Чтобы отключить DA, надо выключить все связанные с ним IPsec Rules в Windows Firewall with Advanced Security. В видеоролике я их показал. Понятно, что для начальника надо просто скрипт написать и, например, вывести иконку на рабочий стол. Другим скриптом включить обратно. Есть еще вот такая утилитка, которая позволяет пользователю визуально видеть, установлено DA-соединение, или нет. technet.microsoft.com/en-us/library/ff384241.aspx
И для диагностики полезна.
Для длительного отключения DA, можно удалить нужный компьютерный account из группы, к которой применяются групповые политики DA.
Что касается конкретной ситуации с WSUS, то тут можно больше вариантов придумать. Например, настраивать WSUS-клиента так, чтобы он не скачивал обновления, а только оповещал о том, что они доступны. Если, конечно, известно, когда и куда шеф едет.
Но поскольку DA-клиент практически всегда подключен к корпоративной сети, то он практически всегд up-to-date, и реально ситуации, когда надо кучей накатить обновления, редки
Мне, честно говоря, логика самого решения не кажется странной. Данные в BrancheCache всегда актуальны. Это — принципиальный момент. Отсюда вытекает логика работы, а за ней и сфера применения. Понимая логику работы и зная специфику своих данных, Вы решаете насколько в Вашей конкретной ситуации (для конкретных серверов и даже шар) будет эффективен этот механизм.
Что касается безопасности — достаточно настроить только BranchCache. Он гарантирует безопасное общение с «соседями». Но если нужно дополнительно закрутить безопасность, то Вы включаете дополнительные службы. Ведь речь идет об обыкновенных файлах, с которыми работает пользователь, а не о каких-то особенных конфиденциальных документах. Есть смысл по умолчанию шифровать кэш, если, скачав файл, пользователь сохраняет его в незашифрованной папке «Мои документы»?
Да, на одном из семинаров так и сказали: «О, Microsoft написала свой торрент». Если Firefox использует HTTP, встроенный в Windows, кэширование будет работать.
У IPv6 есть несколько существенных преимуществ. Одно из них — огромное адресное пространство, которое позволяет присвоить уникальный айпишник любому устройству. Как следствие, можно забыть про NAT и связанные с ним проблемы. Одну проблему Roy уже упомянул. Вторая проблема — приложения, которые должны уметь работать через NAT. Еще одно преимущество IPv6 — это как раз IPSec. Да, он давно есть для IPv4, но появился существенно позже самого протокола IP. В результате, есть несколько различных реализаций IPSec. Легко можно столкнуться с ситуацией, когда, скажем, роутеры разных производителей не могут «дружить» по IPSec. Или поддержка IPSec вообще отсутствует. Для IPv6 IPSec проектировался изначально и является обязательным для реализации. Вы можете использовать IPv6 и при этом не использовать IPSec. Но если в документации на ваше устройство сказано, что поддерживается IPv6, по определению поддерживается и IPSec. Есть еще несколько деталей, о которых напишу в посте по DirectAccess.
Примером российской компании, где внедрен BranchCache, может послужить «Вимм-Билль-Данн». А вообще, если компания уже использует Windows 7, то почему бы не задействовать встроенную возможность. Если речь идет о принятии решения, то BranchCache может доолнительно на это решение повлиять. Но, безусловно, окончательный выбор — дело конкретной компании.
На мой взгляд, таких офисов предостаточно, особенно если у организации заключен Enterprise Agreement. Что касается кэширования. Веб-сервер должен уметь взаимодействовать с сервисом генерации метаданных и отдавать эти самые метаданные в ответ на запрос клиента. Иными словами, веб-сервер «должен знать» о существовании BranchCache. Такая поддержка и была добавлена в IIS 7.5. Apache, например, по умолчанию конечно же ничего про BranchCache «не знает». Поэтому и кэширование при его использовании работать не будет. Однако BranchCache имеет соответствующий API, и поддержка BranchCache может быть добавлена в другие приложения.
www.techdays.ru/videos/3222.html
technet.microsoft.com/en-us/library/ff384241.aspx
И для диагностики полезна.
Для длительного отключения DA, можно удалить нужный компьютерный account из группы, к которой применяются групповые политики DA.
Что касается конкретной ситуации с WSUS, то тут можно больше вариантов придумать. Например, настраивать WSUS-клиента так, чтобы он не скачивал обновления, а только оповещал о том, что они доступны. Если, конечно, известно, когда и куда шеф едет.
Но поскольку DA-клиент практически всегда подключен к корпоративной сети, то он практически всегд up-to-date, и реально ситуации, когда надо кучей накатить обновления, редки
Что касается безопасности — достаточно настроить только BranchCache. Он гарантирует безопасное общение с «соседями». Но если нужно дополнительно закрутить безопасность, то Вы включаете дополнительные службы. Ведь речь идет об обыкновенных файлах, с которыми работает пользователь, а не о каких-то особенных конфиденциальных документах. Есть смысл по умолчанию шифровать кэш, если, скачав файл, пользователь сохраняет его в незашифрованной папке «Мои документы»?