BranchCacheBranchCache

Aplica-se a: Windows Server (anual por canal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Neste tópico, que se destina a profissionais de tecnologia da informação (TI), fornece informações gerais sobre BranchCache, incluindo modos BranchCache, recursos, recursos e a funcionalidade de BranchCache que está disponível em sistemas operacionais diferentes.This topic, which is intended for Information Technology (IT) professionals, provides overview information about BranchCache, including BranchCache modes, features, capabilities, and the BranchCache functionality that is available in different operating systems.

Observação

Além de neste tópico, a seguinte documentação BranchCache está disponível.In addition to this topic, the following BranchCache documentation is available.

Quem será interessado BranchCache?Who will be interested in BranchCache?

Se você for um administrador do sistema, rede ou arquiteto de solução de armazenamento ou outro profissional de TI, BranchCache possam lhe interessar nas seguintes circunstâncias:If you are a system administrator, network or storage solution architect, or other IT professional, BranchCache might interest you under the following circumstances:

  • Crie ou dar suporte a infraestrutura de TI para uma organização que tem dois ou mais locais físicos e uma conexão de rede (WAN) de longa distância de filiais ao escritório.You design or support IT infrastructure for an organization that has two or more physical locations and a wide area network (WAN) connection from the branch offices to the main office.

  • Você projeta ou suporte à infraestrutura de TI para uma organização que implantou tecnologias de nuvem e uma conexão WAN é usado pelo trabalhos para acessar os dados e aplicativos em locais remotos.You design or support IT infrastructure for an organization that has deployed cloud technologies, and a WAN connection is used by workers to access data and applications at remote locations.

  • Você deseja otimizar o uso de largura de banda WAN, reduzindo a quantidade de tráfego de rede entre filiais e a matriz.You want to optimize WAN bandwidth usage by reducing the amount of network traffic between branch offices and the main office.

  • Você implantou ou planeja implantar servidores de conteúdo no seu escritório principal que combinam com as configurações que são descritas neste tópico.You have deployed or are planning on deploying content servers at your main office that match the configurations that are described in this topic.

  • Os computadores cliente em seu filiais estiverem executando Windows 10, Windows 8.1, Windows 8 ou Windows 7.The client computers in your branch offices are running Windows 10, Windows 8.1, Windows 8, or Windows 7 .

Este tópico inclui as seções a seguir:This topic includes the following sections:

O que é BranchCache?What is BranchCache?

BranchCache é uma tecnologia de otimização de largura de banda (WAN) de rede de longa distância que está incluída em algumas edições dos sistemas operacionais Windows Server 2016 e o Windows 10, bem como em algumas edições do Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 e Windows 7.BranchCache is a wide area network (WAN) bandwidth optimization technology that is included in some editions of the Windows Server 2016 and Windows 10 operating systems, as well as in some editions of Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2 and Windows 7. Para otimizar a largura de banda WAN quando os usuários acessam conteúdo em servidores remotos, BranchCache busca o conteúdo do seu escritório principal ou hospedado servidores de conteúdo na nuvem e armazena em cache o conteúdo em filiais, permitindo que o cliente de computadores em filiais para acessar o conteúdo localmente, em vez de na WAN.To optimize WAN bandwidth when users access content on remote servers, BranchCache fetches content from your main office or hosted cloud content servers and caches the content at branch office locations, allowing client computers at branch offices to access the content locally rather than over the WAN.

Em filiais, o conteúdo é armazenado em servidores que estão configurados para o cache de host ou, quando não há servidor está disponível na filial, em computadores cliente que executam o Windows 10, Windows 8.1, Windows 8 ou Windows 7.At branch offices, content is stored either on servers that are configured to host the cache or, when no server is available in the branch office, on client computers that are running Windows 10, Windows 8.1, Windows 8 or Windows 7. Depois que um computador cliente solicitações e recebe o conteúdo da matriz e o conteúdo é armazenado em cache na filial, outros computadores na mesma filial podem obter o conteúdo localmente em vez de baixar o conteúdo do servidor de conteúdo através da conexão WAN.After a client computer requests and receives content from the main office and the content is cached at the branch office, other computers at the same branch office can obtain the content locally rather than downloading the content from the content server over the WAN link.

Quando o mesmo conteúdo solicitações subsequentes são feitas por computadores cliente, os clientes baixar informações de conteúdo do servidor em vez do conteúdo em si.When subsequent requests for the same content are made by client computers, the clients download content information from the server instead of the actual content. Informações de conteúdo consistem de hashes que são calculados utilizando blocos do conteúdo original e são extremamente pequeno em comparação com o conteúdo nos dados originais.Content information consists of hashes that are calculated using chunks of the original content, and are extremely small compared to the content in the original data. Computadores cliente, em seguida, usam as informações de conteúdo para localizar o conteúdo de um cache na filial, se o cache está localizado em um computador cliente ou em um servidor.Client computers then use the content information to locate the content from a cache in the branch office, whether the cache is located on a client computer or on a server. Servidores e computadores cliente também usam informações de conteúdo para proteger o conteúdo em cache para que ele não pode ser acessado por usuários não autorizados.Client computers and servers also use content information to secure cached content so that it cannot be accessed by unauthorized users.

BranchCache aumenta a produtividade do usuário final, melhorando os tempos de resposta de consulta de conteúdo para clientes e servidores em filiais e também pode ajudar a melhorar o desempenho de rede, reduzindo o tráfego por links WAN.BranchCache increases end user productivity by improving content query response times for clients and servers in branch offices, and can also help improve network performance by reducing traffic over WAN links.

BranchCache modosBranchCache modes

BranchCache tem dois modos de operação: distribuído modo de cache e o modo de cache hospedado.BranchCache has two modes of operation: distributed cache mode and hosted cache mode.

Quando você implanta BranchCache no modo de cache distribuído, o cache de conteúdo em uma filial é distribuído entre computadores cliente.When you deploy BranchCache in distributed cache mode, the content cache at a branch office is distributed among client computers.

Quando você implanta BranchCache no modo de cache hospedado, o cache de conteúdo em uma filial é hospedado em um ou mais computadores de servidor, que são chamados de servidores de cache.When you deploy BranchCache in hosted cache mode, the content cache at a branch office is hosted on one or more server computers, which are called hosted cache servers.

Observação

Você pode implantar BranchCache usando os dois modos, mas apenas um modo pode ser usado por filial.You can deploy BranchCache using both modes, however only one mode can be used per branch office. Por exemplo, se você tiver dois filiais, uma que tem um servidor e outra que não acontecer, você pode implantar BranchCache no modo de cache hospedado no escritório que contém um servidor, durante a implantação de BranchCache no modo de cache distribuído no escritório que contém apenas os computadores cliente.For example, if you have two branch offices, one which has a server and one which does not, you can deploy BranchCache in hosted cache mode in the office that contains a server, while deploying BranchCache in distributed cache mode in the office that contains only client computers.

A ilustração a seguir, BranchCache é implantado em ambos os modos.In the following illustration, BranchCache is deployed in both modes.

BranchCache modos

Modo de cache distribuído é mais adequado para pequenas filiais que não contêm um servidor local para uso como um servidor de cache hospedado.Distributed cache mode is best suited for small branch offices that do not contain a local server for use as a hosted cache server. Modo de cache distribuído permite que você implante BranchCache sem hardware adicional em filiais.Distributed cache mode allows you to deploy BranchCache with no additional hardware in branch offices.

Se filial onde você deseja implantar BranchCache contém infraestrutura adicional, como um ou mais servidores que executam outras cargas de trabalho, implantar BranchCache no modo de cache hospedado é vantajoso pelos seguintes motivos:If the branch office where you want to deploy BranchCache contains additional infrastructure, such as one or more servers that are running other workloads, deploying BranchCache in hosted cache mode is beneficial for the following reasons:

Disponibilidade de cache maiorIncreased cache availability

Modo de cache hospedado aumenta a eficiência do cache porque o conteúdo está disponível, mesmo se o cliente que originalmente solicitado e os dados armazenados em cache estiver offline.Hosted cache mode increases the cache efficiency because content is available even if the client that originally requested and cached the data is offline. Como o servidor de cache hospedado sempre está disponível, mais conteúdo é armazenado em cache, fornecendo maior economia de largura de banda WAN, e a eficiência BranchCache é aprimorada.Because the hosted cache server is always available, more content is cached, providing greater WAN bandwidth savings, and BranchCache efficiency is improved.

Centralizado em cache para filiais sub-rede múltiploCentralized caching for multiple-subnet branch offices

O modo de cache distribuído opera em uma única sub-rede.Distributed cache mode operates on a single subnet. Em uma sub-rede múltiplo filial que está configurada para o modo de cache distribuído, um arquivo baixado para uma sub-rede não pode ser compartilhado com computadores cliente em outras sub-redes.At a multiple-subnet branch office that is configured for distributed cache mode, a file downloaded to one subnet cannot be shared with client computers on other subnets.

Por isso, clientes em outras sub-redes, não é possível descobrir que o arquivo já foi baixado, obtém o arquivo do servidor de conteúdo principal do office, usando a largura de banda WAN no processo.Because of this, clients on other subnets, unable to discover that the file has already been downloaded, get the file from the main office content server, using WAN bandwidth in the process.

Quando você implanta o modo de cache hospedado, no entanto, isso não for o caso - todos os clientes em uma filial múltiplo sub-rede podem acessar um cache único, que é armazenado no servidor de cache hospedado, mesmo que os clientes estão em sub-redes diferentes.When you deploy hosted cache mode, however, this is not the case - all clients in a multiple-subnet branch office can access a single cache, which is stored on the hosted cache server, even if the clients are on different subnets. Além disso, BranchCache no Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016 fornece a capacidade de implantar mais de um servidor de cache hospedado por filial.In addition, BranchCache in Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 provides the ability to deploy more than one hosted cache server per branch office.

Cuidado

Se você usar BranchCache para SMB armazenamento em cache de arquivos e pastas, não desative Arquivos Offline.If you use BranchCache for SMB caching of files and folders, do not disable Offline Files. Se você desabilitar arquivos Offline, BranchCache SMB armazenamento em cache não funcionar corretamente.If you disable Offline Files, BranchCache SMB caching does not function correctly.

Servidores de conteúdo BranchCache habilitadoBranchCache-enabled content servers

Quando você implanta BranchCache, o conteúdo de origem é armazenado nos BranchCache servidores habilitados com conteúdo em seu escritório principal ou em um centro de dados na nuvem.When you deploy BranchCache, the source content is stored on BranchCache-enabled content servers in your main office or in a cloud data center. Os seguintes tipos de servidores de conteúdo são suportados pelo BranchCache:The following types of content servers are supported by BranchCache:

Observação

Somente conteúdo de origem – ou seja, conteúdo que os computadores cliente inicialmente obtenham de um servidor de conteúdo habilitado BranchCache - é acelerado por BranchCache.Only source content - that is, content that client computers initially obtain from a BranchCache-enabled content server - is accelerated by BranchCache. Conteúdo que os computadores cliente obtêm diretamente de outras fontes, como servidores Web na Internet ou atualização do Windows, não é armazenado em cache por computadores cliente ou hospedado servidores de cache e, em seguida, compartilhada com outros computadores na filial.Content that client computers obtain directly from other sources, such as Web servers on the Internet or Windows Update, is not cached by client computers or hosted cache servers and then shared with other computers in the branch office. Se você quiser acelerar o conteúdo do Windows Update, no entanto, você pode instalar um servidor de aplicativo do Windows Server Update Services (WSUS) em seu escritório principal ou na nuvem data center e configurá-lo como um servidor de conteúdo BranchCache.If you want to accelerate Windows Update content, however, you can install a Windows Server Update Services (WSUS) application server at your main office or cloud data center and configure it as a BranchCache content server.

Servidores WebWeb servers

Servidores Web compatíveis incluem computadores que executam o Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2016 que tem a função de servidor de Web Server (IIS) instalada e que usam Hypertext Transfer Protocol (HTTP) ou HTTP HTTPS (Secure).Supported Web servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the Web Server (IIS) server role installed and that use Hypertext Transfer Protocol (HTTP) or HTTP Secure (HTTPS).

Além disso, o servidor Web deve ter o recurso BranchCache instalado.In addition, the Web server must have the BranchCache feature installed.

Servidores de arquivosFile servers

Servidores de arquivos com suporte incluem computadores que executam o Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2016 que têm a função de servidor Serviços de arquivo e o BranchCache para arquivos de rede serviço de função instalado.Supported file servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 that have the File Services server role and the BranchCache for Network Files role service installed.

Esses servidores de arquivos usam o bloco de mensagem de servidor (SMB) para trocar informações entre computadores.These file servers use Server Message Block (SMB) to exchange information between computers. Depois de concluir a instalação do seu servidor de arquivos, você também deve compartilhar pastas e ativar a geração de hash para pastas compartilhadas usando a política de computador Local ou de política de grupo para habilitar o BranchCache.After you complete installation of your file server, you must also share folders and enable hash generation for shared folders by using Group Policy or Local Computer Policy to enable BranchCache.

Servidores de aplicativosApplication servers

Servidores de aplicativos com suporte incluem computadores que executam o Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2 com BITS Background Intelligent Transfer Service () instalado e habilitado.Supported application servers include computers that are running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2 with Background Intelligent Transfer Service (BITS) installed and enabled.

Além disso, o servidor de aplicativo deve ter o recurso BranchCache instalado.In addition, the application server must have the BranchCache feature installed. Como exemplos de servidores de aplicativos, você pode implantar servidores Microsoft Windows Server Update Services (WSUS) e Microsoft System Center Configuration Manager Branch Distribution Point como servidores de conteúdo BranchCache.As examples of application servers, you can deploy Microsoft Windows Server Update Services (WSUS) and Microsoft System Center Configuration Manager Branch Distribution Point servers as BranchCache content servers.

BranchCache e a nuvemBranchCache and the cloud

A nuvem tem o enorme potencial para reduzir as despesas operacionais e alcançar novos níveis de escala, mas movendo cargas de trabalho longe as pessoas que dependem delas pode aumentar os custos de redes e prejudicar a produtividade.The cloud has enormous potential to reduce operational expenses and achieve new levels of scale, but moving workloads away from the people who depend on them can increase networking costs and hurt productivity. Os usuários esperam alto desempenho e não importa onde seus aplicativos e dados são hospedados.Users expect high performance and don't care where their applications and data are hosted.

BranchCache pode melhorar o desempenho de aplicativos em rede e reduzir o consumo de largura de banda com um cache de dados compartilhado.BranchCache can improve the performance of networked applications and reduce bandwidth consumption with a shared cache of data. Ele melhora a produtividade em filiais e em sede em trabalhos estiver usando servidores que são implantados na nuvem.It improves productivity in branch offices and in headquarters, where workers are using servers that are deployed in the cloud.

Como BranchCache não exige hardware novo ou alterações de topologia de rede, é uma excelente solução para melhorar a comunicação entre escritórios e nuvens públicas e privadas.Because BranchCache does not require new hardware or network topology changes, it is an excellent solution for improving communication between office locations and both public and private clouds.

Observação

Como alguns proxies da Web não podem processar cabeçalhos de codificação de conteúdo não padrão, é recomendável que você use BranchCache com Hyper texto segura HTTPS (Transfer Protocol) e não em HTTP.Because some Web proxies cannot process non-standard Content-Encoding headers, it is recommended that you use BranchCache with Hyper Text Transfer Protocol Secure (HTTPS) and not HTTP.

=== Para obter mais informações sobre as tecnologias de nuvem no Windows Server 2016, consulte Software de rede definidos & #40; SDN & #41; .======= For more information about cloud technologies in Windows Server 2016, see Software Defined Networking (SDN).

Versões de informações de conteúdoContent information versions

Há duas versões de informações de conteúdo:There are two versions of content information:

  • Informações de conteúdo que seja compatíveis com computadores que executam o Windows Server 2008 R2 e Windows 7 são chamadas versão 1 ou V1.Content information that is compatible with computers running Windows Server 2008 R2 and Windows 7 is called version 1, or V1. Com V1 BranchCache segmentação de arquivo, os segmentos de arquivo são maiores do que em V2 e são de tamanho fixo.With V1 BranchCache file segmentation, file segments are larger than in V2 and are of fixed size. Por causa de tamanhos de segmento fixo grandes, quando um usuário faz uma alteração que modifica o tamanho do arquivo, não só é invalidado o segmento com a mudança, mas todos os segmentos até o final do arquivo são invalidados.Because of large fixed segment sizes, when a user makes a change that modifies the file length, not only is the segment with the change invalidated, but all of the segments to the end of the file are invalidated. A próxima chamada para o arquivo alterado por outro usuário na filial, portanto, resulta em economias de largura de banda WAN reduzida porque o conteúdo alterado e todo o conteúdo após a alteração são enviados através da conexão WAN.The next call for the changed file by another user in the branch office therefore results in reduced WAN bandwidth savings because the changed content and all content after the change are sent over the WAN link.

  • Informações de conteúdo que seja compatíveis com computadores que executam o Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012 e Windows 8 são chamadas versão 2 ou V2.Content information that is compatible with computers running Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, and Windows 8 is called version 2, or V2. Informações de conteúdo v2 usam segmentos menores tamanho variável, que são mais tolerantes a alterações dentro de um arquivo.V2 content information uses smaller, variable-sized segments that are more tolerant to changes within a file. Isso aumenta a probabilidade de segmentos de uma versão mais antiga do arquivo pode ser reutilizada quando os usuários acessam uma versão atualizada, fazendo com que eles recuperar somente a parte alterada do arquivo do servidor de conteúdo e usando menos largura de banda de rede de longa distância.This increases the probability that segments from an older version of the file can be reused when users access an updated version, causing them to retrieve only the changed portion of the file from the content server, and using less WAN bandwidth.

A tabela a seguir fornece informações sobre a versão de informações de conteúdo que é usada dependendo de qual cliente, o servidor de conteúdo, e hospedados cache sistemas operacionais que você estiver usando em sua implantação BranchCache.The following table provides information on the content information version that is used depending upon which client, content server, and hosted cache server operating systems you are using in your BranchCache deployment.

Observação

Na tabela a seguir, acrônimo "SO" significa o sistema operacional.In the table below, the acronym "OS" means operating system.

Sistema operacional do clienteClient OS Sistema operacional de servidor de conteúdoContent Server OS Sistema operacional de servidor de Cache hospedadoHosted Cache Server OS Versão de informações de conteúdoContent Information Version
Windows Server 2008 R2 e Windows 7Windows Server 2008 R2 and Windows 7 Windows Server 2012 ou posteriorWindows Server 2012 or later Windows Server 2012 ou posterior; None para o modo de cache distribuídoWindows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 ou posterior; Windows 8 ou posteriorWindows Server 2012 or later; Windows 8 or later Windows Server 2008 R2Windows Server 2008 R2 Windows Server 2012 ou posterior; None para o modo de cache distribuídoWindows Server 2012 or later; none for distributed cache mode V1V1
Windows Server 2012 ou posterior; Windows 8 ou posteriorWindows Server 2012 or later; Windows 8 or later Windows Server 2012 ou posteriorWindows Server 2012 or later Windows Server 2008 R2Windows Server 2008 R2 V1V1
Windows Server 2012 ou posterior; Windows 8 ou posteriorWindows Server 2012 or later; Windows 8 or later Windows Server 2012 ou posteriorWindows Server 2012 or later Windows Server 2012 ou posterior; None para o modo de cache distribuídoWindows Server 2012 or later; none for distributed cache mode V2V2

Quando você tiver conteúdos servidores e hospedados cache servidores que executam o Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016, eles usam a versão de informações de conteúdo que é apropriada com base no sistema operacional do cliente BranchCache que solicita informações.When you have content servers and hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, they use the content information version that is appropriate based on the operating system of the BranchCache client that requests information.

Quando os computadores que executam o Windows Server 2012 e Windows 8 ou sistemas operacionais posteriores solicitam conteúdo, os servidores de cache de conteúdo e hospedados usam informações de conteúdo V2; Quando os computadores que executam o Windows Server 2008 R2 e Windows 7 solicitam conteúdo, os servidores de cache de conteúdo e hospedados usam informações de conteúdo de V1.When computers running Windows Server 2012 and Windows 8 or later operating systems request content, the content and hosted cache servers use V2 content information; when computers running Windows Server 2008 R2 and Windows 7 request content, the content and hosted cache servers use V1 content information.

Importante

Quando você implanta BranchCache no modo de cache distribuído, os clientes que usam versões diferentes de informações de conteúdo não compartilhar conteúdo uns com os outros.When you deploy BranchCache in distributed cache mode, clients that use different content information versions do not share content with each other. Por exemplo, um computador cliente com Windows 7 e um computador cliente que executam o Windows 10 que estão instalados na mesma filial não compartilhar conteúdo uns com os outros.For example, a client computer running Windows 7 and a client computer running Windows 10 that are installed in the same branch office do not share content with each other.

Como BranchCache lida com atualizações de conteúdo em arquivosHow BranchCache handles content updates in files

Quando os usuários das filiais modificam ou atualizar o conteúdo de documentos, suas alterações são escritas diretamente ao servidor de conteúdo na matriz sem a participação do BranchCache.When branch office users modify or update the contents of documents, their changes are written directly to the content server in the main office without BranchCache's involvement. Isso é verdadeiro se o usuário baixou o documento do servidor de conteúdo ou obtido de um um cache hospedado ou distribuído na filial.This is true whether the user downloaded the document from the content server or obtained it from either a hosted or distributed cache in the branch office.

Quando o arquivo modificado é solicitado por um cliente diferente em uma filial, os segmentos novos do arquivo são baixados do servidor de matriz e adicionados para o cache hospedado ou distribuído na ramificação.When the modified file is requested by a different client in a branch office, the new segments of the file are downloaded from the main office server and added to the distributed or hosted cache in that branch. Por isso, os usuários das filiais sempre recebem as versões mais recentes do conteúdo armazenado em cache.Because of this, branch office users always receive the most recent versions of cached content.

Guia de instalação do BranchCacheBranchCache installation guide

Você pode usar o Gerenciador do servidor no Windows Server 2016 para instalar o recurso BranchCache ou BranchCache para o serviço de função de arquivos de rede da função de servidor Serviços de arquivo.You can use Server Manager in Windows Server 2016 to install either the BranchCache feature or the BranchCache for Network Files role service of the File Services server role. Você pode usar a tabela a seguir para determinar se deve instalar o serviço de função ou recurso.You can use the following table to determine whether to install the role service or the feature.

FuncionalidadeFunctionality Local do computadorComputer location Instalar esse elemento BranchCacheInstall this BranchCache element
Servidor de conteúdo \ (servidor de aplicativo com base em BITS )Content server (BITS-based application server) Centro de dados principal escritório ou na nuvemMain office or cloud data center Recurso BranchCacheBranchCache feature
Servidor de conteúdo (Web server)Content server (Web server) Centro de dados principal escritório ou na nuvemMain office or cloud data center Recurso BranchCacheBranchCache feature
Servidor de conteúdo \ (servidor de arquivos usando o protocol\ SMB)Content server (file server using the SMB protocol) Centro de dados principal escritório ou na nuvemMain office or cloud data center BranchCache para o serviço de função de arquivos de rede da função de servidor Serviços de arquivoBranchCache for Network Files role service of the File Services server role
Servidor de cache hospedadoHosted cache server FilialBranch office BranchCache recurso com o modo de servidor de cache hospedado habilitadoBranchCache feature with hosted cache server mode enabled
Computador cliente BranchCache habilitadoBranchCache-enabled client computer FilialBranch office Nenhuma instalação necessária; Basta habilitar BranchCache e um modo BranchCache (distributed or hosted) no clienteNo installation needed; just enable BranchCache and a BranchCache mode (distributed or hosted) on the client

Para instalar o serviço de função ou o recurso, abra o Gerenciador do servidor e selecione os computadores em que você deseja habilitar a funcionalidade de BranchCache.To install either the role service or the feature, open Server Manager and select the computers where you want to enable BranchCache functionality. No Gerenciador do servidor, clique em gerenciare clique em adicionar funções e recursos.In Server Manager, click Manage, and then click Add Roles and Features. O adicionar funções e recursos wizard é aberto.The Add Roles and Features wizard opens. Como executar o assistente, faça as seleções a seguir:As you run the wizard, make the following selections:

  • Na página do assistente selecione tipo de instalação, selecione instalação baseada em função ou recurso com base em.On the wizard page Select Installation Type, select Role-based or Feature-based Installation.

  • Na página do assistente selecionar funções de servidor, se você estiver instalando um servidor de arquivos BranchCache habilitado, expanda File and Storage Services e serviços de arquivo e iSCSIe, em seguida, selecione BranchCache para arquivos de rede.On the wizard page Select Server Roles, if you are installing a BranchCache-enabled file server, expand File and Storage Services and File and iSCSI Services, and then select BranchCache for Network Files. Para economizar espaço em disco, você também pode selecionar o duplicação de dados função serviço e prossiga com o Assistente para instalação e a conclusão.To save disk space, you can also select the Data Deduplication role service, and then continue through the wizard to installation and completion. Se você não quiser instalar um servidor de arquivos BranchCache habilitado, não instale a função Serviços de arquivo e armazenamento com o BranchCache para o serviço de função de arquivos de rede.If you do not want to install a BranchCache-enabled file server, do not install the File and Storage Services role with the BranchCache for Network Files role service.

  • Na página do assistente Selecione recursos, se você estiver instalando um servidor de conteúdo que não é um servidor de arquivos ou se você estiver instalando um servidor de cache hospedado, selecione BranchCachee continue o Assistente para instalação e a conclusão.On the wizard page Select features, if you are installing a content server that is not a file server or you are installing a hosted cache server, select BranchCache, and then continue through the wizard to installation and completion. Se você não quiser instalar um servidor de conteúdo diferente de um servidor de arquivos ou um servidor de cache hospedado, não instale o recurso BranchCache.If you do not want to install a content server other than a file server or a hosted cache server, do not install the BranchCache feature.

Versões de sistema operacional para BranchCacheOperating system versions for BranchCache

Esta é uma lista dos sistemas operacionais que dão suporte a diferentes tipos de funcionalidade BranchCache.Following is a list of operating systems that support different types of BranchCache functionality.

Sistemas operacionais para a funcionalidade de computador cliente BranchCacheOperating systems for BranchCache client computer functionality

Os seguintes sistemas operacionais fornecem BranchCache com suporte para o serviço de transferência inteligente em segundo plano (BITS), Hyper texto HTTP (Transfer Protocol) e bloco de mensagem de servidor (SMB).The following operating systems provide BranchCache with support for Background Intelligent Transfer Service (BITS), Hyper Text Transfer Protocol (HTTP), and Server Message Block (SMB).

  • Windows 10 EnterpriseWindows 10 Enterprise

  • Windows 10 EducationWindows 10 Education

  • Windows 8.1 EnterpriseWindows 8.1 Enterprise

  • Windows 8 EnterpriseWindows 8 Enterprise

  • Windows 7 EnterpriseWindows 7 Enterprise

  • Windows 7 UltimateWindows 7 Ultimate

Os seguintes sistemas operacionais, BranchCache não oferece suporte a funcionalidade HTTP e SMB, mas oferece suporte a funcionalidade de BITS BranchCache.In the following operating systems, BranchCache does not support HTTP and SMB functionality, but does support BranchCache BITS functionality.

  • Windows 10 Pro, BITS suportam somenteWindows 10 Pro, BITS support only

  • Windows 8.1 Pro, BITS suportam somenteWindows 8.1 Pro, BITS support only

  • Windows 8 Pro, BITS suportam somenteWindows 8 Pro, BITS support only

  • Windows 7 Pro, BITS suportam somenteWindows 7 Pro, BITS support only

Observação

BranchCache não está disponível por padrão nos sistemas operacionais Windows Server 2008 ou Windows Vista.BranchCache is not available by default in the Windows Server 2008 or Windows Vista operating systems. Nesses sistemas operacionais, no entanto, se você baixa e instalar a atualização do Windows Management Framework, BranchCache funcionalidade está disponível para o protocolo de serviço de transferência inteligente em segundo plano (BITS) apenas.On these operating systems, however, if you download and install the Windows Management Framework update, BranchCache functionality is available for the Background Intelligent Transfer Service (BITS) protocol only. Para obter mais informações e para baixar o Windows Management Framework, consulte Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0 e BITS 4.0) em https://go.microsoft.com/fwlink/?LinkId=188677.For more information, and to download Windows Management Framework, see Windows Management Framework (Windows PowerShell 2.0, WinRM 2.0, and BITS 4.0) at https://go.microsoft.com/fwlink/?LinkId=188677.

Sistemas operacionais para BranchCache funcionalidade do servidor de conteúdoOperating systems for BranchCache content server functionality

Você pode usar os Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016 famílias de sistemas operacionais como servidores de conteúdo BranchCache.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache content servers.

Além disso, a família Windows Server 2008 R2 dos sistemas operacionais pode ser usada como servidores de conteúdo BranchCache, com as seguintes exceções:In addition, the Windows Server 2008 R2 family of operating systems can be used as BranchCache content servers, with the following exceptions:

  • BranchCache não tem suporte em instalações Server Core do Windows Server 2008 R2 Enterprise com o Hyper-V.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Enterprise with Hyper-V.

  • BranchCache não tem suporte em instalações Server Core do Windows Server 2008 R2 Datacenter com o Hyper-V.BranchCache is not supported in Server Core installations of Windows Server 2008 R2 Datacenter with Hyper-V.

Sistemas operacionais para BranchCache hospedado funcionalidade do servidor de cacheOperating systems for BranchCache hosted cache server functionality

Você pode usar os Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016 famílias de sistemas operacionais como BranchCache hospedado servidores de cache.You can use the Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012 families of operating systems as BranchCache hosted cache servers.

Além disso, os seguintes sistemas operacionais Windows Server 2008 R2 pode ser usados como BranchCache hospedado servidores de cache:In addition, the following Windows Server 2008 R2 operating systems can be used as BranchCache hosted cache servers:

  • Windows Server 2008 R2 EnterpriseWindows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Enterprise com Hyper-VWindows Server 2008 R2 Enterprise with Hyper-V

  • Instalação do Windows Server 2008 R2 Enterprise Server CoreWindows Server 2008 R2 Enterprise Server Core Installation

  • Windows Server 2008 R2 Enterprise Server Core instalação com o Hyper-VWindows Server 2008 R2 Enterprise Server Core Installation with Hyper-V

  • Windows Server 2008 R2 para sistemas baseados em ItaniumWindows Server 2008 R2 for Itanium-Based Systems

  • O Windows Server 2008 R2 DatacenterWindows Server 2008 R2 Datacenter

  • Windows Server 2008 R2 Datacenter com Hyper-VWindows Server 2008 R2 Datacenter with Hyper-V

  • Windows Server 2008 R2 Datacenter Server Core instalação com o Hyper-VWindows Server 2008 R2 Datacenter Server Core Installation with Hyper-V

BranchCache segurançaBranchCache Security

BranchCache implementa uma abordagem segura por design que funciona em perfeita integração junto com as arquiteturas de segurança de rede existentes, sem a necessidade de equipamentos adicionais ou configuração de segurança adicional complexos.BranchCache implements a secure-by-design approach that works seamlessly alongside your existing network security architectures, without the requirement for additional equipment or complex additional security configuration.

BranchCache é não invasivo e não altera os processos de autenticação ou de autorização do Windows.BranchCache is non-invasive and does not alter any Windows authentication or authorization processes. Depois de implantar BranchCache, autenticação ainda é realizada usando as credenciais de domínio e a maneira na qual autorização com listas de controle de acesso (ACLs) funções é alterada.After you deploy BranchCache, authentication is still performed using domain credentials, and the way in which authorization with Access Control Lists (ACLs) functions is unchanged. Além disso, outras configurações continuam a funcionar exatamente como antes da implantação BranchCache.In addition, other configurations continue to function just as they did before BranchCache deployment.

O modelo de segurança BranchCache baseia-se na criação de metadados, que assumem a forma de uma série de hashes.The BranchCache security model is based on the creation of metadata, which takes the form of a series of hashes. Esses hashes também são chamados de informações de conteúdo.These hashes are also called content information.

Depois de informações de conteúdo são criadas, ele é usado em trocas de mensagens BranchCache em vez dos dados reais, e ele é trocado usando os protocolos com suporte (HTTP, HTTPS e SMB).After content information is created, it is used in BranchCache message exchanges rather than the actual data, and it is exchanged using the supported protocols (HTTP, HTTPS, and SMB).

Dados em cache são mantidos criptografados e não podem ser acessados por clientes que não têm permissão para acessar o conteúdo da fonte original.Cached data is kept encrypted and cannot be accessed by clients that do not have permission to access content from the original source. Os clientes devem ser autenticados e autorizados por origem do conteúdo original antes que eles podem recuperar metadados de conteúdo e devem ter metadados de conteúdo para acessar o cache no escritório local.Clients must be authenticated and authorized by the original content source before they can retrieve content metadata, and must possess content metadata to access the cache in the local office.

Como BranchCache gera informações de conteúdoHow BranchCache generates content information

Como informações de conteúdo são criadas a partir de vários elementos, o valor das informações de conteúdo sempre é exclusivo.Because content information is created from multiple elements, the value of the content information is always unique. Esses elementos são:These elements are:

  • O conteúdo real (como as páginas da Web ou arquivos compartilhados) da qual os hashes são derivados.The actual content (such as Web pages or shared files) from which the hashes are derived.

  • Parâmetros de configuração, como o tamanho de bloco e de algoritmo de hash.Configuration parameters, such as the hashing algorithm and block size. Para gerar informações de conteúdo, o servidor de conteúdo divide o conteúdo em segmentos e, em seguida, subdivide esses segmentos em blocos.To generate content information, the content server divides the content into segments and then subdivides those segments into blocks. BranchCache usa seguros hashes criptográficos para identificar e verifique se cada bloco e o segmento, dando suporte o algoritmo de hash SHA256.BranchCache uses secure cryptographic hashes to identify and verify each block and segment, supporting the SHA256 hash algorithm.

  • Um segredo do servidor.A server secret. Todos os servidores de conteúdo devem ser configurados com um segredo do servidor, que é um valor binário de tamanho arbitrário.All content servers must be configured with a server secret, which is a binary value of arbitrary length.

Observação

O uso de um segredo de servidor garante que os computadores cliente não sejam capazes de gerar as informações de conteúdo propriamente ditos.The use of a server secret ensures that client computers are not able to generate the content information themselves. Isso impede que usuários mal-intencionados usando ataques de força bruta com computadores cliente BranchCache habilitado para adivinhar mudanças secundárias no conteúdo entre as versões em situações em que o cliente acessaram para uma versão anterior, mas não tem acesso para a versão atual.This prevents malicious users from using brute force attacks with BranchCache-enabled client computers to guess minor changes in content across versions in situations in which the client had access to a previous version but does not have access to the current version.

Detalhes de informações de conteúdoContent information details

BranchCache usa o segredo do servidor como uma chave para derivar um hash de conteúdo específicos que é enviado aos clientes autorizados.BranchCache uses the server secret as a key in order to derive a content-specific hash that is sent to authorized clients. Aplicar um algoritmo de hash para o segredo do servidor combinados e o Hash de dados gera esse hash.Applying a hashing algorithm to the combined server secret and the Hash of Data generates this hash.

Esse hash é chamado o segredo do segmento.This hash is called the segment secret. BranchCache usa segredos de segmento para proteger a comunicação.BranchCache uses segment secrets to secure communications. Além disso, BranchCache cria uma lista de Hash de bloco, que é a lista de blocos de dados hash, e o Hash de dados, que é gerado pelo hash a lista de Hash do bloco.In addition, BranchCache creates a Block Hash List, which is list of hashed data blocks, and the Hash of Data, which is generated by hashing the Block Hash List.

As informações de conteúdo incluem o seguinte:The content information includes the following:

  • A lista de Hash do bloco:The Block Hash List:

    BlockHashi = Hash(dataBlocki) 1<=i<=n

  • O Hash de dados (método):The Hash of Data (HoD):

    HoD = Hash(BlockHashList)

  • Segredo do segmento (Kp):Segment Secret (Kp):

    Kp = HMAC(Ks, HoD)

BranchCache usa o protocolo de armazenamento em cache de conteúdo do par e o protocolo de estrutura de recuperação para implementar os processos que são necessários para garantir o armazenamento em cache e recuperação de dados entre os caches de conteúdo seguro.BranchCache uses the Peer Content Caching protocol and the Retrieval Framework protocol to implement the processes that are required to ensure the secure caching and retrieval of data between content caches.

Além disso, os identificadores de BranchCache conteúdo informações com o mesmo nível de segurança que ele usa ao tratamento e transmitir o conteúdo em si próprio.In addition, BranchCache handles content information with the same degree of security that it uses when handling and transmitting the actual content itself.

Processos e fluxo de conteúdoContent flow and processes

O fluxo de conteúdo informações e conteúdo em si é dividido em quatro fases:The flow of content information and actual content is divided into four phases:

  1. BranchCache processos: solicitar conteúdoBranchCache processes: Request content

  2. BranchCache processos: localizar o conteúdoBranchCache processes: Locate content

  3. BranchCache processos: recuperar conteúdoBranchCache processes: Retrieve content

  4. BranchCache processos: armazenar em Cache conteúdoBranchCache processes: Cache content

As seções a seguir descrevem essas fases.The following sections describe these phases.

BranchCache processos: solicitar conteúdoBranchCache processes: Request content

Na primeira fase, o computador cliente na filial solicita conteúdo, como um arquivo ou uma página da Web, de um servidor de conteúdo em um local remoto, como uma matriz.In the first phase, the client computer in the branch office requests content, such as a file or a Web page, from a content server in a remote location, such as a main office. O servidor de conteúdo verifica se o computador cliente está autorizado a receber o conteúdo solicitado.The content server verifies that the client computer is authorized to receive the requested content. Se o computador cliente está autorizado e conteúdo servidor e cliente são habilitados para BranchCache, o servidor de conteúdo gera informações de conteúdo.If the client computer is authorized and both content server and client are BranchCache-enabled, the content server generates content information.

O servidor de conteúdo, em seguida, envia as informações de conteúdo para o computador cliente usando o mesmo protocolo como seria usado para o conteúdo em si.The content server then sends the content information to the client computer using the same protocol as would have been used for the actual content.

Por exemplo, se o computador cliente solicitou uma página da Web por HTTP, o servidor de conteúdo envia as informações de conteúdo usando HTTP.For example, if the client computer requested a Web page over HTTP, the content server sends the content information using HTTP. Por isso, garante a segurança de nível de transmissão do conteúdo e as informações de conteúdo são idênticos.Because of this, the wire-level security guarantees of the content and the content information are identical.

Depois que a parte inicial de informações de conteúdo (Hash de dados + segredo do segmento) é recebida, o computador cliente executa as seguintes ações:After the initial portion of content information (Hash of Data + Segment Secret) is received, the client computer performs the following actions:

  • Usa o segredo do segmento (Kp) como a chave de criptografia (Ke).Uses the Segment Secret (Kp) as the encryption key (Ke).

  • Gera a ID de segmento (HoHoDk) do método e Kp:Generates the Segment ID (HoHoDk) from the HoD and Kp:

    HoHoDk = HMAC(Kp, HoD + C), where C is the ASCII string "MS_P2P_CACHING" with NUL terminator.

A principal ameaça nesta camada é o risco para o segredo do segmento, mas BranchCache criptografa os blocos de dados de conteúdo para proteger o segredo do segmento.The primary threat at this layer is the risk to the Segment Secret, however BranchCache encrypts the content data blocks to protect the Segment Secret. BranchCache faz isso usando a chave de criptografia é derivada o segredo do segmento do segmento conteúdo dentro do qual os blocos de conteúdo estão localizados.BranchCache does this by using the encryption key that is derived from the Segment Secret of the content segment within which the content blocks are located.

Essa abordagem garante que uma entidade que não está em posse do segredo do servidor não pode descobrir o conteúdo real em um bloco de dados.This approach ensures that an entity that is not in possession of the server secret cannot discover the actual content in a data block. O segredo do segmento é tratado com o mesmo nível de segurança como o texto sem formatação segmento em si, como o conhecimento do segmento segredo para um determinado segmento permite que uma entidade obter o segmento de pares e, em seguida, descriptografá-los.The Segment Secret is treated with the same degree of security as the plaintext segment itself, because knowledge of the Segment Secret for a given segment enables an entity to obtain the segment from peers and then decrypt it. Conhecimento do segredo do servidor não produz nenhum texto sem formatação específico imediatamente, mas pode ser usado para derivar certos tipos de dados do texto de codificação e, em seguida, possivelmente expor conhecido parcialmente alguns dados para um ataque de adivinhação de força bruta.Knowledge of the Server Secret does not immediately yield any particular plaintext but can be used to derive certain types of data from the cipher text and then to possibly expose some partially known data to a brute-force guessing attack. O segredo do servidor, portanto, deve ser mantido em segredo.The server secret, therefore, should be kept confidential.

BranchCache processos: localizar o conteúdoBranchCache processes: Locate content

Depois que as informações de conteúdo são recebidas pelo computador cliente, o cliente usa a ID do segmento para localizar o conteúdo solicitado no cache local branch office, se o cache é distribuído entre computadores cliente ou está localizado em um servidor de cache hospedado.After the content information is received by the client computer, the client uses the Segment ID to locate the requested content in the local branch office cache, whether that cache is distributed between client computers or is located on a hosted cache server.

Se o computador cliente é configurado para o modo de cache hospedado, ele está configurado com o nome do computador do servidor cache hospedado e contata o servidor para recuperar o conteúdo.If the client computer is configured for hosted cache mode, it is configured with the computer name of the hosted cache server and contacts that server to retrieve the content.

Se o computador cliente é configurado para o modo de cache distribuído, no entanto, o conteúdo pode ser armazenado em vários caches em vários computadores na filial.If the client computer is configured for distributed cache mode, however, the content might be stored across multiple caches on multiple computers in the branch office. O computador cliente deve descobrir onde o conteúdo está localizado antes do conteúdo é recuperado.The client computer must discover where the content is located before the content is retrieved.

Quando eles são configurados para o modo de cache distribuído, os computadores cliente localizam o conteúdo usando um protocolo de detecção que se baseia no protocolo detecção dinâmica de serviços de Web (WS-Discovery).When they are configured for distributed cache mode, client computers locate content by using a discovery protocol that is based on the Web Services Dynamic Discovery (WS-Discovery) protocol. Os clientes enviam WS-Discovery multicast mensagens de teste para descobrir o conteúdo armazenado em cache pela rede.Clients send WS-Discovery multicast Probe messages to discover cached content over the network. Mensagens de teste incluem a identificação do segmento, que permite que os clientes verificar se o conteúdo solicitado coincide com o conteúdo armazenado em cache.Probe messages include the Segment ID, which enables clients to check whether the requested content matches the content stored in their cache. Clientes que recebem a resposta de mensagem de teste inicial para o cliente consulta com mensagens unicast de correspondência de teste se a ID do segmento corresponda ao conteúdo que é armazenado em cache localmente.Clients that receive the initial Probe message reply to the querying client with unicast Probe-Match messages if the Segment ID matches content that is cached locally.

O sucesso do processo de WS-Discovery depende do fato de que o cliente que está realizando a descoberta tem as informações corretas de conteúdo, que foi fornecidas pelo servidor de conteúdo, para o conteúdo que está solicitando.The success of the WS-Discovery process depends on the fact that the client that is performing the discovery has the correct content information, which was provided by the content server, for the content that it is requesting.

A principal ameaça aos dados durante a fase de conteúdo de solicitação é divulgação de informações, porque o acesso às informações conteúdos implica acesso autorizado ao conteúdo.The main threat to data during the Request content phase is information disclosure, because access to the content information implies authorized access to content. Para atenuar esse risco, o processo de detecção não revelar as informações de conteúdo, que não seja a ID do segmento, que não revela nada sobre o segmento de texto sem formatação que contém o conteúdo.To mitigate this risk, the discovery process does not reveal the content information, other than the Segment ID, which does not reveal anything about the plaintext segment that contains the content.

Além disso, outro computador cliente executado por um usuário mal-intencionado na mesma sub-rede da rede pode ver o tráfego de descoberta BranchCache para a origem de conteúdo passando pelo roteador.In addition, another client computer run by a malicious user on the same network subnet can see the BranchCache discovery traffic to the original content source going through the router.

Se o conteúdo solicitado não for encontrado na filial, o cliente solicita o conteúdo diretamente do servidor de conteúdo através do link WAN.If the requested content is not found in the branch office, the client requests the content directly from the content server across the WAN link.

Depois que o conteúdo é recebido, ele é adicionado ao cache local, no computador cliente ou em um servidor de cache hospedado.After the content is received, it is added to the local cache, either on the client computer or on a hosted cache server. Nesse caso, as informações de conteúdo impede que um cliente ou servidor de cache de adição no cache local de qualquer conteúdo que não coincide com os hashes hospedado.In this case, the content information prevents a client or hosted cache server from adding to the local cache any content that does not match the hashes. O processo de verificação de conteúdo, correspondendo hashes garante que o conteúdo somente válido é adicionado ao cache, e a integridade do cache local está protegida.The process of verifying content by matching hashes ensures that only valid content is added to the cache, and the integrity of the local cache is protected.

BranchCache processos: recuperar conteúdoBranchCache processes: Retrieve content

Depois que um computador cliente localiza o conteúdo desejado no host de conteúdo, que é um servidor de cache hospedado ou um computador do cliente de modo cache distribuído, o computador cliente começa o processo de recuperação do conteúdo.After a client computer locates the desired content on the content host, which is either a hosted cache server or a distributed cache mode client computer, the client computer begins the process of retrieving the content.

Primeiro o computador cliente envia uma solicitação para o host de conteúdo para o primeiro bloco que ele necessita.First the client computer sends a request to the content host for the first block that it requires. A solicitação contém o intervalo de ID de segmento e o bloco que identificam o conteúdo desejado.The request contains the Segment ID and block range that identify the desired content. Como somente um bloco é retornado, o intervalo de bloco contém apenas um único bloco.Because only one block is returned, the block range contains only a single block. (Solicitações de vários blocos atualmente não são suportadas.) O cliente também armazena a solicitação em sua lista de solicitação pendente local.(Requests for multiple blocks are currently not supported.) The client also stores the request in its local Outstanding Request List.

Ao receber uma mensagem de solicitação válido de um cliente, o host de conteúdo verifica se o bloco especificado na solicitação existe no cache de conteúdo do host de conteúdo.Upon receiving a valid request message from a client, the content host checks whether the block specified in the request exists in the content host's content cache.

Se o host de conteúdo estiver em posse do bloco de conteúdo, o host de conteúdo envia uma resposta que contém a ID de segmento, a ID do bloco, o bloco de dados criptografados e o vetor de inicialização é usado para criptografar o bloco.If the content host is in possession of the content block, then the content host sends a response that contains the Segment ID, the Block ID, the encrypted data block, and the initialization vector that is used for encrypting the block.

Se o host de conteúdo não estiver em posse do bloco de conteúdo, o host de conteúdo envia uma mensagem de resposta vazio.If the content host is not in possession of the content block, the content host sends an empty response message. Isso informa o computador cliente que o host de conteúdo não tem o bloco solicitado.This informs the client computer that the content host does not have the requested block. Uma mensagem de resposta vazio contém a ID do segmento e a ID do bloco do bloco solicitado, juntamente com um bloco de dados de tamanho zero.An empty response message contains the Segment ID and Block ID of the requested block, along with a zero-sized data block.

Quando o computador cliente recebe a resposta do host de conteúdo, o cliente verifica se a mensagem corresponde a uma mensagem de solicitação na sua lista de solicitações pendentes.When the client computer receives the response from the content host, the client verifies that the message corresponds to a request message in its Outstanding Request List. (O índice de ID de segmento e bloco deve coincidir com que uma solicitação pendente.)(The Segment ID and block index must match that of an outstanding request.)

Se esse processo de verificação não for bem-sucedida, e o computador cliente não tem uma mensagem de solicitação correspondente na sua lista de solicitações pendentes, o computador cliente descarta a mensagem.If this verification process is unsuccessful and the client computer does not have a corresponding request message in its Outstanding Request List, the client computer discards the message.

Se esse processo de verificação for bem-sucedida, e o computador cliente tem uma mensagem de solicitação correspondente na sua lista de solicitações pendentes, o computador cliente descriptografa o bloco.If this verification process is successful and the client computer has a corresponding request message in its Outstanding Request List, the client computer decrypts the block. O cliente, em seguida, valida o bloco descriptografado contra o hash de bloco apropriado com as informações de conteúdo que o cliente obteve inicialmente do servidor de conteúdo original.The client then validates the decrypted block against the appropriate block hash from the content information that the client initially obtained from the original content server.

Se a validação do bloco for bem-sucedida, o bloco descriptografado é armazenado em cache.If the block validation is successful, the decrypted block is stored in the cache.

Esse processo é repetido até que o cliente tenha todos os blocos necessários.This process is repeated until the client has all of the required blocks.

Observação

Se os segmentos completos de conteúdo que não existem em um computador, o protocolo de recuperação recupera e reúne o conteúdo de uma combinação de fontes: um conjunto de distribuída cache modo os computadores cliente, um servidor de cache hospedado e - se a filial armazena em cache não contêm o conteúdo completo - o servidor de conteúdo original na matriz.If the complete segments of content do not exist on one computer, the retrieval protocol retrieves and assembles content from a combination of sources: a set of distributed cache mode client computers, a hosted cache server, and - if the branch office caches do not contain the complete content - the original content server in the main office.

Antes de BranchCache envia informações de conteúdo ou conteúdo, os dados são criptografados.Before BranchCache sends content information or content, the data is encrypted. BranchCache criptografa o bloco na mensagem de resposta.BranchCache encrypts the block in the response message. No Windows 7, o algoritmo de criptografia padrão que usa BranchCache é AES-128, a chave de criptografia é Ke e o tamanho da chave é 128 bits, conforme indicado pelo algoritmo de criptografia.In Windows 7, the default encryption algorithm that BranchCache uses is AES-128, the encryption key is Ke, and the key size is 128 bits, as dictated by the encryption algorithm.

BranchCache gera um vetor de inicialização que é adequado para o algoritmo de criptografia e usa a chave de criptografia para criptografar o bloco.BranchCache generates an initialization vector that is suitable for the encryption algorithm and uses the encryption key to encrypt the block. BranchCache registra o algoritmo de criptografia e o vetor de inicialização na mensagem.BranchCache then records the encryption algorithm and the initialization vector in the message.

Clientes e servidores nunca do exchange, compartilharem ou enviar uns aos outros a chave de criptografia.Servers and clients never exchange, share, or send each other the encryption key. O cliente recebe a chave de criptografia do servidor de conteúdo que hospeda o conteúdo de origem.The client receives the encryption key from the content server that hosts the source content. Em seguida, usando o vetor de algoritmo e inicialização de criptografia que ele recebidos do servidor, ele descriptografa o bloco.Then, using the encryption algorithm and initialization vector it received from the server, it decrypts the block. Há outros autenticação explícita ou autorização incorporado o protocolo de download.There is no other explicit authentication or authorization built into the download protocol.

Ameaças de segurançaSecurity threats

As ameaças de segurança principal nesta camada incluem:The primary security threats at this layer include:

  • Interferência nos dados:Tampering with data:

    Um cliente de serviços de dados para um solicitante violar os dados.A client serving data to a requester tampers with the data. O modelo de segurança BranchCache usa hashes para confirmar que o cliente nem o servidor tenha alterado os dados.The BranchCache security model uses hashes to confirm that neither the client nor the server has altered the data.

  • Divulgação de informações:Information disclosure:

    BranchCache envia o conteúdo criptografado para qualquer cliente que especifica a ID de segmento apropriado.BranchCache sends encrypted content to any client that specifies the appropriate Segment ID. IDs de segmento são públicos, para que qualquer cliente possa receber conteúdo criptografado.Segment IDs are public, so any client can receive encrypted content. No entanto, se um usuário mal-intencionado obtiver o conteúdo criptografado, ele devem saber a chave de criptografia para descriptografar o conteúdo.However, if a malicious user obtains encrypted content, they must know the encryption key to decrypt the content. O protocolo de camada superior realiza a autenticação e permite que as informações de conteúdo para o cliente autenticado e autorizado.The upper layer protocol performs authentication and then gives the content information to the authenticated and authorized client. A segurança das informações de conteúdo é equivalente à segurança fornecida para o conteúdo em si e BranchCache nunca exponha as informações de conteúdo.The security of the content information is equivalent to the security provided to the content itself, and BranchCache never exposes the content information.

    Um invasor fareja a transmissão para obter o conteúdo.An attacker sniffs the wire to obtain the content. BranchCache criptografa todas as transferências entre clientes usando AES128 onde a chave secreta é Ke, impedindo que dados de sendo detectados por da conexão.BranchCache encrypts all transfers between clients by using AES128 where the secret key is Ke, preventing data from being sniffed from the wire. Informações de conteúdo que são baixadas do servidor de conteúdo são protegidas exatamente da mesma maneira como os dados em si teria sido e, portanto, não mais ou menos protegidos contra divulgação de informações que se BranchCache não tivesse sido usado em todos.Content information that is downloaded from the content server is protected in exactly the same way as the data itself would have been and is hence no more or less protected from information disclosure than if BranchCache had not been used at all.

  • Negação de serviço:Denial of Service:

    Um cliente é sobrecarregado por solicitações de dados.A client is overwhelmed by requests for data. BranchCache protocolos incorporam contadores de gerenciamento da fila e temporizadores para impedir que os clientes sendo sobrecarregado.BranchCache protocols incorporate queue management counters and timers to prevent clients from being overloaded.

BranchCache processos: armazenar em Cache conteúdoBranchCache processes: Cache content

Em computadores de cliente do modo de cache distribuído e servidores de cache hospedado que estão localizados em filiais, caches de conteúdo são criados ao longo do tempo conforme o conteúdo é recuperado por links WAN.On distributed cache mode client computers and hosted cache servers that are located in branch offices, content caches are built up over time as content is retrieved over WAN links.

Quando os computadores cliente são configurados com o modo de cache hospedado, eles adicionar conteúdo a sua próprias cache local e também oferecem dados para o servidor de cache hospedado.When client computers are configured with hosted cache mode, they add content to their own local cache and also offer data to the hosted cache server. O protocolo de Cache hospedado fornece um mecanismo para os clientes informar o servidor de cache hospedado sobre a disponibilidade do conteúdo e segmentá.The Hosted Cache Protocol provides a mechanism for clients to inform the hosted cache server about content and segment availability.

Para carregar conteúdo para o servidor de cache hospedado, o cliente informa ao servidor que ele tem um segmento que está disponível.To upload content to the hosted cache server, the client informs the server that it has a segment that is available. O servidor de cache hospedado, em seguida, recupera todas as informações de conteúdo que está associado com o segmento oferecido, downloads e os blocos no segmento que ele é realmente necessário.The hosted cache server then retrieves all of the content information that is associated with the offered segment, and downloads the blocks within the segment that it actually needs. Esse processo é repetido até que o cliente tenha sem mais segmentos para oferecer o servidor de cache hospedado.This process is repeated until the client has no more segments to offer the hosted cache server.

Para atualizar o servidor de cache hospedado usando o protocolo de Cache hospedado, os requisitos a seguir devem ser atendidos:To update the hosted cache server by using the Hosted Cache Protocol, the following requirements must be met:

  • O computador cliente é necessário ter um conjunto de blocos em um segmento que ele pode oferecer para o servidor de cache hospedado.The client computer is required to have a set of blocks within a segment that it can offer to the hosted cache server. O cliente deve fornecer informações de conteúdo para o segmento oferecida; Isso é composto a ID de segmento, o segmento de Hash de dados, o segredo do segmento e uma lista de todos os hashes de bloco que estão contidos dentro do segmento.The client must supply content information for the offered segment; this is comprised of the Segment ID, the segment Hash of Data, the Segment Secret, and a list of all block hashes that are contained within the segment.

  • Para o cache hospedado servidores que executam o Windows Server 2008 R2, um servidor de cache hospedado certificado e a chave privada associada são necessários e a autoridade de certificação (CA) que emitiu o certificado deve ser confiável pelos computadores cliente na filial.For hosted cache servers that are running Windows Server 2008 R2, a hosted cache server certificate and associated private key are required, and the certification authority (CA) that issued the certificate must be trusted by client computers in the branch office. Isso permite que o cliente e servidor participar com êxito na autenticação de servidor HTTPS.This allows the client and server to participate successfully in HTTPS Server authentication.

    Importante

    Servidores de cache hospedado que executam o Windows Server 2012, Windows Server 2012 R2 ou Windows Server 2016 não exigem um certificado do servidor de cache hospedado e a chave privada associada.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2 , or Windows Server 2012 do not require a hosted cache server certificate and associated private key.

  • O computador cliente é configurado com o nome do computador do servidor cache hospedado e o número da porta de protocolo de controle de transmissão (TCP) no qual o servidor de cache hospedado está aguardando BranchCache tráfego.The client computer is configured with the computer name of the hosted cache server and the Transmission Control Protocol (TCP) port number upon which the hosted cache server is listening for BranchCache traffic. O cache hospedado certificado do servidor é associado a essa porta.The hosted cache server's certificate is bound to this port. O nome do computador do servidor cache hospedado pode ser um nome de domínio totalmente qualificado (FQDN), se o servidor de cache hospedado é um computador membro do domínio; ou ele pode ser o nome NetBIOS do computador se o servidor de cache hospedado não for um membro do domínio.The computer name of the hosted cache server can be a fully qualified domain name (FQDN), if the hosted cache server is a domain member computer; or it can be the NetBIOS name of the computer if the hosted cache server is not a domain member.

  • O computador cliente ativamente escuta bloquear as solicitações de entrada.The client computer actively listens for incoming block requests. A porta na qual ele está ouvindo é passada como parte das mensagens oferta do cliente para o servidor de cache hospedado.The port on which it is listening is passed as part of the offer messages from the client to the hosted cache server. Isso permite que o servidor de cache hospedado usam protocolos de BranchCache para se conectar a computador cliente para recuperar blocos de dados no segmento.This enables the hosted cache server to use BranchCache protocols to connect to the client computer to retrieve data blocks in the segment.

  • O servidor de cache hospedado começa a ouvir solicitações HTTP de entrada quando ele é inicializado.The hosted cache server starts to listen for incoming HTTP requests when it is initialized.

  • Se o servidor de cache hospedado está configurado para exigir autenticação de computador cliente, o cliente e o servidor de cache hospedado são necessários para suporte a autenticação HTTPS.If the hosted cache server is configured to require client computer authentication, both the client and the hosted cache server are required to support HTTPS authentication.

População de cache do modo de cache hospedadoHosted cache mode cache population

O processo de adição de conteúdo em cache do servidor de cache hospedado em uma filial começa quando o cliente envia um INITIAL_OFFER_MESSAGE, que inclui a ID do segmento.The process of adding content to the hosted cache server's cache in a branch office begins when the client sends an INITIAL_OFFER_MESSAGE, which includes the Segment ID. A ID do segmento na solicitação INITIAL_OFFER_MESSAGE é usada para recuperar o Hash de dados de segmento correspondente, lista de hashes de bloco e o segredo do segmento do cache do bloco do servidor de cache hospedado.The Segment ID in the INITIAL_OFFER_MESSAGE request is used to retrieve the corresponding segment Hash of Data, list of block hashes, and the Segment Secret from the hosted cache server's block cache. Se o servidor de cache hospedado já tem todas as informações de conteúdo de um segmento específico, a resposta para o INITIAL_OFFER_MESSAGE será Okey, e nenhuma solicitação para baixar blocos ocorre.If the hosted cache server already has all the content information for a particular segment, the response to the INITIAL_OFFER_MESSAGE will be OK, and no request to download blocks occurs.

Se o servidor de cache hospedado não tem todos os blocos de dados oferecida que estão associados com os hashes de bloco no segmento, a resposta para a INITIAL_OFFER_MESSAGE está INTERESSADA.If the hosted cache server does not have all of the offered data blocks that are associated with the block hashes in the segment, the response to the INITIAL_OFFER_MESSAGE is INTERESTED. O cliente envia um SEGMENT_INFO_MESSAGE que descreve o segmento único que está sendo oferecido.The client then sends a SEGMENT_INFO_MESSAGE that describes the single segment that is being offered. O servidor de cache hospedado responde com uma mensagem Okey e inicia o download dos blocos de ausentes da oferta do computador cliente.The hosted cache server responds with an OK message and initiates the download of the missing blocks from the offering client computer.

O segmento de Hash de dados, lista de hashes de bloco e o segredo do segmento são usados para garantir que o conteúdo que está sendo baixado não foi violado ou caso contrário, é alterado.The segment Hash of Data, list of block hashes, and the segment secret are used to ensure that the content that is being downloaded has not been tampered with or otherwise altered. Os blocos baixados, em seguida, são adicionados ao cache de bloco do servidor de cache hospedado.The downloaded blocks are then added to the hosted cache server's block cache.

Segurança de cacheCache Security

Esta seção fornece informações sobre como BranchCache protege os dados em cache em computadores cliente e em servidores de cache hospedado.This section provides information on how BranchCache secures cached data on client computers and on hosted cache servers.

Segurança de cache do computador clienteClient computer cache security

A maior ameaça dados armazenados no BranchCache é violação.The greatest threat to data stored in the BranchCache is tampering. Em seguida, se um invasor pode falsificar com informações de conteúdo e o conteúdo que são armazenadas em cache, seria possível usar isso para tentar e iniciar um ataque contra os computadores que estão usando BranchCache.If an attacker can tamper with content and content information that is stored in the cache, then it might be possible to use this to try and launch an attack against the computers that are using BranchCache. Os invasores podem iniciar um ataque inserindo um software mal-intencionado no lugar de outros dados.Attackers can initiate an attack by inserting malicious software in place of other data. BranchCache minimiza essa ameaça Validando todo o conteúdo usando hashes de bloco encontrados nas informações de conteúdo.BranchCache mitigates this threat by validating all content using block hashes found in the content information. Se um invasor tentar adulterar esses dados, ela é descartada e é substituída por dados válidos da fonte original.If an attacker attempts to tamper with this data, it is discarded and is replaced with valid data from the original source.

Uma ameaça secundária dados armazenados no BranchCache é divulgação de informações.A secondary threat to data stored in the BranchCache is information disclosure. No modo de cache distribuído, o cliente armazena em cache apenas o conteúdo que ele solicitou propriamente dito; No entanto, esses dados são armazenados em texto não criptografado e podem estar em risco.In distributed cache mode, the client caches only the content that it has requested itself; however, that data is stored in clear text, and might be at risk. Para ajudar a restringir o acesso de cache para o BranchCache Service só, o cache local é protegido por permissões do sistema de arquivos que são especificadas em uma ACL.To help restrict cache access to the BranchCache Service only, the local cache is protected by file system permissions that are specified in an ACL.

Embora a ACL é eficaz para impedir que usuários não autorizados acessem o cache, é possível que um usuário com privilégios administrativos acessar o cache alterando as permissões que são especificadas na ACL manualmente.Although the ACL is effective in preventing unauthorized users from accessing the cache, it is possible for a user with administrative privileges to gain access to the cache by manually changing the permissions that are specified in the ACL. BranchCache não protege contra o uso mal-intencionado de uma conta administrativa.BranchCache does not protect against the malicious use of an administrative account.

Dados armazenados em cache conteúdo não são criptografados, portanto, se a perda de dados for uma preocupação, você pode usar tecnologias de criptografia, como o BitLocker ou o Encrypting File System (EFS).Data that is stored in the content cache is not encrypted, so if data leakage is a concern, you can use encryption technologies such as BitLocker or the Encrypting File System (EFS). O cache local usado pelo BranchCache não aumenta a ameaça de divulgação de informações transmitidas por um computador na filial; o cache contém apenas cópias dos arquivos que residem descriptografadas em outro lugar no disco.The local cache that is used by BranchCache does not increase the information disclosure threat borne by a computer in the branch office; the cache contains only copies of files that reside unencrypted elsewhere on the disk.

Criptografar todo o disco é especialmente importante em ambientes em que a segurança física dos clientes é difícil garantir.Encrypting the entire disk is particularly important in environments in which the physical security of the clients is difficult to ensure. Por exemplo, criptografar todo o disco ajuda a proteger dados confidenciais em computadores móveis que podem ser removidos do ambiente office ramificação.For example, encrypting the entire disk helps to secure sensitive data on mobile computers that might be removed from the branch office environment.

Segurança de cache do servidor de cache hospedadoHosted cache server cache security

No modo de cache hospedado, a maior ameaça à segurança do servidor cache hospedado é divulgação de informações.In hosted cache mode, the greatest threat to the security of the hosted cache server is information disclosure. BranchCache em um ambiente de cache hospedado se comporta de maneira semelhante ao modo de cache distribuído, com permissão de sistema de arquivo proteger os dados em cache.BranchCache in a hosted cache environment behaves in a similar manner to distributed cache mode, with file system permission protecting the cached data. A diferença é que o servidor de cache hospedado armazena todos o conteúdo que qualquer computador habilitado para BranchCache na filial solicita, em vez de apenas os dados que solicita um único cliente.The difference is that the hosted cache server stores all of the content that any BranchCache-enabled computer in the branch office requests, rather than just the data that a single client requests. As consequências de invasão não autorizada nesse cache podem ser muito mais sérias, porque há muito mais dados em risco.The consequences of unauthorized intrusion into this cache could be much more serious, because much more data is at risk.

Em um ambiente de cache hospedado em que o servidor de cache hospedado está executando o Windows Server 2008 R2, o uso de tecnologias de criptografia, como o BitLocker ou EFS é aconselhável se qualquer um dos clientes na filial poderá acessar dados confidenciais por meio do link WAN.In a hosted cache environment where the hosted cache server is running Windows Server 2008 R2, the use of encryption technologies such as BitLocker or EFS is advisable if any of the clients in the branch office can access sensitive data across the WAN link. Também é necessário para evitar o acesso físico para o cache hospedado, como funciona a criptografia de disco somente quando o computador é desligado quando o invasor obtém acesso físico.It is also necessary to prevent physical access to the hosted cache, because disk encryption works only when the computer is turned off when the attacker gains physical access. Se o computador está ativado ou está em modo de suspensão, criptografia de disco oferece proteção pouco.If the computer is turned on or is in sleep mode, then disk encryption offers little protection.

Observação

Servidores de cache hospedado que executam o Windows Server 2012, Windows Server 2012 R2 ou Windows Server 2016 criptografar todos os dados em cache por padrão, portanto, o uso de tecnologias de criptografia adicionais não é necessário.Hosted cache servers that are running Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012 encrypt all data in the cache by default, so the use of additional encryption technologies is not required.

Mesmo se um cliente estiver configurado no modo de cache hospedado, ainda será dados em cache localmente e você pode querer tome medidas para proteger o cache local além do cache no servidor do cache hospedado.Even if a client is configured in hosted cache mode, it will still cache data locally, and you might want to take steps to protect the local cache in addition to the cache on the hosted cache server.