BranchCacheBranchCache

Aplica-se a: Windows Server (canal semestral), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Este tópico, que é direcionado a profissionais de TI (tecnologia da informação), fornece informações gerais sobre o BranchCache, incluindo os modos, os recursos e as capacidades do BranchCache, bem como a funcionalidade do BranchCache disponível em sistemas operacionais diferentes.This topic, which is intended for Information Technology (IT) professionals, provides overview information about BranchCache, including BranchCache modes, features, capabilities, and the BranchCache functionality that is available in different operating systems.

Observação

Além deste tópico, a seguinte documentação do BranchCache está disponível.In addition to this topic, the following BranchCache documentation is available.

Quem estaria interessado no BranchCache?Who will be interested in BranchCache?

Se você for um administrador do sistema, rede ou arquiteto de soluções de armazenamento ou outro profissional de TI, BranchCache poderá ser útil nas seguintes circunstâncias:If you are a system administrator, network or storage solution architect, or other IT professional, BranchCache might interest you under the following circumstances:

  • Durante o design ou suporte de uma infraestrutura de TI para uma organização com dois ou mais locais físicos e uma conexão por WAN (rede de longa distância) das filiais para a matriz.You design or support IT infrastructure for an organization that has two or more physical locations and a wide area network (WAN) connection from the branch offices to the main office.

  • Durante o design ou suporte de uma infraestrutura de TI para uma organização que implantou tecnologias na nuvem e tem uma conexão por WAN usada por funcionários para acessar dados e aplicativos em locais remotos.You design or support IT infrastructure for an organization that has deployed cloud technologies, and a WAN connection is used by workers to access data and applications at remote locations.

  • Você deseja otimizar o uso de largura de banda de WAN por meio da redução da quantidade de tráfego de rede entre as filiais e a matriz.You want to optimize WAN bandwidth usage by reducing the amount of network traffic between branch offices and the main office.

  • Você implantou ou planeja implantar, na matriz, servidores de conteúdo que correspondam ás configurações descritas neste tópico.You have deployed or are planning on deploying content servers at your main office that match the configurations that are described in this topic.

  • Os computadores cliente em suas filiais estão executando o Windows 10, Windows 8.1, Windows 8 ou Windows 7.The client computers in your branch offices are running Windows 10, Windows 8.1, Windows 8, or Windows 7 .

Este tópico inclui as seções a seguir:This topic includes the following sections:

O que é BranchCache?What is BranchCache?

BranchCache é uma tecnologia de otimização de largura de banda (WAN) de rede de longa distância que é incluída em algumas edições dos sistemas operacionais Windows 10 e Windows Server 2016, bem como em algumas edições do Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8 , Windows Server 2008 R2 e Windows 7.BranchCache is a wide area network (WAN) bandwidth optimization technology that is included in some editions of the Windows Server 2016 and Windows 10 operating systems, as well as in some editions of Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 and Windows 7. Para otimizar a largura de banda de WAN quando os usuários acessam conteúdo em servidores remotos, o BranchCache busca o conteúdo dos servidores de conteúdo da matriz ou da nuvem hospedada e o armazena em cache nas filiais, permitindo que os computadores cliente das filiais acessem o conteúdo localmente e não pela WAN.To optimize WAN bandwidth when users access content on remote servers, BranchCache fetches content from your main office or hosted cloud content servers and caches the content at branch office locations, allowing client computers at branch offices to access the content locally rather than over the WAN.

Nas filiais, o conteúdo é armazenado em servidores que estão configurados para hospedar o cache ou, quando nenhum servidor está disponível na filial, em computadores cliente que estão executando o Windows 10, Windows 8.1, Windows 8 ou Windows 7.At branch offices, content is stored either on servers that are configured to host the cache or, when no server is available in the branch office, on client computers that are running Windows 10, Windows 8.1, Windows 8 or Windows 7. Depois que um computador cliente solicitar e receber o conteúdo da matriz e o conteúdo for armazenado em cache na filial, outros computadores da mesma filial poderão obter o conteúdo localmente em vez baixar o conteúdo do servidor de conteúdo pelo link WAN.After a client computer requests and receives content from the main office and the content is cached at the branch office, other computers at the same branch office can obtain the content locally rather than downloading the content from the content server over the WAN link.

Quando solicitações subsequentes do mesmo conteúdo são realizadas pelos computadores clientes, são baixadas do servidor informações sobre o conteúdo em vez do conteúdo propriamente dito.When subsequent requests for the same content are made by client computers, the clients download content information from the server instead of the actual content. As informações de conteúdo consistem em hashes calculados usando partes do conteúdo original. Elas são extremamente pequenas quando comparadas ao conteúdo nos dados originais.Content information consists of hashes that are calculated using chunks of the original content, and are extremely small compared to the content in the original data. Os computadores clientes usam as informações de conteúdo para localizar o conteúdo de um cache na filial, esteja ela localizada em um computador cliente ou servidor.Client computers then use the content information to locate the content from a cache in the branch office, whether the cache is located on a client computer or on a server. Os computadores clientes e servidores também usam informações de conteúdo para proteger conteúdo em cache, de modo que ele não possa ser acessado por usuários não autorizados.Client computers and servers also use content information to secure cached content so that it cannot be accessed by unauthorized users.

O BranchCache aumenta a produtividade dos usuários finais, melhorando os tempos de resposta a consultas de conteúdo para clientes e servidores em filiais. Além disso, ele também pode ajudar a aprimorar o desempenho de rede por meio da redução do tráfego por links WAN.BranchCache increases end user productivity by improving content query response times for clients and servers in branch offices, and can also help improve network performance by reducing traffic over WAN links.

Modos do BranchCacheBranchCache modes

O BranchCache tem dois modos de operação: o modo de cache distribuído e o modo de cache hospedado.BranchCache has two modes of operation: distributed cache mode and hosted cache mode.

Quando você implanta o BranchCache no modo de cache distribuído, o cache de conteúdo na filial é distribuída entre os computadores clientes.When you deploy BranchCache in distributed cache mode, the content cache at a branch office is distributed among client computers.

Quando você implanta o BranchCache no modo de cache hospedado, o cache de conteúdo em uma filial é hospedado em um ou mais servidores, que são chamados de servidores de cache hospedado.When you deploy BranchCache in hosted cache mode, the content cache at a branch office is hosted on one or more server computers, which are called hosted cache servers.

Observação

Você pode implantar o BranchCache usando os dois modos, mas apenas um deles pode ser usado por filial.You can deploy BranchCache using both modes, however only one mode can be used per branch office. Por exemplo, se você tiver duas filiais, uma com um servidor e outra sem, será possível implantar o BranchCache no modo de cache hospedado no escritório que possui o servidor e implantar a solução no modo de cache distribuído no escritório que tem apenas computadores clientes.For example, if you have two branch offices, one which has a server and one which does not, you can deploy BranchCache in hosted cache mode in the office that contains a server, while deploying BranchCache in distributed cache mode in the office that contains only client computers.

Na ilustração a seguir, o BranchCache é implantado nos dois modos.In the following illustration, BranchCache is deployed in both modes.

Modos do BranchCache

O modo de cache distribuído é mais adequado para filiais pequenas que não possuem servidor local para uso como servidor da cache hospedado.Distributed cache mode is best suited for small branch offices that do not contain a local server for use as a hosted cache server. O modo de cache distribuído permite a implantação do BranchCache nas filiais sem hardware adicional.Distributed cache mode allows you to deploy BranchCache with no additional hardware in branch offices.

Se a filial na qual você deseja implantar o BranchCache contiver infraestrutura adicional, como um ou mais servidores executando outras cargas de trabalho, a implantação do BranchCache em modo de cache hospedado será vantajosa pelos seguintes motivos:If the branch office where you want to deploy BranchCache contains additional infrastructure, such as one or more servers that are running other workloads, deploying BranchCache in hosted cache mode is beneficial for the following reasons:

Maior disponibilidade de cacheIncreased cache availability

O modo de cache hospedado aumenta a eficiência de cache porque o conteúdo estará disponível mesmo se o cliente que solicitou e armazenou os dados em cache originalmente estiver offline.Hosted cache mode increases the cache efficiency because content is available even if the client that originally requested and cached the data is offline. Como o servidor de cache hospedado está sempre disponível, mais conteúdo é armazenado em cache, proporcionando maiores economias de largura de banda de WAN e aumentando a eficiência do BranchCache.Because the hosted cache server is always available, more content is cached, providing greater WAN bandwidth savings, and BranchCache efficiency is improved.

Cache centralizado para filiais com várias sub-redesCentralized caching for multiple-subnet branch offices

O modo de cache distribuído funciona em uma única sub-rede.Distributed cache mode operates on a single subnet. Em uma filial com várias sub-redes configurada para o modo de cache distribuído, um arquivo baixado em uma sub-rede não poder ser compartilhado com computadores clientes em outras sub-redes.At a multiple-subnet branch office that is configured for distributed cache mode, a file downloaded to one subnet cannot be shared with client computers on other subnets.

Em função disso, os clientes em outras sub-redes, incapazes de descobrirem que o arquivo já foi baixado, obtêm o arquivo do servidor de conteúdo da matriz, usando a largura de banda de WAN no processo.Because of this, clients on other subnets, unable to discover that the file has already been downloaded, get the file from the main office content server, using WAN bandwidth in the process.

Porém, não é o caso quando você implanta o modo de cache hospedado, pois todos os clientes em uma filial com várias sub-redes podem acessar um único cache, armazenado no servidor de cache hospedado, mesmo que os clientes estejam em sub-redes diferentes.When you deploy hosted cache mode, however, this is not the case - all clients in a multiple-subnet branch office can access a single cache, which is stored on the hosted cache server, even if the clients are on different subnets. Além disso, o BranchCache no Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 fornece a capacidade de implantar mais de um servidor de cache hospedado por filial.In addition, BranchCache in Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 provides the ability to deploy more than one hosted cache server per branch office.

Cuidado

Se você usa o BranchCache para cache SMB de arquivos e pastas, não desabilite Arquivos Offline.If you use BranchCache for SMB caching of files and folders, do not disable Offline Files. Se você desabilitar Arquivos Offline, o cache SMB do BranchCache não funcionará corretamente.If you disable Offline Files, BranchCache SMB caching does not function correctly.

Servidores de conteúdo habilitado para BranchCacheBranchCache-enabled content servers

Quando você implanta o BranchCache, o conteúdo de origem é armazenado no BranchCache servidores de conteúdo habilitados no seu escritório principal ou em um data center na nuvem.When you deploy BranchCache, the source content is stored on BranchCache-enabled content servers in your main office or in a cloud data center. Os seguintes tipos de servidores de conteúdo são suportados pelo BranchCache:The following types of content servers are supported by BranchCache:

Observação

Somente conteúdo de origem - ou seja, conteúdo de computadores clientes obtêm inicialmente de um servidor de conteúdo habilitado para BranchCache - é acelerado pelo BranchCache.Only source content - that is, content that client computers initially obtain from a BranchCache-enabled content server - is accelerated by BranchCache. O conteúdo que os computadores clientes obtêm diretamente de outras origens, como servidores Web na Internet ou Windows Update, não é armazenado em cache por computadores clientes ou servidores de cache hospedado, nem compartilhado com outros computadores na filial.Content that client computers obtain directly from other sources, such as Web servers on the Internet or Windows Update, is not cached by client computers or hosted cache servers and then shared with other computers in the branch office. Se você quiser acelerar o conteúdo de atualização do Windows, no entanto, você pode instalar um servidor de aplicativos do Windows Server Update Services (WSUS) no seu escritório principal ou data center na nuvem e configurá-lo como um servidor de conteúdo do BranchCache.If you want to accelerate Windows Update content, however, you can install a Windows Server Update Services (WSUS) application server at your main office or cloud data center and configure it as a BranchCache content server.

Servidores da WebWeb servers

Servidores Web compatíveis incluem computadores que executam o Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 que têm a função de servidor servidor Web (IIS) instalada e que usam o protocolo HTTP (Hypertext Transfer) ou Secure HTTP ( HTTPS).Supported Web servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the Web Server (IIS) server role installed and that use Hypertext Transfer Protocol (HTTP) or HTTP Secure (HTTPS).

Além disso, o servidor Web deve ter o recurso BranchCache instalado.In addition, the Web server must have the BranchCache feature installed.

Servidores de arquivosFile servers

Servidores de arquivos com suporte incluem computadores que executam o Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 e que têm a função de servidor Serviços de arquivo e o BranchCache para o serviço de função de arquivos de rede instalado.Supported file servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the File Services server role and the BranchCache for Network Files role service installed.

Esses servidores de arquivos usam o protocolo SMB (Server Message Block) para trocar informações entre computadores.These file servers use Server Message Block (SMB) to exchange information between computers. Depois de concluir a instalação do servidor de arquivos, você também deve compartilhar pastas e habilitar a geração de hash para pastas compartilhadas usando a Política de Grupo ou Política de Grupo Local para habilitar o BranchCache.After you complete installation of your file server, you must also share folders and enable hash generation for shared folders by using Group Policy or Local Computer Policy to enable BranchCache.

Servidores de aplicativosApplication servers

Servidores de aplicativos com suporte incluem computadores que executam o Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 com o serviço de transferência inteligente de plano de plano de fundo (BITS) instalado e habilitado.Supported application servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 with Background Intelligent Transfer Service (BITS) installed and enabled.

Além disso, o servidor de aplicativos deve ter o recurso BranchCache instalado.In addition, the application server must have the BranchCache feature installed. Como exemplos de servidores de aplicativos, você pode implantar servidores Microsoft Windows Server Update Services (WSUS) e o Microsoft System Center Configuration Manager Branch Distribution Point como servidores de conteúdo do BranchCache.As examples of application servers, you can deploy Microsoft Windows Server Update Services (WSUS) and Microsoft System Center Configuration Manager Branch Distribution Point servers as BranchCache content servers.

BranchCache e a nuvemBranchCache and the cloud

A nuvem tem um grande potencial de redução das despesas operacionais e obtenção de novos níveis de dimensionamento. Porém, afastar as cargas de trabalho das pessoas que dependem delas podem aumentar os custos de rede e prejudicar a produtividade.The cloud has enormous potential to reduce operational expenses and achieve new levels of scale, but moving workloads away from the people who depend on them can increase networking costs and hurt productivity. Os usuários desejam alto desempenho e não importa onde seus aplicativos e dados estão hospedados.Users expect high performance and don't care where their applications and data are hosted.

O BranchCache pode aprimorar o desempenho de aplicativos em rede e reduzir o consumo de largura de banda com um cache compartilhado de dados.BranchCache can improve the performance of networked applications and reduce bandwidth consumption with a shared cache of data. Ele aumenta a produtividade em filiais e matrizes, nas quais os funcionários usam servidores implantados na nuvem.It improves productivity in branch offices and in headquarters, where workers are using servers that are deployed in the cloud.

Como o BranchCache não exige novo hardware nem mudanças na topologia de rede, ele é uma solução excelente para melhorar as comunicações entre matrizes em nuvens privadas ou públicas.Because BranchCache does not require new hardware or network topology changes, it is an excellent solution for improving communication between office locations and both public and private clouds.

Observação

Porque alguns proxies da Web não podem processar os cabeçalhos de codificação de conteúdo não padrão, é recomendável que você usar o BranchCache com Hyper texto HTTPS Transfer Protocol Secure () e não HTTP.Because some Web proxies cannot process non-standard Content-Encoding headers, it is recommended that you use BranchCache with Hyper Text Transfer Protocol Secure (HTTPS) and not HTTP.

= = = Para obter mais informações sobre as tecnologias de nuvem no Windows Server 2016, consulte rede definida pelo Software (SDN).======= For more information about cloud technologies in Windows Server 2016, see Software Defined Networking (SDN).

Versões de informações de conteúdoContent information versions

Há duas versões das informações de conteúdo:There are two versions of content information:

  • Informações de conteúdo que é compatíveis com computadores que executam o Windows Server 2008 R2 e Windows 7 são chamadas de versão 1 ou V1.Content information that is compatible with computers running Windows Server 2008 R2 and Windows 7 is called version 1, or V1. Com a segmentação de arquivos do BranchCache V1, os segmentos de arquivos são maiores do que na V2 e possuem tamanho fixo.With V1 BranchCache file segmentation, file segments are larger than in V2 and are of fixed size. Por causa dos grandes segmentos fixos, quando um usuário faz uma alteração que modifica ao tamanho do arquivo, o segmento com a alteração é invalidado, bem como todos os segmentos no fim do arquivo.Because of large fixed segment sizes, when a user makes a change that modifies the file length, not only is the segment with the change invalidated, but all of the segments to the end of the file are invalidated. A próxima chamada ao arquivo alterado feita por outro usuário na filial leva à redução da economia de largura de banda de WAN, pois o conteúdo alterado e todo o conteúdo após a alteração são enviados pelo link WAN.The next call for the changed file by another user in the branch office therefore results in reduced WAN bandwidth savings because the changed content and all content after the change are sent over the WAN link.

  • Informações de conteúdo que é compatíveis com computadores que executam o Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012 e Windows 8 são chamadas versão 2 ou V2.Content information that is compatible with computers running Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, and Windows 8 is called version 2, or V2. As informações de conteúdo V2 utilizam segmentos menores e de tamanho variável, mais tolerantes a alterações em um arquivo.V2 content information uses smaller, variable-sized segments that are more tolerant to changes within a file. Isso aumenta a probabilidade de reutilização de segmentos de uma versão anterior do arquivo quando os usuários acessam uma versão atualizada, fazendo com que eles recuperem somente a parte alterada do arquivo do servidor de conteúdo e usem menos largura de banda da WAN.This increases the probability that segments from an older version of the file can be reused when users access an updated version, causing them to retrieve only the changed portion of the file from the content server, and using less WAN bandwidth.

A tabela a seguir fornece informações sobre a versão de informações de conteúdo usada, dependendo dos sistemas operacionais de cliente, servidor de conteúdo e servidor de cache utilizados na implantação do BranchCache.The following table provides information on the content information version that is used depending upon which client, content server, and hosted cache server operating systems you are using in your BranchCache deployment.

Observação

Na tabela a seguir, a sigla "SO" significa o sistema operacional.In the table below, the acronym "OS" means operating system.

SO clienteClient OS SO de servidor de conteúdoContent Server OS SO de servidor de cache hospedadoHosted Cache Server OS Versões das informações de conteúdoContent Information Version
Windows Server 2008 R2 e Windows 7Windows Server 2008 R2 and Windows 7 Windows Server 2012 ou posteriorWindows Server 2012 or later Windows Server 2012 ou posterior; Nenhum para o modo de cache distribuídoWindows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 ou posterior; Windows 8 ou posteriorWindows Server 2012 or later; Windows 8 or later Windows Server 2008 R2Windows Server 2008 R2 Windows Server 2012 ou posterior; Nenhum para o modo de cache distribuídoWindows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 ou posterior; Windows 8 ou posteriorWindows Server 2012 or later; Windows 8 or later Windows Server 2012 ou posteriorWindows Server 2012 or later Windows Server 2008 R2Windows Server 2008 R2 V1V1
Windows Server 2012 ou posterior; Windows 8 ou posteriorWindows Server 2012 or later; Windows 8 or later Windows Server 2012 ou posteriorWindows Server 2012 or later Windows Server 2012 ou posterior; Nenhum para o modo de cache distribuídoWindows Server 2012 or later; none for distributed cache mode V2V2

Quando você tiver servidores de conteúdo e servidores de cache hospedado que executam o Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012, eles usam a versão de informações de conteúdo que é apropriada com base no sistema operacional do cliente do BranchCache que solicita as informações.When you have content servers and hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, they use the content information version that is appropriate based on the operating system of the BranchCache client that requests information.

Quando os computadores que executam o Windows Server 2012 e Windows 8 ou sistemas operacionais posteriores solicitam conteúdo, os servidores de cache hospedado e de conteúdo usam informações de conteúdo V2; Quando os computadores que executam o Windows Server 2008 R2 e Windows 7 solicitam conteúdo, os servidores de cache hospedado e conteúdo usar informações de conteúdo V1.When computers running Windows Server 2012 and Windows 8 or later operating systems request content, the content and hosted cache servers use V2 content information; when computers running Windows Server 2008 R2 and Windows 7 request content, the content and hosted cache servers use V1 content information.

Importante

Quando você implanta o BranchCache no modo de cache distribuído, os clientes que utilizam versões de informações de conteúdo diferentes não compartilham conteúdo uns com os outros.When you deploy BranchCache in distributed cache mode, clients that use different content information versions do not share content with each other. Por exemplo, um computador cliente que executam o Windows 7 e um computador cliente executando o Windows 10 que estão instalados na mesma filial não compartilham conteúdo uns com os outros.For example, a client computer running Windows 7 and a client computer running Windows 10 that are installed in the same branch office do not share content with each other.

Como o BranchCache manipula atualizações de conteúdo em arquivosHow BranchCache handles content updates in files

Quando os usuários das filiais modificar ou atualizar o conteúdo de documentos, suas alterações são gravadas diretamente para o servidor de conteúdo na sede da empresa sem o envolvimento do BranchCache.When branch office users modify or update the contents of documents, their changes are written directly to the content server in the main office without BranchCache's involvement. Isso ocorre independentemente se o usuário baixou o documento do servidor de conteúdo ou o obteve de um cache distribuído ou hospedado na filial.This is true whether the user downloaded the document from the content server or obtained it from either a hosted or distributed cache in the branch office.

Quando o arquivo modificado é solicitado por um cliente diferente em uma filial, os novos segmentos do arquivo são baixados do servidor da sede e adicionados ao cache distribuído ou hospedado na filial.When the modified file is requested by a different client in a branch office, the new segments of the file are downloaded from the main office server and added to the distributed or hosted cache in that branch. Por isso, os usuários das filiais sempre recebem as versões mais recentes do conteúdo armazenado em cache.Because of this, branch office users always receive the most recent versions of cached content.

Guia de instalação do BranchCacheBranchCache installation guide

Você pode usar o Gerenciador do servidor no Windows Server 2016 para instalar o recurso BranchCache ou o BranchCache para o serviço de função de arquivos de rede da função de servidor Serviços de arquivo.You can use Server Manager in Windows Server 2016 to install either the BranchCache feature or the BranchCache for Network Files role service of the File Services server role. Você pode usar a tabela a seguir para determinar se deve instalar o serviço de função ou o recurso.You can use the following table to determine whether to install the role service or the feature.

FuncionalidadeFunctionality Local no computadorComputer location Instalar este elemento do BranchCacheInstall this BranchCache element
Servidor de conteúdo (servidor de aplicativos baseados em BITS)Content server (BITS-based application server) Matriz ou datacenter na nuvemMain office or cloud data center Recurso BranchCacheBranchCache feature
Servidor de conteúdo (servidor Web)Content server (Web server) Matriz ou datacenter na nuvemMain office or cloud data center Recurso BranchCacheBranchCache feature
Servidor de conteúdo (servidor de arquivos usando o protocolo SMB)Content server (file server using the SMB protocol) Matriz ou datacenter na nuvemMain office or cloud data center Serviço de função BranchCache para Arquivos de Rede da função de servidor Serviços de ArquivoBranchCache for Network Files role service of the File Services server role
Servidor de cache hospedadoHosted cache server FilialBranch office Recurso BranchCache com modo de servidor de cache hospedado habilitadoBranchCache feature with hosted cache server mode enabled
Computador cliente habilitado por BranchCacheBranchCache-enabled client computer FilialBranch office Nenhuma instalação é necessária; Basta habilitar o BranchCache e um modo BranchCache (distribuído ou hospedado) no clienteNo installation needed; just enable BranchCache and a BranchCache mode (distributed or hosted) on the client

Para instalar o serviço de função ou o recurso, abra o Gerenciador do Servidor e selecione os computadores nos quais deseja habilitar a funcionalidade BranchCache.To install either the role service or the feature, open Server Manager and select the computers where you want to enable BranchCache functionality. No Gerenciador do Servidor, clique em Gerenciare depois em Adicionar Funções e Recursos.In Server Manager, click Manage, and then click Add Roles and Features. O assistente Adicionar Funções e Recursos será aberto.The Add Roles and Features wizard opens. Conforme executa o assistente, faça as seguintes seleções:As you run the wizard, make the following selections:

  • Na página do assistente Selecione o tipo de instalação, selecione Instalação Baseada em Função ou Recursos.On the wizard page Select Installation Type, select Role-based or Feature-based Installation.

  • Na página do assistente selecionar funções do servidor, se você estiver instalando um servidor de arquivos habilitado para BranchCache, expanda serviços de arquivo e armazenamento e serviços de arquivo e iSCSI, e em seguida, selecione BranchCache para arquivos de rede.On the wizard page Select Server Roles, if you are installing a BranchCache-enabled file server, expand File and Storage Services and File and iSCSI Services, and then select BranchCache for Network Files. Para economizar espaço em disco, você também pode selecionar o eliminação de duplicação de dados função de serviço e, em seguida, continue no Assistente para instalação e a conclusão.To save disk space, you can also select the Data Deduplication role service, and then continue through the wizard to installation and completion. Se você não quiser instalar um servidor de arquivos habilitado para BranchCache, não instale a função Serviços de arquivo e armazenamento com o BranchCache para arquivos de rede.If you do not want to install a BranchCache-enabled file server, do not install the File and Storage Services role with the BranchCache for Network Files role service.

  • Na página do assistente selecionar recursos, se você estiver instalando um servidor de conteúdo que não é um servidor de arquivos ou se estiver instalando um servidor de cache hospedado, selecione BranchCachee, em seguida, continue no Assistente para instalação e a conclusão.On the wizard page Select features, if you are installing a content server that is not a file server or you are installing a hosted cache server, select BranchCache, and then continue through the wizard to installation and completion. Se não quiser instalar um servidor de conteúdo além do servidor de arquivos ou um servidor de cache hospedado, não instale o recurso BranchCache.If you do not want to install a content server other than a file server or a hosted cache server, do not install the BranchCache feature.

Versões do sistema operacional para BranchCacheOperating system versions for BranchCache

A seguir está uma lista de sistemas operacionais que dão tipos diferentes de suporte à funcionalidade BranchCache.Following is a list of operating systems that support different types of BranchCache functionality.

Sistemas operacionais para a funcionalidade de computador cliente BranchCacheOperating systems for BranchCache client computer functionality

Os seguintes sistemas operacionais fornecem BranchCache com suporte para o serviço de transferência inteligente em segundo plano (BITS), o Hyper texto Transfer Protocol (HTTP) e o bloco de mensagens de servidor (SMB).The following operating systems provide BranchCache with support for Background Intelligent Transfer Service (BITS), Hyper Text Transfer Protocol (HTTP), and Server Message Block (SMB).

  • Windows 10 EnterpriseWindows 10 Enterprise

  • Windows 10 EducationWindows 10 Education

  • Windows 8.1 EnterpriseWindows 8.1 Enterprise

  • Windows 8 EnterpriseWindows 8 Enterprise

  • Windows 7 EnterpriseWindows 7 Enterprise

  • Windows 7 UltimateWindows 7 Ultimate

Nos seguintes sistemas operacionais, o BranchCache não oferece suporte a funcionalidades HTTP e o SMB, mas oferece suporte a funcionalidade BranchCache BITS.In the following operating systems, BranchCache does not support HTTP and SMB functionality, but does support BranchCache BITS functionality.

  • Windows 10 Pro, BITS suportam apenasWindows 10 Pro, BITS support only

  • Windows 8.1 Pro, BITS suportam apenasWindows 8.1 Pro, BITS support only

  • Windows 8 Pro, BITS suportam apenasWindows 8 Pro, BITS support only

  • Windows 7 Pro, BITS suportam apenasWindows 7 Pro, BITS support only

Observação

BranchCache não está disponível por padrão nos sistemas operacionais Windows Server 2008 ou Windows Vista.BranchCache is not available by default in the Windows Server 2008 or Windows Vista operating systems. Nesses sistemas operacionais, no entanto, se você baixar e instala a atualização do Windows Management Framework, a funcionalidade do BranchCache está disponível para apenas o protocolo de serviço de transferência inteligente em segundo plano (BITS).On these operating systems, however, if you download and install the Windows Management Framework update, BranchCache functionality is available for the Background Intelligent Transfer Service (BITS) protocol only. Para obter mais informações e baixar o Windows Management Framework, consulte Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0 e BITS 4.0) em https://go.microsoft.com/fwlink/?LinkId=188677.For more information, and to download Windows Management Framework, see Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0, and BITS 4.0) at https://go.microsoft.com/fwlink/?LinkId=188677.

Sistemas operacionais para a funcionalidade de servidor de conteúdo BranchCacheOperating systems for BranchCache content server functionality

Você pode usar os Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 famílias de sistemas operacionais como servidores de conteúdo do BranchCache.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache content servers.

Além disso, a família Windows Server 2008 R2 dos sistemas operacionais pode ser usada como servidores de conteúdo do BranchCache, com as seguintes exceções:In addition, the Windows Server 2008 R2 family of operating systems can be used as BranchCache content servers, with the following exceptions:

  • Não há suporte para o BranchCache em instalações Server Core do Windows Server 2008 R2 Enterprise com Hyper-V.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Enterprise with Hyper-V.

  • Não há suporte para o BranchCache em instalações Server Core do Windows Server 2008 R2 Datacenter com o Hyper-V.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Datacenter with Hyper-V.

Sistemas operacionais para a funcionalidade de servidor de cache hospedado do BranchCacheOperating systems for BranchCache hosted cache server functionality

Você pode usar os Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 famílias de sistemas operacionais como servidores de cache hospedado do BranchCache.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache hosted cache servers.

Além disso, os seguintes sistemas operacionais Windows Server 2008 R2 podem ser usados como servidores de cache hospedado do BranchCache:In addition, the following Windows Server 2008 R2 operating systems can be used as BranchCache hosted cache servers:

  • Windows Server 2008 R2 EnterpriseWindows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Enterprise com Hyper-VWindows Server 2008 R2 Enterprise with Hyper-V

  • Instalação do Windows Server 2008 R2 Enterprise Server CoreWindows Server 2008 R2 Enterprise Server Core Installation

  • Windows Server 2008 R2 Enterprise instalação Server Core com o Hyper-VWindows Server 2008 R2 Enterprise Server Core Installation with Hyper-V

  • Windows Server 2008 R2 for Itanium-Based SystemsWindows Server 2008 R2 for Itanium-Based Systems

  • Windows Server 2008 R2 DatacenterWindows Server 2008 R2 Datacenter

  • Windows Server 2008 R2 Datacenter com o Hyper-VWindows Server 2008 R2 Datacenter with Hyper-V

  • Windows Server 2008 R2 Datacenter Server Core Installation com o Hyper-VWindows Server 2008 R2 Datacenter Server Core Installation with Hyper-V

Segurança do BranchCacheBranchCache Security

O BranchCache implementa uma abordagem segura por design, que trabalha de forma ininterrupta juntamente com as arquiteturas de segurança de rede existentes, dispensando outros equipamentos ou configurações de segurança adicionais complexas.BranchCache implements a secure-by-design approach that works seamlessly alongside your existing network security architectures, without the requirement for additional equipment or complex additional security configuration.

O BranchCache não é invasivo e não altera processo de autenticação ou autorização do Windows.BranchCache is non-invasive and does not alter any Windows authentication or authorization processes. Após a implantação do BranchCache, a autenticação ainda é realizada usando credenciais de domínio, e o modo no qual a organização com ACLs (listas de controle de acesso) funciona é inalterado.After you deploy BranchCache, authentication is still performed using domain credentials, and the way in which authorization with Access Control Lists (ACLs) functions is unchanged. Além disso, outras configurações continuam a funcionar do mesmo modo antes da implantação do BranchCache.In addition, other configurations continue to function just as they did before BranchCache deployment.

O modelo de segurança do BranchCache é baseado na criação de metadados, que assumem a forma de uma série de hashes.The BranchCache security model is based on the creation of metadata, which takes the form of a series of hashes. Esses hashes também são chamados de informações de conteúdo.These hashes are also called content information.

Depois que as informações de conteúdo são criadas, elas são usadas em trocas de mensagens do BranchCache no lugar dos dados reais e são trocadas usando os protocolos com suporte (HTTP, HTTPS e SMB).After content information is created, it is used in BranchCache message exchanges rather than the actual data, and it is exchanged using the supported protocols (HTTP, HTTPS, and SMB).

Os dados em cache permanecem criptografados e não podem ser acessados por clientes sem permissão de acesso a conteúdo da origem original.Cached data is kept encrypted and cannot be accessed by clients that do not have permission to access content from the original source. Os clientes devem ser autenticados e autorizados pela origem de conteúdo original antes que possam recuperar metadados de conteúdo. Além disso, eles devem possuir metadados de conteúdo para acessar o cache no escritório local.Clients must be authenticated and authorized by the original content source before they can retrieve content metadata, and must possess content metadata to access the cache in the local office.

Como o BranchCache gera as informações de conteúdoHow BranchCache generates content information

Como as informações de conteúdo são criadas a partir de vários elementos, seu valor é sempre único.Because content information is created from multiple elements, the value of the content information is always unique. Esses elementos são:These elements are:

  • O conteúdo real (como páginas da Web ou arquivos compartilhados) do qual os hashes são derivados.The actual content (such as Web pages or shared files) from which the hashes are derived.

  • Parâmetros de configuração, como algoritmo de hash e tamanho do bloco.Configuration parameters, such as the hashing algorithm and block size. Para gerar informações de conteúdo, o servidor divide o conteúdo em segmentos e os subdivide em blocos.To generate content information, the content server divides the content into segments and then subdivides those segments into blocks. O BranchCache usa hashes criptográficos seguros para identificar e verificar cada bloco e segmento, com suporte ao algoritmo de hash SHA256.BranchCache uses secure cryptographic hashes to identify and verify each block and segment, supporting the SHA256 hash algorithm.

  • Um segredo do servidor.A server secret. Todos os servidores de conteúdo devem ser configurados com um segredo do servidor, que é um valor binário de comprimento arbitrário.All content servers must be configured with a server secret, which is a binary value of arbitrary length.

Observação

O uso de um segredo do servidor garante que os computadores clientes não são capazes de gerar informações de conteúdo por conta própria.The use of a server secret ensures that client computers are not able to generate the content information themselves. Isso evita que usuários mal-intencionados usem ataques de força bruta com computadores clientes habilitados pelo BranchCache para detectar alterações pequenas no conteúdo entre versões diferentes, em situações em que o cliente tinha acesso a uma verão anterior, mas não tem acesso à versão atual.This prevents malicious users from using brute force attacks with BranchCache-enabled client computers to guess minor changes in content across versions in situations in which the client had access to a previous version but does not have access to the current version.

Detalhes das informações de conteúdoContent information details

O BranchCache usa o segredo do servidor como uma chave para derivar um hash específico de conteúdo, que é enviado a clientes autorizados.BranchCache uses the server secret as a key in order to derive a content-specific hash that is sent to authorized clients. A aplicação de um algoritmo de hash ao segredo do servidor combinado e ao hash de dados gera esse hash.Applying a hashing algorithm to the combined server secret and the Hash of Data generates this hash.

Ele é chamado de segredo de segmento.This hash is called the segment secret. O BranchCache usa segredos de segmento para proteger comunicações.BranchCache uses segment secrets to secure communications. Além disso, o BranchCache cria uma lista de hashes de blocos, com blocos de dados em hash, e o hash de dados que é gerado pelo hash dessa lista.In addition, BranchCache creates a Block Hash List, which is list of hashed data blocks, and the Hash of Data, which is generated by hashing the Block Hash List.

As informações de conteúdo incluem:The content information includes the following:

  • A lista de hashes de blocos:The Block Hash List:

    BlockHashi = Hash(dataBlocki) 1<=i<=n

  • O hash de dados (HoD):The Hash of Data (HoD):

    HoD = Hash(BlockHashList)

  • Segredo de segmento (Kp):Segment Secret (Kp):

    Kp = HMAC(Ks, HoD)

O BranchCache usa o protocolo de Cache de Conteúdo de Ponta e o protocolo de Estrutura de Recuperação a fim de implementar os processos necessários para garantir a segurança do armazenamento em cache e recuperação de dados entre caches de conteúdo.BranchCache uses the Peer Content Caching protocol and the Retrieval Framework protocol to implement the processes that are required to ensure the secure caching and retrieval of data between content caches.

Além disso, o BranchCache manipula as informações de conteúdo com o mesmo nível de segurança usado ao manipular e transmitir o próprio conteúdo real.In addition, BranchCache handles content information with the same degree of security that it uses when handling and transmitting the actual content itself.

Processos e fluxo de conteúdoContent flow and processes

O fluxo das informações de conteúdo e do conteúdo real é dividido em quatro fases:The flow of content information and actual content is divided into four phases:

  1. Processos do BranchCache: Conteúdo da solicitaçãoBranchCache processes: Request content

  2. Processos do BranchCache: Localizar conteúdoBranchCache processes: Locate content

  3. Processos do BranchCache: Recuperar conteúdoBranchCache processes: Retrieve content

  4. Processos do BranchCache: Cache contentBranchCache processes: Cache content

As seções a seguir descrevem essas fases.The following sections describe these phases.

Processos do BranchCache: solicitar conteúdoBranchCache processes: Request content

Na primeira fase, o computador cliente na filial solicita conteúdo (como um arquivo ou página da Web) de um servidor de conteúdo em um local remoto, como uma matriz.In the first phase, the client computer in the branch office requests content, such as a file or a Web page, from a content server in a remote location, such as a main office. O servidor de conteúdo verifica se o computador cliente está autorizado a receber o conteúdo solicitado.The content server verifies that the client computer is authorized to receive the requested content. Se o computador cliente está autorizado e o cliente e servidor de conteúdo são BranchCache-habilitado, o servidor de conteúdo gerará informações de conteúdo.If the client computer is authorized and both content server and client are BranchCache-enabled, the content server generates content information.

Em seguida, o servidor de conteúdo envia as informações de conteúdo ao computador cliente usando o mesmo protocolo que seria usado para o conteúdo real.The content server then sends the content information to the client computer using the same protocol as would have been used for the actual content.

Por exemplo, se o computador cliente tiver solicitado uma página da Web por HTTP, o servidor de conteúdo enviará as informações de conteúdo usando HTTP.For example, if the client computer requested a Web page over HTTP, the content server sends the content information using HTTP. Por causa disso, as garantias de segurança em nível de transmissão do conteúdo e das informações de conteúdo são idênticas.Because of this, the wire-level security guarantees of the content and the content information are identical.

Após o recebimento da porção inicial das informações de conteúdo (hash de dados + segredo de segmento), o computador cliente realiza a seguintes ações:After the initial portion of content information (Hash of Data + Segment Secret) is received, the client computer performs the following actions:

  • Use o segredo de segmento (Kp) como chave de criptografia (Ke).Uses the Segment Secret (Kp) as the encryption key (Ke).

  • Gera o ID do segmento (HoHoDk) do HoD e Kp:Generates the Segment ID (HoHoDk) from the HoD and Kp:

    HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string "MS_P2P_CACHING" with NUL terminator.

A principal ameaça nesta camada é o risco para o segredo de segmento, mas o BranchCache criptografa os blocos de dados de conteúdo para protegê-lo.The primary threat at this layer is the risk to the Segment Secret, however BranchCache encrypts the content data blocks to protect the Segment Secret. O BranchCache faz isso usando a chave de criptografia derivada do segredo do segmento de conteúdo no qual os blocos de conteúdo estão localizados.BranchCache does this by using the encryption key that is derived from the Segment Secret of the content segment within which the content blocks are located.

Essa abordagem garante que uma entidade que não possua o segredo de segmento não possa descobrir o conteúdo real em um bloco de dados.This approach ensures that an entity that is not in possession of the server secret cannot discover the actual content in a data block. O segredo de segmento é tratado com o mesmo nível de segurança que o segmento em texto não criptografado, pois o conhecimento do segredo de um determinado segmento permite que uma entidade obtenha o segmento a partir de pares e o descriptografe.The Segment Secret is treated with the same degree of security as the plaintext segment itself, because knowledge of the Segment Secret for a given segment enables an entity to obtain the segment from peers and then decrypt it. O conhecimento do segredo de servidor não produz texto não criptografados, mas pode ser usado paras derivar certos tipos de dados do texto codificado e possivelmente expor dados parcialmente conhecidos a um ataque de adivinhação pro força bruta.Knowledge of the Server Secret does not immediately yield any particular plaintext but can be used to derive certain types of data from the cipher text and then to possibly expose some partially known data to a brute-force guessing attack. Por isso, o segredo de servidor deve ser confidencial.The server secret, therefore, should be kept confidential.

Processos do BranchCache: localizar conteúdoBranchCache processes: Locate content

Depois que as informações de conteúdo são recebidas pelo computador cliente, o cliente usa o ID do segmento para localizar o conteúdo solicitado no cache local da filial, esteja ele distribuído entre computadores clientes ou localizado em um servidor de cache hospedado.After the content information is received by the client computer, the client uses the Segment ID to locate the requested content in the local branch office cache, whether that cache is distributed between client computers or is located on a hosted cache server.

Se o computador cliente estiver configurado para o modo de cache hospedado, ele será configurado com o nome do computador do servidor de cache hospedado e entrará em contato com o servidor para recuperar o conteúdo.If the client computer is configured for hosted cache mode, it is configured with the computer name of the hosted cache server and contacts that server to retrieve the content.

Porém, se o computador cliente estiver configurado para o modo de cache distribuído, o conteúdo poderá ser armazenados entre vários caches em diversos computadores da filial.If the client computer is configured for distributed cache mode, however, the content might be stored across multiple caches on multiple computers in the branch office. O computador cliente deve descobrir onde o conteúdo está localizado antes de recuperá-lo.The client computer must discover where the content is located before the content is retrieved.

Quando estão configurados para o modo de cache distribuído, os computadores clientes localizam conteúdo usando um protocolo de descoberta baseado no protocolo WS-Discovery.When they are configured for distributed cache mode, client computers locate content by using a discovery protocol that is based on the Web Services Dynamic Discovery (WS-Discovery) protocol. Os clientes enviam mensagens de sondagem multicast WS-Discovery para descobrir conteúdo em cache pela rede.Clients send WS-Discovery multicast Probe messages to discover cached content over the network. Essas mensagens incluem o ID do segmento, que permite que os clientes verifique se o conteúdo solicitado corresponde ao armazenado em cache.Probe messages include the Segment ID, which enables clients to check whether the requested content matches the content stored in their cache. Os clientes que recebem a mensagem de sondagem inicial respondem ao cliente da consulta com mensagens de correspondência de sondagem unicast quando o ID do segmento corresponde ao conteúdo armazenado em cache local.Clients that receive the initial Probe message reply to the querying client with unicast Probe-Match messages if the Segment ID matches content that is cached locally.

Para que o processo WS-Discovery obtenha êxito, o cliente que realiza a descoberta deve ter as informações de conteúdo corretas (fornecidas pelo servidor de conteúdo) para o conteúdo solicitado.The success of the WS-Discovery process depends on the fact that the client that is performing the discovery has the correct content information, which was provided by the content server, for the content that it is requesting.

A ameaça principal aos dados durante a fase de solicitação de conteúdo é a divulgação das informações, pois o acesso às informações de conteúdo implica em acesso autorizado ao conteúdo.The main threat to data during the Request content phase is information disclosure, because access to the content information implies authorized access to content. Para eliminar esse risco, o processo de descoberta não revela as informações de conteúdo, somente o ID do segmento, que não revela nada sobre o segmento em texto não criptografado com o conteúdo.To mitigate this risk, the discovery process does not reveal the content information, other than the Segment ID, which does not reveal anything about the plaintext segment that contains the content.

Além disso, outro computador cliente executado por um usuário mal-intencionado na mesma sub-rede pode ver o tráfego de descoberta do BranchCache para a origem de conteúdo original passando pelo roteador.In addition, another client computer run by a malicious user on the same network subnet can see the BranchCache discovery traffic to the original content source going through the router.

Se o conteúdo solicitado não for encontrado na filial, o cliente solicitará o conteúdo diretamente do servidor de conteúdo pelo link WAN.If the requested content is not found in the branch office, the client requests the content directly from the content server across the WAN link.

Depois que o conteúdo é recebido, ele é adicionado ao cache local, seja no computador cliente ou no servidor de cache hospedado.After the content is received, it is added to the local cache, either on the client computer or on a hosted cache server. Nesse caso, as informações de conteúdo evitam que um cliente ou servidor de cache hospedado adicione ao cache local qualquer conteúdo que não corresponda aos hashes.In this case, the content information prevents a client or hosted cache server from adding to the local cache any content that does not match the hashes. O processo de verificação do conteúdo por meio da correspondência de hashes garante que apenas o conteúdo válido seja adicionado ao cache e a integridade do cache local seja protegida.The process of verifying content by matching hashes ensures that only valid content is added to the cache, and the integrity of the local cache is protected.

Processos do BranchCache: recuperar conteúdoBranchCache processes: Retrieve content

Depois que um computador cliente localiza o conteúdo desejado no host de conteúdo (que é um servidor de cache hospedado ou um computador cliente no modo de cache distribuído), o computador cliente começa o processo de recuperar o conteúdo.After a client computer locates the desired content on the content host, which is either a hosted cache server or a distributed cache mode client computer, the client computer begins the process of retrieving the content.

Primeiro, o computador cliente envia uma solicitação ao host de conteúdo para o primeiro bloco necessário.First the client computer sends a request to the content host for the first block that it requires. A solicitação contém o ID do segmento e o intervalo de blocos que identificam o conteúdo desejado.The request contains the Segment ID and block range that identify the desired content. Como apenas um bloco é enviado, o intervalo contém somente um blocoBecause only one block is returned, the block range contains only a single block. (atualmente, não há suporte à solicitação de vários blocos). O cliente também armazena a solicitação na lista local de solicitações pendentes.(Requests for multiple blocks are currently not supported.) The client also stores the request in its local Outstanding Request List.

Ao receber uma mensagem de solicitação válida de um cliente, o host de conteúdo verifica se o bloco especificado na solicitação existe no cache de conteúdo do host de conteúdo.Upon receiving a valid request message from a client, the content host checks whether the block specified in the request exists in the content host's content cache.

Se o host de conteúdo possuir o bloco de conteúdo, ele enviará uma resposta que contém o ID do segmento, ID do bloco, bloco de dados criptografados e vetor de inicialização usado para criptografar o bloco.If the content host is in possession of the content block, then the content host sends a response that contains the Segment ID, the Block ID, the encrypted data block, and the initialization vector that is used for encrypting the block.

Se o host de conteúdo não possuir o bloco de conteúdo, ele enviará uma mensagem de resposta vazia.If the content host is not in possession of the content block, the content host sends an empty response message. Isso informará ao computador cliente que o host de conteúdo não tem o bloco solicitado.This informs the client computer that the content host does not have the requested block. Uma mensagem de resposta vazia contém o ID do segmento e ID do bloco solicitado, juntamente com um bloco de dados com tamanho zero.An empty response message contains the Segment ID and Block ID of the requested block, along with a zero-sized data block.

Quando o computador cliente recebe a resposta do host de conteúdo, ele verifica se a mensagem corresponde à mensagem solicitada na lista de solicitações pendentesWhen the client computer receives the response from the content host, the client verifies that the message corresponds to a request message in its Outstanding Request List. (o ID do segmento e o índice do bloco devem corresponder à solicitação pendente).(The Segment ID and block index must match that of an outstanding request.)

Se esse processo de verificação não for bem-sucedido e o computador cliente não tiver uma mensagem de solicitação correspondente na lista de solicitações pendentes, o computador cliente descartará a mensagem.If this verification process is unsuccessful and the client computer does not have a corresponding request message in its Outstanding Request List, the client computer discards the message.

Se esse processo de verificação for bem-sucedido e o computador cliente tiver uma mensagem de solicitação correspondente na lista de solicitações pendentes, o computador cliente descriptografará o bloco.If this verification process is successful and the client computer has a corresponding request message in its Outstanding Request List, the client computer decrypts the block. Em seguida, o cliente validará o bloco descriptografado em relação ao hash de bloco adequado das informações de conteúdo que o cliente obteve inicialmente do servidor de conteúdo original.The client then validates the decrypted block against the appropriate block hash from the content information that the client initially obtained from the original content server.

Se a validação do bloco for bem-sucedida, o bloco descriptografado será armazenado em cache.If the block validation is successful, the decrypted block is stored in the cache.

Esse processo é repetido até o cliente ter todos os blocos necessários.This process is repeated until the client has all of the required blocks.

Observação

Se os segmentos de conteúdo completos não existirem em um computador, o protocolo de recuperação recuperará e constituirá o conteúdo a partir de uma combinação de origens: um conjunto de computadores clientes no modo de cache distribuído, um servidor de cache hospedado e (se os caches da filial não contiverem o conteúdo completo) o servidor de conteúdo original da matriz.If the complete segments of content do not exist on one computer, the retrieval protocol retrieves and assembles content from a combination of sources: a set of distributed cache mode client computers, a hosted cache server, and - if the branch office caches do not contain the complete content - the original content server in the main office.

Antes de o BranchCache enviar conteúdo ou informações de conteúdo, os dados são criptografados.Before BranchCache sends content information or content, the data is encrypted. O BranchCache criptografa o bloco na mensagem de resposta.BranchCache encrypts the block in the response message. No Windows 7, o algoritmo de criptografia padrão que o BranchCache usa é AES-128, a chave de criptografia é Ke e o tamanho da chave é de 128 bits, conforme determinado pelo algoritmo de criptografia.In Windows 7, the default encryption algorithm that BranchCache uses is AES-128, the encryption key is Ke, and the key size is 128 bits, as dictated by the encryption algorithm.

O BranchCache gera um vetor de inicialização adequado ao algoritmo de criptografia e usa a chave de criptografia para criptografar o bloco.BranchCache generates an initialization vector that is suitable for the encryption algorithm and uses the encryption key to encrypt the block. Em seguida, o BranchCache registra o algoritmo de criptografia e o vetor de inicialização na mensagem.BranchCache then records the encryption algorithm and the initialization vector in the message.

Os servidores e clientes nunca trocam, compartilham ou enviam a chave de criptografia uns para os outros.Servers and clients never exchange, share, or send each other the encryption key. O cliente recebe a chave de criptografia do servidor de conteúdo e hospeda o conteúdo de origem.The client receives the encryption key from the content server that hosts the source content. Em seguida, usando o algoritmo de criptografia e o vetor de inicialização recebido do servidor, ele descriptografa o bloco.Then, using the encryption algorithm and initialization vector it received from the server, it decrypts the block. Não há outra autorização ou autenticação explícita incorporada ao protocolo de download.There is no other explicit authentication or authorization built into the download protocol.

Ameaças de segurançaSecurity threats

As principais ameaças à segurança nesta camada incluem:The primary security threats at this layer include:

  • Adulteração de dados:Tampering with data:

    Um cliente fornecendo dados para um solicitante adultera os dados.A client serving data to a requester tampers with the data. O modelo de segurança do BranchCache usa hashes para confirmar que o cliente e o servidor não alteraram os dados.The BranchCache security model uses hashes to confirm that neither the client nor the server has altered the data.

  • Divulgação de informações:Information disclosure:

    O BranchCache envia conteúdo criptografado para um cliente que especifica o ID de Segmento adequado.BranchCache sends encrypted content to any client that specifies the appropriate Segment ID. Os IDs de segmento são públicos. Por isso, qualquer cliente pode receber conteúdo criptografado.Segment IDs are public, so any client can receive encrypted content. Porém, se um usuário mal-intencionado obtiver conteúdo criptografado, ele devera saber a chave de criptografia para descriptografar o conteúdo.However, if a malicious user obtains encrypted content, they must know the encryption key to decrypt the content. O protocolo da camada superior realiza a autenticação e fornece as informações de conteúdo ao cliente autenticado e autorizado.The upper layer protocol performs authentication and then gives the content information to the authenticated and authorized client. A segurança das informações de conteúdo é equivalente à segurança fornecida ao próprio conteúdo, e o BranchCache nunca expõe as informações de conteúdo.The security of the content information is equivalent to the security provided to the content itself, and BranchCache never exposes the content information.

    Um invasor detecta a transmissão para obter o conteúdo.An attacker sniffs the wire to obtain the content. O BranchCache criptografa todas as transferências entre clientes usando AES128, onde a chave secreta é Ke, evitando que os dados sejam detectados na transmissão.BranchCache encrypts all transfers between clients by using AES128 where the secret key is Ke, preventing data from being sniffed from the wire. As informações de conteúdo baixadas do servidor de conteúdo são protegidas exatamente do mesmo modo que os próprios dados. Por isso, a proteção delas contra divulgação é igual a que seria se o BranchCache não fosse usado.Content information that is downloaded from the content server is protected in exactly the same way as the data itself would have been and is hence no more or less protected from information disclosure than if BranchCache had not been used at all.

  • Negação de serviço:Denial of Service:

    Um cliente é sobrecarregado com solicitações de dados.A client is overwhelmed by requests for data. Os protocolos do BranchCache incorporam contadores e temporizadores de gerenciamento de fila para evitar a sobrecarga dos clientes.BranchCache protocols incorporate queue management counters and timers to prevent clients from being overloaded.

Processos do BranchCache: armazenar conteúdo em cacheBranchCache processes: Cache content

Em computadores clientes no modo de cache distribuído e servidores de cache hospedado localizados em filiais, os caches de conteúdo são criados ao longo do tempo, à medida que o conteúdo é recuperado por links WAN.On distributed cache mode client computers and hosted cache servers that are located in branch offices, content caches are built up over time as content is retrieved over WAN links.

Quando os computadores clientes são configurados com o modo de cache hospedado, eles adicionam conteúdo a seu próprio cache local e também oferecem dados ao servidor de cache hospedado.When client computers are configured with hosted cache mode, they add content to their own local cache and also offer data to the hosted cache server. O Protocolo de Cache Hospedado fornece um mecanismo para que os clientes informem o servidor de cache hospedado sobre disponibilidade de conteúdo e segmentos.The Hosted Cache Protocol provides a mechanism for clients to inform the hosted cache server about content and segment availability.

Para carregar conteúdo no servidor de cache hospedado, o cliente informa ao servidor que tem um segmento disponível.To upload content to the hosted cache server, the client informs the server that it has a segment that is available. Em seguida, o servidor de cache hospedado recupera todas as informações de conteúdo associadas ao segmento oferecido e baixa os blocos no segmento de que realmente necessita.The hosted cache server then retrieves all of the content information that is associated with the offered segment, and downloads the blocks within the segment that it actually needs. Esse processo é repetido até o cliente não ter mais segmentos a oferecer ao servidor de cache hospedado.This process is repeated until the client has no more segments to offer the hosted cache server.

Para atualizar o servidor de cache hospedado usando o Protocolo de Cache Hospedado, é necessário atender ao seguintes requisitos:To update the hosted cache server by using the Hosted Cache Protocol, the following requirements must be met:

  • O computador cliente deve ter um conjunto de blocos em um segmento que possa oferecer ao servidor de cache hospedado.The client computer is required to have a set of blocks within a segment that it can offer to the hosted cache server. O cliente deve fornecer informações de conteúdo para o segmento oferecido; elas são compostas do ID do segmento o hash de dados do segmento, o segredo de segmento e uma lista de todos os hashes de bloco contidos no segmento.The client must supply content information for the offered segment; this is comprised of the Segment ID, the segment Hash of Data, the Segment Secret, and a list of all block hashes that are contained within the segment.

  • Para o cache hospedado servidores que estão executando o Windows Server 2008 R2, um servidor de cache hospedado, certificado e chave privada associada são necessários e a autoridade de certificação (CA) que emitiu o certificado deve ser confiável por computadores cliente na filial.For hosted cache servers that are running Windows Server 2008 R2, a hosted cache server certificate and associated private key are required, and the certification authority (CA) that issued the certificate must be trusted by client computers in the branch office. Isso permite que o cliente e o servidor participem com êxito na autenticação do servidor HTTPS.This allows the client and server to participate successfully in HTTPS Server authentication.

    Importante

    Servidores de cache hospedado que executam o Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 não exigem um certificado do servidor de cache hospedado e a chave privada associada.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2 , or Windows Server 2012 do not require a hosted cache server certificate and associated private key.

  • O computador cliente está configurado com o nome de computador do servidor de cache hospedado e o número da porta TCP por meio da qual esse servidor está escutando o tráfego do BranchCache.The client computer is configured with the computer name of the hosted cache server and the Transmission Control Protocol (TCP) port number upon which the hosted cache server is listening for BranchCache traffic. Certificado do servidor de cache hospedado está associado a essa porta.The hosted cache server's certificate is bound to this port. O nome de computador do servidor de cache hospedado poderá ser um FQDN (nome de domínio totalmente qualificado) se o servidor for um computador membro do domínio, ou um nome NetBIOS do computador se o servidor não for membro do domínio.The computer name of the hosted cache server can be a fully qualified domain name (FQDN), if the hosted cache server is a domain member computer; or it can be the NetBIOS name of the computer if the hosted cache server is not a domain member.

  • O computador cliente escuta ativamente para detectar solicitações de blocos recebidas.The client computer actively listens for incoming block requests. A porta que ele usa para isso é passada como parte das mensagens de oferta do cliente para o servidor de cache hospedado.The port on which it is listening is passed as part of the offer messages from the client to the hosted cache server. Isso permite que o servidor de cache hospedado use os protocolos do BranchCache para conectar-se ao computador cliente e recuperar blocos de dados no segmento.This enables the hosted cache server to use BranchCache protocols to connect to the client computer to retrieve data blocks in the segment.

  • O servidor de cache hospedado começa a escutar para detectar solicitações HTTP recebidas quando é iniciado.The hosted cache server starts to listen for incoming HTTP requests when it is initialized.

  • Se o servidor de cache hospedado estiver configurado para exigir autenticação do computador cliente, tanto o cliente quanto o servidor deverão dar suporte à autenticação HTTPS.If the hosted cache server is configured to require client computer authentication, both the client and the hosted cache server are required to support HTTPS authentication.

População de cache do modo de cache hospedadoHosted cache mode cache population

O processo de adicionar conteúdo ao cache do servidor de cache hospedado em uma filial começa quando o cliente envia uma INITIAL_OFFER_MESSAGE, que inclui a ID do segmento.The process of adding content to the hosted cache server's cache in a branch office begins when the client sends an INITIAL_OFFER_MESSAGE, which includes the Segment ID. A ID de segmento na solicitação INITIAL_OFFER_MESSAGE é usada para recuperar o Hash de dados do segmento correspondente, a lista de hashes de bloco e o segredo de segmento do cache do bloco do servidor de cache hospedado.The Segment ID in the INITIAL_OFFER_MESSAGE request is used to retrieve the corresponding segment Hash of Data, list of block hashes, and the Segment Secret from the hosted cache server's block cache. Se o servidor de cache hospedado já tiver todas as informações de conteúdo de um segmento específico, a resposta a INITIAL_OFFER_MESSAGE será OK, e nenhuma solicitação de download de blocos ocorrerá.If the hosted cache server already has all the content information for a particular segment, the response to the INITIAL_OFFER_MESSAGE will be OK, and no request to download blocks occurs.

Se o servidor de cache hospedado não tiver todos os blocos de dados oferecidos associados aos hashes de bloco no segmento, a resposta a INITIAL_OFFER_MESSAGE será INTERESTED.If the hosted cache server does not have all of the offered data blocks that are associated with the block hashes in the segment, the response to the INITIAL_OFFER_MESSAGE is INTERESTED. Em seguida, o cliente enviará SEGMENT_INFO_MESSAGE, que descreve o segmento único oferecido.The client then sends a SEGMENT_INFO_MESSAGE that describes the single segment that is being offered. O servidor de cache hospedado responde com uma mensagem de OK e inicia o download dos blocos ausentes do computador cliente que realizou a oferta.The hosted cache server responds with an OK message and initiates the download of the missing blocks from the offering client computer.

O hash de dados do segmento, a lista de hashes de bloco e o segredo de segmento são usados para garantir que o conteúdo baixado não tenha sido violado nem alterado.The segment Hash of Data, list of block hashes, and the segment secret are used to ensure that the content that is being downloaded has not been tampered with or otherwise altered. Em seguida, os blocos baixados são adicionados ao cache de bloco do servidor de cache hospedado.The downloaded blocks are then added to the hosted cache server's block cache.

Segurança do cacheCache Security

Esta seção fornece informações sobre como o BranchCache protege dados em cache em computadores clientes e servidores de cache hospedado.This section provides information on how BranchCache secures cached data on client computers and on hosted cache servers.

Segurança do cache do computador clienteClient computer cache security

A maior ameaça aos dados armazenados no BranchCache é a violação.The greatest threat to data stored in the BranchCache is tampering. Se um invasor puder violar o conteúdo e as informações de conteúdo armazenadas em cache, ele poderá usá-los para tentar iniciar um ataque contra os computadores que usam o BranchCache.If an attacker can tamper with content and content information that is stored in the cache, then it might be possible to use this to try and launch an attack against the computers that are using BranchCache. Os invasores podem iniciar um ataque inserindo softwares mal-intencionados no lugar de outros dados.Attackers can initiate an attack by inserting malicious software in place of other data. O BranchCache elimina essa ameaça por meio da validação de todo o conteúdo usando os hashes de bloco encontrados nas informações de conteúdo.BranchCache mitigates this threat by validating all content using block hashes found in the content information. Se um invasor tentar realizar uma violação com esses dados, eles serão descartados e substituídos por dados válidos da origem original.If an attacker attempts to tamper with this data, it is discarded and is replaced with valid data from the original source.

Uma ameaça secundária aos dados armazenados no BranchCache é a divulgação de informações.A secondary threat to data stored in the BranchCache is information disclosure. No modo de cache distribuído, o cliente armazena em cache somente o conteúdo que solicitou por conta própria. Porém, esses dados são armazenados como texto não criptografado e podem correr riscos.In distributed cache mode, the client caches only the content that it has requested itself; however, that data is stored in clear text, and might be at risk. Para restringir o acesso ao cache somente ao serviço BranchCache, o cache local é protegido pelas permissões do sistema de arquivos especificadas em uma ACL.To help restrict cache access to the BranchCache Service only, the local cache is protected by file system permissions that are specified in an ACL.

Embora a ACL seja eficiente para evitar que usuários não autorizados acessem o cache, é possível que um usuário com privilégios administrativos obtenha acesso ao cache por meio da alteração manual das permissões especificadas na ACL.Although the ACL is effective in preventing unauthorized users from accessing the cache, it is possible for a user with administrative privileges to gain access to the cache by manually changing the permissions that are specified in the ACL. O BranchCache não oferece proteção contra o uso mal-intencionado de uma conta administrativa.BranchCache does not protect against the malicious use of an administrative account.

Os dados armazenados no cache de conteúdo não são criptografados. Por isso, se o vazamento de dados for um preocupação, use tecnologias como BitLocker ou EFS (Encrypting File System).Data that is stored in the content cache is not encrypted, so if data leakage is a concern, you can use encryption technologies such as BitLocker or the Encrypting File System (EFS). O cache local usado pelo BranchCache não aumenta o risco de divulgação de informações trazido por um computador na filial. O cache contém apenas cópias dos arquivos que permanecem descriptografados em alguma parte do disco.The local cache that is used by BranchCache does not increase the information disclosure threat borne by a computer in the branch office; the cache contains only copies of files that reside unencrypted elsewhere on the disk.

Criptografar todo o disco é particularmente importante em ambientes em que seja difícil garantir a segurança física dos clientes.Encrypting the entire disk is particularly important in environments in which the physical security of the clients is difficult to ensure. Por exemplo, a criptografia de todo o disco ajuda a proteger dados confidenciais em computadores móveis que possam ser removidos do ambiente da filial.For example, encrypting the entire disk helps to secure sensitive data on mobile computers that might be removed from the branch office environment.

Segurança do cache do servidor de cache hospedadoHosted cache server cache security

No modo de cache hospedado, a maior ameaça à segurança do servidor de cache hospedado é a divulgação de informações.In hosted cache mode, the greatest threat to the security of the hosted cache server is information disclosure. Em um ambiente de cache hospedado, o BranchCache comporta-se de modo semelhante ao modo de cache distribuído, com a permissão do sistema de arquivos protegendo os dados em cache.BranchCache in a hosted cache environment behaves in a similar manner to distributed cache mode, with file system permission protecting the cached data. A diferença é que o servidor de cache hospedado armazena todo o conteúdo solicitado por qualquer computador habilitado por BranchCache na filial, em vez de fazer isso apenas com os dados solicitados por um único cliente.The difference is that the hosted cache server stores all of the content that any BranchCache-enabled computer in the branch office requests, rather than just the data that a single client requests. As consequências do acesso não autorizado a esse cache podem ser muito mais sérias, pois há muito mais dados em risco.The consequences of unauthorized intrusion into this cache could be much more serious, because much more data is at risk.

Em um ambiente de cache hospedado em que o servidor de cache hospedado está executando o Windows Server 2008 R2, o uso de tecnologias de criptografia como BitLocker ou EFS é recomendado se algum dos clientes na filial puder acessar dados confidenciais pelo link WAN.In a hosted cache environment where the hosted cache server is running Windows Server 2008 R2, the use of encryption technologies such as BitLocker or EFS is advisable if any of the clients in the branch office can access sensitive data across the WAN link. Também é necessário evitar o acesso físico ao cache hospedado, pois a criptografia de disco funciona somente quando o computador está desligado no momento em que o invasor obtém acesso físico.It is also necessary to prevent physical access to the hosted cache, because disk encryption works only when the computer is turned off when the attacker gains physical access. Se o computador estiver ligado ou no modo de suspensão, a criptografia de disco oferecerá pouca proteção.If the computer is turned on or is in sleep mode, then disk encryption offers little protection.

Observação

Servidores de cache hospedado que executam o Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 criptografam todos os dados no cache por padrão, portanto, o uso de tecnologias adicionais de criptografia não é necessário.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012 encrypt all data in the cache by default, so the use of additional encryption technologies is not required.

Mesmo que um cliente esteja configurado no modo de cache hospedado, ele ainda armazenará dados em cache localmente. Por isso, convém tomar medidas para proteger o cache local (além do cache no servidor de cache hospedado).Even if a client is configured in hosted cache mode, it will still cache data locally, and you might want to take steps to protect the local cache in addition to the cache on the hosted cache server.