解析BranchCache數(shù)據(jù)傳輸機(jī)制

對(duì)于很多規(guī)模較大的企業(yè)來(lái)說(shuō)，會(huì)在各地建立分公司或者辦事處等分支機(jī)構(gòu)，來(lái)盡可能的拓展公司的業(yè)務(wù)。相對(duì)應(yīng)，在公司總部分支機(jī)構(gòu)之間也必然會(huì)通過(guò)網(wǎng)絡(luò)連接，進(jìn)行組織機(jī)構(gòu)的管理和數(shù)據(jù)傳輸。當(dāng)然，在具體實(shí)現(xiàn)時(shí)需要規(guī)劃活動(dòng)目錄域環(huán)境的分布式布局，即在域環(huán)境創(chuàng)建主站點(diǎn)和分支機(jī)構(gòu)站點(diǎn)，使其彼此之間順利訪問(wèn)和通訊，組成協(xié)調(diào)統(tǒng)一的整體結(jié)構(gòu)。

在分支機(jī)構(gòu)和主站點(diǎn)之間經(jīng)常會(huì)傳輸數(shù)據(jù)，例如在總部文件服務(wù)器上存儲(chǔ)著大量的文件，各分支機(jī)構(gòu)會(huì)頻繁的從中下載文件等。數(shù)據(jù)的傳輸就必然會(huì)占用相應(yīng)的帶寬。如何才能盡可能的降低帶寬的消耗，又能夠加快數(shù)據(jù)的傳輸速度呢？使用BranchCache技術(shù)，就可以有效的解決該問(wèn)題。

站點(diǎn)之間的網(wǎng)絡(luò)連接方式

有些公司為了保證網(wǎng)絡(luò)連接的穩(wěn)定性，會(huì)采用專線傳輸?shù)姆绞剑从删W(wǎng)絡(luò)運(yùn)營(yíng)商在總部和分支機(jī)構(gòu)之間設(shè)置專用線路。專線的速度，可連通性以及穩(wěn)定性都很優(yōu)秀，不過(guò)價(jià)格比較昂貴。為了降低使用成本，一些公司會(huì)采用MPLS VPN的方式，在總部和分支機(jī)構(gòu)之間建立網(wǎng)絡(luò)連接。和普通的VPN相比，MPLS VPN是由運(yùn)營(yíng)商為客戶架設(shè)的VPN鏈路，其維護(hù)也通常由運(yùn)行商負(fù)責(zé)，這是比較常用的連接模式。當(dāng)然，有的公司因?yàn)閷?shí)力有限，會(huì)采取自架VPN的方法，來(lái)解決總部和分支機(jī)構(gòu)的網(wǎng)絡(luò)通訊問(wèn)題，即在雙方分別配置帶有VPN功能的硬件防火墻，通過(guò)Intenet來(lái)實(shí)現(xiàn)VPN遠(yuǎn)程連接功能，并利用IPSec加密技術(shù)保證數(shù)據(jù)傳輸?shù)陌踩裕贿^(guò)自架的VPN完全有用戶自己管理，其穩(wěn)定性和可靠性都存在問(wèn)題。

淺析BranchCache模式及其功能

不管對(duì)于哪一種網(wǎng)絡(luò)連接方式，在實(shí)際使用時(shí)如何有效節(jié)省分支機(jī)構(gòu)和總部之間的鏈路帶寬，提高利用率減少不必要的浪費(fèi)，是網(wǎng)絡(luò)管理方面不可忽視的問(wèn)題。尤其對(duì)于昂貴的專線鏈路來(lái)說(shuō)尤其重要。

例如，在總部機(jī)構(gòu)架設(shè)了一臺(tái)文件服務(wù)器，當(dāng)分支機(jī)構(gòu)的客戶端從該服務(wù)器上下載數(shù)據(jù)時(shí)，使用BranchCache技術(shù)就可以有效節(jié)省兩者之間的鏈路帶寬。對(duì)于BranchCache技術(shù)來(lái)說(shuō)，通常包含分布式緩存和托管主機(jī)緩存兩種模式。

對(duì)于分布式緩存來(lái)說(shuō)，當(dāng)分支機(jī)構(gòu)的A用戶從總部的文件服務(wù)器下載所需的數(shù)據(jù)后，保存到本機(jī)PC1上。

當(dāng)分支機(jī)構(gòu)中的用戶C也向從文件服務(wù)器下載同樣的數(shù)據(jù)時(shí)，其實(shí)際上只是從文件服務(wù)器是下載對(duì)應(yīng)文件的標(biāo)識(shí)信息，并據(jù)此從PC1中的緩存搜索數(shù)據(jù)，之后才將數(shù)據(jù)復(fù)制到本機(jī)PC2上。

對(duì)于托管主機(jī)緩存模式來(lái)說(shuō)，當(dāng)用戶A從文件服務(wù)器下載所需的數(shù)據(jù)后，會(huì)將數(shù)據(jù)內(nèi)容推送到分支機(jī)構(gòu)本地的某臺(tái)服務(wù)器上，當(dāng)然，在PC1本地緩存中也存在這些數(shù)據(jù)。當(dāng)用戶C下載同樣的數(shù)據(jù)時(shí)，會(huì)從本地服務(wù)器上查找并將數(shù)據(jù)復(fù)制到PC2上。

和分布式緩存模式不同，該模式在分支機(jī)構(gòu)中放置了一臺(tái)服務(wù)器，所有客戶端從文件服務(wù)器下載的數(shù)據(jù)，全部復(fù)制一份存儲(chǔ)到該服務(wù)器上。

對(duì)于分布式緩存模式來(lái)說(shuō)，如果對(duì)應(yīng)的客戶機(jī)在下載完成后關(guān)機(jī)的話，其他的客戶端就無(wú)法從其緩存中復(fù)制數(shù)據(jù)了，這是其缺點(diǎn)之一。

不管采用哪一種緩存模式，都可以有效降低分支機(jī)構(gòu)和總部之間的鏈路帶寬。注意，對(duì)于BranchCache來(lái)說(shuō)，其支持的服務(wù)器操作系統(tǒng)版本為Windows Server 2008 R2及其以上版本，對(duì)于客戶端來(lái)說(shuō)，其支持Windows 7企業(yè)版及其以上版本。

實(shí)現(xiàn)分布式BranchCache模式

對(duì)于某個(gè)企業(yè)來(lái)說(shuō)，其使用分布式BranchCache模式，在總部和分支機(jī)構(gòu)之間傳輸數(shù)據(jù)，在總部?jī)?nèi)部網(wǎng)絡(luò)中，存在IP為172.16.0.30的文件服務(wù)器，其安裝的是Windows Server 2008 R2。在分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中使用的網(wǎng)段為192.168.0.0/24，其處于名稱為xxx.com的域環(huán)境中。在總部端的文件服務(wù)器上打開服務(wù)器管理器。在左側(cè)的“功能”項(xiàng)的右鍵菜單上點(diǎn)擊“添加功能”項(xiàng)，在向?qū)Ы缑嬷械倪x擇功能列表中選擇“BranchCache”項(xiàng)，點(diǎn)擊安裝按鈕，來(lái)安裝該組件。在服務(wù)器管理其左側(cè)選擇“角色”→“文件服務(wù)”項(xiàng)，在其右鍵菜單上點(diǎn)擊“添加角色”項(xiàng)，在選擇角色服務(wù)窗口中選擇“網(wǎng)絡(luò)文件BranchCache”項(xiàng)，點(diǎn)擊安裝按鈕，來(lái)安裝該角色。

服務(wù)器端配置分布式緩存模式

為了便于配置BranchCache，可以在域控上打開Active Directory用戶和計(jì)算機(jī)窗口，在其中新建一個(gè)OU（例如名稱為“filesrv”），將文件服務(wù)器放置到該OU中。再創(chuàng)建一個(gè)OU（例如名為“fzkh”），用來(lái)放置分支機(jī)構(gòu)中客戶機(jī)和用戶。在域控上打開組策略管理器，針對(duì)名為“filesrv”的容器來(lái)配置組策略。在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，在彈出窗口中輸入該GPO的名稱（例如“pzcy”），點(diǎn)擊確定按鈕，完成創(chuàng)建。

在該GPO右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略管理編輯器窗口左側(cè)打開“計(jì)算機(jī)配置”→“策略”→“管理模版”→“網(wǎng)絡(luò)”→“Lanman服務(wù)器”在右側(cè)雙擊“分支緩存的哈希發(fā)布”項(xiàng)，在其屬性窗口中選擇“已啟用”項(xiàng)（如圖1所示）。

對(duì)哈希發(fā)布操作來(lái)說(shuō)，提供了僅允許對(duì)啟用分支緩存的共享文件夾進(jìn)行哈希發(fā)布，禁止對(duì)所有共享文件夾進(jìn)行哈希發(fā)布，允許對(duì)所有共享文件夾進(jìn)行哈希發(fā)布等模式。

對(duì)于哈希算法來(lái)說(shuō)，當(dāng)分支機(jī)構(gòu)的某個(gè)用戶從文件服務(wù)器下載某個(gè)文件后，當(dāng)另外一個(gè)用戶從文件服務(wù)器下載文件時(shí)，其會(huì)對(duì)文件進(jìn)行哈希計(jì)算，當(dāng)計(jì)算的哈希值和分支機(jī)構(gòu)中的某臺(tái)客戶機(jī)緩存中的文件哈希值一致，就不會(huì)從文件服務(wù)器上下載文件，而直接從本地客戶機(jī)上直接復(fù)制該文件。這里在“哈希發(fā)布操作”列表中選擇第一項(xiàng)即可。

圖1 啟用分支緩存的哈希發(fā)布

圖2啟用BranchCache

圖3 設(shè)置和BranchCache相關(guān)的組策略

之后在文件服務(wù)器上執(zhí)行“gpupdate /force” 命令，刷新組策略。打開共享和存儲(chǔ)管理程序，在共享列表中選擇某個(gè)文件夾，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中點(diǎn)擊“高級(jí)”按鈕，在高級(jí)窗口中的“緩存”面板中選擇“啟用BranchCache”項(xiàng)，表示該共享文件夾中的所有內(nèi)容都支持BranchCache。該選項(xiàng)和上述選擇的“僅允許對(duì)啟用分支緩存的共享文件夾進(jìn)行哈希發(fā)布”是緊密相關(guān)的。按照同樣的方法，可以設(shè)置所有相關(guān)的共享文件夾（如圖2所示）。

客戶端配置分布式緩存模式

當(dāng)服務(wù)器端配置完成后，接下來(lái)就需要對(duì)客戶端進(jìn)行設(shè)置了。例如，在分支機(jī)構(gòu)的PC1上執(zhí)行“gpedit.msc”程序，在組策略編輯器中打開“計(jì)算機(jī)配置”→“管理模版”→“網(wǎng)絡(luò)” →“BranchCache”項(xiàng)，在右側(cè)雙擊“啟 用BranchCache”項(xiàng)，在打開窗口中選擇“已啟用”項(xiàng)，激活該功能（如圖3）。雙擊“設(shè)置BrachCache分布式緩存模式”項(xiàng)，在打開窗口中選擇“已啟用”項(xiàng)，表示使用分布式緩存模式。雙擊“配置網(wǎng)絡(luò)文件的BranchCache”項(xiàng)，在打開窗口中輸入回程網(wǎng)絡(luò)延遲值，單位為毫秒。如果大于該值，網(wǎng)絡(luò)文件將由分支機(jī)構(gòu)中的客戶端計(jì)算機(jī)進(jìn)行緩存。

通過(guò)網(wǎng)絡(luò)文件BranchCache機(jī)制，分支機(jī)構(gòu)中的計(jì)算機(jī)可以緩存啟用了BranchCache的文件服務(wù)器上的數(shù)據(jù)，之后就可以和分支機(jī)構(gòu)中的其他客戶機(jī)安全共享數(shù)據(jù)。

在默認(rèn)情況下，當(dāng)廣域網(wǎng)鏈接的回程網(wǎng)絡(luò)延遲時(shí)間大于80毫秒時(shí)，將在分支機(jī)構(gòu)中的緩存網(wǎng)絡(luò)文件。雙擊“設(shè)置用于客戶端計(jì)算機(jī)緩存的磁盤百分比”項(xiàng)，在打開窗口中選擇“已啟用”項(xiàng)，可以設(shè)置專門用于使用BranchCache緩存檢索內(nèi)容的磁盤百分比。如果禁用或者沒(méi)有配置該參數(shù)的話，則默認(rèn)緩存占用磁盤總空間的5%。當(dāng)然在域環(huán)境中，可以通過(guò)組策略來(lái)統(tǒng)一配置以上策略。

在域控上打開組策略管理器，選擇具體的OU（例如“fzkh”），在其右鍵菜單上選擇“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，在彈出窗口中輸入該GPO的名稱（例如“khbranch”），在該 GPO 的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略管理器中選擇上述分支，對(duì)其中的項(xiàng)目逐一配置。

注意，在客戶端進(jìn)行相互訪問(wèn)時(shí)，默認(rèn)情況下，需要使用到TCP 80，445等端口，例如客戶端之間的數(shù)據(jù)復(fù)制是通過(guò)TCP 80端口進(jìn)行的。

圖4 創(chuàng)建針對(duì)BranchCache服務(wù)放行的規(guī)則

因此，如果客戶端啟用了防火墻的話，需要在火墻上開啟這些端口。選擇“計(jì)算機(jī)配 置”→“策略” →“Windows設(shè)置”→“安全設(shè)置”→“高級(jí)安全Windows防火墻”→“高級(jí)安全Windows防火墻”→“入站規(guī)則”項(xiàng)，在其右鍵菜單中點(diǎn)擊“新增規(guī)則”項(xiàng)，在向?qū)Ы缑嬷械摹邦A(yù)定義”列表中分別針對(duì)“BranchCache -對(duì)等機(jī)發(fā)現(xiàn)” 和“BranchCache-內(nèi)容檢索”項(xiàng)，創(chuàng)建放行規(guī)則（如圖4所示）。

這樣，就可以保證客戶端之間順利的復(fù)制數(shù)據(jù)。設(shè)置完成后，在客戶端上分別執(zhí)行“gpupdate/force”命 令，來(lái)刷新組策略。在客戶端上執(zhí)行“netsh branchcache show status all”命令，顯示所有和BranchCache相關(guān)的設(shè)置信息。在返回信息中顯示BranchCache服務(wù)狀態(tài)，本地緩存狀態(tài)，發(fā)布緩存狀態(tài)，網(wǎng)絡(luò)狀態(tài)等內(nèi)容。

例如，在“當(dāng)前狀態(tài)”欄中顯示“正在運(yùn)行”項(xiàng)，表示已經(jīng)啟用了BranchCache功能。在“服務(wù)模式”欄中顯示BranchCache運(yùn)行模式，這里為分布式緩存。在“當(dāng)前正使用的緩存大小”欄中顯示已經(jīng)緩存的數(shù)據(jù)容量，在“最大緩存大小”欄中顯示緩存占用的磁盤比例。

利用分布式緩存模式傳輸文件

當(dāng)服務(wù)器端和客戶端都配置完畢后，在PC1 上訪問(wèn)總部的文件服務(wù)器，下載自己所需的共享文件。在此期間，在PC1上執(zhí)行“netstat-an”命令，可以查看到本機(jī)和文件服務(wù)器之間是通過(guò)TCP 445端口連接的。

當(dāng)復(fù)制完成以后，在PC2上同樣訪問(wèn)文件夾服務(wù)器，當(dāng)下來(lái)相同的文件時(shí)，可以發(fā)現(xiàn)其復(fù)制速度明顯加快。這是因?yàn)楫?dāng)PC1從文件服務(wù)器下載文件時(shí)，是通過(guò)廣域網(wǎng)鏈路實(shí)現(xiàn)的，其傳輸?shù)乃俣茸匀粺o(wú)法域局域網(wǎng)相比。當(dāng)PC2復(fù)制同樣的文件時(shí)，其實(shí)是從PC1的緩存中復(fù)制的，即在局域網(wǎng)中傳輸數(shù)據(jù)，其速度自然大大加快了。在PC2復(fù)制文件的過(guò)程中，在PC1上執(zhí)行“netsh branchcache show status all”，在返回信息中的“當(dāng)前正使用的緩存大小”欄中顯示已經(jīng)目前緩存的數(shù)據(jù)

實(shí)現(xiàn)托管主機(jī)緩存模式

相對(duì)于BranchCache分布式緩存模式來(lái)說(shuō)，托管主機(jī)緩存模式在網(wǎng)絡(luò)結(jié)構(gòu)上就要復(fù)雜一些，即在分支機(jī)構(gòu)中選擇一臺(tái)文件服務(wù)器，客戶端從公司總部文件服務(wù)器下載的文件，全部復(fù)制一份保存在該服務(wù)器上。這樣，當(dāng)別的客戶機(jī)需要相同的文件時(shí)，可以直接從該服務(wù)器上復(fù)制。在一般情況下，分支機(jī)構(gòu)中的該文件服務(wù)器始終處于開機(jī)狀態(tài)，可以隨時(shí)為所有的客戶機(jī)提供服務(wù)，這有效避免了分布式緩存模式的上述缺點(diǎn)。

例如，在分支機(jī)構(gòu)中選擇IP為192.168.0.11的主機(jī)（例如名稱為“fzsrv”）作為文件服務(wù)器，來(lái)實(shí)現(xiàn)主機(jī)托管緩存模式，其上安裝的是Windows Server 2008 R2，該服務(wù)器同樣要加入到域環(huán)境中。因?yàn)樵谠撃Ｊ较拢诜种C(jī)構(gòu)內(nèi)部，客戶機(jī)和該文件服務(wù)器之間的通訊是基于HTTPS連接實(shí)現(xiàn)的。這就需要證書的支持。

實(shí)際上，相對(duì)于分布式BranchCache模式來(lái)說(shuō)，托管主機(jī)緩存模式在總部文件服務(wù)器上的配置幾乎相同，所不同的就是證書的管理。因此，關(guān)于總部文件服務(wù)器的配置，可以按照上面講述的方法進(jìn)行。這里為了便于說(shuō)明，在域控上安裝Active Directory證書服務(wù)，注意要選擇“證書辦法機(jī)構(gòu)Web注冊(cè)”項(xiàng)。當(dāng)然，在實(shí)際應(yīng)用時(shí)，最好配置單獨(dú)的證書服務(wù)器。

服務(wù)器端配置托管主機(jī)緩存模式

雖然在域環(huán)境中，可自動(dòng)建立信任關(guān)系。不過(guò)為了穩(wěn)妥起見(jiàn)，最好將這種信任關(guān)系強(qiáng)制發(fā)布。

在域控上運(yùn)行“gpmc.msc” 程序，在組策略管理窗口左側(cè)選擇“域名” →“Default Domain Policy”項(xiàng)，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略管理編輯器左側(cè)選擇“計(jì)算機(jī)配置”→“策略”→“Windos設(shè)置”→“安全設(shè)置”→“公鑰策略”項(xiàng)，在右側(cè)雙擊“證書服務(wù)客戶端-自動(dòng)注冊(cè)”項(xiàng)，在打開窗口中的“配置型號(hào)”列表中選擇“已啟用”項(xiàng)（如圖5所示），點(diǎn)擊確定按鈕，在其屬性窗口中選擇“續(xù)訂過(guò)期證書，更新未決證書并刪除吊銷的證書”和“更新使用證書模版的證書”項(xiàng)，點(diǎn)擊確定保存配置信息。這樣，當(dāng)分支機(jī)構(gòu)中的文件服務(wù)器登錄到域環(huán)境后，就會(huì)自動(dòng)建立信任關(guān)系。

圖5 允許客戶端自動(dòng)注冊(cè)證書

在分支機(jī)構(gòu)文件服務(wù)器上運(yùn)行“mmc”程序，在管理控制臺(tái)中點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，在打開窗口中選擇“證書”項(xiàng)，點(diǎn)擊添加按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，在控制臺(tái)左側(cè)選擇“證書”→“收信人的根證書頒發(fā)機(jī)構(gòu)”→“證書”項(xiàng)，在右側(cè)可以看到其已經(jīng)信任了域中的根證書頒發(fā)機(jī)構(gòu)。

在分支機(jī)構(gòu)的文件服務(wù)器上打開服務(wù)器管理器，在左側(cè)的“功能”項(xiàng)的右鍵菜單上點(diǎn)擊“添加功能”項(xiàng)，在向?qū)Ы缑孢x擇“BranchCache”項(xiàng)，點(diǎn)擊安裝按鈕，來(lái)安裝該組件。

在CMD窗口中執(zhí)行“netsh Branchcache set Service mode=hostedServer” 命令， 將BranchCache服務(wù)設(shè)置為托管主機(jī)模式，系統(tǒng)會(huì)自動(dòng)啟用名為“BranchCache -內(nèi)容檢索”和“BranchCache-托管緩存服務(wù)器”的防火墻規(guī)則組。

圖6 設(shè)置證書模版屬性

在總部域控上打開管理控制臺(tái)，點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，在打開窗口中選擇“證書頒發(fā)機(jī)構(gòu)”，“證書模版”項(xiàng)，點(diǎn)擊添加按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，在控制臺(tái)左側(cè)選擇“證書”→“收信人的根證書頒發(fā)機(jī)構(gòu)”→“證書”項(xiàng)，在右側(cè)可以看到其已經(jīng)信任了域中的根證書頒發(fā)機(jī)構(gòu)。

在左側(cè)選擇“證書頒發(fā)機(jī)構(gòu)”→“證書模版”項(xiàng)，在右側(cè)的“Web服務(wù)器”項(xiàng)的右鍵菜單上點(diǎn)擊“復(fù)制模版”項(xiàng)，在打開窗口中選擇合適的系統(tǒng)版本，點(diǎn)擊確定按鈕。在模版的屬性窗口中的“常規(guī)”面板（如圖6所示）中輸入該模版的名稱（例 如“Branchkey”），選擇“在 Active Directory中發(fā)布證書”和“如果Active Directory中有一個(gè)重復(fù)證書，不要自動(dòng)重新注冊(cè)”項(xiàng)。

在“安全”面板中點(diǎn)擊“添加”按鈕，在選擇窗口中點(diǎn)擊“位置”按鈕，在打開窗口中只選擇“計(jì)算機(jī)”項(xiàng)，之后導(dǎo)入分支機(jī)構(gòu)文件服務(wù)器（例如名稱為“fzsrv”），選擇該計(jì)算機(jī)，在權(quán)限列表中的“允許”列中選擇“讀取”，“注冊(cè)”，“自動(dòng)注冊(cè)”項(xiàng)，點(diǎn)擊應(yīng)用按鈕，激活以上設(shè)置。在控制臺(tái)左側(cè)選擇“證書頒發(fā)機(jī)構(gòu)”→“頒發(fā)機(jī)構(gòu)名稱”→“證書模版”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”→“要頒發(fā)的證書模版”項(xiàng)，在啟用證書模版窗口中選擇上述新建的模版（例如“Branchkey”），點(diǎn)擊確定按鈕將其發(fā)布出去。

客戶端配置托管主機(jī)緩存模式

在分支機(jī)構(gòu)文件服務(wù)器上執(zhí)行“gpupdate /force”命令。刷新組策略。打開MMC控制臺(tái)，在左側(cè)選擇“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“申請(qǐng)新證書”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，選擇“Active Directory注冊(cè)策略”項(xiàng)，點(diǎn)擊下一步按鈕，選擇上述發(fā)布的名為“Branchkey”的證書模版。

打開其“詳細(xì)信息”欄，點(diǎn)擊屬性按鈕，在打開窗口中的“使用者”列表中選擇“公共名”項(xiàng)，在“值”欄中輸入分支機(jī)構(gòu)文件服務(wù)器的FQDN全名，例如“fzsrv.xxx.com”。點(diǎn)擊“添加”按鈕，將其導(dǎo)入到右側(cè)列表中。點(diǎn)擊應(yīng)用按鈕保存配置。

點(diǎn)擊注冊(cè)按鈕，即可連接到注冊(cè)服務(wù)器來(lái)獲得請(qǐng)求證書。在MMC控制臺(tái)左側(cè)選擇“個(gè)人”→“證書”項(xiàng)，可以顯示獲得的證書。在其右鍵菜單上點(diǎn)擊“打開”項(xiàng)，在彈出窗口中的“詳細(xì)信息”面板中選擇“指紋”項(xiàng)，顯示該證書的指紋信息，所謂指紋，就是一串特殊的字符。將指紋數(shù)據(jù)復(fù)制出來(lái)，并保存到某文本文件中。

注意，需將字符間的空間刪除，使之成為連續(xù)的字符串。假設(shè)保存為“zhiwen.txt”文件，在分支機(jī)構(gòu)文件服務(wù)器上執(zhí)行“netsh http add sslcert ipport=0.0.0.0:443 certhash=xxxxxxxxx appid={d673f5ee-a714-454d-8de2-492e4c1bd8f8}”命令，其中的“xxxxxxxxx”代表上述刪除空格的指紋信息。該命令執(zhí)行后，系統(tǒng)會(huì)顯示“成功添加SSL證書”的提示信息，說(shuō)明該證書和BranchCache建立關(guān)聯(lián)。

圖5 允許客戶端自動(dòng)注冊(cè)證書

執(zhí) 行“netsh branchcache show status all”命令，在返回信息中的“綁定到托管緩存端口的SSL證書”的值變成了“已配置”，這樣，總部服務(wù)器和分支機(jī)構(gòu)服務(wù)器的配置就基本完成了。在分支機(jī)構(gòu)客戶端同樣需要配置相關(guān)的組策略，為了實(shí)現(xiàn)批量調(diào)整，可以在按照上述方法在域控上為客戶端配置和BranchCache相關(guān)的策略，具體方法基本相同，所不同的是，不需要啟用BranchCache分布式緩存模式，而要雙擊“設(shè)置BranchCache托管緩存模式”項(xiàng)，在打開窗口中選擇“已啟用”項(xiàng)，在“填入托管緩存的位置”欄中輸入分支機(jī)構(gòu)文件服務(wù)器的名稱，例如“fzsrv.xxx.com”。在分支機(jī)構(gòu)客戶端主機(jī)（例如PC1等）上登錄到域環(huán)境，執(zhí)行“gpupdate /force”命令，來(lái)更新組策略。執(zhí)行“netsh branchcache show status all”命令，在返回信息中的“服務(wù)模式”欄中顯示“托管緩存客戶端”，說(shuō)明其已經(jīng)運(yùn)行在BranchCache托管模式下。

當(dāng)PC1訪問(wèn)總部文件服務(wù)器上，并下載所需的文件后，該文件會(huì)現(xiàn)在該客戶機(jī)上建立緩存，之后才將其副本會(huì)自動(dòng)存儲(chǔ)到分支機(jī)構(gòu)的文件服務(wù)器中，執(zhí)行“netstat-an”命令，可以看到客戶端使用TCP 80端口來(lái)發(fā)現(xiàn)BranchCache托管服務(wù)器，之后使用TCP 443端口向其傳輸數(shù)據(jù)。當(dāng)PC2等客戶端從總部的文件服務(wù)器下載同文件時(shí)，會(huì)自動(dòng)從本機(jī)構(gòu)內(nèi)的文件服務(wù)器上查找并下載該文件。在局域網(wǎng)內(nèi)高速傳輸文件便可避開在廣域網(wǎng)中的文件傳輸過(guò)程。