Самоучитель
системного администратора

5.5. Создание локальных копий данных

Пользователю, удаленно работающему с ресурсами организации, хочется выполнять работу так же быстро, как если бы он находился в офисе, и иметь возможность завершения работы независимо от наличия удаленного доступа к офису. Выходом в такой ситуации является создание копий данных на мобильном устройстве с последующей их синхронизацией с сервером. Такое решение позволяет пользователю продолжать работу полностью в автономном режиме.

    Примечание

    Первой программой Windows, предназначенной для синхронизации данных двух источников, была программа Портфель. Данная программа сохранена и в текущих версиях ОС, однако она является индивидуальным решением. Пользователь должен вручную помещать в Портфель файлы, с которыми он предполагает работать в другом месте, а потом также вручную проводить синхронизацию изменений. С основами работы в данной программе легко разобраться, воспользовавшись интерактивной справочной системой.

BranchCache

Технология BranchCache предназначена для ускорения работы с документами в филиалах за счет их кэширования. Технология появилась только в Windows 7/Windows 2008 R2, соответственно и доступна она только пользователям домена, работающим в этих операционных системах. Точнее, клиентами технологии могут быть компьютеры с ОС Windows 7 только выпусков Профессиональный и Максимальный.

Технология BranchCache позволяет кэшировать в филиале информацию из основного офиса, предоставляемого с серверов Windows 2008 R2, как по протоколу SMB (Server Message Block, блок сообщений сервера) (обычные сетевые папки общего доступа), так и по протоколу HTTP/HTTPS (с веб-сервера — IIS).

Существует два варианта настройки технологии. Вариант выделенного кэша предполагает наличие в филиале сервера Windows 2008 R2, на котором хранится и обновляется кэш. В варианте распределенного кэша данные хранятся на пользовательских системах (Windows 7). Выбор варианта осуществляется при настройке технологии (определяется в групповой политике), каждый имеет сильные и слабые стороны и должен быть выбран в зависимости от конфигурации филиала.

Если достаточно грубо описать технологию BranchCache, то процесс происходит следующим образом. При запросе данных клиент сначала обращается на сервер основного офиса (поэтому, если этот сервер недоступен, то и воспользоваться кэшированными данными, хранящимися в офисе, не удастся). Сервер предоставляет метаданные файла (строго говоря, файл разбивается на блоки и контролируется именно хэш-функция блока), т. е. его хэш-функцию. В силу особенностей работы IIS хэш-функция клиентом будет сформирована только при втором обращении к файлу по протоколу HTTP, соответственно, данные из кэша можно будет получить только при третьем обращении к этому файлу. При работе по протоколу SMB данные в кэше будут доступны при втором обращении к файлу. Клиент, получив хэш-функцию, проверяет наличие файла в филиале (широковещательным1 запросом в случае распределенного кэша и уникастовым — при хранении кэша на сервере). Если файл есть в кэше, он получается с компьютеров филиала, если нет (или, например, обновлен на сервере и хэш-функции не совпадают), то копируется по каналу связи центральный офис — филиал. Естественно, что на каждом этапе проверяются права доступа к файлу.

В результате того, что хэш-функция примерно в две тысячи раз меньше размера файла, операции с ней по каналу связи между офисами выполняются существенно быстрее, чем копирование собственно данных. Но эффект от включения функции BranchCache будет в том случае, если сами данные меняются редко, а обращения к ним с компьютеров филиала достаточно часты.

Для того чтобы включить BranchCache, следует добавить компонент BranchCache (BranchCache для удаленных файлов в случае файлового сервера) в настройках сервера и настроить групповую политику как для сервера, так и для клиентов. Дополнительно желательно — для повышения уровня защищенности данных — настроить для серверов использование сертификатов (описание доступно в документации по технологии).

Автономные файлы

В Windows предусмотрена возможность кэшировать сетевые ресурсы на локальный компьютер. В результате можно продолжить работу с файлами и после отключения от компьютерной сети (например, на ноутбуке в автономном режиме), а затем автоматически синхронизировать все изменения.

    Примечание

    В первых версиях операционных систем при кэшировании зашифрованных файлов локальные копии данных во временной папке не шифровались. Впоследствии этот недостаток был устранен. Но при разрешении автономной работы с такими данными в целях предотвращения утечки данных администратору следует убедиться, что у пользователей установлены последние версии операционных систем.

Сделать файлы сетевой папки доступными в автономном режиме можно, разрешив ее кэширование (рис. 5.18). Обратите внимание, что по умолчанию не кэшируются файлы следующих типов: *.slm; *.mdb; *.ldb; *.mdw; *.mde; *.pst; *.db*, но эта установка может быть изменена с помощью групповой политики.

Рис. 5.18.
Включение и настройка автономных файлов

Работа с файлом при наличии подключения к сетевому ресурсу будет проводиться именно с сетевой копией. Операции синхронизации (с учетом их настроек) сделают обе копии файлов идентичными.

Существует несколько вариантов кэширования файлов. При ручном способе на локальный диск копируются только файлы, явно отмеченные пользователем. Если выбрать вариант автоматического кэширования документов, то на локальном диске будут создаваться автономные копии тех документов, которые открывались пользователем.

Опция Создать ярлык папки автономных файлов на рабочем столе позволяет вывести на рабочий стол ярлык к папке, в которой хранятся автономные копии файлов. Эта опция удобна, если вы предполагаете продолжить работу с файлами в автономном режиме.

Для автоматического кэширования файлов выделяется по умолчанию 10% объема жесткого диска. Эта величина может быть изменена в настройках опций автономных файлов. Если объем автономных файлов превышает заданный лимит, то система автоматически удаляет самые старые версии. Таким образом, в автоматических режимах нет гарантии, что все необходимые файлы будут доступны автономно. Система может удалить часть из них, если будет достигнут порог допустимого использования жесткого диска. Обратите внимание, что объем автономных файлов, которые были кэшированы в ручном режиме, не учитывается в данном лимите, т. е. выбранные вручную файлы всегда будут доступны автономно.

Варианты синхронизации автономных файлов

Существуют различные варианты синхронизации автономных файлов с сетевыми ресурсами. Вы можете установить синхронизацию при входе и/или выходе из системы, по заданному времени или в период нахождения компьютера в ждущем режиме (рис. 5.19).

Рис. 5.19.
Настройка вариантов синхронизации автономных файлов в Windows

Настройки синхронизации устанавливаются в программе Синхронизовать, которая расположена в меню Пуск | Стандартные. Заметьте, что синхронизация может быть проведена только в то время, когда пользователь совершил вход в компьютерную сеть.

Разрешение конфликтов

В случае работы с автономными копиями файлов возможно возникновение ситуаций, когда документ редактировался как автономно, так и был изменен другим пользователем на сетевом ресурсе. В этом случае программа предложит вам выбрать один из трех вариантов разрешения данного конфликта: либо сохранить обе версии файлов, либо использовать версию на сетевом ресурсе, либо локальную копию.

Удаление автономных файлов

Удалить автономные копии файлов можно двумя способами. Первый способ — это удалить файлы из папки, в которой они хранятся для автономной работы (ярлык к этой папке часто выводят на рабочий стол для возможности работы с файлами в автономном режиме). Второй способ — это выбрать операцию удаления автономных файлов в окне настройки соответствующих опций папок компьютера.

Но обратите внимание, что такое удаление не отключает само кэширование файлов. При следующем соединении с сетевыми ресурсами кэширование будет проведено снова и на локальном диске опять будут созданы автономные копии файлов. Чтобы отключить кэширование, необходимо изменить опции настройки папок системы.

Настройка автономных почтовых папок

Если политика организации предусматривает хранение почты сотрудников только на почтовом сервере или вы работаете с открытыми почтовыми системами Интернета, то для ускорения удаленной работы с почтой следует создать локальные копии почтовых сообщений. Для этого нужно установить локальный почтовый клиент.

Обычно программы почтовых клиентов сохраняют копии сообщений в локальных папках. Но настройки популярных программ имеют некоторые особенности.

Настройка автономных папок в Outlook 200х производится через меню Сервис | Параметры | вкладка Настройка почты. На этой вкладке нужно нажать кнопку Отправить и получить, чтобы открылось окно настройки параметров отправки и получения корреспонденции, в котором и следует выполнить необходимые действия.

После настройки автономных папок сообщения (для выбранных папок) будут скопированы на локальный компьютер. В дальнейшем по выбранному графику содержимое папок будет синхронизироваться с почтовым сервером. Причем пользователь сможет продолжать работу с почтой и при отсутствии связи: сообщения будут отосланы или приняты сразу после восстановления соединения.

При использовании программы Outlook совместно с сервером возможность кэширования почтовых папок позволяет снизить нагрузку на почтовый сервер и продолжать работу при отсутствии подключения.

Перенаправление папок хранения документов

Для систем Windows администратор может с помощью групповой политики осуществить перенаправление целого ряда специальных папок на сетевые ресурсы. Так можно перенаправить Рабочий стол, Мои документы, Мои рисунки, меню Пуск, папку Application Data. Это выполняется в разделе Конфигурация пользователя | Конфигурация Windows | Перенаправление папок.

Такое решение может быть рекомендовано, поскольку позволяет хранить на сервере актуальные копии всех документов, с которыми работают пользователи. Это облегчает операции резервного копирования данных и снижает риск утери информации в случае выхода из строя клиентского компьютера. Однако сохранение файлов на сервере неизбежно выполняется медленнее, чем локально, что может вызывать некоторые недовольства пользователей. Одновременно повышается нагрузка на сервер и увеличивается объем необходимого для него дискового пространства.

    Примечание

    Не забудьте отключить эти установки для профилей, применяемых при удаленном подключении.

Доступ из-за межсетевого экрана

Заблуждением является мнение, что межсетевой экран препятствует любой попытке подключения извне к персональному компьютеру. Если компьютеру разрешен доступ в глобальную сеть, то нельзя исключить и обратную возможность: подключение к нему из внешнего мира.

Мы не будем рассматривать возможности, использующие уязвимости межсетевых экранов. Они есть и будут. Но чтобы воспользоваться ими, нужно иметь достаточный опыт. Есть способы, доступные любом пользователю. На рис. 5.20 (из руководства LogMeIn) доходчиво объясняется обычному пользователю про его возможности подключения к данным локальной системы из любой точки Сети.

Рис. 5.20.
Подключение к данным компьютера возможно из любой точки Интернета

Идея доступа к локальному компьютеру извне заключается в следующем. На компьютер устанавливается программа, которая инициирует подключение к заданному серверу в глобальной сети. Поскольку это подключение осуществляется изнутри сети по разрешенным протоколам, то оно пропускается межсетевым экраном. На компьютер, с которого требуется подключиться к системе за межсетевым экраном, доступ к нему осуществляется через сервер соответствующей программы. Обычно в этих целях применяется обозреватель Интернета (поскольку эта программа доступна в любых интернет-кафе и других публичных точках).

Подобных решений существует много. Можно упомянуть LogMeIn (бесплатное решение, https://secure.logmein.com/solutions/personal/), Anyplace Control (http:// www.anyplace-control.com/solutions.shtml) и др. Поэтому блокирование на межсетевом экране списка таких серверов не решает кардинально проблему безопасности: не исключена возможность появления нового сервера или перехода на иное программное решение.

Предотвратить описанный способ нарушения безопасности информационной системы можно, если полностью исключить возможность установки пользователем приложений (тотальным контролем запускаемого программного обеспечения).


1Поэтому компьютеры должны находиться в пределах локального сегмента сети.


Рейтинг@Mail.ru