Konfigurieren der CIFS- und SMB2/SMB3-Beschleunigung

Die CIFS-Beschleunigungsfunktion bietet eine Reihe von protokollspezifischen Leistungsverbesserungen für CIFS-basierte Dateiübertragung (Windows und Samba) und Verzeichnissuche, einschließlich Verbesserungen beim CIFS-Transport und verwandten Protokollen wie DCERPC.

CIFS-Beschleunigung besteht aus drei Teilen:

  • TCP-Durchflusssteuerungsbeschleunigung — Dies wird bei allen beschleunigten CIFS-Verbindungen ausgeführt, unabhängig von der Protokollversion (SMB1, SMB2 oder SMB3) oder Authentifizierungs- und Verschlüsselungsgrad.

  • CIFS-Protokollbeschleunigung: Diese Optimierungen erhöhen die CIFS-Leistung, indem die Anzahl der Roundtrips reduziert wird, die zum Ausführen eines CIFS-Befehls erforderlich sind. Diese Optimierungen werden automatisch auf SMB1- und SMB2-CIFS-Verbindungen durchgeführt, die entweder keine CIFS-Paketauthentifizierung (Signieren) verwenden oder wenn Signaturen verwendet werden und die Appliances der Windows-Domäne in einer Rolle Sicherheitsdelegaten beigetreten sind.

  • CIFS-Komprimierung — CIFS-Verbindungen werden automatisch komprimiert, wenn sie die Anforderungen für die CIFS-Protokollbeschleunigung erfüllen. Darüber hinaus werden SMB3-Verbindungen komprimiert, wenn sie nicht signiert und entsiegelt sind.

In Netzwerken, in denen die CIFS-Signierung aktiviert ist, erfordern die Beschleunigung und Komprimierung des CIFS-Protokolls, dass Sie entweder die CIFS-Paketauthentifizierung (Signierung) deaktivieren oder Ihre Rechenzentrums-Appliances der Windows-Domäne beitreten und eine sichere Peer-Beziehung zwischen den Datencenter-Appliances und Ihren Remote-Appliances erstellen. und Citrix SD-WAN WANOP-Plug-Ins.

Tabelle 1. CIFS-Beschleunigungsfunktionen, nach SMB-Protokollversion und ob die Appliance der Windows-Domäne beigetreten ist.

SMB-Version TCP-Flusssteuerung Komprimierung Protokollbeschleunigung
    Signieren deaktiviert  
SMB 1.0 J J J
SMB 2.0 J J J
SMB 2.1 J J N
SMB 3.0 J J N
    Signierung aktiviert, Citrix SD-WAN WANOP ist Domäne beigetreten  
SMB 1.0 J J J
SMB 2.0 J J J
SMB 2.1 J J J
SMB 3.0 J J Y *
    Signierung aktiviert, Citrix SD-WAN WANOP ist nicht Domäne beigetreten  
SMB 1.0 J N N
SMB 2.0 J N N
SMB 2.1 J N N
SMB 3.0 J N N

* SMB 3.0 Support wurde in Version 7.4.2 hinzugefügt.

** Citrix SD-WAN WANOP unterstützt keine NTLMv2-Authentifizierung (Standard für Windows 7) mit SMB 1/SMB 2/SMB 3 und mit NetApp-Server. Aktivieren der Kerberos-Authentifizierung ermöglicht Beschleunigung.

Tabelle 2. Welche SMB-Protokollversion wird vom Client- und Server-Betriebssystem verwendet.

Client/Server-Betriebssystem Windows 8, Windows 10 oder Windows Server 2012 Windows 7 oder Windows Server 2008 R2 Windows Vista oder Windows Server 2008 Frühere Versionen von Windows
Windows 8, Windows 10 oder Windows Server 2012 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
Windows 7 oder Windows Server 2008 R2 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
Windows Vista oder Windows Server 2008 SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Frühere Versionen von Windows SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0

Unterstützte Versionen von CIFS:

Nicht jede CIFS-Implementierung verwendet Anforderungsmuster, die von der Appliance erkannt werden. Diese nicht unterstützten Versionen erreichen keine Beschleunigung in allen Fällen, wie in der folgenden Tabelle gezeigt.

Tabelle 3. Citrix SD-WAN WANOP Unterstützung für CIFS-Server und -Clients.

Produkt Server Client
Windows Server 2003-2012 Ja* Ja*
Windows XP, Vista, 7, 8, 2000 Ja* Ja*
NetApp Ja** Nicht zutreffend
Hitachi Ja** Nicht zutreffend
Windows NT Ja Nein
Windows ME und früher Nein Nein
Andere Siehe Hinweis Siehe Hinweis

* SMB 3.0-Unterstützung wurde in Version 7.4.2 eingeführt.

** Der Betrieb mit SMB 3.0 wurde ab Version 7.4.2 nicht getestet.

Hinweis: Die meisten CIFS-Implementierungen von Drittanbietern emulieren einen der oben aufgeführten Server oder Clients. Soweit die Emulation erfolgreich ist, wird der Datenverkehr beschleunigt oder nicht, wie in der obigen Tabelle gezeigt. Wenn sich die Emulation anders verhält als der CIFS-Beschleuniger erwartet, wird die CIFS-Beschleunigung für diese Verbindung beendet.

Das Verhalten der CIFS-Beschleunigung mit einer bestimmten CIFS-Implementierung kann nicht sicher bekannt sein, bis es getestet wurde.

Die Modi der CIFS-Beschleunigung sind:

  • Lese- und Schreibvorgänge in großen Dateien

  • Kleine Dateien lesen und schreiben

  • Verzeichnissuche.

Lese- und Schreibvorgänge großer Dateien— Diese SMB1-Optimierungen sind für Dateiübertragungen von mindestens 640 KB geeignet. Sichere Read-Ahead- und Write-Behind Techniken werden verwendet, um die Daten ohne Pausen für jede Übertragung zu streamen (eine Übertragung beträgt 64 KB oder weniger).

Diese Optimierungen werden nur dann aktiviert, wenn die Übertragung eine BATCH- oder EXCLUSIVE Sperre hat und einfach ist. Dateikopien sind immer einfach. Dateien, die über Anwendungen geöffnet werden, sind möglicherweise oder nicht, je nachdem, wie sie innerhalb der Anwendung behandelt werden.

Geschwindigkeitsverhältnisse von 10x sind leicht mit CIFS-Beschleunigung erhältlich, vorausgesetzt, dass Ihre Verbindung und Festplatten schnell genug sind, um das Zehnfache Ihrer aktuellen Übertragungsgeschwindigkeiten aufzunehmen. 50x Beschleunigung kann bei Bedarf erhalten werden, ist aber aufgrund des Speicherverbrauchs normalerweise nicht aktiviert. Wenden Sie sich an Ihren Citrix Vertreter, wenn 10x nicht ausreicht.

Lese- und Schreibvorgänge in kleinen Dateien— Verbesserungen bei kleinen Dateien zentrieren sich mehr auf Metadaten (Verzeichnis-) Optimierungen als auf Datenstreaming. Native CIFS kombiniert Metadatenanforderungen nicht effizient. CIFS-Beschleunigung tut es. Wie bei der Beschleunigung großer Dateien werden diese Optimierungen nur durchgeführt, wenn sie sicher sind (z. B. werden sie nicht ausgeführt, wenn dem CIFS-Client keine exklusive Sperre für das Verzeichnis gewährt wurde.) Wenn das SMB2-Protokoll verwendet wird, werden Dateimetadaten lokal zwischengespeichert, um noch größere Verbesserungen zu erzielen.

Verzeichnissuche— Standard-CIFS-Clients führen das Durchsuchen von Verzeichnissen äußerst ineffizient durch und erfordern eine enorme Anzahl von Roundtrips, um einen Remote-Ordner zu öffnen. CIFS-Beschleunigung reduziert die Anzahl der Roundtrips auf 2 oder 3. Wenn das SMB2-Protokoll verwendet wird, werden Verzeichnisdaten lokal zwischengespeichert, um noch größere Verbesserungen zu erzielen.

CIFS-Protokollbeschleunigung

CIFS-Beschleunigung wird auf allen Modellen unterstützt. CIFS ist ein TCP-basiertes Protokoll und profitiert von der Flusssteuerung. CIFS wird jedoch in einer Weise implementiert, die in Langstreckennetzen sehr ineffizient ist und eine übermäßige Anzahl von Hin- und Rückfahrten erfordert, um einen Vorgang abzuschließen. Da das Protokoll sehr empfindlich auf die Verbindungslatenz reagiert, muss die volle Beschleunigung protokollbewusst sein.

CIFS-Beschleunigung reduziert die Anzahl der Roundtrips durch eine Vielzahl von Techniken. Das Muster der Anfragen vom Client wird analysiert und seine nächste Aktion wird prognostiziert. In vielen Fällen ist es sicher, auf die Vorhersage zu reagieren, auch wenn sie falsch ist, und diese sicheren Operationen sind die Grundlage vieler Optimierungen.

Beispielsweise geben SMB1-Clients sequentielle Datei-Lesevorgänge nicht überlappend aus und warten darauf, dass jeder 64 KB gelesene Lesevorgang abgeschlossen ist, bevor die nächste Ausgabe ausgegeben wird. Durch die Implementierung von Read-Ahead kann die Appliance sicher bis zu 10-fache Beschleunigung liefern, indem sie die erwarteten Daten im Voraus abruft.

Zusätzliche Techniken beschleunigen das Durchsuchen von Verzeichnissen und Operationen mit kleinen Dateien. Die Beschleunigung wird nicht nur auf CIFS-Vorgänge angewendet, sondern auch auf die zugehörigen RPC-Vorgänge.

Voraussetzungen

CIFS-Beschleunigung wird auf allen Modellen unterstützt. CIFS ist ein TCP-basiertes Protokoll und profitiert von der Flusssteuerung. CIFS wird jedoch in einer Weise implementiert, die in Langstreckennetzen sehr ineffizient ist und eine übermäßige Anzahl von Hin- und Rückfahrten erfordert, um einen Vorgang abzuschließen. Da das Protokoll sehr empfindlich auf die Verbindungslatenz reagiert, muss die volle Beschleunigung protokollbewusst sein.

CIFS-Beschleunigung reduziert die Anzahl der Roundtrips durch eine Vielzahl von Techniken. Das Muster der Anfragen vom Client wird analysiert und seine nächste Aktion wird prognostiziert. In vielen Fällen ist es sicher, auf die Vorhersage zu reagieren, auch wenn sie falsch ist, und diese sicheren Operationen sind die Grundlage vieler Optimierungen.

Beispielsweise geben SMB1-Clients sequentielle Datei-Lesevorgänge nicht überlappend aus und warten darauf, dass jeder 64 KB gelesene Lesevorgang abgeschlossen ist, bevor die nächste Ausgabe ausgegeben wird. Durch die Implementierung von Read-Ahead kann die Appliance sicher bis zu 10-fache Beschleunigung liefern, indem sie die erwarteten Daten im Voraus abruft.

Zusätzliche Techniken beschleunigen das Durchsuchen von Verzeichnissen und Operationen mit kleinen Dateien. Die Beschleunigung wird nicht nur auf CIFS-Vorgänge angewendet, sondern auch auf die zugehörigen RPC-Vorgänge.

Wenn Ihr Netzwerk CIFS-Signatur verwendet, muss die Appliance ein vertrauenswürdiges Mitglied der Domäne sein. Informationen zum Erstellen der Appliance zu einem vertrauenswürdigen Mitglied der Domäne finden Sie unterHinzufügen einer Citrix SD-WAN WANOP Appliance zur Windows-Sicherheitsinfrastruktur.

Konfigurieren der CIFS-Protokollbeschleunigung

Die CIFS-Beschleunigung ist standardmäßig für Verbindungen aktiviert, die keine CIFS-Signatur verwenden. Wenn Ihr Netzwerk Signaturen verwendet, kann es entweder deaktiviert werden oder die serverseitigen Appliances könnender Windows-Domäne beitreten.

CIFS-Signatur deaktivieren

Abhängig von den Sicherheitseinstellungen müssen die Sicherheitseinstellungen für Windows-Server oder Domänenserver möglicherweise angepasst werden.

Abbildung 1. Windows Server-Sicherheitsoptionen, Windows Server 2003 und Windows Server 2008.

lokalisierte Grafik

Windows-Dateiserver haben zwei Sicherheitsmodi: Versiegelung und Signieren.

Die Versiegelung verschlüsselt den Datenstrom und verhindert die Beschleunigung des CIFS-Protokolls insgesamt.

Signieren fügt Authentifizierungsdaten zu jedem Datenpaket hinzu, ohne den Datenstrom zu verschlüsseln. Dies verhindert die Beschleunigung, es sei denn, Sie haben die unter beschriebenen Verfahren implementiertHinzufügen einer Citrix SD-WAN WANOP Appliance zur Windows-Sicherheitsinfrastruktur. Wenn diese Anforderung erfüllt ist, wird das Signieren automatisch beschleunigt. Andernfalls muss die Signierung deaktiviert sein (wenn sie nicht bereits deaktiviert ist), damit die Protokollbeschleunigung stattfinden kann.

Standardmäßig bieten Windows-Dateiserver Signaturen, erfordern diese jedoch nicht, außer für Domänenserver, für die dies standardmäßig erforderlich ist.

Um die CIFS-Beschleunigung bei Systemen zu erreichen, die derzeit signiert werden müssen, müssen Sie die Systemsicherheitseinstellungen ändern, um diese Anforderung zu deaktivieren. Sie können dies in den lokalen Sicherheitseinstellungen auf dem Dateiserver oder in Gruppenrichtlinien tun. In den folgenden Beispielen für Windows Server 2003 und Windows Server 2008 werden die lokalen Einstellungen angezeigt. Die konzernpolitischen Änderungen sind natürlich fast identisch.

Citrix SD-WAN WANOP

So ändern Sie die Servereinstellung, um CIFS-Beschleunigung zuzulassen

  1. Navigieren Sie zur Seite Lokale Sicherheitseinstellungen des Systems.

  2. Domänenmitglied festlegen: Verschlüsseln oder signieren Sie sichere Kanaldaten digital (immer) auf Deaktiviert.

  3. Microsoft-Netzwerkclient festlegen: Kommunikation digital signieren (immer) auf Deaktiviert.

  4. Microsoft Netzwerkserver festlegen: Kommunikation digital signieren (immer) auf Deaktiviert.

CIFS-Statistiken interpretieren

Auf der Seite Überwachung: Dateisystem (CIFS/SMB) wird eine Liste der beschleunigten CIFS-Verbindungen angezeigt. Diese Verbindungen sind in optimierte und nicht optimierte Verbindungen unterteilt. Da alle diese Verbindungen beschleunigt werden (mit Flusssteuerung und Komprimierung), haben optimierte Verbindungen zusätzlich zur Flusssteuerung und -komprimierung CIFS-Optimierungen, während nicht optimierte Verbindungen nur Flusssteuerung und -komprimierung haben.

CIFS-Verwaltungszusammenfassung

  • Die CIFS-Beschleunigung bietet deutliche Verbesserungen auch bei relativ kurzen Strecken.

  • Die CIFS-Beschleunigung beginnt, wenn der Client zum ersten Mal auf ein Dateisystem zugreift. Wenn die Beschleunigung aktiviert ist, wenn der Dateiserver und Client bereits ausgeführt und ausgeführt wird, erfolgt keine Beschleunigung für viele Minuten, bis die bereits vorhandenen CIFS-Verbindungen vollständig geschlossen sind. CIFS-Verbindungen sind sehr hartnäckig und dauern lange, bevor sie sich selbst schließen, selbst im Leerlauf. Dieses Verhalten ist während des Tests ärgerlich, hat aber wenig Bedeutung in der normalen Bereitstellung.

  • Durch Aufheben einer Bereitstellung und Neubereitstellen eines Dateisystems in Windows werden die CIFS-Verbindungen nicht geschlossen, da Windows das Dateisystem nicht vollständig aufhebt. Der Neustart des Clients oder Servers funktioniert. Verwenden Sie für eine weniger invasive Maßnahme den Befehl NET USE devicename /DELETE von der Windows-Befehlszeile, um die Bereitstellung des Volumes vollständig aufzuheben. Unter Linux trennen smbmount und umount das Volume vollständig.

  • Das Deaktivieren und erneute Aktivieren von CIFS-Lese- und Schreiboptimierungen auf der Appliance führt zu ähnlichen Problemen. Vorhandene Verbindungen werden nicht beschleunigt, wenn CIFS aktiviert ist, und die Anzahl der Protokollfehler erkannt auf der Seite Überwachung: Dateisystem (CIFS/SMB) erhöht sich kurz.

  • CIFS-Statistiken können verwirrend sein, da nur die Appliance, die am weitesten vom Dateiserver entfernt ist, eine CIFS-Beschleunigung mit vollständigen Statistiken meldet. Die andere Appliance sieht es als gewöhnliche Beschleunigung.

  • CIFS-Beschleunigung wird im Proxy-Modus nicht unterstützt.

  • Wenn die CIFS-Beschleunigung nicht mit einem Windows-Server stattfindet, überprüfen Sie die Sicherheitseinstellungen des Servers.