BranchCacheBranchCache

적용 대상: Windows Server(반기 채널), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

이 항목은 IT(정보 기술) 전문가를 대상으로 하며 BranchCache 모드, 특성, 기능 및 여러 운영 체제에서 사용할 수 있는 BranchCache 기능을 포함하여 BranchCache에 대한 개략적인 정보를 제공합니다.This topic, which is intended for Information Technology (IT) professionals, provides overview information about BranchCache, including BranchCache modes, features, capabilities, and the BranchCache functionality that is available in different operating systems.

참고

이 항목 외에 다음과 같은 BranchCache 설명서도 참조할 수 있습니다.In addition to this topic, the following BranchCache documentation is available.

BranchCache의 대상 사용자Who will be interested in BranchCache?

시스템 관리자, 네트워크 또는 스토리지 솔루션 구축자 또는 기타 IT 전문가라면 다음과 같은 상황에서 BranchCache를 사용할 수 있습니다.If you are a system administrator, network or storage solution architect, or other IT professional, BranchCache might interest you under the following circumstances:

  • 실제 위치가 둘 이상이고 지점에서 본사로 연결되는 WAN(광역 네트워크)을 사용하는 조직을 위해 IT 인프라를 디자인하거나 지원하는 경우You design or support IT infrastructure for an organization that has two or more physical locations and a wide area network (WAN) connection from the branch offices to the main office.

  • 클라우드 기술을 배포했으며 작업자들이 WAN 연결을 사용하여 원격 위치의 데이터 및 애플리케이션에 액세스하는 조직을 위해 IT 인프라를 디자인하거나 지원하는 경우You design or support IT infrastructure for an organization that has deployed cloud technologies, and a WAN connection is used by workers to access data and applications at remote locations.

  • 지점과 본사 간의 네트워크 트래픽 양을 줄여 WAN 대역폭 사용을 최적화하려는 경우You want to optimize WAN bandwidth usage by reducing the amount of network traffic between branch offices and the main office.

  • 이 항목에서 설명하는 구성과 일치하는 콘텐츠 서버를 본사에서 배포했거나 배포할 예정인 경우You have deployed or are planning on deploying content servers at your main office that match the configurations that are described in this topic.

  • 지점에 클라이언트 컴퓨터는 Windows 10, Windows 8.1, Windows 8 또는 Windows 7 실행 됩니다.The client computers in your branch offices are running Windows 10, Windows 8.1, Windows 8, or Windows 7 .

이 항목에는 다음 섹션이 포함되어 있습니다.This topic includes the following sections:

BranchCache란?What is BranchCache?

BranchCache는 일부 버전의 Windows Server 2016 및 Windows 10 운영 체제와 Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 및 Windows 7의 일부 버전에 포함 되어 있는 광역 네트워크 (WAN) 대역폭 최적화 기술입니다.BranchCache is a wide area network (WAN) bandwidth optimization technology that is included in some editions of the Windows Server 2016 and Windows 10 operating systems, as well as in some editions of Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 and Windows 7. 파일을 사용자가 원격 서버의 콘텐츠에 액세스할 때 WAN 대역폭을 최적화 하려면 BranchCache 본사에서 콘텐츠를 가져오며 또는 호스트 된 클라우드 콘텐츠 서버 및 캐시 지점 사무실 위치에서 콘텐츠를 클라이언트 컴퓨터는 WAN을 통해이 아닌 로컬 콘텐츠를 액세스 하는 지사 사무소에 허용 합니다.To optimize WAN bandwidth when users access content on remote servers, BranchCache fetches content from your main office or hosted cloud content servers and caches the content at branch office locations, allowing client computers at branch offices to access the content locally rather than over the WAN.

지점에서 콘텐츠 캐시를 호스팅하도록 또는 Windows 10, Windows 8.1, Windows 8 또는 Windows 7를 실행 하는 클라이언트 컴퓨터에서 지점에 서버가 없는 경우 구성 된 서버에 저장 됩니다.At branch offices, content is stored either on servers that are configured to host the cache or, when no server is available in the branch office, on client computers that are running Windows 10, Windows 8.1, Windows 8 or Windows 7. 클라이언트 컴퓨터가 본사에서 콘텐츠를 요청하여 수신한 후 이 콘텐츠가 지점에 캐시되면 같은 지점의 다른 컴퓨터에서는 WAN 연결을 통해 콘텐츠 서버의 콘텐츠를 다운로드하지 않고도 로컬로 콘텐츠를 사용할 수 있게 됩니다.After a client computer requests and receives content from the main office and the content is cached at the branch office, other computers at the same branch office can obtain the content locally rather than downloading the content from the content server over the WAN link.

클라이언트 컴퓨터에서 같은 콘텐츠에 대한 후속 요청을 수행하는 경우 클라이언트는 실제 콘텐츠를 다운로드하는 것이 아니라 서버에서 콘텐츠 정보를 다운로드합니다.When subsequent requests for the same content are made by client computers, the clients download content information from the server instead of the actual content. 콘텐츠 정보는 원본 콘텐츠 청크를 사용하여 계산되는 해시로 구성되며 원본 데이터의 콘텐츠에 비해 크기가 매우 작습니다.Content information consists of hashes that are calculated using chunks of the original content, and are extremely small compared to the content in the original data. 그런 다음 클라이언트 컴퓨터는 콘텐츠 정보를 사용하여 지사의 캐시(클라이언트 컴퓨터 또는 서버에 있음)에서 콘텐츠를 찾습니다.Client computers then use the content information to locate the content from a cache in the branch office, whether the cache is located on a client computer or on a server. 또한 클라이언트 컴퓨터와 서버는 콘텐츠 정보를 사용하여 권한이 없는 사용자가 액세스할 수 없도록 캐시된 콘텐츠를 보호합니다.Client computers and servers also use content information to secure cached content so that it cannot be accessed by unauthorized users.

BranchCache는 지점에 있는 클라이언트와 서버의 콘텐츠 쿼리 응답 속도를 개선하여 최종 사용자 생산성을 높일 뿐만 아니라, WAN 연결을 통한 트래픽을 줄임으로써 네트워크 성능도 향상시킬 수 있습니다.BranchCache increases end user productivity by improving content query response times for clients and servers in branch offices, and can also help improve network performance by reducing traffic over WAN links.

BranchCache 모드BranchCache modes

BranchCache에는 분산 캐시 모드와 호스트 캐시 모드의 두 가지 작동 모드가 있습니다.BranchCache has two modes of operation: distributed cache mode and hosted cache mode.

분산 캐시 모드로 BranchCache를 배포하는 경우 지점의 콘텐츠 캐시는 클라이언트 컴퓨터 간에 분산됩니다.When you deploy BranchCache in distributed cache mode, the content cache at a branch office is distributed among client computers.

호스트된 캐시 모드로 BranchCache를 배포하는 경우 지점의 콘텐츠 캐시는 하나 이상의 서버 컴퓨터(호스트 캐시 서버)에서 호스팅됩니다.When you deploy BranchCache in hosted cache mode, the content cache at a branch office is hosted on one or more server computers, which are called hosted cache servers.

참고

두 가지 모드를 모두 사용하여 BranchCache를 배포할 수 있지만, 지점당 한 모드만 사용해야 합니다.You can deploy BranchCache using both modes, however only one mode can be used per branch office. 예를 들어 지점이 두 개인데 한 지점에 서버가 있고 다른 지점에는 없는 경우 서버가 있는 지점에서 호스트된 캐시 모드로 BranchCache를 배포하고, 클라이언트 컴퓨터만 있는 지점에서 분산 캐시 모드로 BranchCache를 배포할 수 있습니다.For example, if you have two branch offices, one which has a server and one which does not, you can deploy BranchCache in hosted cache mode in the office that contains a server, while deploying BranchCache in distributed cache mode in the office that contains only client computers.

다음 그림에서는 두 가지 모드를 모두 사용하여 BranchCache를 배포합니다.In the following illustration, BranchCache is deployed in both modes.

BranchCache 모드

분산 캐시 모드는 호스트 캐시 서버로 사용할 수 있는 로컬 서버가 없는 소규모 지점에 적합합니다.Distributed cache mode is best suited for small branch offices that do not contain a local server for use as a hosted cache server. 분산 캐시 모드를 사용하는 경우 지점에 하드웨어를 추가하지 않고도 BranchCache를 배포할 수 있습니다.Distributed cache mode allows you to deploy BranchCache with no additional hardware in branch offices.

BranchCache를 배포할 지점에 추가 인프라(예: 다른 워크로드를 실행하는 하나 이상의 서버)가 있는 경우 다음과 같은 이유로 BranchCache를 호스트된 캐시 모드에서 배포하는 것이 더 효율적입니다.If the branch office where you want to deploy BranchCache contains additional infrastructure, such as one or more servers that are running other workloads, deploying BranchCache in hosted cache mode is beneficial for the following reasons:

향상된 캐시 가용성Increased cache availability

호스트된 캐시 모드에서는 데이터를 원래 요청하고 캐시한 클라이언트가 오프라인 상태인 경우에도 콘텐츠를 사용할 수 있기 때문에 캐시 효율성이 높아집니다.Hosted cache mode increases the cache efficiency because content is available even if the client that originally requested and cached the data is offline. 호스트 캐시 서버는 항상 사용할 수 있기 때문에 더 많은 콘텐츠가 캐시되고 WAN 대역폭을 보다 많이 절약할 수 있으며 BranchCache 효율성이 향상됩니다.Because the hosted cache server is always available, more content is cached, providing greater WAN bandwidth savings, and BranchCache efficiency is improved.

다중 서브넷 지점을 위한 중앙식 캐싱Centralized caching for multiple-subnet branch offices

분산 캐시 모드는 단일 서브넷에서 작동합니다.Distributed cache mode operates on a single subnet. 분산 캐시 모드를 사용하도록 구성된 다중 서브넷 지점에서는 한 서브넷으로 다운로드한 파일을 다른 서브넷의 클라이언트 컴퓨터와 공유할 수 없습니다.At a multiple-subnet branch office that is configured for distributed cache mode, a file downloaded to one subnet cannot be shared with client computers on other subnets.

이에 따라 다른 서브넷의 클라이언트에서는 해당 파일이 이미 다운로드되었음을 확인할 수 없으므로 프로세스의 WAN 대역폭을 사용해 본사 콘텐츠 서버에서 파일을 가져옵니다.Because of this, clients on other subnets, unable to discover that the file has already been downloaded, get the file from the main office content server, using WAN bandwidth in the process.

그러나 호스트된 캐시 모드로 배포하는 경우에는 이러한 과정이 진행되지 않습니다. 즉, 클라이언트가 각각 다른 서브넷에 있더라도 다중 서브넷 지점의 모든 클라이언트가 호스트 캐시 서버에 저장된 단일 캐시에 액세스할 수 있습니다.When you deploy hosted cache mode, however, this is not the case - all clients in a multiple-subnet branch office can access a single cache, which is stored on the hosted cache server, even if the clients are on different subnets. 또한 Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012의 BranchCache는 지점 당 둘 이상의 호스트 캐시 서버를 배포 하는 기능을 제공 합니다.In addition, BranchCache in Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 provides the ability to deploy more than one hosted cache server per branch office.

주의

파일 및 폴더의 SMB 캐싱을 위해 BranchCache를 사용하는 경우에는 오프라인 파일을 사용하지 않도록 설정하지 마세요.If you use BranchCache for SMB caching of files and folders, do not disable Offline Files. 오프라인 파일을 사용하지 않도록 설정하면 BranchCache SMB 캐싱이 올바르게 작동하지 않습니다.If you disable Offline Files, BranchCache SMB caching does not function correctly.

BranchCache 사용 가능 콘텐츠 서버BranchCache-enabled content servers

BranchCache를 배포할 때 원본 콘텐츠는 본사에서 또는 클라우드 데이터 센터에서 BranchCache 사용 가능 콘텐츠 서버에 저장 됩니다.When you deploy BranchCache, the source content is stored on BranchCache-enabled content servers in your main office or in a cloud data center. BranchCache에서 지원되는 콘텐츠 서버 유형은 다음과 같습니다.The following types of content servers are supported by BranchCache:

참고

소스 내용만-즉, 클라이언트 컴퓨터는 BranchCache 사용 가능 콘텐츠 서버에서 처음 가져온는 콘텐츠는 BranchCache에서 가속 됩니다.Only source content - that is, content that client computers initially obtain from a BranchCache-enabled content server - is accelerated by BranchCache. 클라이언트 컴퓨터가 인터넷의 웹 서버나 Windows 업데이트 등의 다른 출처로부터 직접 가져온 콘텐츠는 클라이언트 컴퓨터 또는 호스트 캐시 서버에서 캐시된 다음 지점의 다른 컴퓨터와 공유되지 않습니다.Content that client computers obtain directly from other sources, such as Web servers on the Internet or Windows Update, is not cached by client computers or hosted cache servers and then shared with other computers in the branch office. 그러나 Windows 업데이트 콘텐츠를 가속 하려는 경우 본사 또는 클라우드 데이터 센터에서 Windows Server Update Services (WSUS) 애플리케이션 서버를 설치 하 수 BranchCache 콘텐츠 서버로 구성 합니다.If you want to accelerate Windows Update content, however, you can install a Windows Server Update Services (WSUS) application server at your main office or cloud data center and configure it as a BranchCache content server.

웹 서버Web servers

지원 되는 웹 서버 컴퓨터에서 Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 또는 Windows Server 2008 r 2를 실행 하는 웹 서버 (IIS) 서버 역할이 설치 되어 있는 하이퍼텍스트 전송 프로토콜 (HTTP) 또는 HTTPS (HTTP Secure)를 사용 하는 포함 됩니다.Supported Web servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the Web Server (IIS) server role installed and that use Hypertext Transfer Protocol (HTTP) or HTTP Secure (HTTPS).

또한 웹 서버에는 BranchCache 기능이 설치되어 있어야 합니다.In addition, the Web server must have the BranchCache feature installed.

파일 서버File servers

지원 되는 파일 서버는 파일 서비스 서버 역할 및 BranchCache 네트워크 파일 역할 서비스가 설치 되어 있는 Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 또는 Windows Server 2008 r 2를 실행 하는 컴퓨터를 포함 합니다.Supported file servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the File Services server role and the BranchCache for Network Files role service installed.

이러한 파일 서버는 SMB(서버 메시지 블록)를 사용하여 컴퓨터 간에 정보를 교환합니다.These file servers use Server Message Block (SMB) to exchange information between computers. 파일 서버를 설치한 후에는 그룹 정책이나 로컬 컴퓨터 정책을 이용하여 BranchCache를 사용하도록 설정해 폴더를 공유하고 공유 폴더에 대한 해시 생성을 사용하도록 설정해야 합니다.After you complete installation of your file server, you must also share folders and enable hash generation for shared folders by using Group Policy or Local Computer Policy to enable BranchCache.

애플리케이션 서버Application servers

Windows Server 2016, Windows Server 2012 R2, Windows Server 2012를 실행 하는 컴퓨터를 포함 하는 지원 되는 애플리케이션 서버 또는 Windows Server 2008 r 2와 BITS Background Intelligent Transfer Service () 설치 하 고 사용 하도록 설정 합니다.Supported application servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 with Background Intelligent Transfer Service (BITS) installed and enabled.

또한 애플리케이션 서버에는 BranchCache 기능이 설치되어 있어야 합니다.In addition, the application server must have the BranchCache feature installed. 응용 프로그램 서버의 예로 WSUS (Microsoft Windows Server Update Services) 및 Microsoft 끝점 Configuration Manager 분기 배포 지점 서버를 BranchCache 콘텐츠 서버로 배포할 수 있습니다.As examples of application servers, you can deploy Microsoft Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager Branch Distribution Point servers as BranchCache content servers.

BranchCache와 클라우드BranchCache and the cloud

클라우드를 사용하면 운영 경비를 줄이고 작동 범위를 새로운 수준으로 확장할 수 있어 매우 유용하지만, 사용자에게 익숙한 위치가 아닌 클라우드로 워크로드를 이전하는 경우 네트워킹 비용이 증가하고 생산성이 저하될 수 있습니다.The cloud has enormous potential to reduce operational expenses and achieve new levels of scale, but moving workloads away from the people who depend on them can increase networking costs and hurt productivity. 사용자는 고성능을 예상 하 고 애플리케이션 및 데이터 호스팅되는 신경 쓰지 않습니다.Users expect high performance and don't care where their applications and data are hosted.

BranchCache는 공유 데이터 캐시를 통해 네트워크 애플리케이션의 성능을 개선하고 대역폭 사용량을 줄일 수 있습니다.BranchCache can improve the performance of networked applications and reduce bandwidth consumption with a shared cache of data. 즉, BranchCache는 작업자들이 클라우드에 배포된 서버를 사용하는 본사와 지점의 생산성을 높여 줍니다.It improves productivity in branch offices and in headquarters, where workers are using servers that are deployed in the cloud.

BranchCache는 하드웨어를 새로 추가하거나 네트워크 토폴로지를 변경하지 않고도 사용할 수 있어 여러 사무실 위치와 퍼블릭 및 프라이빗 클라우드 간의 통신을 개선하는 데 최적의 솔루션입니다.Because BranchCache does not require new hardware or network topology changes, it is an excellent solution for improving communication between office locations and both public and private clouds.

참고

일부 웹 프록시 비표준 Content-encoding 헤더를 처리할 수 없는 때문에 하이퍼 텍스트 전송 프로토콜 보안 (HTTPS) 및 HTTP가 아닌 BranchCache를 사용 하는 것이 좋습니다.Because some Web proxies cannot process non-standard Content-Encoding headers, it is recommended that you use BranchCache with Hyper Text Transfer Protocol Secure (HTTPS) and not HTTP.

= = = = = = = Windows Server 2016의 클라우드 기술에 대 한 자세한 내용은 소프트웨어 정의 네트워킹 (SDN)를 참조 하세요.======= For more information about cloud technologies in Windows Server 2016, see Software Defined Networking (SDN).

콘텐츠 정보 버전Content information versions

두 가지 콘텐츠 정보 버전에는 다음의 두 가지 종류가 있습니다.There are two versions of content information:

  • Windows Server 2008 R2 및 Windows 7을 실행 하는 컴퓨터와 호환 되는 콘텐츠 정보 버전 1, 즉 v 1 이라고 합니다.Content information that is compatible with computers running Windows Server 2008 R2 and Windows 7 is called version 1, or V1. 파일 세그먼트는 V1 BranchCache 파일 구분 기능을 갖춰 V2에서 더 크고, 그 크기도 고정되어 있습니다.With V1 BranchCache file segmentation, file segments are larger than in V2 and are of fixed size. 고정된 세크먼트의 크기가 커서 사용자가 파일 길이를 수정하도록 변경하면 무효화하도록 변경한 세그먼트뿐만 아니라 파일 끝에 있는 세그먼트가 모두 무효화됩니다.Because of large fixed segment sizes, when a user makes a change that modifies the file length, not only is the segment with the change invalidated, but all of the segments to the end of the file are invalidated. 따라서 지점에 있는 다른 사용자가 다음 번에 변경된 파일을 호출하면 변경된 콘텐츠와 변경한 이후의 모든 콘텐츠가 WAN 링크를 통해 전송되기 때문에 WAN 대역폭 절감 효과가 줄어듭니다.The next call for the changed file by another user in the branch office therefore results in reduced WAN bandwidth savings because the changed content and all content after the change are sent over the WAN link.

  • Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012 및 Windows 8을 실행 하는 컴퓨터와 호환 되는 콘텐츠 정보 버전 2, 또는 v 2 라고 합니다.Content information that is compatible with computers running Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, and Windows 8 is called version 2, or V2. V2 콘텐츠 정보에서는 파일 내의 변경 사항에 보다 적절하게 적용되는 더 작은 변수 크기의 세그먼트를 사용합니다.V2 content information uses smaller, variable-sized segments that are more tolerant to changes within a file. 이 경우 사용자가 업데이트된 버전에 액세스하면 이전 버전의 파일에서 만들어진 세그먼트를 다시 사용할 수 있는 가능성이 높아집니다. 그 결과, 해당 세그먼트는 콘텐츠 서버에서 변경된 파일을 일부만 검색하여 WAN 대역폭을 더 적게 사용합니다.This increases the probability that segments from an older version of the file can be reused when users access an updated version, causing them to retrieve only the changed portion of the file from the content server, and using less WAN bandwidth.

다음 표에는 클라이언트, 콘텐츠 서버 및 BranchCache 배포 시 사용하는 호스트 캐시 서버 운영 체제에 따라 사용되는 콘텐츠 정보 버전에 대한 설명이 나와 있습니다.The following table provides information on the content information version that is used depending upon which client, content server, and hosted cache server operating systems you are using in your BranchCache deployment.

참고

아래 표에서 "OS" 라는 머리글자어는 운영 체제를 의미합니다.In the table below, the acronym "OS" means operating system.

클라이언트 OSClient OS 콘텐츠 서버 OSContent Server OS 호스트 캐시 서버 OSHosted Cache Server OS 콘텐츠 정보 버전Content Information Version
Windows Server 2008 R2 및 Windows 7Windows Server 2008 R2 and Windows 7 Windows Server 2012 이상Windows Server 2012 or later Windows Server 2012 이상; 분산된 캐시 모드 없음Windows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 이상; Windows 8 이상Windows Server 2012 or later; Windows 8 or later Windows Server 2008 R2Windows Server 2008 R2 Windows Server 2012 이상; 분산된 캐시 모드 없음Windows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 이상; Windows 8 이상Windows Server 2012 or later; Windows 8 or later Windows Server 2012 이상Windows Server 2012 or later Windows Server 2008 R2Windows Server 2008 R2 V1V1
Windows Server 2012 이상; Windows 8 이상Windows Server 2012 or later; Windows 8 or later Windows Server 2012 이상Windows Server 2012 or later Windows Server 2012 이상; 분산된 캐시 모드 없음Windows Server 2012 or later; none for distributed cache mode V2V2

콘텐츠 서버 있고 호스트 캐시 서버에 Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012를 실행 하는 경우 적합 한 정보를 요청 하는 BranchCache 클라이언트 운영 체제에 따라 콘텐츠 정보 버전을 사용 합니다.When you have content servers and hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, they use the content information version that is appropriate based on the operating system of the BranchCache client that requests information.

콘텐츠 및 호스트 캐시 서버 V2 콘텐츠 정보;를 사용 하 여 콘텐츠를 요청 하는 Windows Server 2012 및 Windows 8 또는 이후 운영 체제를 실행 하는 컴퓨터 Windows Server 2008 R2 및 Windows 7을 실행 하는 컴퓨터에 콘텐츠를 요청, 콘텐츠 및 호스트 캐시 서버 V1 콘텐츠 정보를 사용 합니다.When computers running Windows Server 2012 and Windows 8 or later operating systems request content, the content and hosted cache servers use V2 content information; when computers running Windows Server 2008 R2 and Windows 7 request content, the content and hosted cache servers use V1 content information.

중요

분산 캐시 모드에서 BranchCache를 배포할 경우 다른 콘텐츠 정보 버전을 사용하는 클라이언트는 다른 클라이언트와 콘텐츠를 공유하지 않습니다.When you deploy BranchCache in distributed cache mode, clients that use different content information versions do not share content with each other. 예를 들어, Windows 7을 실행 하는 클라이언트 컴퓨터와 동일한 지점에 설치 된 Windows 10을 실행 하는 클라이언트 컴퓨터를 서로 콘텐츠를 공유 하지 않습니다.For example, a client computer running Windows 7 and a client computer running Windows 10 that are installed in the same branch office do not share content with each other.

BranchCache에서 파일의 콘텐츠 업데이트를 처리하는 방법How BranchCache handles content updates in files

지점 사용자가 수정 하거나 문서의 콘텐츠를 업데이트 하는 경우 해당 변경 내용이 BranchCache의 개입 없이도 본사 콘텐츠 서버에 직접 기록 됩니다.When branch office users modify or update the contents of documents, their changes are written directly to the content server in the main office without BranchCache's involvement. 사용자가 콘텐츠 서버에서 문서를 다운로드했거나 지점의 호스트 캐시나 분산 캐시에서 문서를 가져온 경우에도 마찬가지입니다.This is true whether the user downloaded the document from the content server or obtained it from either a hosted or distributed cache in the branch office.

수정된 파일을 지점의 다른 클라이언트에서 요청하는 경우, 파일의 새 세그먼트가 본사 서버에서 다운로드되어 해당 지점의 분산 캐시나 호스트 캐시에 추가됩니다.When the modified file is requested by a different client in a branch office, the new segments of the file are downloaded from the main office server and added to the distributed or hosted cache in that branch. 이 때문에 지점 사용자는 항상 최신 버전의 캐시된 콘텐츠를 수신합니다.Because of this, branch office users always receive the most recent versions of cached content.

BranchCache 설치 가이드BranchCache installation guide

Windows Server 2016의 BranchCache 기능 또는 파일 서비스 서버 역할의 네트워크 파일 역할 서비스용 BranchCache를 설치 하려면 서버 관리자를 사용할 수 있습니다.You can use Server Manager in Windows Server 2016 to install either the BranchCache feature or the BranchCache for Network Files role service of the File Services server role. 다음 표를 사용하여 역할 서비스와 기능 중 설치할 항목을 결정할 수 있습니다.You can use the following table to determine whether to install the role service or the feature.

기능Functionality 컴퓨터 위치Computer location 설치할 BranchCache 요소Install this BranchCache element
콘텐츠 서버 ( 비트 기반 응용 프로그램 서버)Content server (BITS-based application server) 본사 또는 클라우드 데이터 센터Main office or cloud data center BranchCache 기능BranchCache feature
콘텐츠 서버 ( 웹 서버)Content server (Web server) 본사 또는 클라우드 데이터 센터Main office or cloud data center BranchCache 기능BranchCache feature
(SMB 프로토콜을 사용 하는 콘텐츠 서버 파일 서버)Content server (file server using the SMB protocol) 본사 또는 클라우드 데이터 센터Main office or cloud data center 파일 서비스 서버 역할의 네트워크 파일용 BranchCache 역할 서비스BranchCache for Network Files role service of the File Services server role
호스트 캐시 서버Hosted cache server 지점Branch office 호스트 캐시 서버 모드를 사용하도록 설정한 BranchCache 기능BranchCache feature with hosted cache server mode enabled
BranchCache 사용 가능 클라이언트 컴퓨터BranchCache-enabled client computer 지점Branch office 설치를 하지 않고도 사용할 수 있습니다. BranchCache와 BranchCache 모드를 설정 해 (분산 또는 호스트) 클라이언트No installation needed; just enable BranchCache and a BranchCache mode (distributed or hosted) on the client

역할 서비스나 기능을 설치하려면 서버 관리자를 열고 BranchCache 기능을 사용하도록 설정할 컴퓨터를 선택합니다.To install either the role service or the feature, open Server Manager and select the computers where you want to enable BranchCache functionality. 서버 관리자에서 관리, 역할 및 기능 추가를 차례로 클릭합니다.In Server Manager, click Manage, and then click Add Roles and Features. 역할 및 기능 추가 마법사가 열립니다.The Add Roles and Features wizard opens. 마법사를 실행하면서 다음을 선택합니다.As you run the wizard, make the following selections:

  • 설치 유형 선택 마법사 페이지에서 역할 기반 또는 기능 기반 설치를 선택합니다.On the wizard page Select Installation Type, select Role-based or Feature-based Installation.

  • 마법사 페이지 서버 역할 선택에서 BranchCache 사용 가능 파일 서버를 설치하는 경우 파일 및 스토리지 서비스파일 및 iSCSI 서비스를 확장한 다음, 네트워크 파일용 BranchCache를 선택합니다.On the wizard page Select Server Roles, if you are installing a BranchCache-enabled file server, expand File and Storage Services and File and iSCSI Services, and then select BranchCache for Network Files. 디스크 공간을 절약 하기를 선택할 수도 있습니다는 데이터 중복 제거 역할 서비스를 선택한 다음 마법사를 통해 설치 및 완성을 계속 합니다.To save disk space, you can also select the Data Deduplication role service, and then continue through the wizard to installation and completion. BranchCache 사용 가능 파일 서버를 설치하지 않으려면 네트워크 파일 역할 서비스용 BranchCache로 파일 및 스토리지 서비스 역할을 설치하지 마십시오.If you do not want to install a BranchCache-enabled file server, do not install the File and Storage Services role with the BranchCache for Network Files role service.

  • 마법사 페이지에서 기능 선택, 선택 하는 호스트 캐시 서버를 설치 하는 파일 서버를 콘텐츠 서버를 설치 하는 경우 BranchCache, 선택한 다음 마법사를 통해 설치 및 완성을 계속 합니다.On the wizard page Select features, if you are installing a content server that is not a file server or you are installing a hosted cache server, select BranchCache, and then continue through the wizard to installation and completion. 파일 서버나 호스트 캐시 서버 이외의 콘텐츠 서버를 설치하지 않으려면 BranchCache 기능을 설치하지 마세요.If you do not want to install a content server other than a file server or a hosted cache server, do not install the BranchCache feature.

BranchCache용 운영 체제 버전Operating system versions for BranchCache

다음은 각 BranchCache 기능 유형을 지원하는 운영 체제의 목록입니다.Following is a list of operating systems that support different types of BranchCache functionality.

BranchCache 클라이언트 컴퓨터 기능을 지원하는 운영 체제Operating systems for BranchCache client computer functionality

다음 운영 체제 BITS Background Intelligent Transfer Service (), 하이퍼 텍스트 전송 프로토콜 (HTTP) 및 서버 메시지 블록 (SMB)를 지 원하는 BranchCache를 제공합니다.The following operating systems provide BranchCache with support for Background Intelligent Transfer Service (BITS), Hyper Text Transfer Protocol (HTTP), and Server Message Block (SMB).

  • Windows 10 EnterpriseWindows 10 Enterprise

  • Windows 10 EducationWindows 10 Education

  • Windows 8.1 EnterpriseWindows 8.1 Enterprise

  • Windows 8 EnterpriseWindows 8 Enterprise

  • Windows 7 EnterpriseWindows 7 Enterprise

  • Windows 7 UltimateWindows 7 Ultimate

다음 운영 체제에서 BranchCache HTTP와 SMB 기능을 지원 하지 않지만 비트 BranchCache 기능을 지원 합니다.In the following operating systems, BranchCache does not support HTTP and SMB functionality, but does support BranchCache BITS functionality.

  • Windows 10 Pro 비트만 지원Windows 10 Pro, BITS support only

  • Windows 8.1 Pro 비트만 지원Windows 8.1 Pro, BITS support only

  • Windows 8 Pro 비트만 지원Windows 8 Pro, BITS support only

  • Windows 7 Pro 비트만 지원Windows 7 Pro, BITS support only

참고

BranchCache는 Windows Server 2008 또는 Windows Vista 운영 체제에서 기본적으로 제공 되지 않습니다.BranchCache is not available by default in the Windows Server 2008 or Windows Vista operating systems. 그러나 이러한 운영 체제에서 다운로드 하 고 Windows 관리 프레임 워크 업데이트를 설치 하는 경우 BranchCache 기능을 사용할 수는 BITS Background Intelligent Transfer Service () 프로토콜입니다.On these operating systems, however, if you download and install the Windows Management Framework update, BranchCache functionality is available for the Background Intelligent Transfer Service (BITS) protocol only. 자세한 내용을 확인 하 고 Windows Management Framework를 다운로드 하려면의 Windows Management framework (Windows PowerShell 2.0, WinRM 2.0 및 BITS 4.0) 를 참조 하십시오 https://go.microsoft.com/fwlink/?LinkId=188677 .For more information, and to download Windows Management Framework, see Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0, and BITS 4.0) at https://go.microsoft.com/fwlink/?LinkId=188677.

BranchCache 콘텐츠 서버 기능을 지원하는 운영 체제Operating systems for BranchCache content server functionality

운영 체제의 Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012 제품군은 BranchCache 콘텐츠 서버로 사용할 수 있습니다.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache content servers.

또한는 Windows Server 2008 R2 운영 체제 제품군의를 제외 하 고 다음과 같은 BranchCache 콘텐츠 서버로 사용할 수 있습니다.In addition, the Windows Server 2008 R2 family of operating systems can be used as BranchCache content servers, with the following exceptions:

  • BranchCache는 Hyper-v가 설치 된 Windows Server 2008 R2 Enterprise의 Server Core 설치에서 지원 되지 않습니다.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Enterprise with Hyper-V.

  • BranchCache는 Hyper-v가 설치 된 Windows Server 2008 R2 Datacenter의 Server Core 설치에서 지원 되지 않습니다.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Datacenter with Hyper-V.

BranchCache 호스트 캐시 서버 기능을 지원하는 운영 체제Operating systems for BranchCache hosted cache server functionality

BranchCache 호스트 캐시 서버 운영 체제의 Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012 제품군을 사용할 수 있습니다.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache hosted cache servers.

또한 BranchCache 호스트 캐시 서버는 다음 Windows Server 2008 R2 운영 체제를 사용할 수 있습니다.In addition, the following Windows Server 2008 R2 operating systems can be used as BranchCache hosted cache servers:

  • Windows Server 2008 R2 EnterpriseWindows Server 2008 R2 Enterprise

  • Hyper-v가 설치 된 Windows Server 2008 R2 EnterpriseWindows Server 2008 R2 Enterprise with Hyper-V

  • Windows Server 2008 R2 Enterprise Server Core 설치Windows Server 2008 R2 Enterprise Server Core Installation

  • Windows Server 2008 R2 Enterprise Server Core 설치 Hyper-v가 설치 된Windows Server 2008 R2 Enterprise Server Core Installation with Hyper-V

  • Itanium 기반 시스템용 Windows Server 2008 R2Windows Server 2008 R2 for Itanium-Based Systems

  • Windows Server 2008 R2 DatacenterWindows Server 2008 R2 Datacenter

  • Hyper-v가 설치 된 Windows Server 2008 R2 DatacenterWindows Server 2008 R2 Datacenter with Hyper-V

  • Windows Server 2008 R2 Datacenter Server Core 설치 Hyper-v가 설치 된Windows Server 2008 R2 Datacenter Server Core Installation with Hyper-V

BranchCache 보안BranchCache Security

BranchCache는 기존 네트워크 보안 아키텍처와 함께 원활하게 작동하는 기본 보안 방식을 구현하며, 추가 장비나 복잡한 추가 보안 구성을 사용할 필요가 없습니다.BranchCache implements a secure-by-design approach that works seamlessly alongside your existing network security architectures, without the requirement for additional equipment or complex additional security configuration.

BranchCache는 침투성 솔루션이 아니고 Windows 인증 또는 권한 부여 프로세스를 변경하지 않습니다.BranchCache is non-invasive and does not alter any Windows authentication or authorization processes. BranchCache를 배포한 후에도 인증은 도메인 자격 증명을 사용하여 수행되며 ACL(액세스 제어 목록) 기능을 사용한 권한 부여 방식은 변경되지 않습니다.After you deploy BranchCache, authentication is still performed using domain credentials, and the way in which authorization with Access Control Lists (ACLs) functions is unchanged. 또한 다른 구성도 BranchCache 배포 전과 동일하게 계속 작동합니다.In addition, other configurations continue to function just as they did before BranchCache deployment.

BranchCache 보안 모델은 일련의 해시 형식인 메타데이터 작성을 기반으로 합니다.The BranchCache security model is based on the creation of metadata, which takes the form of a series of hashes. 이러한 해시를 콘텐츠 정보라고도 합니다.These hashes are also called content information.

작성된 콘텐츠 정보는 실제 데이터가 아닌 BranchCache 메시지 교환에서 사용되며 지원되는 프로토콜(HTTP, HTTPS, SMB)을 사용해 교환됩니다.After content information is created, it is used in BranchCache message exchanges rather than the actual data, and it is exchanged using the supported protocols (HTTP, HTTPS, and SMB).

캐시된 데이터는 암호화된 상태로 유지되며 원본 출처의 콘텐츠 액세스 권한이 없는 클라이언트는 해당 데이터에 액세할 수 없습니다.Cached data is kept encrypted and cannot be accessed by clients that do not have permission to access content from the original source. 클라이언트는 원본 콘텐츠 출처에서 인증되고 권한을 부여받아야 콘텐츠 메타데이터를 검색할 수 있으며, 콘텐츠 메타데이터를 소유하고 있어야 로컬 사무실의 캐시에 액세스할 수 있습니다.Clients must be authenticated and authorized by the original content source before they can retrieve content metadata, and must possess content metadata to access the cache in the local office.

BranchCache의 콘텐츠 정보 생성 방법How BranchCache generates content information

콘텐츠 정보는 여러 요소에서 작성되므로 콘텐츠 정보의 값은 항상 고유합니다.Because content information is created from multiple elements, the value of the content information is always unique. 이러한 요소는 다음과 같습니다.These elements are:

  • 해시가 파생되는 실제 콘텐츠(예: 웹 페이지, 공유 파일).The actual content (such as Web pages or shared files) from which the hashes are derived.

  • 해싱 알고리즘, 블록 크기 등의 구성 매개 변수.Configuration parameters, such as the hashing algorithm and block size. 콘텐츠 정보를 생성하기 위해 콘텐츠 서버는 콘텐츠를 여러 세그먼트로 분할한 다음 세그먼트를 다시 블록으로 세분화합니다.To generate content information, the content server divides the content into segments and then subdivides those segments into blocks. BranchCache는 보안 암호화 해시를 사용해 각 블록과 세그먼트를 식별 및 확인하고 SHA256 해시 알고리즘을 지원합니다.BranchCache uses secure cryptographic hashes to identify and verify each block and segment, supporting the SHA256 hash algorithm.

  • 서버 암호.A server secret. 모든 콘텐츠 서버는 임의의 길이로 된 이진 값인 서버 암호를 사용하여 구성해야 합니다.All content servers must be configured with a server secret, which is a binary value of arbitrary length.

참고

서버 암호를 사용하면 클라이언트 컴퓨터가 콘텐츠 정보를 자체적으로 생성할 수 없습니다.The use of a server secret ensures that client computers are not able to generate the content information themselves. 따라서 클라이언트가 이전 버전에는 액세스할 수 있었지만 현재 버전에는 액세스할 수 없는 경우, 악의적인 사용자가 BranchCache 사용 가능 클라이언트 컴퓨터에 무차별 암호 대입 공격(brute force attack)을 사용하여 버전 간의 미세한 콘텐츠 변경 내용을 추측할 수 없습니다.This prevents malicious users from using brute force attacks with BranchCache-enabled client computers to guess minor changes in content across versions in situations in which the client had access to a previous version but does not have access to the current version.

콘텐츠 세부 정보Content information details

BranchCache는 서버 암호를 키로 사용하여 권한이 있는 클라이언트에 발송되는 콘텐츠 관련 해시를 파생시킵니다.BranchCache uses the server secret as a key in order to derive a content-specific hash that is sent to authorized clients. 결합된 서버 암호와 데이터 해시에 해싱 알고리즘을 적용하면 이 해시가 생성됩니다.Applying a hashing algorithm to the combined server secret and the Hash of Data generates this hash.

이 해시를 세그먼트 암호라고 합니다.This hash is called the segment secret. BranchCache는 세그먼트 암호를 사용하여 통신을 보호합니다.BranchCache uses segment secrets to secure communications. 또한 BranchCache는 해시된 데이터 블록 목록인 블록 해시 목록과 블록 해시 목록을 해시하여 생성되는 데이터 해시를 만듭니다.In addition, BranchCache creates a Block Hash List, which is list of hashed data blocks, and the Hash of Data, which is generated by hashing the Block Hash List.

콘텐츠 정보에는 다음 항목이 포함됩니다.The content information includes the following:

  • 블록 해시 목록:The Block Hash List:

    BlockHashi = Hash(dataBlocki) 1<=i<=n

  • HoD(데이터 해시):The Hash of Data (HoD):

    HoD = Hash(BlockHashList)

  • 세그먼트 암호(Kp):Segment Secret (Kp):

    Kp = HMAC(Ks, HoD)

BranchCache는 피어 콘텐츠 캐싱 프로토콜 및 검색 프레임워크 프로토콜을 사용하여 콘텐츠 캐시 간의 데이터 캐싱 및 검색을 안전하게 수행하도록 하는 데 필요한 프로세스를 구현합니다.BranchCache uses the Peer Content Caching protocol and the Retrieval Framework protocol to implement the processes that are required to ensure the secure caching and retrieval of data between content caches.

또한 BranchCache는 실제 콘텐츠 자체를 처리 및 전송할 때 사용하는 것과 같은 수준의 보안으로 콘텐츠 정보를 처리합니다.In addition, BranchCache handles content information with the same degree of security that it uses when handling and transmitting the actual content itself.

콘텐츠 흐름 및 프로세스Content flow and processes

콘텐츠 정보 및 실제 콘텐츠의 흐름은 다음의 네 단계로 구분됩니다.The flow of content information and actual content is divided into four phases:

  1. BranchCache 프로세스: 콘텐츠 요청BranchCache processes: Request content

  2. BranchCache 프로세스: 콘텐츠 찾기BranchCache processes: Locate content

  3. BranchCache 프로세스: 콘텐츠 검색BranchCache processes: Retrieve content

  4. BranchCache 프로세스: 콘텐츠 캐시BranchCache processes: Cache content

다음 섹션에서는 이러한 단계에 대해 설명합니다.The following sections describe these phases.

BranchCache 프로세스: 콘텐츠 요청BranchCache processes: Request content

첫 번째 단계에서는 지점의 클라이언트 컴퓨터가 본사와 같이 원격 위치에 있는 콘텐츠 서버에서 파일 또는 웹 페이지 등의 콘텐츠를 요청합니다.In the first phase, the client computer in the branch office requests content, such as a file or a Web page, from a content server in a remote location, such as a main office. 그러면 콘텐츠 서버에서 클라이언트 컴퓨터가 요청한 콘텐츠를 받을 권한이 있는지 확인합니다.The content server verifies that the client computer is authorized to receive the requested content. 클라이언트 컴퓨터에 권한이 있고 콘텐츠 서버와 클라이언트는 BranchCache 경우-콘텐츠 서버는 콘텐츠 정보 생성을 사용 합니다.If the client computer is authorized and both content server and client are BranchCache-enabled, the content server generates content information.

그런 다음 콘텐츠 서버는 실제 콘텐츠에 사용되는 것과 같은 프로토콜을 사용하여 콘텐츠 정보를 클라이언트 컴퓨터로 보냅니다.The content server then sends the content information to the client computer using the same protocol as would have been used for the actual content.

예를 들어 클라이언트 컴퓨터가 HTTP를 통해 웹 페이지를 요청한 경우 콘텐츠 서버는 HTTP를 사용하여 콘텐츠 정보를 보냅니다.For example, if the client computer requested a Web page over HTTP, the content server sends the content information using HTTP. 따라서 콘텐츠와 콘텐츠 정보의 유선 수준 보안은 동일하게 보장됩니다.Because of this, the wire-level security guarantees of the content and the content information are identical.

클라이언트 컴퓨터는 초기 콘텐츠 정보 부분(데이터 해시 + 세그먼트 암호)를 받으면 다음 작업을 수행합니다.After the initial portion of content information (Hash of Data + Segment Secret) is received, the client computer performs the following actions:

  • 세그먼트 암호(Kp)를 암호화 키(Ke)로 사용합니다.Uses the Segment Secret (Kp) as the encryption key (Ke).

  • Hod 및 Kp에서 세그먼트 ID(HoHoDk)를 생성합니다.Generates the Segment ID (HoHoDk) from the HoD and Kp:

    HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string "MS_P2P_CACHING" with NUL terminator.

이 계정에서 가장 큰 위협은 세그먼트 암호 관련 위험이지만, BranchCache는 콘텐츠 데이터 블록을 암호화함으로써 세그먼트 암호를 보호합니다.The primary threat at this layer is the risk to the Segment Secret, however BranchCache encrypts the content data blocks to protect the Segment Secret. 이를 위해 BranchCache는 콘텐츠 블록이 있는 콘텐츠 세그먼트의 세그먼트 암호에서 파생되는 암호화 키를 사용합니다.BranchCache does this by using the encryption key that is derived from the Segment Secret of the content segment within which the content blocks are located.

이러한 방식이 사용되므로 서버 암호를 소유하고 있지 않은 엔터티는 데이터 블록의 실제 콘텐츠를 검색할 수 없습니다.This approach ensures that an entity that is not in possession of the server secret cannot discover the actual content in a data block. 지정된 세그먼트의 세그먼트 암호를 알고 있으면 엔터티가 피어로부터 세그먼트를 가져와서 암호를 해독할 수 있으므로, 세그먼트 암호는 일반 텍스트 세그먼트와 동일한 수준의 보안으로 처리됩니다.The Segment Secret is treated with the same degree of security as the plaintext segment itself, because knowledge of the Segment Secret for a given segment enables an entity to obtain the segment from peers and then decrypt it. 서버 암호를 확인한다고 해서 특정 일반 텍스트를 즉시 알아낼 수 있는 것은 아니지만, 서버 암호를 사용해 암호화 텍스트에서 특정 유형의 데이터를 파생시킨 다음 부분적으로 알려진 일부 데이터를 무차별 암호 대입 공격(brute force attack)에 노출시킬 수는 있습니다.Knowledge of the Server Secret does not immediately yield any particular plaintext but can be used to derive certain types of data from the cipher text and then to possibly expose some partially known data to a brute-force guessing attack. 따라서 서버 암호는 기밀로 유지해야 합니다.The server secret, therefore, should be kept confidential.

BranchCache 프로세스: 콘텐츠 찾기BranchCache processes: Locate content

클라이언트 컴퓨터에서 콘텐츠 정보를 받으면 클라이언트가 세그먼트 ID를 사용해 로컬 지점 캐시에서 요청한 콘텐츠를 찾습니다. 캐시는 클라이언트 컴퓨터 간에 분산되어 있을 수도 있고, 호스트 캐시 서버에 있을 수도 있습니다.After the content information is received by the client computer, the client uses the Segment ID to locate the requested content in the local branch office cache, whether that cache is distributed between client computers or is located on a hosted cache server.

호스트된 캐시 모드로 구성된 클라이언트 컴퓨터는 호스트 캐시 서버의 컴퓨터 이름으로 구성되며 해당 서버에 연결하여 콘텐츠를 검색합니다.If the client computer is configured for hosted cache mode, it is configured with the computer name of the hosted cache server and contacts that server to retrieve the content.

그러나 클라이언트 컴퓨터가 분산 캐시 모드로 구성된 경우에는 콘텐츠가 지점의 여러 컴퓨터에 있는 여러 캐시에 저장되어 있을 수 있습니다.If the client computer is configured for distributed cache mode, however, the content might be stored across multiple caches on multiple computers in the branch office. 따라서 클라이언트 컴퓨터는 콘텐츠를 검색하기 전에 콘텐츠의 위치를 파악해야 합니다.The client computer must discover where the content is located before the content is retrieved.

분산 캐시 모드로 구성된 클라이언트 컴퓨터는 WS-Discovery(웹 서비스 동적 검색) 프로토콜을 기반으로 하는 검색 프로토콜을 사용하여 콘텐츠를 찾습니다.When they are configured for distributed cache mode, client computers locate content by using a discovery protocol that is based on the Web Services Dynamic Discovery (WS-Discovery) protocol. 클라이언트는 WS-Discovery 멀티캐스트 검색 메시지를 보내 네트워크에서 캐시된 콘텐츠를 검색합니다.Clients send WS-Discovery multicast Probe messages to discover cached content over the network. 검색 메시지에는 세그먼트 ID가 포함되어 있으므로 클라이언트는 요청한 콘텐츠가 해당 캐시에 저장된 콘텐츠와 일치하는지 확인할 수 있습니다.Probe messages include the Segment ID, which enables clients to check whether the requested content matches the content stored in their cache. 초기 검색 메시지를 받은 클라이언트는 세그먼트 ID가 로컬로 캐시된 콘텐츠와 일치하면 유니캐스트 검색 일치 메시지로 쿼리를 보낸 클라이언트에 회신합니다.Clients that receive the initial Probe message reply to the querying client with unicast Probe-Match messages if the Segment ID matches content that is cached locally.

WS-Discovery 프로세스가 정상적으로 진행되는지는 검색을 수행하는 클라이언트가 요청 대신 콘텐츠에 대한 올바른 콘텐츠 정보(콘텐츠 서버에서 제공함)를 보유하고 있는지에 따라 달라집니다.The success of the WS-Discovery process depends on the fact that the client that is performing the discovery has the correct content information, which was provided by the content server, for the content that it is requesting.

콘텐츠 요청 단계의 주요 데이터 위협은 정보 노출입니다. 콘텐츠 정보에 액세스할 수 있으면 콘텐츠 액세스 권한이 있을 수 있기 때문입니다.The main threat to data during the Request content phase is information disclosure, because access to the content information implies authorized access to content. 이 위험을 완화하기 위해 검색 프로세스에서는 세그먼트 ID 이외의 콘텐츠 정보를 노출하지 않습니다. 즉, 콘텐츠를 포함하는 일반 텍스트 세그먼트에 대한 어떤 정보도 노출되지 않습니다.To mitigate this risk, the discovery process does not reveal the content information, other than the Segment ID, which does not reveal anything about the plaintext segment that contains the content.

또한 같은 네트워크 서브넷에서 악의적인 사용자가 실행하는 다른 클라이언트 컴퓨터가 라우터를 통해 원래 콘텐츠 원본으로 이동하는 BranchCache 검색 트래픽을 볼 수도 있습니다.In addition, another client computer run by a malicious user on the same network subnet can see the BranchCache discovery traffic to the original content source going through the router.

요청한 콘텐츠가 지점에 없으면 클라이언트는 WAN 연결을 통해 콘텐츠 서버에서 콘텐츠를 직접 요청합니다.If the requested content is not found in the branch office, the client requests the content directly from the content server across the WAN link.

저장된 콘텐츠는 클라이언트 컴퓨터나 호스트 캐시 서버의 로컬 캐시에 추가됩니다.After the content is received, it is added to the local cache, either on the client computer or on a hosted cache server. 이 경우 콘텐츠 정보는 클라이언트 또는 호스트 캐시 서버가 해시와 일치하지 않는 콘텐츠를 로컬 캐시에 추가하지 못하도록 합니다.In this case, the content information prevents a client or hosted cache server from adding to the local cache any content that does not match the hashes. 일치하는 해시로 콘텐츠를 확인하는 프로세스를 통해 유효한 콘텐츠만 캐시에 추가할 수 있으며 로컬 캐시의 무결성을 보호할 수 있습니다.The process of verifying content by matching hashes ensures that only valid content is added to the cache, and the integrity of the local cache is protected.

BranchCache 프로세스: 콘텐츠 검색BranchCache processes: Retrieve content

클라이언트 컴퓨터는 콘텐츠 호스트(호스트된 캐시 서버 또는 분산 캐시 모드 클라이언트 컴퓨터)에서 원하는 콘텐츠를 찾으면 콘텐츠 검색 프로세스를 시작합니다.After a client computer locates the desired content on the content host, which is either a hosted cache server or a distributed cache mode client computer, the client computer begins the process of retrieving the content.

먼저 클라이언트 컴퓨터는 필요한 첫 번째 블록에 대한 요청을 콘텐츠 호스트로 보냅니다.First the client computer sends a request to the content host for the first block that it requires. 이 요청에는 원하는 콘텐츠를 식별하는 세그먼트 ID와 블록 범위가 포함됩니다.The request contains the Segment ID and block range that identify the desired content. 블록은 하나만 반환되므로 블록 범위에도 블록이 하나만 포함됩니다.Because only one block is returned, the block range contains only a single block. 여러 블록에 대 한 요청은 현재 지원 되지 않습니다. 또한 클라이언트는 로컬의 해결 되지 않은 요청 목록에 요청을 저장 합니다.(Requests for multiple blocks are currently not supported.) The client also stores the request in its local Outstanding Request List.

클라이언트에서 유효한 요청 메시지를 받을 때 콘텐츠 호스트는 요청에 지정 된 블록이 콘텐츠 호스트의 콘텐츠 캐시에 있는지 여부를 확인 합니다.Upon receiving a valid request message from a client, the content host checks whether the block specified in the request exists in the content host's content cache.

콘텐츠 호스트는 콘텐츠 블록을 소유하고 있는 경우 세그먼트 ID, 블록 ID, 암호화된 데이터 블록 및 초기화 벡터(블록을 암호화하는 데 사용됨)가 포함된 응답을 보냅니다.If the content host is in possession of the content block, then the content host sends a response that contains the Segment ID, the Block ID, the encrypted data block, and the initialization vector that is used for encrypting the block.

콘텐츠 호스트는 콘텐츠 블록을 소유하고 있지 않은 경우 빈 응답 메시지를 보냅니다.If the content host is not in possession of the content block, the content host sends an empty response message. 그러면 콘텐츠 호스트가 요청된 블록을 소유하고 있지 않음을 클라이언트 컴퓨터에 알리게 됩니다.This informs the client computer that the content host does not have the requested block. 빈 응답 메시지에는 요청된 블록의 세그먼트 ID와 블록 ID, 크기가 0인 데이터 블록이 포함됩니다.An empty response message contains the Segment ID and Block ID of the requested block, along with a zero-sized data block.

클라이언트 컴퓨터는 콘텐츠 호스트에서 응답을 받으면 메시지가 해결되지 않은 요청 목록의 요청 메시지에 해당하는지 확인합니다.When the client computer receives the response from the content host, the client verifies that the message corresponds to a request message in its Outstanding Request List. 세그먼트 ID 및 블록 인덱스가 해결되지 않은 요청의 세그먼트 ID 및 블록 인덱스와 일치해야 합니다.(The Segment ID and block index must match that of an outstanding request.)

이 확인 프로세스에 실패하는 경우 클라이언트 컴퓨터의 해결되지 않은 요청 목록에 해당하는 요청 메시지가 없으면 클라이언트 컴퓨터가 메시지를 삭제합니다.If this verification process is unsuccessful and the client computer does not have a corresponding request message in its Outstanding Request List, the client computer discards the message.

이 확인 프로세스에 성공하는 경우 클라이언트 컴퓨터의 해결되지 않은 요청 목록에 해당하는 요청 메시지가 있으면 클라이언트 컴퓨터가 블록을 암호화합니다.If this verification process is successful and the client computer has a corresponding request message in its Outstanding Request List, the client computer decrypts the block. 그런 다음 클라이언트는 원본 콘텐츠 서버에서 처음 가져온 콘텐츠 정보의 적절한 블록 해시에 대해 암호 해독한 블록의 유효성을 검사합니다.The client then validates the decrypted block against the appropriate block hash from the content information that the client initially obtained from the original content server.

블록 유효성 검사에 성공하면 암호가 해독된 블록이 캐시에 저장됩니다.If the block validation is successful, the decrypted block is stored in the cache.

클라이언트가 필요한 모든 블록을 얻을 때까지 이 프로세스가 반복됩니다.This process is repeated until the client has all of the required blocks.

참고

한 컴퓨터에 콘텐츠 전체 세그먼트가 존재하지 않는 경우 검색 프로토콜은 일련의 분산 캐시 모드 클라이언트 컴퓨터, 호스트 캐시 서버, 본사의 원본 콘텐츠 서버(지점 캐시에 전체 콘텐츠가 포함되지 않은 경우) 등으로 구성된 원본 조합에서 콘텐츠를 검색하고 어셈블합니다.If the complete segments of content do not exist on one computer, the retrieval protocol retrieves and assembles content from a combination of sources: a set of distributed cache mode client computers, a hosted cache server, and - if the branch office caches do not contain the complete content - the original content server in the main office.

BranchCache가 콘텐츠 정보 또는 콘텐츠를 보내기 전에 데이터가 암호화됩니다.Before BranchCache sends content information or content, the data is encrypted. BranchCache는 응답 메시지의 블록을 암호화합니다.BranchCache encrypts the block in the response message. Windows 7에서 BranchCache를 사용 하는 기본 암호화 알고리즘은 S-128 암호화 키는 Ke이 고 키 크기는 128 비트 암호화 알고리즘에 따라.In Windows 7, the default encryption algorithm that BranchCache uses is AES-128, the encryption key is Ke, and the key size is 128 bits, as dictated by the encryption algorithm.

BranchCache는 암호화 알고리즘에 적합한 초기화 벡터를 생성하고 암호화 키를 사용하여 블록을 암호화합니다.BranchCache generates an initialization vector that is suitable for the encryption algorithm and uses the encryption key to encrypt the block. 그러면 BranchCache가 암호화 알고리즘 및 초기화 벡터를 메시지에 기록합니다.BranchCache then records the encryption algorithm and the initialization vector in the message.

서버와 클라이언트는 암호화 키를 교환 또는 공유하거나 보내지 않습니다.Servers and clients never exchange, share, or send each other the encryption key. 클라이언트는 원본 콘텐츠를 호스팅하는 콘텐츠 서버에서 암호화 키를 받습니다.The client receives the encryption key from the content server that hosts the source content. 즉, 서버에서 받은 초기화 벡터 및 암호화 알고리즘을 사용하여 블록 암호를 해독합니다.Then, using the encryption algorithm and initialization vector it received from the server, it decrypts the block. 다운로드 프로토콜에서 기본적으로 제공되는 기타 명시적 인증 또는 권한 부여 기능은 없습니다.There is no other explicit authentication or authorization built into the download protocol.

보안 위협Security threats

이 계층의 주요 보안 위협은 다음과 같습니다.The primary security threats at this layer include:

  • 데이터 변조:Tampering with data:

    요청자에게 데이터를 제공하는 클라이언트가 데이터를 변조할 수 있습니다.A client serving data to a requester tampers with the data. BranchCache 보안 모델은 해시를 사용하여 클라이언트와 서버가 모두 데이터를 변경하지 않았는지 확인합니다.The BranchCache security model uses hashes to confirm that neither the client nor the server has altered the data.

  • 정보 노출:Information disclosure:

    BranchCache는 적절한 세그먼트 ID를 지정하는 모든 클라이언트에 암호화된 콘텐츠를 보냅니다.BranchCache sends encrypted content to any client that specifies the appropriate Segment ID. 세그먼트 ID는 공용이므로 모든 클라이언트가 암호화된 콘텐츠를 받을 수 있습니다.Segment IDs are public, so any client can receive encrypted content. 그러나 악의적인 사용자가 암호화된 콘텐츠를 입수하는 경우 암호화 키를 알아야 콘텐츠 암호를 해독할 수 있습니다.However, if a malicious user obtains encrypted content, they must know the encryption key to decrypt the content. 상위 계층 프로토콜에서는 인증을 수행한 다음 권한이 부여되었고 인증된 클라이언트에 콘텐츠 정보를 제공합니다.The upper layer protocol performs authentication and then gives the content information to the authenticated and authorized client. 콘텐츠 정보의 보안은 콘텐츠 자체에 대해 제공되는 보안과 동일하며, BranchCache는 콘텐츠 정보를 노출하지 않습니다.The security of the content information is equivalent to the security provided to the content itself, and BranchCache never exposes the content information.

    공격자가 콘텐츠를 얻기 위해 전송 회선을 스니핑할 수 있습니다.An attacker sniffs the wire to obtain the content. BranchCache는 AES128(암호 키: Ke)을 사용하여 클라이언트 간의 모든 전송을 암호화함으로써 유선상에서 데이터 스니핑을 방지합니다.BranchCache encrypts all transfers between clients by using AES128 where the secret key is Ke, preventing data from being sniffed from the wire. 콘텐츠 서버에서 다운로드되는 콘텐츠 정보는 데이터 자체가 보호되는 것과 정확히 같은 방식으로 보호되므로, BranchCache를 사용하지 않는 경우 정보 노출로부터 보호되는 수준과 동일하게 보호됩니다.Content information that is downloaded from the content server is protected in exactly the same way as the data itself would have been and is hence no more or less protected from information disclosure than if BranchCache had not been used at all.

  • 서비스 거부:Denial of Service:

    클라이언트의 데이터 요청이 비정상적으로 많은 경우에 해당합니다.A client is overwhelmed by requests for data. BranchCache 프로토콜은 큐 관리 카운터와 타이머를 통합하여 클라이언트의 오버로드를 방지합니다.BranchCache protocols incorporate queue management counters and timers to prevent clients from being overloaded.

BranchCache 프로세스: 콘텐츠 캐시BranchCache processes: Cache content

지점에 있는 분산 캐시 모드 클라이언트 컴퓨터와 호스트 캐시 서버에서는 WAN 연결을 통해 콘텐츠를 검색하면 시간이 지남에 따라 콘텐츠 캐시가 작성됩니다.On distributed cache mode client computers and hosted cache servers that are located in branch offices, content caches are built up over time as content is retrieved over WAN links.

호스트된 캐시 모드로 구성된 클라이언트 컴퓨터는 자체 로컬 캐시에 콘텐츠를 추가할 뿐만 아니라 호스트 캐시 서버에도 데이터를 제공합니다.When client computers are configured with hosted cache mode, they add content to their own local cache and also offer data to the hosted cache server. 호스트된 캐시 프로토콜은 클라이언트가 콘텐츠 및 세그먼트 사용 가능성을 호스트 캐시 서버에 알리도록 하는 메커니즘을 제공합니다.The Hosted Cache Protocol provides a mechanism for clients to inform the hosted cache server about content and segment availability.

호스트 콘텐츠 서버에 콘텐츠를 업로드하기 위해 클라이언트는 사용 가능한 세그먼트가 있음을 서버에 알립니다.To upload content to the hosted cache server, the client informs the server that it has a segment that is available. 그러면 호스트 캐시 서버는 제공된 세그먼트와 연결되어 있는 모든 콘텐츠 정보를 검색하며 실제로 필요한 세그먼트 내의 블록을 다운로드합니다.The hosted cache server then retrieves all of the content information that is associated with the offered segment, and downloads the blocks within the segment that it actually needs. 호스트 캐시 서버에 제공할 세그먼트가 더 이상 클라이언트에 남아 있지 않을 때까지 이 프로세스가 반복됩니다.This process is repeated until the client has no more segments to offer the hosted cache server.

호스트된 캐시 프로토콜을 사용하여 호스트 캐시 서버를 업데이트하려면 다음 요구 사항을 충족해야 합니다.To update the hosted cache server by using the Hosted Cache Protocol, the following requirements must be met:

  • 클라이언트 컴퓨터가 호스트 캐시 서버에 제공할 수 있는 세그먼트 내에 블록 집합이 포함되어 있어야 합니다.The client computer is required to have a set of blocks within a segment that it can offer to the hosted cache server. 클라이언트는 제공된 세그먼트에 대한 콘텐츠 정보를 제공해야 합니다. 이 세그먼트는 세그먼트 ID, 세그먼트 데이터 해시, 세그먼트 암호 및 세그먼트 내에 포함된 모든 블록 해시 목록으로 구성됩니다.The client must supply content information for the offered segment; this is comprised of the Segment ID, the segment Hash of Data, the Segment Secret, and a list of all block hashes that are contained within the segment.

  • 호스트 캐시에 대 한 인증서와 연결 된 프라이빗 키에는 Windows Server 2008 R2, 호스트 캐시 서버를 실행 하는 서버 필수 이며 인증서를 발급 한 인증 기관 (CA) 지점에서 클라이언트 컴퓨터에서 신뢰할 수 있어야 합니다.For hosted cache servers that are running Windows Server 2008 R2, a hosted cache server certificate and associated private key are required, and the certification authority (CA) that issued the certificate must be trusted by client computers in the branch office. 그러면 클라이언트와 서버가 HTTPS 서버 인증에 정상적으로 참가할 수 있습니다.This allows the client and server to participate successfully in HTTPS Server authentication.

    중요

    호스트 캐시 서버 인증서와 연결 된 프라이빗 키에는 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012를 실행 하는 호스트 캐시 서버가 필요 하지 않습니다.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2 , or Windows Server 2012 do not require a hosted cache server certificate and associated private key.

  • 클라이언트 컴퓨터는 호스트 캐시 서버가 BranchCache 트래픽을 수신 대기하는 TCP(Transmission Control Protocol) 포트 번호와 호스트 캐시 서버의 컴퓨터 이름을 사용해 구성되어 있어야 합니다.The client computer is configured with the computer name of the hosted cache server and the Transmission Control Protocol (TCP) port number upon which the hosted cache server is listening for BranchCache traffic. 호스트 캐시 서버 인증서는이 포트에 바인딩되어 있습니다.The hosted cache server's certificate is bound to this port. 호스트 캐시 서버의 컴퓨터 이름은 호스트 캐시 서버가 도메인 구성원 컴퓨터인 경우 FQDN(정규화된 도메인 이름)일 수 있으며, 호스트된 캐시 서버가 도메인 구성원이 아닌 경우에는 컴퓨터의 NetBIOS 이름일 수 있습니다.The computer name of the hosted cache server can be a fully qualified domain name (FQDN), if the hosted cache server is a domain member computer; or it can be the NetBIOS name of the computer if the hosted cache server is not a domain member.

  • 클라이언트 컴퓨터가 들어오는 블록 요청을 능동적으로 수신 대기해야 합니다.The client computer actively listens for incoming block requests. 클라이언트 컴퓨터가 수신 대기하는 포트는 클라이언트의 제공 메시지 중 일부로 호스트 캐시 서버에 전달됩니다.The port on which it is listening is passed as part of the offer messages from the client to the hosted cache server. 따라서 호스트 캐시 서버가 BranchCache 프로토콜을 사용해 클라이언트 컴퓨터에 연결하여 세그먼트의 데이터 블록을 검색할 수 있습니다.This enables the hosted cache server to use BranchCache protocols to connect to the client computer to retrieve data blocks in the segment.

  • 호스트 캐시 서버는 초기화 시에 들어오는 HTTP 요청 수신 대기를 시작해야 합니다.The hosted cache server starts to listen for incoming HTTP requests when it is initialized.

  • 호스트 캐시 서버가 클라이언트 컴퓨터 인증을 요구하도록 구성된 경우 클라이언트 및 호스트 캐시 컴퓨터가 모두 HTTPS 인증을 지원해야 합니다.If the hosted cache server is configured to require client computer authentication, both the client and the hosted cache server are required to support HTTPS authentication.

호스트 캐시 모드 캐시 채우기Hosted cache mode cache population

지점의 호스트 캐시 서버의 캐시에 콘텐츠 추가 과정은 클라이언트 id입니다. 세그먼트를 포함 하는 INITIAL_OFFER_MESSAGE를 보내면 시작The process of adding content to the hosted cache server's cache in a branch office begins when the client sends an INITIAL_OFFER_MESSAGE, which includes the Segment ID. INITIAL_OFFER_MESSAGE 요청의 세그먼트 ID는 호스트 캐시 서버의 블록 캐시에서 해당 하는 세그먼트 데이터 해시, 블록 해시 목록 및 세그먼트 암호를 검색에 사용 됩니다.The Segment ID in the INITIAL_OFFER_MESSAGE request is used to retrieve the corresponding segment Hash of Data, list of block hashes, and the Segment Secret from the hosted cache server's block cache. 호스트 캐시 서버에 특정 세그먼트에 대한 모든 콘텐츠 정보가 이미 있으면 INITIAL_OFFER_MESSAGE에 대한 정보는 OK가 되며 블록 다운로드 요청이 수행되지 않습니다.If the hosted cache server already has all the content information for a particular segment, the response to the INITIAL_OFFER_MESSAGE will be OK, and no request to download blocks occurs.

세그먼트의 블록 해시와 연결되어 있는 제공된 데이터 블록이 호스트 캐시 서버에 모두 포함되어 있지 않으면 INITIAL_OFFER_MESSAGE에 대한 응답은 INTERESTED가 됩니다.If the hosted cache server does not have all of the offered data blocks that are associated with the block hashes in the segment, the response to the INITIAL_OFFER_MESSAGE is INTERESTED. 그러면 클라이언트에서 제공되는 단일 세그먼트를 설명하는 SEGMENT_INFO_MESSAGE를 보냅니다.The client then sends a SEGMENT_INFO_MESSAGE that describes the single segment that is being offered. 호스트 캐시 서버는 OK 메시지로 응답하고 세그먼트를 제공하는 클라이언트 컴퓨터에서 누락된 블록 다운로드를 시작합니다.The hosted cache server responds with an OK message and initiates the download of the missing blocks from the offering client computer.

세그먼트 데이터 해시, 블록 해시 목록 및 세그먼트 암호는 다운로드 중인 콘텐츠가 변조되거나 변경되지 않았음을 확인하는 데 사용됩니다.The segment Hash of Data, list of block hashes, and the segment secret are used to ensure that the content that is being downloaded has not been tampered with or otherwise altered. 다운로드된 블록은 호스트 캐시 서버의 블록 캐시에 추가됩니다.The downloaded blocks are then added to the hosted cache server's block cache.

캐시 보안Cache Security

이 섹션에서는 BranchCache가 클라이언트 컴퓨터와 호스트 캐시 서버의 캐시된 데이터를 보호하는 방법에 대해 설명합니다.This section provides information on how BranchCache secures cached data on client computers and on hosted cache servers.

클라이언트 컴퓨터 캐시 보안Client computer cache security

BranchCache에 저장된 데이터에 대한 가장 큰 위협은 변조입니다.The greatest threat to data stored in the BranchCache is tampering. 공격자가 캐시에 저장된 콘텐츠 및 콘텐츠 정보를 변조할 수 있으면 이를 통해 BranchCache를 사용하는 컴퓨터에 대한 공격을 시작할 수 있습니다.If an attacker can tamper with content and content information that is stored in the cache, then it might be possible to use this to try and launch an attack against the computers that are using BranchCache. 공격자는 다른 데이터 위치에 악성 소프트웨어를 삽입하는 방법으로 공격을 시작합니다.Attackers can initiate an attack by inserting malicious software in place of other data. BranchCache는 콘텐츠 정보에 있는 블록 해시를 사용하여 모든 콘텐츠의 유효성을 검사함으로써 이 위협을 완화합니다.BranchCache mitigates this threat by validating all content using block hashes found in the content information. 공격자의 이 데이터 변조 시도는 무시되며 변조된 데이터는 원래 출처의 유효한 데이터로 바뀝니다.If an attacker attempts to tamper with this data, it is discarded and is replaced with valid data from the original source.

BranchCache에 저장된 데이터에 대한 두 번째 위협은 정보 노출입니다.A secondary threat to data stored in the BranchCache is information disclosure. 분산 캐시 모드에서 클라이언트는 자체적으로 요청한 콘텐츠만 캐시합니다. 그러나 해당 데이터는 일반 텍스트로 저장되므로 위험할 수 있습니다.In distributed cache mode, the client caches only the content that it has requested itself; however, that data is stored in clear text, and might be at risk. 캐시 액세스를 BranchCache 서비스로만 제한하기 위해 로컬 캐시는 ACL에 지정된 파일 시스템 권한으로 보호됩니다.To help restrict cache access to the BranchCache Service only, the local cache is protected by file system permissions that are specified in an ACL.

ACL은 권한이 없는 사용자가 캐시에 액세스하지 못하도록 차단하는 데 유용하기는 하지만, 관리 권한이 있는 사용자가 ACL에 지정된 사용 권한을 수동으로 변경하여 캐시 액세스 권한을 얻을 수 있습니다.Although the ACL is effective in preventing unauthorized users from accessing the cache, it is possible for a user with administrative privileges to gain access to the cache by manually changing the permissions that are specified in the ACL. BranchCache는 관리 계정의 악의적인 사용으로부터 캐시를 보호하지는 않습니다.BranchCache does not protect against the malicious use of an administrative account.

콘텐츠 캐시에 저장되는 데이터는 암호화되지 않으므로 데이터 유출 위험이 있는 경우 BitLocker 또는 EFS(파일 시스템 암호화)와 같은 암호화 기술을 사용할 수 있습니다.Data that is stored in the content cache is not encrypted, so if data leakage is a concern, you can use encryption technologies such as BitLocker or the Encrypting File System (EFS). BranchCache에서 사용하는 로컬 캐시로 인해 지점의 컴퓨터로 인한 정보 노출 위협이 증가하지는 않습니다. 캐시에는 디스크의 다른 위치에서 암호화되지 않은 상태로 유지되는 파일의 복사본만 포함됩니다.The local cache that is used by BranchCache does not increase the information disclosure threat borne by a computer in the branch office; the cache contains only copies of files that reside unencrypted elsewhere on the disk.

클라이언트의 실제 보안을 유지하기 어려운 환경에서는 전체 디스크를 암호화하는 것이 특히 중요합니다.Encrypting the entire disk is particularly important in environments in which the physical security of the clients is difficult to ensure. 예를 들어 전체 디스크를 암호화하면 지점 환경에서 제거될 수 있는 중요한 데이터를 모바일 컴퓨터에서 보호할 수 있습니다.For example, encrypting the entire disk helps to secure sensitive data on mobile computers that might be removed from the branch office environment.

호스트 캐시 서버 캐시 보안Hosted cache server cache security

호스트 캐시 모드에서 호스트 캐시 서버의 보안에 대한 가장 큰 위협은 정보 노출입니다.In hosted cache mode, the greatest threat to the security of the hosted cache server is information disclosure. 호스트 캐시 환경의 BranchCache는 분산 캐시 모드에서와 비슷하게 동작하며, 파일 시스템 권한을 통해 캐시된 데이터를 보호합니다.BranchCache in a hosted cache environment behaves in a similar manner to distributed cache mode, with file system permission protecting the cached data. 두 모드의 차이는, 호스트 캐시 서버의 경우 단일 클라이언트가 요청하는 데이터뿐만이 아니라 지점의 BranchCache 사용 가능 컴퓨터가 요청하는 모든 콘텐츠를 저장한다는 점입니다.The difference is that the hosted cache server stores all of the content that any BranchCache-enabled computer in the branch office requests, rather than just the data that a single client requests. 이 캐시에 무단으로 침입하는 경우 훨씬 더 많은 데이터가 위험에 노출되므로, 그 결과가 매우 심각해질 수 있습니다The consequences of unauthorized intrusion into this cache could be much more serious, because much more data is at risk.

호스트 캐시 서버가 실행 되 고 있는 Windows Server 2008 R2 호스트 캐시 환경에서는 BitLocker 또는 EFS와 같은 암호화 기술을 사용 하는 WAN 연결을 통해 중요 한 데이터를 액세스할 수 있는 지점에서 클라이언트의 경우 것이 좋습니다.In a hosted cache environment where the hosted cache server is running Windows Server 2008 R2, the use of encryption technologies such as BitLocker or EFS is advisable if any of the clients in the branch office can access sensitive data across the WAN link. 또한 디스크 암호화는 공격자가 실제 액세스 권한을 얻는 경우 컴퓨터가 꺼져 있어야 작동하므로 호스트 캐시에 대한 실제 액세스도 차단해야 합니다.It is also necessary to prevent physical access to the hosted cache, because disk encryption works only when the computer is turned off when the attacker gains physical access. 컴퓨터가 켜져 있거나 절전 모드 상태일 때는 디스크 암호화가 보호 기능을 거의 제공하지 못합니다.If the computer is turned on or is in sleep mode, then disk encryption offers little protection.

참고

Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012를 실행 하는 호스트 캐시 서버는 추가 암호화 기술을 사용 하 여 필요 하지 않도록 기본적으로 캐시의 모든 데이터를 암호화 합니다.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012 encrypt all data in the cache by default, so the use of additional encryption technologies is not required.

호스트된 캐시 모드로 구성된 클라이언트도 데이터를 계속 로컬로 캐시하므로, 호스트 캐시 서버의 캐시 외에 로컬 캐시를 보호하는 단계도 수행할 수 있습니다.Even if a client is configured in hosted cache mode, it will still cache data locally, and you might want to take steps to protect the local cache in addition to the cache on the hosted cache server.