Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012 en tant que serveurs de cache hébergé BranchCache.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache hosted cache servers.

En outre, les systèmes d’exploitation Windows Server 2008 R2 suivants peuvent être utilisés comme serveurs de cache hébergé BranchCache :In addition, the following Windows Server 2008 R2 operating systems can be used as BranchCache hosted cache servers:

  • Windows Server 2008 R2 EntrepriseWindows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Entreprise avec Hyper-VWindows Server 2008 R2 Enterprise with Hyper-V

  • Installation minimale de Windows Server 2008 R2 Entreprise ServerWindows Server 2008 R2 Enterprise Server Core Installation

  • Installation de Windows Server 2008 R2 Entreprise Server Core avec Hyper-VWindows Server 2008 R2 Enterprise Server Core Installation with Hyper-V

  • Windows Server 2008 R2 pour les systèmes ItaniumWindows Server 2008 R2 for Itanium-Based Systems

  • Windows Server 2008 R2 DatacenterWindows Server 2008 R2 Datacenter

  • Windows Server 2008 R2 Datacenter avec Hyper-VWindows Server 2008 R2 Datacenter with Hyper-V

  • Installation de Windows Server 2008 R2 Datacenter Server Core avec Hyper-VWindows Server 2008 R2 Datacenter Server Core Installation with Hyper-V

Sécurité BranchCacheBranchCache Security

BranchCache implémente une approche de sécurisation de par sa conception, qui fonctionne de façon transparente avec vos architectures de sécurité réseau existantes, sans qu’un équipement supplémentaire ou une configuration supplémentaire complexe de la sécurité ne soit nécessaire.BranchCache implements a secure-by-design approach that works seamlessly alongside your existing network security architectures, without the requirement for additional equipment or complex additional security configuration.

BranchCache est non invasif et ne modifie aucun processus d’authentification ou d’autorisation Windows.BranchCache is non-invasive and does not alter any Windows authentication or authorization processes. Une fois que vous avez déployé BranchCache, l’authentification continue à être effectuée à l’aide d’informations d’identification de domaine, et le fonctionnement de l’autorisation avec des listes de contrôles d’accès reste inchangé.After you deploy BranchCache, authentication is still performed using domain credentials, and the way in which authorization with Access Control Lists (ACLs) functions is unchanged. De plus, les autres configurations continuent à fonctionner exactement de la même façon qu’avant le déploiement de BranchCache.In addition, other configurations continue to function just as they did before BranchCache deployment.

Le modèle de sécurité BranchCache est basé sur la création de métadonnées, qui prennent la forme d’une série de hachages.The BranchCache security model is based on the creation of metadata, which takes the form of a series of hashes. Ces hachages sont également appelés « informations de contenu ».These hashes are also called content information.

Une fois les informations de contenu créées, elles sont utilisées dans des échanges de messages BranchCache à la place des données réelles, et elles sont échangées à l’aide des protocoles pris en charge (HTTP, HTTPS et SMB).After content information is created, it is used in BranchCache message exchanges rather than the actual data, and it is exchanged using the supported protocols (HTTP, HTTPS, and SMB).

Les données mises en cache sont maintenues chiffrées et ne sont pas accessibles par des clients qui ne disposent pas d’une autorisation pour accéder au contenu de la source d’origine.Cached data is kept encrypted and cannot be accessed by clients that do not have permission to access content from the original source. Les clients doivent être authentifiés et autorisés par la source de contenu d’origine pour pouvoir récupérer les métadonnées du contenu. De plus, ils doivent posséder les métadonnées du contenu pour accéder au cache dans le bureau local.Clients must be authenticated and authorized by the original content source before they can retrieve content metadata, and must possess content metadata to access the cache in the local office.

Comment BranchCache génère-t-il les informations de contenu ?How BranchCache generates content information

Étant donné que les informations de contenu sont créées à partir de plusieurs éléments, la valeur des informations de contenu est toujours unique.Because content information is created from multiple elements, the value of the content information is always unique. Ces éléments sont les suivants :These elements are:

  • Le contenu réel (tel que des pages Web ou des fichiers partagés) duquel les hachages sont dérivés.The actual content (such as Web pages or shared files) from which the hashes are derived.

  • Des paramètres de configuration, tels que l’algorithme de hachage et la taille de bloc.Configuration parameters, such as the hashing algorithm and block size. Pour générer les informations de contenu, le serveur de contenu divise le contenu en segments, puis subdivise ces segments en blocs.To generate content information, the content server divides the content into segments and then subdivides those segments into blocks. BranchCache utilise des hachages de chiffrement sécurisés pour identifier et vérifier chaque bloc et chaque segment, en prenant en charge l’algorithme de hachage SHA256.BranchCache uses secure cryptographic hashes to identify and verify each block and segment, supporting the SHA256 hash algorithm.

  • Un secret de serveur.A server secret. Tous les serveurs de contenu doivent être configurés avec un secret de serveur, qui est une valeur binaire de longueur arbitraire.All content servers must be configured with a server secret, which is a binary value of arbitrary length.

Notes

L’utilisation d’un secret de serveur garantit que les ordinateurs clients ne peuvent pas générer eux-mêmes les informations de contenu.The use of a server secret ensures that client computers are not able to generate the content information themselves. Cela empêche les utilisateurs malveillants d’utiliser des attaques en force brute avec les ordinateurs clients prenant en charge BranchCache pour deviner des modifications mineures entre les versions dans les cas où le client avait accès à la version précédente mais n’a pas accès à la version actuelle.This prevents malicious users from using brute force attacks with BranchCache-enabled client computers to guess minor changes in content across versions in situations in which the client had access to a previous version but does not have access to the current version.

Détails sur les informations de contenuContent information details

BranchCache utilise le secret de serveur comme clé afin de dériver un hachage spécifique au contenu qui est envoyé aux clients autorisés.BranchCache uses the server secret as a key in order to derive a content-specific hash that is sent to authorized clients. L’application d’un algorithme de hachage au secret de serveur et au hachage de données combinés génère ce hachage.Applying a hashing algorithm to the combined server secret and the Hash of Data generates this hash.

Ce hachage est appelé « secret de segment ».This hash is called the segment secret. BranchCache utilise des secrets de segment pour sécuriser les communications.BranchCache uses segment secrets to secure communications. De plus, BranchCache crée une liste des hachages de blocs, qui est la liste des blocs de données hachés, et le hachage de données, qui est généré en hachant la liste des hachages de blocs.In addition, BranchCache creates a Block Hash List, which is list of hashed data blocks, and the Hash of Data, which is generated by hashing the Block Hash List.

Les informations de contenu incluent les éléments suivants :The content information includes the following:

  • La liste des hachages de blocs :The Block Hash List:

    BlockHashi = Hash(dataBlocki) 1<=i<=n

  • Le hachage de données (HoD) :The Hash of Data (HoD):

    HoD = Hash(BlockHashList)

  • Le secret de segment (Kp) :Segment Secret (Kp):

    Kp = HMAC(Ks, HoD)

BranchCache utilise le protocole de mise en cache de contenu des homologues (Peer Content Caching) et le protocole de récupération (Retrieval) Framework pour implémenter les processus requis pour garantir la mise en cache et la récupération sécurisées de données entre des caches de contenu.BranchCache uses the Peer Content Caching protocol and the Retrieval Framework protocol to implement the processes that are required to ensure the secure caching and retrieval of data between content caches.

De plus, BranchCache gère les informations de contenu avec le même niveau de sécurité que lors de la gestion et de la transmission du contenu réel lui-même.In addition, BranchCache handles content information with the same degree of security that it uses when handling and transmitting the actual content itself.

Workflow et processus de contenuContent flow and processes

Le flux d’informations de contenu et de contenu réel est divisé en quatre phases :The flow of content information and actual content is divided into four phases:

  1. Processus BranchCache : demander du contenuBranchCache processes: Request content

  2. Processus BranchCache : localiser le contenuBranchCache processes: Locate content

  3. Processus BranchCache : récupérer du contenuBranchCache processes: Retrieve content

  4. Processus BranchCache : contenu du cacheBranchCache processes: Cache content

Les sections suivantes décrivent ces différentes phases.The following sections describe these phases.

Processus BranchCache : demander du contenuBranchCache processes: Request content

Au cours de la première phase, l’ordinateur client de la filiale demande du contenu, tel qu’un fichier ou une page Web, d’un serveur de contenu situé dans un emplacement distant, tel qu’un siège social.In the first phase, the client computer in the branch office requests content, such as a file or a Web page, from a content server in a remote location, such as a main office. Le serveur de contenu vérifie que l’ordinateur client est autorisé à recevoir le contenu demandé.The content server verifies that the client computer is authorized to receive the requested content. Si l’ordinateur client est autorisé et que BranchCache-est activé pour le serveur de contenu et le client, le serveur de contenu génère des informations de contenu.If the client computer is authorized and both content server and client are BranchCache-enabled, the content server generates content information.

Le serveur de contenu envoie alors les informations de contenu à l’ordinateur client en utilisant le même protocole que celui qui aurait été utilisé pour le contenu réel.The content server then sends the content information to the client computer using the same protocol as would have been used for the actual content.

Par exemple, si l’ordinateur client a demandé une page Web via HTTP, le serveur de contenu envoie les informations de contenu en utilisant HTTP.For example, if the client computer requested a Web page over HTTP, the content server sends the content information using HTTP. C’est pourquoi les garanties de sécurité du contenu au niveau du réseau et les informations de contenu sont identiques.Because of this, the wire-level security guarantees of the content and the content information are identical.

Une fois la partie initiale des informations de contenu (hachage de données + secret de segment) reçue, l’ordinateur client effectue les actions suivantes :After the initial portion of content information (Hash of Data + Segment Secret) is received, the client computer performs the following actions:

  • Il utilise le secret de segment (Kp) comme clé de chiffrement (Ke).Uses the Segment Secret (Kp) as the encryption key (Ke).

  • Il génère l’ID de segment (HoHoDk) à partir des valeurs HoD et Kp :Generates the Segment ID (HoHoDk) from the HoD and Kp:

    HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string "MS_P2P_CACHING" with NUL terminator.

À ce stade, la principale menace est le risque encouru par le secret de serveur. Toutefois, BranchCache chiffre les blocs de données de contenu pour protéger le secret de segment.The primary threat at this layer is the risk to the Segment Secret, however BranchCache encrypts the content data blocks to protect the Segment Secret. Pour cela, cette fonctionnalité utilise la clé de chiffrement qui est dérivée du secret de segment du segment de contenu dans lequel se trouvent les blocs de contenu.BranchCache does this by using the encryption key that is derived from the Segment Secret of the content segment within which the content blocks are located.

Cette approche garantit qu’une entité qui n’est pas en possession du secret de serveur ne peut pas découvrir le contenu réel d’un bloc de données.This approach ensures that an entity that is not in possession of the server secret cannot discover the actual content in a data block. Le secret de segment est traité avec le même niveau de sécurité que le segment en texte brut lui-même, car le fait de connaître le secret de segment d’un segment donné permet à une entité d’obtenir le segment auprès d’homologues, puis de le déchiffrer.The Segment Secret is treated with the same degree of security as the plaintext segment itself, because knowledge of the Segment Secret for a given segment enables an entity to obtain the segment from peers and then decrypt it. La connaissance du secret de serveur ne produit pas immédiatement un texte brut particulier, mais permet de dériver certains types de données du texte chiffré, puis d’exposer éventuellement certaines données partiellement connues à une attaque de déchiffrement en force brute.Knowledge of the Server Secret does not immediately yield any particular plaintext but can be used to derive certain types of data from the cipher text and then to possibly expose some partially known data to a brute-force guessing attack. Par conséquent, le secret de serveur doit être maintenu confidentiel.The server secret, therefore, should be kept confidential.

Processus BranchCache : localiser le contenuBranchCache processes: Locate content

Une fois les informations de contenu reçues par l’ordinateur client, le client utilise l’ID de segment pour localiser le contenu demandé dans le cache de la filiale locale, que le cache soit distribué entre les ordinateurs clients ou situé sur un serveur de cache hébergé.After the content information is received by the client computer, the client uses the Segment ID to locate the requested content in the local branch office cache, whether that cache is distributed between client computers or is located on a hosted cache server.

Si l’ordinateur client est configuré pour le mode de cache hébergé, il est configuré avec le nom d’ordinateur du serveur de cache hébergé et contacte ce serveur pour récupérer le contenu.If the client computer is configured for hosted cache mode, it is configured with the computer name of the hosted cache server and contacts that server to retrieve the content.

Toutefois, si l’ordinateur client est configuré pour le mode de cache distribué, il est possible que le contenu soit stocké dans plusieurs caches de plusieurs ordinateurs de la filiale.If the client computer is configured for distributed cache mode, however, the content might be stored across multiple caches on multiple computers in the branch office. Avant que le contenu soit récupéré, l’ordinateur client doit découvrir où il se trouve.The client computer must discover where the content is located before the content is retrieved.

Lorsque les ordinateurs clients sont configurés pour le mode de cache distribué, ils localisent le contenu en utilisant un protocole de découverte basé sur le protocole WS-Discovery (Web Services Dynamic Discovery).When they are configured for distributed cache mode, client computers locate content by using a discovery protocol that is based on the Web Services Dynamic Discovery (WS-Discovery) protocol. Les clients envoient des messages d’exploration (Probe) de multidiffusion WS-Discovery pour découvrir le contenu mis en cache sur le réseau.Clients send WS-Discovery multicast Probe messages to discover cached content over the network. Les messages d’exploration incluent l’ID de segment, ce qui permet aux clients de vérifier si le contenu demandé correspond au contenu stocké dans leur cache.Probe messages include the Segment ID, which enables clients to check whether the requested content matches the content stored in their cache. Les clients qui reçoivent le message d’exploration initial répondent au client effectuant la demande avec des messages de type Probe-Match de monodiffusion si l’ID de segment correspond au contenu mis en cache localement.Clients that receive the initial Probe message reply to the querying client with unicast Probe-Match messages if the Segment ID matches content that is cached locally.

La réussite du processus WS-Discovery dépend du fait que le client qui effectue la découverte dispose des informations de contenu correctes, lesquelles ont été fournies par le serveur de contenu, pour le contenu qu’il demande.The success of the WS-Discovery process depends on the fact that the client that is performing the discovery has the correct content information, which was provided by the content server, for the content that it is requesting.

La principale menace pour les données pendant la phase de demande de contenu est la divulgation d’informations, car l’accès aux informations de contenu implique un accès autorisé au contenu.The main threat to data during the Request content phase is information disclosure, because access to the content information implies authorized access to content. Pour réduire ce risque, le processus de découverte ne divulgue pas les informations de contenu, hormis l’ID de segment, ce qui ne révèle rien sur le segment en texte brut dans lequel se trouve le contenuTo mitigate this risk, the discovery process does not reveal the content information, other than the Segment ID, which does not reveal anything about the plaintext segment that contains the content.

En outre, un autre ordinateur client exécuté par un utilisateur malveillant sur le même sous-réseau de réseau peut voir le trafic de découverte BranchCache vers la source de contenu d’origine passant par le routeur.In addition, another client computer run by a malicious user on the same network subnet can see the BranchCache discovery traffic to the original content source going through the router.

Si le contenu demandé est introuvable dans la filiale, le client demande le contenu directement à partir du serveur de contenu via la liaison de réseau étendu (WAN).If the requested content is not found in the branch office, the client requests the content directly from the content server across the WAN link.

Une fois le contenu reçu, il est ajouté au cache local, soit sur l’ordinateur client, soit sur un serveur de cache hébergé.After the content is received, it is added to the local cache, either on the client computer or on a hosted cache server. Dans ce cas, les informations de contenu empêchent un client ou un serveur de cache hébergé d’ajouter au cache local du contenu qui ne correspond pas aux hachages.In this case, the content information prevents a client or hosted cache server from adding to the local cache any content that does not match the hashes. Le processus de vérification du contenu en faisant correspondre les hachages garantit que seul le contenu valide est ajouté au cache, protégeant ainsi l’intégrité du cache local.The process of verifying content by matching hashes ensures that only valid content is added to the cache, and the integrity of the local cache is protected.

Processus BranchCache : récupérer du contenuBranchCache processes: Retrieve content

Une fois qu’un ordinateur client a localisé le contenu souhaité sur l’hôte de contenu, lequel est soit un serveur de cache hébergé soit un ordinateur client en mode de cache distribué, il commence le processus de récupération du contenu.After a client computer locates the desired content on the content host, which is either a hosted cache server or a distributed cache mode client computer, the client computer begins the process of retrieving the content.

L’ordinateur client commence par envoyer une demande à l’hôte de contenu pour le premier bloc dont il a besoin.First the client computer sends a request to the content host for the first block that it requires. La demande contient l’ID de segment et la plage de blocs qui identifient le contenu souhaité.The request contains the Segment ID and block range that identify the desired content. Étant donné qu’un seul bloc est retourné, la plage de blocs contient un seul bloc.Because only one block is returned, the block range contains only a single block. (Les demandes de plusieurs blocs ne sont actuellement pas prises en charge.) Le client stocke également la demande dans sa liste de demandes en suspens locale.(Requests for multiple blocks are currently not supported.) The client also stores the request in its local Outstanding Request List.

Lors de la réception d’un message de demande valide d’un client, l’hôte de contenu vérifie si le bloc spécifié dans la demande existe dans le cache de contenu de l’hôte de contenu.Upon receiving a valid request message from a client, the content host checks whether the block specified in the request exists in the content host's content cache.

Si l’hôte de contenu est en possession du bloc de contenu, il envoie une réponse contenant l’ID de segment, l’ID de bloc, le bloc de données chiffré et le vecteur d’initialisation utilisé pour le chiffrement du bloc.If the content host is in possession of the content block, then the content host sends a response that contains the Segment ID, the Block ID, the encrypted data block, and the initialization vector that is used for encrypting the block.

Si l’hôte de contenu n’est pas en possession du bloc de contenu, il envoie un message de réponse vide.If the content host is not in possession of the content block, the content host sends an empty response message. Cela informe l’ordinateur client que l’hôte de contenu ne dispose pas du bloc demandé.This informs the client computer that the content host does not have the requested block. Un message de réponse vide contient l’ID de segment et l’ID de bloc du bloc demandé, ainsi qu’un bloc de données de taille zéro.An empty response message contains the Segment ID and Block ID of the requested block, along with a zero-sized data block.

Lorsque l’ordinateur client reçoit la réponse de l’hôte de contenu, le client vérifie que le message correspond à un message de demande figurant dans sa liste des demandes non traitées.When the client computer receives the response from the content host, the client verifies that the message corresponds to a request message in its Outstanding Request List. (L’ID de segment et l’index de bloc doivent correspondre à ceux d’une demande non traitée.)(The Segment ID and block index must match that of an outstanding request.)

Si ce processus de vérification échoue et que l’ordinateur client n’a pas de message de demande correspondant dans sa liste de demandes non traitées, l’ordinateur client ignore le message.If this verification process is unsuccessful and the client computer does not have a corresponding request message in its Outstanding Request List, the client computer discards the message.

Si ce processus de vérification réussit et que l’ordinateur client a un message de demande correspondant dans sa liste de demandes non traitées, l’ordinateur client déchiffre le bloc.If this verification process is successful and the client computer has a corresponding request message in its Outstanding Request List, the client computer decrypts the block. Le client valide alors le bloc déchiffré par rapport au hachage de bloc approprié présent dans les informations de contenu initialement obtenues par le client auprès du serveur de contenu d’origine.The client then validates the decrypted block against the appropriate block hash from the content information that the client initially obtained from the original content server.

Si la validation du bloc réussit, le bloc déchiffré est stocké dans le cache.If the block validation is successful, the decrypted block is stored in the cache.

Ce processus est répété jusqu’à ce que le client ait tous les blocs requis.This process is repeated until the client has all of the required blocks.

Notes

Si les segments de contenu complets n’existent pas sur un ordinateur, le protocole de récupération récupère et assemble le contenu à partir d’une combinaison de sources : un ensemble d’ordinateurs clients en mode de cache distribué, un serveur de cache hébergé et, si les caches des filiales ne contiennent pas le contenu complet, le serveur de contenu d’origine installé au siège social.If the complete segments of content do not exist on one computer, the retrieval protocol retrieves and assembles content from a combination of sources: a set of distributed cache mode client computers, a hosted cache server, and - if the branch office caches do not contain the complete content - the original content server in the main office.

Avant que BranchCache envoie les informations de contenu ou le contenu, les données sont chiffrées.Before BranchCache sends content information or content, the data is encrypted. BranchCache chiffre le bloc dans le message de réponse.BranchCache encrypts the block in the response message. Dans Windows 7, l’algorithme de chiffrement par défaut utilisé par BranchCache est AES-128, la clé de chiffrement est ke et la taille de clé est de 128 bits, comme dicté par l’algorithme de chiffrement.In Windows 7, the default encryption algorithm that BranchCache uses is AES-128, the encryption key is Ke, and the key size is 128 bits, as dictated by the encryption algorithm.

BranchCache génère un vecteur d’initialisation qui convient à l’algorithme de chiffrement et utilise la clé de chiffrement pour chiffrer le bloc.BranchCache generates an initialization vector that is suitable for the encryption algorithm and uses the encryption key to encrypt the block. BranchCache enregistre alors l’algorithme de chiffrement et le vecteur d’initialisation dans le message.BranchCache then records the encryption algorithm and the initialization vector in the message.

Les serveurs et les clients ne s’échangent, ne partagent et ne s’envoient jamais la clé de chiffrement.Servers and clients never exchange, share, or send each other the encryption key. Le client reçoit la clé de chiffrement du serveur de contenu qui héberge le contenu source.The client receives the encryption key from the content server that hosts the source content. À l’aide de l’algorithme de chiffrement et du vecteur d’initialisation qu’il a reçu du serveur, il déchiffre alors le bloc.Then, using the encryption algorithm and initialization vector it received from the server, it decrypts the block. Aucune autre authentification ou autorisation explicite n’est intégrée au protocole de téléchargement.There is no other explicit authentication or authorization built into the download protocol.

Menaces pour la sécuritéSecurity threats

À ce stade, les principales menaces de sécurité sont les suivantes :The primary security threats at this layer include:

  • Falsification des données :Tampering with data:

    Un client fournissant des données à un demandeur falsifie les données.A client serving data to a requester tampers with the data. Le modèle de sécurité BranchCache utilise des hachages pour vérifier que ni le client ni le serveur n’a altéré les données.The BranchCache security model uses hashes to confirm that neither the client nor the server has altered the data.

  • Divulgation d’informations :Information disclosure:

    BranchCache envoie du contenu chiffré à tout client qui spécifie l’ID de segment approprié.BranchCache sends encrypted content to any client that specifies the appropriate Segment ID. Étant donné que les ID de segment sont publics, tous les clients peuvent recevoir du contenu chiffré.Segment IDs are public, so any client can receive encrypted content. Toutefois, si un utilisateur malveillant obtient du contenu chiffré, il doit connaître la clé de chiffrement pour le déchiffrer.However, if a malicious user obtains encrypted content, they must know the encryption key to decrypt the content. Le protocole de couche supérieure effectue l’authentification, puis donne les informations de contenu au client authentifié et autorisé.The upper layer protocol performs authentication and then gives the content information to the authenticated and authorized client. La sécurité des informations de contenu est équivalente à la sécurité fournie au contenu lui-même, et BranchCache n’expose jamais les informations de contenu.The security of the content information is equivalent to the security provided to the content itself, and BranchCache never exposes the content information.

    Un agresseur « écoute » le réseau afin d’obtenir du contenu.An attacker sniffs the wire to obtain the content. BranchCache chiffre tous les transferts entre les clients à l’aide du chiffrement AES128, où la clé secrète est Ke, ce qui empêche la détection de données sur le réseau.BranchCache encrypts all transfers between clients by using AES128 where the secret key is Ke, preventing data from being sniffed from the wire. Les informations de contenu qui sont téléchargées à partir du serveur de contenu sont protégées exactement de la même manière que les données elles-mêmes l’auraient été. Elles ne sont donc protégées ni plus ni moins contre la divulgation d’informations que si BranchCache n’avait pas du tout été utilisé.Content information that is downloaded from the content server is protected in exactly the same way as the data itself would have been and is hence no more or less protected from information disclosure than if BranchCache had not been used at all.

  • Refus de service :Denial of Service:

    Un client est submergé de demandes de données.A client is overwhelmed by requests for data. Les protocoles BranchCache incorporent des compteurs de gestion des files d’attente et des minuteurs pour éviter que les clients soient surchargés.BranchCache protocols incorporate queue management counters and timers to prevent clients from being overloaded.

Processus BranchCache : contenu du cacheBranchCache processes: Cache content

Sur les ordinateurs clients en mode de cache distribué et sur les serveurs de cache hébergé situés dans les filiales, des caches de contenu sont progressivement intégrés à mesure que du contenu est récupéré via des liaisons de réseau étendu (WAN).On distributed cache mode client computers and hosted cache servers that are located in branch offices, content caches are built up over time as content is retrieved over WAN links.

Lorsque des ordinateurs clients sont configurés avec le mode de cache hébergé, ils ajoutent le contenu à leur propre cache local et proposent également des données au serveur de cache hébergé.When client computers are configured with hosted cache mode, they add content to their own local cache and also offer data to the hosted cache server. Le protocole de cache hébergé offre un mécanisme permettant aux clients d’informer le serveur de cache hébergé sur la disponibilité du contenu et des segments.The Hosted Cache Protocol provides a mechanism for clients to inform the hosted cache server about content and segment availability.

Pour télécharger du contenu vers le serveur de cache hébergé, le client informe le serveur qu’il a un segment disponible.To upload content to the hosted cache server, the client informs the server that it has a segment that is available. Le serveur de cache hébergé récupère alors toutes les informations de contenu associées au segment proposé, et télécharge les blocs présents dans le segment dont il a réellement besoin.The hosted cache server then retrieves all of the content information that is associated with the offered segment, and downloads the blocks within the segment that it actually needs. Ce processus est répété jusqu’à ce que le client n’ait plus de segments à proposer au serveur de cache hébergé.This process is repeated until the client has no more segments to offer the hosted cache server.

Pour mettre à jour le serveur de cache hébergé en utilisant le protocole de cache hébergé, les exigences suivantes doivent être satisfaites :To update the hosted cache server by using the Hosted Cache Protocol, the following requirements must be met:

  • L’ordinateur client doit disposer d’un ensemble de blocs contenus dans un segment qu’il peut proposer au serveur de cache hébergé.The client computer is required to have a set of blocks within a segment that it can offer to the hosted cache server. Le client doit fournir les informations de contenu correspondant au segment proposé ; elles sont constituées de l’ID de segment, du hachage de données du segment, du secret de segment et de la liste de tous les hachages de blocs contenus dans le segment.The client must supply content information for the offered segment; this is comprised of the Segment ID, the segment Hash of Data, the Segment Secret, and a list of all block hashes that are contained within the segment.

  • Pour les serveurs de cache hébergé qui exécutent Windows Server 2008 R2, un certificat de serveur de cache hébergé et une clé privée associée sont requis, et l’autorité de certification qui a émis le certificat doit être approuvée par les ordinateurs clients de la filiale.For hosted cache servers that are running Windows Server 2008 R2, a hosted cache server certificate and associated private key are required, and the certification authority (CA) that issued the certificate must be trusted by client computers in the branch office. Cela permet au client et au serveur de participer correctement à l’authentification de serveur HTTPS.This allows the client and server to participate successfully in HTTPS Server authentication.

    Important

    Les serveurs de cache hébergé qui exécutent Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 ne nécessitent pas de certificat de serveur de cache hébergé et de clé privée associée.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2 , or Windows Server 2012 do not require a hosted cache server certificate and associated private key.

  • L’ordinateur client est configuré avec le nom d’ordinateur du serveur de cache hébergé et le numéro de port TCP (Transmission Control Protocol) sur lequel le serveur de cache hébergé écoute le trafic BranchCache.The client computer is configured with the computer name of the hosted cache server and the Transmission Control Protocol (TCP) port number upon which the hosted cache server is listening for BranchCache traffic. Le certificat du serveur de cache hébergé est lié à ce port.The hosted cache server's certificate is bound to this port. Le nom d’ordinateur du serveur de cache hébergé peut être un nom de domaine complet (FQDN) si le serveur de cache hébergé est un ordinateur membre d’un domaine ; ou ce peut être le nom NetBIOS de l’ordinateur si le serveur de cache hébergé n’est pas membre d’un domaine.The computer name of the hosted cache server can be a fully qualified domain name (FQDN), if the hosted cache server is a domain member computer; or it can be the NetBIOS name of the computer if the hosted cache server is not a domain member.

  • L’ordinateur client écoute activement les demandes de blocs entrantes.The client computer actively listens for incoming block requests. Le port sur lequel il effectue l’écoute est passé en tant que partie des messages d’offre envoyés par le client au serveur de cache hébergé.The port on which it is listening is passed as part of the offer messages from the client to the hosted cache server. Cela permet au serveur de cache hébergé d’utiliser les protocoles BranchCache pour se connecter à l’ordinateur client afin de récupérer des blocs de données se trouvant dans le segment.This enables the hosted cache server to use BranchCache protocols to connect to the client computer to retrieve data blocks in the segment.

  • Le serveur de cache hébergé commence à écouter les requêtes HTTP entrantes quand il est initialisé.The hosted cache server starts to listen for incoming HTTP requests when it is initialized.

  • Si le serveur de cache hébergé est configuré pour exiger l’authentification de l’ordinateur client, le client et le serveur de cache hébergé doivent tous les deux prendre en charge l’authentification HTTPS.If the hosted cache server is configured to require client computer authentication, both the client and the hosted cache server are required to support HTTPS authentication.

Remplissage du cache en mode cache hébergéHosted cache mode cache population

Le processus d’ajout de contenu au cache du serveur de cache hébergé dans une filiale commence lorsque le client envoie un INITIAL_OFFER_MESSAGE, qui comprend l’ID de segment.The process of adding content to the hosted cache server's cache in a branch office begins when the client sends an INITIAL_OFFER_MESSAGE, which includes the Segment ID. L’ID de segment dans la demande de INITIAL_OFFER_MESSAGE est utilisé pour récupérer le hachage de données de segment correspondant, la liste des hachages de blocs et le secret de segment à partir du cache de blocs du serveur de cache hébergé.The Segment ID in the INITIAL_OFFER_MESSAGE request is used to retrieve the corresponding segment Hash of Data, list of block hashes, and the Segment Secret from the hosted cache server's block cache. Si le serveur de cache hébergé dispose déjà de toutes les informations de contenu pour un segment particulier, la réponse au message INITIAL_OFFER_MESSAGE est OK, et aucune demande de téléchargement de blocs ne se produit.If the hosted cache server already has all the content information for a particular segment, the response to the INITIAL_OFFER_MESSAGE will be OK, and no request to download blocks occurs.

Si le serveur de cache hébergé ne dispose pas de tous les blocs de données proposés qui sont associés aux hachages du segment, la réponse au message INITIAL_OFFER_MESSAGE est INTERESTED.If the hosted cache server does not have all of the offered data blocks that are associated with the block hashes in the segment, the response to the INITIAL_OFFER_MESSAGE is INTERESTED. Le client envoie alors un message SEGMENT_INFO_MESSAGE décrivant l’unique segment qui est proposé.The client then sends a SEGMENT_INFO_MESSAGE that describes the single segment that is being offered. Le serveur de cache hébergé répond par un message OK et commence le téléchargement des blocs manquants à partir de l’ordinateur client émetteur de l’offre.The hosted cache server responds with an OK message and initiates the download of the missing blocks from the offering client computer.

Le hachage de données du segment, la liste des hachages de blocs et le secret de segment sont utilisés pour garantir que le contenu qui est téléchargé n’a pas été falsifié ou altéré.The segment Hash of Data, list of block hashes, and the segment secret are used to ensure that the content that is being downloaded has not been tampered with or otherwise altered. Les blocs téléchargés sont alors ajoutés au cache de blocs du serveur de cache hébergé.The downloaded blocks are then added to the hosted cache server's block cache.

Sécurité du cacheCache Security

Cette section fournit des informations sur la façon dont BranchCache sécurise les données mises en cache sur les ordinateurs clients et les serveurs de cache hébergé.This section provides information on how BranchCache secures cached data on client computers and on hosted cache servers.

Sécurité du cache sur l’ordinateur clientClient computer cache security

La falsification constitue la plus grande menace pour les données stockées dans le cache BranchCache.The greatest threat to data stored in the BranchCache is tampering. Si une personne malveillante peut falsifier le contenu et les informations de contenu stockées dans le cache, il est possible d’utiliser cette faille pour essayer de lancer une attaque contre les ordinateurs qui utilisent BranchCache.If an attacker can tamper with content and content information that is stored in the cache, then it might be possible to use this to try and launch an attack against the computers that are using BranchCache. Des personnes malveillantes peuvent initier une attaque en insérant un logiciel malveillant à la place d’autres données.Attackers can initiate an attack by inserting malicious software in place of other data. BranchCache réduit ce risque en validant tout le contenu à l’aide des hachages de blocs se trouvant dans les informations de contenu.BranchCache mitigates this threat by validating all content using block hashes found in the content information. Si une personne malveillante tente d’altérer ces données, elles sont ignorées et sont remplacées par les données valides provenant de la source d’origine.If an attacker attempts to tamper with this data, it is discarded and is replaced with valid data from the original source.

La divulgation d’informations représente une menace secondaire pour les données stockées dans le cache BranchCache.A secondary threat to data stored in the BranchCache is information disclosure. En mode de cache distribué, le client met en cache uniquement le contenu qu’il a lui-même demandé ; toutefois, les données, qui sont stockées en texte clair, courent un risque.In distributed cache mode, the client caches only the content that it has requested itself; however, that data is stored in clear text, and might be at risk. Pour limiter l’accès au cache uniquement au service BranchCache, le cache local est protégé par les autorisations du système de fichiers qui sont spécifiées dans une liste de contrôle d’accès.To help restrict cache access to the BranchCache Service only, the local cache is protected by file system permissions that are specified in an ACL.

Même si la liste de contrôle d’accès est efficace pour empêcher des utilisateurs non autorisés d’accéder au cache, il est possible qu’un utilisateur disposant de privilèges d’administrateur accède au cache en modifiant manuellement les autorisations spécifiées dans la liste de contrôle d’accès.Although the ACL is effective in preventing unauthorized users from accessing the cache, it is possible for a user with administrative privileges to gain access to the cache by manually changing the permissions that are specified in the ACL. BranchCache ne protège pas contre une utilisation malveillante d’un compte administratif.BranchCache does not protect against the malicious use of an administrative account.

Les données stockées dans le cache de contenu ne sont pas chiffrées ; par conséquent, si la perte de données représente un problème, vous pouvez utiliser des technologies de chiffrement telles que BitLocker ou le système de fichiers EFS (Encrypting File System).Data that is stored in the content cache is not encrypted, so if data leakage is a concern, you can use encryption technologies such as BitLocker or the Encrypting File System (EFS). Le cache local utilisé par BranchCache n’augmente pas la menace de divulgation d’informations que représente un ordinateur de la filiale ; il contient uniquement des copies de fichiers qui résident non chiffrés ailleurs sur le disque.The local cache that is used by BranchCache does not increase the information disclosure threat borne by a computer in the branch office; the cache contains only copies of files that reside unencrypted elsewhere on the disk.

Il est particulièrement important de chiffrer la totalité du disque dans les environnements dans lesquels la sécurité physique des clients est difficile à garantir.Encrypting the entire disk is particularly important in environments in which the physical security of the clients is difficult to ensure. Par exemple, le chiffrement de la totalité du disque permet de sécuriser des données sensibles sur des ordinateurs portables qui peuvent être sortis de l’environnement de la filiale.For example, encrypting the entire disk helps to secure sensitive data on mobile computers that might be removed from the branch office environment.

Sécurité du cache sur le serveur de cache hébergéHosted cache server cache security

En mode de cache hébergé, la plus grande menace pour la sécurité du serveur de cache hébergé est la divulgation d’informations.In hosted cache mode, the greatest threat to the security of the hosted cache server is information disclosure. Dans un environnement de cache hébergé, BranchCache se comporte de la même manière qu’en mode de cache distribué, avec l’autorisation du système de fichiers qui protège les données mises en cache.BranchCache in a hosted cache environment behaves in a similar manner to distributed cache mode, with file system permission protecting the cached data. La différence est que le serveur de cache hébergé stocke tout le contenu que n’importe quel ordinateur prenant en charge BranchCache dans la filiale demande, et non pas uniquement les données demandées par un seul client.The difference is that the hosted cache server stores all of the content that any BranchCache-enabled computer in the branch office requests, rather than just the data that a single client requests. Les conséquences d’une intrusion non autorisée dans ce cache pourraient être beaucoup plus graves, car davantage de données sont menacées.The consequences of unauthorized intrusion into this cache could be much more serious, because much more data is at risk.

Dans un environnement de cache hébergé où le serveur de cache hébergé exécute Windows Server 2008 R2, l’utilisation de technologies de chiffrement telles que BitLocker ou EFS est conseillée si l’un des clients de la filiale peut accéder à des données sensibles sur la liaison WAN.In a hosted cache environment where the hosted cache server is running Windows Server 2008 R2, the use of encryption technologies such as BitLocker or EFS is advisable if any of the clients in the branch office can access sensitive data across the WAN link. Il est également nécessaire d’empêcher un accès physique au cache hébergé, car le chiffrement de disque fonctionne uniquement lorsque l’ordinateur est éteint au moment où la personne malveillante y accède physiquement.It is also necessary to prevent physical access to the hosted cache, because disk encryption works only when the computer is turned off when the attacker gains physical access. Si l’ordinateur est allumé ou en mode veille, la protection offerte par le chiffrement de disque est faible.If the computer is turned on or is in sleep mode, then disk encryption offers little protection.

Notes

Les serveurs de cache hébergé qui exécutent Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 chiffrent toutes les données du cache par défaut, l’utilisation de technologies de chiffrement supplémentaires n’est donc pas nécessaire.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012 encrypt all data in the cache by default, so the use of additional encryption technologies is not required.

Même si un client est configuré en mode de cache hébergé, il met toujours en cache les données localement, et vous pouvez prendre des mesures pour protéger le cache local en plus du cache situé sur le serveur de cache hébergé.Even if a client is configured in hosted cache mode, it will still cache data locally, and you might want to take steps to protect the local cache in addition to the cache on the hosted cache server.