- Информация о материале
- Категория: Система
Создание и подключение общего сетевого ресурса является одной из задач для комфортной работы в сети для пользователей домена. При создании общего ресурса пользователи смогут спокойно использовать созданный ресурс, обмениваться различными файлами, документами и другими ресурсами, которые нужны для полноценной работы в сети.
Процесс создания ресурса не сложный, занимает не так много времени. Конечно же надо определить место, где будет развернут ресурс. В дальнейшем необходимо настроить права и квоты для пользователей, а также определить правила взаимодействия с вновь созданным каталогом.
Создание и подключение общего доменного ресурса.
- Нажимаем на соответствующий ярлык для запуска Диспетчера серверов.
- В открывшемся окне проматываем ползунок вниз.
- Выбираем вкладку «Файловые службы и службы хранилища» и нажимаем на эту вкладку.
- В открывшемся окне «Общие ресурсы«, выбираем «ЗАДАЧИ«, затем «Новый общий ресурс…«.
- В окне выбора профиля для общего ресурса производим выбор «Общий ресурс SMB — дополнительные параметры«. Затем нажимаем «Далее«.
- В новом окне указываем сервер и путь к общему ресурсу. В данном случае выбран диск «D» и каталог общего ресурса назван «Distrib» (D:Distrib). Снова «Далее«.
- Затем задаём имя и описание для общего ресурса. Проверяем локальный и удалённый путь к общему ресурсу, нажимаем «Далее«.
- В связи с тем, что по указанному пути нет каталога «Distrib«, система выдаст соответствующее предупреждение и предложит создать ресурс. После этого нажимаем «ОК«.
- В следующем окне ставим чекбокс напротив «Включить перечисление на основе доступа«. Затем «Далее«.
- Если есть необходимость, то в новом окне можно настроить разрешения на доступ к файлам общего ресурса. Но также эти разрешения можно настроить и после создания и подключения общего ресурса.
- В окне с «Указанием свойств управления папкой» ставим чекбокс напротив «Файлы пользователя». Нажимаем «Далее«.
- Применение квоты к папке или тому — здесь можно сразу настроить квоту на основе шаблона или оставляем «Не применять квоту«. Затем «Далее«.
- В окне «Подтверждение выбора» проверяем все настройки и нажимаем клавишу «Создать«.
- В результате всех этих действий будет создан на сервере общий ресур на диске «D«, имя каталога «Distrib«.
- Для проверки создадим в каталоге «Distrib» текстовый файл с любым именем.
- Теперь настала очередь сделать так, чтобы общий ресурс был виден на компьютерах пользователей. Делаем это с помощью групповых политик. Для этого в «Диспетчере серверов» выбираем «Средства«, далее «Управление групповой политикой«.
- В новом окне раскрываем домен и выбираем политику, которую нужно изменить для подключения общего ресурса. Лучше всего создать новую политику и править уже её. Но можно править и дефолтную политику. Рекомендуется всегда документировать все изменения, произведенные на сервере.
В данном случае выбираем «Default Domain«. Нажимаем на политике правой клавишей мыши и нажимаем «Изменить«. - В открывшейся политике выбираем «Конфигурация пользователя» — «Настройка» — «Конфигурация Windows«. Нажимаем правой клавишей мыши на «Сопоставления дисков«, далее «Создать» — «Сопоставленный диск«.
- В новом окне заполняем:
Действие: «Обновить«.
Размещение: \srv1Distrib
Повторное подключение: чекбокс «Подпись«: Distrib
Использовать: Y (задаём букву диска для общего ресурса)
Затем нажимаем «Применить«. - Таким образом создастся сопоставленный диск, который будет показываться у пользователей.
- Для применения групповой политики открываем командную строку и выполняем команду: gpupdate /force.
- Если зайти на пользовательский компьютер под доменным пользователем, то в проводнике мы увидим новый диск с назначенной ему буквой «Y«. Этот диск является созданным общим ресурсом.
- Если открыть этот сетевой ресурс, то мы увидим текстовый документ, который мы создали на сервере в каталоге «Distrib» для проверки.
Таким образом мы создали общий ресурс на сервере и подключили его для пользователей домена с помощью групповой политики.
Видео по созданию и подключению общего сетевого ресурса в домене можно посмотреть здесь:
Также читайте:
- Установка Windows server 2012
- Windows server 2012 — установка роли Active Directory
- Архивирование и восстановление GPO Windows Server 2012
- Создание пользователя в домене Windows Server 2012
- WSUS — удаление ненужных обновлений
- Создание архива сервера Windows 2012
- Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
©
2015 — 2023
Все права защищены. Копирование материала без ссылки на сайт запрещено.
Содержание
Создание общих папок
Создание общих ресурсов в проводнике Windows
Удаленное создание общих ресурсов с помощью консоли управления компьютером
Управление разрешениями
Создание разрешений общего доступа
Разрешения для файлов и каталогов
Работа со скрытыми общими ресурсами
Исследование распределенной файловой системы
Терминология, связанная с DFS
Выбор между автономной и доменной файловой системой
Создание корня DFS
Добавление ссылок в корень DFS
Конфигурирование репликации DFS
Понятие репликации DFS
Управление репликацией DFS
Исследование сетевой файловой системы
Возможно, вы еще помните те времена, когда данные, которыми вы хотели по
делиться с коллегами, помещались на флоппи-диски. Потребность в общем
доступе к файлам и папкам является одной из самых важных причин, по кото
рым были разработаны серверные технологии.
В операционной системе Microsoft Windows Server 201 2 R2 были предложены новые и усовершенствованные пути организации общего доступа к файлам с помощью служб, подобных NFS (Network File System — сетевая файловая система), которые предоставляют решение общего доступа к файлам для предприятий, располагающих смесью разнообразных операционных систем. Благодаря N FS, вы можете открывать общий доступ к файлам не только для других серверов Windows, но также и для клиентов Unix, Linux и Мае OS,
если они присутствуют в вашей организации. В этой главе мы погрузимся в NFS и
посмотрим, что появилось нового, а что изменилось в текущей редакции сервера.
В Windows Server 2012 R2 также модернизированы технологии распределенной
файловой системы (Distributed File System — DFS), которые продолжают предла
гать дружественную к WAN репликацию для упрощения доступа к географически
разбросанным файлам и папкам. Общий доступ к файлам и папкам по сети мож
но предоставлять на основе их группирования. Эта функция упрощает сложный
процесс, который был утомительным и затратным по времени в ранних выпусках
Windows Server.
В настоящей главе мы поможем вам разобраться в DFS и затем в NFS, предоставив пошаговые руководства по применению этой захватывающей функциональности. Вы узнаете, что собой представляют указанные функции, как они работают и каким образом извлечь из них максимальную пользу.
В этой главе вы изучите следующие темы:
• добавление на сервер роли File and Storage Services (Службы файлов и хранилища ) ;
+ добавление общей папки, используя NFS;
• добавление корня DFS.
Создание общих папок
Чтобы иметь возможность создать общую папку, вы должны располагать подходящими правами. Для этого вы должны быть либо администратором, либо опытным
пользователем. Создавать общие ресурсы можно двумя способами: либо в проводнике Windows, находясь на сервере, либо в диспетчере серверов на сервере или дистанционно.
НЕКОТОРЫЕ ОСНОВЫ ОБЩЕГО ДОСТУПА К ФАЙЛАМ
Одним из основных компонентов любого сервера является возможность общего до
ступа к файлам. В действительности возможность организации общего доступа к файловым и принтерным ресурсам поддерживается службой Server (Сервер), которая входит в состав каждого члена семейства Windows NГ, включая Windows Server 2012 R2.
Но что именно она собой представляет и почему настолько важна?
По умолчанию один лишь факт наличия функционирующего сервера совершенно не означает доступность каких-либо ресурсов пользователям. Чтобы пользователи на самом деле
смогли обращаться к ресурсам на сервере, вы должны открыть общий доступ к этим
ресурсам. Предположим, что у вас на локальном диске I имеется папка APPS с трмн подпапками приложений, как показано ниже:
Когда вы открываете общий доступ к этой папке из сети под именем APPS, вы позволяете клиентам отображать на вашу лапку I : APPS новые буквы дисков на своих
машинах. За счет отображения диска создаетсн виртуальный указатель непосредственно на место подключения. Если вы отобразите диск М клиента на общий ресурс
APPS сервера, то диск м будет выглядеть идентично папке I : APPS сервера
Создание общих ресурсов в проводнике Windows
Давайте возвратимся к открытию общего доступа к папке APPS. Если вы находитесь непосредственно на сервере, то для создания общего ресурса и управления всеми его свойствами можете применять проводник Windows. Итак, вы хотите сделать
папку I : APPS доступной в сети под именем APPS.
В окне проводника Windows щелкните правой кнопкой мыши на папке APPS и
выберите в контекстном меню пункт Sharing and Security (Общий доступ и безопасность). Откроется диалоговое окно свойств для папки APPS. Перейдите на вкладку Shariпg (Общий доступ). Чтобы открыть общий доступ к папке, можно щелкнуть
на кнопке Share (Общий доступ) или на кнопке Advanced Sharing (Расширенная на
стройка общего доступа), как показано на рис. 14. 1 .
l . Итак, есть две кнопки для открытия общего доступа: Share и Advanced Sharing.
Щелкните на кнопке Advanced Sharing, чтобы воспользоваться дополнитель
ными возможностями, предлагаемыми мастером. Первым делом понадобится
отметить флажок Share this folder (Открыть общий доступ к этой папке).
2. После открытия общего доступа ресурсу необходимо назначить имя. Это очень
важный шаг, поскольку под данным именем пользователи будут подключаться
к общему ресурсу. Укажите имя APPS.
3. После именования общего ресурса станет доступной область Comments
(Примечание), позволяя предоставить описание общего ресурса. Здесь также
можно установить лимит пользователей, что поможет управлять доступом к
общему ресурсу. Введите описание общего ресурса, укажите реалистичное число для максимального количества одновременных подключений и затем щелкните на кнопке Permissions (Разрешения), чтобы открыть следующее диалоговое окно.
4. Группе Everyone (Все) автоматически предоставляется разрешение Read
(Чтение) для нового общего ресурса. Щелкните на кнопке Add (Добавить);
откроется диалоговое окно поиска, в котором можно разрешить доступ к об
щему ресурсу другим пользователям и группам.
Всегда сначала добавляйте пользователя или группу административного уровня и затем выдавайте этому объекту разрешение Full Control (Полный доступ).
Это гарантирует, что администратор в любой момент сможет управлять и поддерживать общий ресурс.
Рекомендуется предоставлять разрешение Full Control только администраторам.
Вы же не хотите, чтобы кто угодно мог назначать и отзывать разрешения
по собственному желанию.
Только вообразите, насколько быстро все пойдет наперекосяк, когда пользователь удалит разрешения для группы администраторов и возьмет под контроль ваш общий ресурс! Поскольку это общий ресурс APPS, который должны читать все, оставьте группу Everyone с разрешением Read.
Для продолжения щелкните на кнопках Apply (Применить) и ОК.
5. Последней опцией в окне Advanced Sharing (Расширенная настройка об
щего доступа) является кнопка Caching (Кеширование).
Она позволяет выбрать дополнительные настройки автономного режима, например, включить BranchCache — великолепное средство, которое обсуждалось в предыдущей
главе.
Просмотрите доступные варианты, сделайте необходимый выбор и
щелкните на кнопке ОК. Для получения дополнительной информации о ке
шировании можете щелкнуть на гиперссылке Configure Offline Availabllity for
а Shared Folder (Настройка доступа к общей папке вне сети) в нижней части
диалогового окна.
6. Просмотрите все выбранные настройки общего доступа к папке и затем шел
кните на кнопках Apply и ОК, чтобы завершить открытие общего доступа.
Общий ресурс APPS стал доступным через сеть.
Теперь, когда папка APPS открыта мя общего доступа пользователям, вы можете перейти к этому общему ресурсу в проводнике Windows. Существует множество путей мя просмотра общих дисков и папок. В следующем разделе мы покажем, как просматривать общие ресурсы с помощью консоли Computer Management
(Управление компьютером).
УСТАНОВКА ЛИМИТОВ ПОЛЬЗОВАТЕЛЕЙ
Вы можете сконфигурировать количество пользователей, которые могут одновременно подключаться к общему ресурсу, путем настройки опции User limit (Лимит
пользователей) в диалоговом окне свойств общего ресурса.
Если приложение внутри общего ресурса лицензировано мя 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей.
По мере того, как пользователи подключаются к общему ресурсу, их число приближается к лимиту пользователей.
При отключении от общего ресурса их количество уменьшается. Это означает возможность установки лимита для общего ресурса, который не превышает сушествующие ограничения лицензирования, что поможет сохранить соответствие лицензионным соглашениям.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.
В режиме клиентских лицензий производитель не заботится о том, сколько пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение. В таких случаях лимит пользователей никак вас не защитит.
Наконец, вы должны принять во внимание, каким образом пользователи подключаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограничивать их на базе параллелизма. Если все пользователи подключаются к общему ресурсу при входе в систему и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему пользователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей. Если подключения осуществляются только при использовании приложения, то лимит пользователей будет работать довольно хорошо.
Удаленное создание общих ресурсов с помощью консоли управления компьютером
В Windows Serveг 201 2 R2 были внесены замечательные усовершенствования
в способ применения диспетчера серверов. Из единственного сервера управления
можно создавать и управлять общими ресурсами на множестве серверов, при кладывая лишь небольшие усилия. До тех пор, пока удаленный сервер находится в он
лайновом режиме и доступен через сеть, нет никаких причин входить в его систему
непосредственно на месте. Давайте посмотрим, как использовать новый интерфейс
диспетчера серверов мя подключения к удаленному серверу и создания на нем нового общего ресурса.
l . Запустите диспетчер серверов, шелкните на элементе All Servers (Все серверы)
и щелкните правой кнопкой мыши на сервере, которым необходимо управлять дистанционным образом.
В контекстном меню отобразится новый набор пунктов, одним из которых
является Computer Management (Управление компьютером)
Консоль Computeг Management (Управление компьютером) находится в программной
группе Administrative Tools (Администрирование). С помощью этого инструмента вы можете, помимо прочего, создавать и управлять общими ресурсами локально или же дистанционно. Если в проводнике Wmdows щелкнуть правой кнопкой мыши на папке, которая не является локальной на вашей машине, в контекстном меню не появится пункт для открытия общего доступа. Если же вы собираетесь создать общий ресурс, используя консоль Computer Management на своей локальной машине, то для этого все готово. Чтобы управлять общим ресурсом на удаленном сервере, к этому серверу сначала необходимо подключиться.
2. Выберите пункт Computer Management, после чего диспетчер серверов автоматически подключится к удаленному серверу.
З. Выберите папку Computer ManagementSystem ToolsShared FoldersShares (Управление компьютером Системные инструменты Общие папки Общие ресурсы),
4. Теперь можете либо выбрать в меню Actions (Действия) пункт New Share (Новый общий ресурс),либо щелкнуть правой кнопкой мыши в окне со списком общих ресурсов и выбрать в контекстном меню пункт New Share.
5. На начальном экране мастера создания общей папки (Create А Shared Folder
Wizard) щелкните на кнопке Next (Далее); появится экран, представленный на
рис. 14.4. Удостоверьтесь в корректности информации в поле Computer паmе
(Имя компьютера), чтобы общий ресурс был создан на нужном компьютере.
Чтобы создать общий ресурс, вы можете просмотреть исходные диски и папки
или же создать новую папку на лету, просто введя полное имя диска и папки в
поле Folder path (Путь к папке).
6. Для этого примера создайте новую папку по имени Graphics и откройте к ней
общий доступ как к I : Graphics.
7. Завершив ввод пути к папке, щелкните на кнопке Next.
8. Появится экран, показанный на рис. 14.5. Введите здесь имя, которое долж
но быть назначено этому общему ресурсу, и его краткое описание.
9. Для продолжения щелкните на кнопке Next.
На следующем экране (рис. 14.6) будут определяться разрешения общего до
ступа, для чего предоставляются четыре переключателя.
• All Users Have Read-Only Access (Все пользователи имеют доступ только для
чтения). Эта опция позволяет группе Everyone иметь доступ только для чтения к содержимому папки. Она является стандартной настройкой в Windows
Server 2012 и хорошо демонстрирует повышенное внимание, уделяемое компанией Microsoft безопасности на протяжении последних нескольких лет.
В предшествующих редакциях сервера по умолчанию группа Everyone имела полный доступ (Full Control), включая анонимных пользователей, пришедших из сети! С момента выхода версии Windows Server 2008 при создании общего ресурса вам не придется начинать с широко открытых дверей.
Вы начинаете с закрытой двери и открываете ее согласно своим спецификациям, когда вам будет удобно.
3. Запустите следующую команду, чтобы получить список существующих общих
ресурсов, в котором будет присутствовать только что созданный ресурс:
PS С : > Get-SmbShare
4. Наконец, введите следуюшую команду, чтобы удалить только что созданный
общий ресурс:
PS С : > Rernove-SmbShare -Name ИмяОбщегоРесурса
Управление разрешениями
Разрешения обшего доступа применяются, когда пользователь обращается к файлу или папке через сеть, но они не принимаются во внимание, если пользователь
получает доступ к данным ресурсам локально, как это было бы при его нахождении
непосредственно за компьютером либо при использовании ресурсов на терминаль
ном сервере.
В противоположность этому, разрешения NTFS применяются независимо от того, каким образом пользователь обращается к тем же ресурсам, то ли он
подключается к ним дистанционно, то ли входит в них из консоли. Итак, когда доступ к файлам осуществляется локально, применяются только разрешения NTFS.
При дистанционном обрашении к тем же самым файлам применяется объединение
разрешений общего доступа и NTFS с вычислением наиболее ограничивающего
разрешения из этих двух типов.
Создание разрешений общего доступа
Разрешения общего доступа являются, пожалуй, простейшей формой управления
доступом, с которой вы будете иметь дело в Windows Server. Вспомните, что разреше
ния общего доступа оказывают воздействие, только когда вы пытаетесь обратиться
к ресурсу через сеть. Считайте разрешения общего доступа разновидностью пропус
ка в охраняемое здание. Когда вы подходите к входной двери и предъявляете свое
удостоверение, охранник просматривает вашу фамилию и выдает пропуск, который
указывает уровень доступа к внутренним помешениям. Если на пропуске написа
но «доступ уровня 1 » , он позволит зайти в любую комнату с уровнем 1 , но нику
да больше.
Если вы попытаетесь, оказавшись внутри, зайти в комнату с требуемым
уровнем доступа 2, пропуск не сработает.
Определяя разрешения общего доступа, вы безопасно упраnляете уровнем доступа для каждого лиuа у входной днери.
Однако имейте в виду, что упомянутая входная дверь — или разрешение уровня
обшего ресурса — это не полная картина.
Разрешение уровня общего ресурса представляет только максимальный уровень доступа, который вы получите внутри.
Если вы располагаете разрешением Read на общем ресурсе, то самое большее, что вы сможете делать после дистанционного подЮiючения к нему — это чтение. Подобным
образом, разрешение Change позволит в лучшем случает вносить изменения.
Если вы хотите иметь полный контроль над всем внутри общего ресурса, вам понадобится разрешение Full Control на общем ресурсе.
Но поймите, что когда мы говорим о том, что разрешение общего доступа — это максимальный уровень доступа, который вы получите внутри общего ресурса, то имеем в виду возможность наличия дополнительного ограничения внутри за счет применения разрешений уровня файлов(или NTFS).
Вы можете располагать полным доступом на общем ресурсе, но объект
внутри неrо может иметь разрешения NТFS, которые позволяют только читать его.
Определение разрешений общего доступа
Чтобы определить разрешения общего доступа, выполните следующие действия в кон
соли Computer Management.
! . Щелкните правой кнопкой мыши на имени общего ресурса, который вы хотите защитить, и выберите в контекстном меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перейдите на ВЮiадку Share Permissions
(Разрешения общего доступа).
Вы можете попасть в это место из проводника Windows, щелкнув правой кнопкой мыши на локальной общей папке, выбрав в контекстном меню пункт Shar
ing and Security (Общий доступ и безопасность) и затем в открывшемся диалоговом окне шелкнув на кнопке Permissions (Разрешения).
ОтсутствиЕ полного ДОСТУПА У ГРУППЫ Everyone
Обратите внимание на то, что группа Everyone по умолчанию имеет разрешение
Read, что является великолепным шагом вперед в мире Windows в плане безопаснос
ти. Вплоть до версии Wmdows Server 2003 группа Everyone по умолчанию получала
доступ Full Control. Еще одно удобное свойство в Windows Server 2012 связано с тем, что группа Everyone больше не добавляется к папке при открытии к ней общего
доступа.
В этом диалоговом окне вы видите область Group or user names (Имена групп
или пользователей) со списком пользователей и групп, назначенных обшему
ресурсу; для выбранного пользователя или группы в области, расположенной
ниже, отображаются разрешения на этом открытом ресурсе.
Разным пользователям и группам можно назначать разные уровни разрешений.
На уровне общего доступа имеются три типа разрешений, описанные в табл. 14.1.
Таблица 14.1. типы разрешений
Разрешение
Full Coпtrol
(Полный доступ)
Chaпge (Изменение)
Read (Чтение)
Уровень доступа
Группа, которой назначено это разрешение, может выполнять любые функции над всеми файлами и папками внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать,
а также изменять и удалять файлы и папки внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать файлы
и папки, но не модифицировать или удалять что-либо внутри общего ресурса
Пример на рис. 14.8 демонстрирует доступ Read для группы Everyone. Хотя
вы не видите здесь учетную запись Administrator с какими-то специальны
ми правами, учтите, что локальные администраторы всегда имеют доступ Full
Control на общих ресурсах компьютера. Если вы хотите изменить разрешения,
предоставив доступ Full Control всем сетевым администраторам, то должны
добавить их группу и назначить ей эти права.
2. Щелкните на кнопке Add (Добавить), чтобы открыть диалоговое окно Select
Users, Computers, Service Accounts, or Groups (Выбор пользователей, компью
теров, учетных записей служб или групп), представленное на рис. 14.9.
3. Либо введите имя пользователя или группы, подлежащей добавлению, либо
щелкните на кнопке Advanced (Дополнительно), что приведет к отображению
другого диалогового окна Select Users, Computers, Service Accounts, ог Groups
(рис. 14. 10), которое позволяет производить поиск в каталоге.
Можете либо воспользоваться функциями поиска в Active Directory на вкладке Common Queries (Общие запросы), чтобы сузить выбор, либо щелкнуть накнопке Find N o w (Найти сейчас), что обеспечит перечисление всех пользователей и групп в каталоге.
4. Найдите желаемую группу (Domain Administrators (Администраторы домена) в настоящем примере) и щелкните на кнопке ОК и затем еще раз на кнопке ОК. Произойдет возврат обратно на вкладку Share Permissions с отображением и вьщелением добавленной группы Domain Administrators.
5. Отметьте флажок Allow (Разрешить) для разрешения Full Control.
Опять-таки, имейте в виду, что разрешения уровня общего ресурса — это как раз
то, что вы сначала фильтруете для пользователей, обращающихся к файлам через
сеть. Независимо от разрешений, получаемых на уровне общего ресурса, это будет
наивысший уровень разрешений, который вы можете получить для файлов и папок
(как вы помните, применяется наиболее ограничивающий из них). Если вы имеете
права Read на общем ресурсе, но права Ful Control на файле, то общий ресурс не
позволит вам делать что-то кроме чтения.
Действия Allow и Deny
Отмечая флажок Allow (Разрешить) для разрешения Full Control, назначенного
группе Domain Administrators в предыдущем примере, вы наверняка замети
ли, что для каждого перечисленного разрешения предусмотрен также флажок Deny
(Запретить). Разрешения общего доступа являются, наверное, простейшим набором
разрешений, с которыми вы будете иметь дело, поэтому они хорошо подходят для
объяснения действий Allow и Deny. Вот как они работают.
• Администратор общего ресурса, файла, учетной записи пользователя или че
го-то еще может изменить разрешения на своем объекте. (На самом деле, это
почти полное определение администратора.)
Существует несколько видов разрешений — Full Control, Change или Read в
случае общих ресурсов. Для любого из них администратор может отметить
флажок Allow или Deny либо же решить снять отметку с обоих флажков, оста
вив пользователя без Allow или Deny на этом разрешении.
• Если пользователь не имеет разрешения (другими словами, флажки Allow и
Deny не отмечены), то он не получит доступ к объекту.
• Если для разрешения отмечен флажок Allow, пользователь может применить
разрешение, а если флажок Deny, то нет. Мы знаем, что это очевидно, но давайте посмотрим, как это проявляется в более сложных ситуациях.
Разрешения для файлов и каталогов
Теперь, когда вы хорошо понимаете опции разрешений уровня общих ресурсов,
можно более детально рассмотреть наборы разрешений для файлов и каталогов.
Эти наборы разрешений, которые обычно называют разрешениями NTFS, позволяют
назначать особые разрешения папкам и файлам внутри общего ресурса.
Такие дополнительные разрешения делают возможным ограничение доступа вплоть до уровней папок и файлов общего каталога.
Рекомендуется содержать в актуальном состоянии документацию по разрешени
ям, которыми вы управляете внутри общего ресурса.
Всякий раз, когда вы вносите изменения в разрешения для файлов и папок, фиксируйте эти изменения в документации для будущей ссылки и для использования в качестве руководства при устранении проблем с разрешениями, которые возникают в среде.
Особые обстоятельства могут потребовать блокировки папок и файлов с ограничением работы с ними только определенными группами доступа или пользователями.
Попытка удержать в памяти все особые разрешения на папках и файлах в крупной среде может превратиться в настоящий кошмар.
Качественная и ясная документация является настоятельной необходимостью, особенно в случае утери наборов настроенных, не унаследованных разрешений, примененных к папкам и файлам, которые должны быть восстановлены из-за повреждения или удаления. Документируйте абсолютно все.
типы разрешений
Прежде чем назначать разрешения файлам и папкам, вы должны хорошо разобраться в том, что собой представляют эти разрешения и как они работают.
Имеются два разных уровня разрешений.
Чтобы увидеть высший уровень, перейдите в любую папку NTFS, щелкните на ее имени правой кнопкой мыши, выберите в контекстном меню пункт Properties (Свойства) и в открывшемся диалоговом окне свойств папки щелкните на вкладке Security (Безопасность).
Например,высокоуровневое разрешение List Folder Contents (Список содержимого папки) заключает в себе пять разрешений более низкого уровня: Traverse Folder/Execute File (Траверс папки / Выполнение файла),
List Foder/Read Data (Список папки / Чтение данных), Read Attributes (Чтение атрибутов), Read Extended Attributes (Чтение расширенных атрибуrов) и Read Permissions (Чтение разрешений). Можете думать о них, как о «молекулярных» и «атомарных» разрешениях. Существует 13 атомарных разрешений пля NTFS. (Другие виды объектов Active Directory, такие как организационные единицы, могут иметь дочерние объекты, поскольку внуrри организационной единицы допускается создавать пользователей и другие организационные единицы.) Все типы объектов AD совместно
используют один и тот же набор атомарных разрешений, даже если они не имеют
к ним никакого отношения — попробуйте предоставить кому-то возможность со
здания дочерних объектов для объекта групповой политики; польза от этого будет
примерно такой же, как поручение работнику кирпичного завода возможности установки половой принадлежности кирпичей.
Мы начнем с атомарного уровня. Такие разрешения являются строительными
блоками для формирования разрешений, о которых мы обычно говорим — Read,
Modify и Full Control.
Возможно, вы никогда не увидите атомарные разрешения, и тем более не будете ссылаться на них как на самих по себе.
• ‘Iraverse Folder/Execute File (Траверс папки / Выполнение файла). Разрешение
Traverse Folder позволяет обойти все блокировки на более высоких уровнях и
по существу обеспечить себе права уровня 4.
Подобно Execute File, это поле’3-ное разрешение, однако оно ничего не делает в отношении файлов.
Вот что происходит: когда файловая система NTFS проверяет разрешение, она извле
кает 13 битов.
При просмотре первого бита она выясняет, это файл или папка.
Если объект является файлом, то первый бит интерпретируется как разрешение Execute File. Если же это папка, то первый бит трактуется как разрешение Traverse Foder. Вы увидите аналогичное поведение, хотя и в менее экстремальной форме, в ряде других разрешений.
• Ust Folder/Read Data (Список папки / Чтение данных). Разрешение List Folder
позволяет просматривать имена файлов и подпапок внутри папки. Разрешение
Read Data дает возможность просматривать содержимое файла. Это атомарное
право является основным компонентом разрешения Read.
Подумайте о разделении между указанными двумя атомарными разрешениями.
Действительно ли между ними есть много отличий? Да, но вероятно это ненадолго.
Помните те дни, когда мы называли все файлами и каталогами? Теперь обычными
стали термины файл и папка.
Сейчас мы начинаем привыкать к еще одному термину, вступившему в игру: объект. Внутри файловой системы на машине объектами является все — и файлы, и папки. Это атомарное разрешение можно было бы перефразировать как чтение обьекта. Независимо от того, к чему оно применяется — к файлу или к папке, — оно дает право исследовать содержимое объекта.
• Read Attributes (Чтение атрибутов). Базовые атрибуты — это свойства файла, та
кие как Read-Only (Только чтение), Hidden (Скрытый), System (Системный) и
Archive (Архивный). Атомарное разрешение Read Attributes позволяет просмат
ривать такие атрибуты.
• Read Extended Attributes (Чтение расширенных атрибутов). Определенные про
граммы поддерживают для своих типов файлов дополнительные атрибуты.
Например, если в вашей системе установлена программа Microsoft Word, и
вы просмотрите атрибуты файла DOC, то увидите все виды атрибутов: Author
(Автор), Subject (Тема). Т!tle (Название) и т.д. Они называются расширенными
атрибутами и варьируются от программы к программе. Атомарное разрешение
Read Extended Attributes позволяет просматривать эти атрибуты.
• Create FilesjWrite Data (Создание файлов / Запись да 1П1ЫХ ). Атомарное разрешение
Сгеаtе Files позволяет помешать новые файлы в папку. Разрешение Write Data
дает возможность перезаписывать существующие данные внутри файла. Это ато
марное разрешение не позволяет добавлять данные в существующий файл.
• Create Folders/ Append Data (Создание папок / Добавление данных). Разрешение
Сгеаtе Folders дает возможность создавать подпапки внутри папок. Разрешение
Append Data позволяет добавлять данные в конец сушествуюшего файла, но не
изменять данные внутри этого файла.
• Write Attгibutes (Запись атрибутов). Это разрешение позволяет изменять базовые атрибуты файла.
• Write Extended Attributes (Запись расширенных атрибутов). Это разрешение позволяет изменять расширенные атрибуты файла.
• Delete Subfolders and Files (Удаление подпапок и файлов). Это довольно странное разрешение. Только подумайте: располагая этим разрешением, вы можете удалять подпапки и файлы, даже если не имеете разрешения Delete на этих
подпапк.ах и файлах.
Как такое могло стать возможным? Если, забежав вперед,оы почитаете о следующем атомарном разрешении, Delete, то увидите, что
оно позволяет удалять файл или папку.
В чем разница? Представляйте ситуацию следующим образом: если вы находитесь в файле или папке, то разрешение Delete позволяет удалить этот файл или папку. Но предположим, что вы находитесь в папке и хотите удалить ее содержимое. Атомарное разрешение Delete SuЬfoders and Fies дает вам такое право. Разница между Delete и Delete Subfolders and Files весьма расплывчата. Одно из них позволяет удалить конкретный объект, а другое — удалить содержимое этого объекта.
Если вы располагаете правом удаления содержимого папки, то не хотите терять это право только потому, что один объект внутри папки не желает выдавать вам разрешение.
В конце концов, это ваша папка, и вы вольны делать с ней все, что хотите.
• Delete (Удаление). На этот раз все просто и понятно.
Разрешение Delete позволяет удалить объект. Или все не так просто и понятно’? Если вы имеете только атомарное разрешение Delete на удаление папки, но не атомарное разрешение Delete Subfolders and Files на удаление подпапок и файлов, и если к одному файлу внутри папки доступ отсутствует, то сможете ли вы удалить эту папку? Нет. Удалить папку не удастся до тех пор, пока она не будет пустой, а это значит, что вам потребуется удалить упомянутый файл.
Но вы не можете удалить этот файл, не имея либо прав Delete мя самого файла, либо прав Delete SuЬfoders апd Files мя родительской папки данного файла.
• Read Permissions (Чтение разрешений).
Атомарное разрешение Read Pennissions позволяет просматривать все разрешения NTFS, ассоциированные с файлом или папкой, но не изменять их.
• Change Permissions (Изменение разрешений). Это атомарное разрешение позАо
ляет изменять разрешения, назначенные файлу или папке.
• Take Ownership (Получение права владения).
Мы поговорим более подробно о том, что представляет собой право владения и что оно делает, позже в главе, но это атомарное разрешение позволяет получить права владения файлом.
Будучи владельцем, вы имеете неотьемлемое право изменять разрешения. По
умолчанию администраторы всегда могут получать права владения каким-либо
файлом или папкой.
Молекулярные разрешения
Глубокое понимание работы атомарных разрешений, а также понимание того,
как они образуют молекулярные разрешения (см. табл. 14.2), обеспечивает исклю
чительное осознание сути и функционирования этих молекулярных разрешений. В
настояшем разделе мы постараемся лучше прояснить объединение атомарных раз
решений, но во время чтения вам придется периодически возвращаться к табл. 14.2.
Приведенная здесь информация сформирует прочную основу, которая поможет уп
равлять разрешениями в будущем.
• Read (Чтение). Разрешение Read является наиболее базовыми правами. Оно
позволяет просматривать содержимое, разрешения и атрибуты, ассоциированные с объектом. Если объект представляет собой файл, вы можете просматривать файл, что включает возможность запуска этого файла, если он оказывает
ся исполняемой программой. Если объект является папкой, разрешение Read
позволяет просматривать ее содержимое.
А теперь рассмотрим сложную часть, касающуюся чтения папки. Предполо
жим, что у вас имеется папка, которой вы назначили разрешение Read.
Эта папка содержит подпапку, к которой вы запретили любой доступ, в том числе и чтение. Логично было бы предположить, что вы сможете вообще увидеть
эту подпапку. Однако подnапка, прежде чем вы обратитесь к ее собственным
атрибутам, является частью исходной папки. Поскольку вы можете читать содержимое исходной папки, то сможете увидеть, что подпапка существует.
Если же вы попытаетесь перейти в эту подпапку, тогда — и только тогда — вы получите сообщение о запрете доступа.
• Write (Запись). Разрешение Write, как бы просто оно не выглядело, таит в себе
ловушку. Для начала, разрешение Write на папке позволяет создавать новый
файл или подпапку внутри этой папки. А что можно сказать о разрешении Write
на файле? Означает ли оно возможность изменения файла? Подумайте, что про
исходит, когда вы изменяете файл. Для изменения файла вы обычно должны
иметь возможность открыть файл или прочитать файл. Чтобы изменить файл,
разрешение Write должно сопровождаться разрешением Read. Хотя существует
одна лазейка: если вы просто добавляете данные в файл, без необходимости в
его открытии, то достаточно одного лишь разрешения Write. Тем не менее, если
программист написал приложение, открывающее файл в режиме только мя за
писи, содержимое файла затем усекается без его чтения, после чего происходит
запись в файл, и все это не предполагает чтение файла; таким образом, файл
можно было бы изменить, не прибегая к процессу чтения вообще.
• Read & Execute (Чтение и вьшолнение).
Разрешение Read & Execute идентично
разрешению Read, но предоставляет дополнительную атомарную привилегию
обхода папки.
• Modify (Изменение). Выражаясь просто, разрешение Modify является объедине
нием разрешений Read & Execute и Write с предоставлением дополнительной
роскоши в виде разрешения Delete. Даже располагая возможностью измене
ния файла, вы никогда не сможете удалить его. При выборе разрешений для
файлов и папок вы заметите, что если выбрали только разрешение Modify, то
разрешения Read, Read & Execute и Write выбираются автоматически.
• Full Control (Полный доступ). Разрешение Full Control — это комбинация всех
ранее упомянутых разрешений с возможностями изменения разрешений и по
лучения права владения объектами, к которым оно применено. Разрешение
Full Control также позволяет удалять подпапки и файлы, даже когда эти под
папки и файлы спеuиально не разрешают их удалять.
• Ust FЬlder Contents (Список содержимого папки). Разрешение List Folder Contents
применяется аналогично разрешению Read & Execute, но предназначено толь
ко для папок. Разрешение List Folder Contents позволяет просматривать содержимое папок. Что более важно, разрешение List Folder Contents наследуется
только папками, и оно видно, только когда просматриваются свойства безопасности папок. Это разрешение позволяет взглянуть, какие файлы существуют в папке (подобно Read), но не будет применять к этим файлам разрешение Read & Execute.
По сравнению с этим, если вы применили к папке разрешение Read & Execute, то будете располагать теми же возможностями просмот
ра папок и их содержимого, но также сможете распространять права Read &
Execute на файлы внутри этих папок.
• Special Permissions (Особые разрешения). Особые разрешения — это прос
то настроенная группа атомарных прав, которую вы можете создавать, когда
ни одно из рассмотренных выше стандартных молекулярных разрешений не
подходит в вашей конкретной ситуации. Хотя может показаться, что возмож
ность Special Permissions было нововведением версии Windows Server 2003,
на самом деле оно существовало в Windows 2000 Server. Просто это средство
не было видимым как молекулярное разрешение. В Windows 2000 Server от
сутствовал какой-нибудь способ сообщить о том, что папка имеет настро
енные атомарные разрешения, если только вы не заглядывали на вкладку
Advanced (Дополнительно) диалогового окна свойств безопасности. В Windows
Server 201 2 это можно сделать, посмотрев на флажки Allow/Deny для возмож
ности Special Permissions, чтобы понять, были ли модифицированы записи уп
равления доступом (access control entry — АСЕ). Если флажки затенены, тогда
по щелчку на кнопке Advanced (Дополнительно) вы можете просмотреть и от
редактировать изменения в записях АСЕ.
Унаследованные разрешения
Начиная с ранних редакций Windows Server, существовало средство, которое на
зывается унаследованными разрешениями. В настоящее время вполне вероятно, что
вы уже привыкли пользоваться этим великолепным средством. Если для файла
или папки установлено наследование разрешений, то сам по себе файл или папка в
действительности не имеет разрешений; просто применяются разрешения родитель
ской папки. Если родительская папка также наследует разрешения, вы продолжаете
подниматься вверх по цепочке каталогов, пока не столкнетесь с папкой, которой
назначены жесткие разрешения. Не стоит и говорить, что корневой каталог не мо
жет наследовать разрешения.
Например, предположим, что у вас есть папка по имени APPS, содержащая три
подпапки и файлы.
Все подпапки и файлы допускают наследуемые разрешения.
Если вы назначите папке APPS разрешение Read & Execute для пользователей, то все подпапки и файлы автоматически отразят это новое разрешение. Что если вы хотите настроить разрешения для первой подпапки, предоставив пользователям дополнительную возможность записи? Щелкните на этой папке правой кнопкой мыши, выберите в контекстном меню пункт Properties (Свойства) и в открывшемся диалоговом окне свойств перейдите на вкладку Security (Безопасность), чтобы просмотреть разрешения, назначенные папке. Если флажки для чего-нибудь, отличного от
Special Pennissions, затенены, вы можете утвержлать, что папка наследует разрешения
у своей родительской папки. Здесь вам понадобится перейти на вкладку Advaпced
(Дополнительно), чтобы увидеть опцию Allow iпheritaЫe permissioпs from pareпt to
propagate to this object апd all child objects (Позволить наследуемым разрешениям от родителя распространяться на этот объект и все
его дочерние объекты).
Эта опция показывает,наследует ли объект разрешения, и позволяет
указать, допускается ли наследование.
Назначение разрешений файлам и папкам
После того как вы поняли, что собой представляют различные разрешения, назначить
их файлам и папкам будет парой пустяков.
Откройте проводник Windows и выполните следующие шаги.
1. Найдите файл или папку, которой хотите назначить права, щелкните на ее
имени правой кнопкой мыши, выберите в контекстном меню пункт Properties
(Свойства) и в открывшемся диалоговом окне перейдите на вкладку Security
(Безопасность). Взгляните на рис. 14. 12.
В верхней части окна показаны группы и пользователи, которым назначены разрешения, а в нижней части — разрешения, назначенные выбранному пользователю
или группе.
В этом примере вы начинаете с папки APPS. В идеальном случае, т.к. папка предназначена для приложений, вы хотите, чтобы все пользователи имели разрешение Read & Execute и не могли изменять, добавлять или удалять что-либо. Также вы хотите оставить администраторам полный доступ, чтобы они имели возможность обслуживать данные. Кроме того, есть группа администраторов базы данных, которым необходимо предоставить права Modify.
Поскольку для групп Users (Пользователи) и Administrators (Администраторы) по умолчанию уже присутствуют записи, вы начнете с добавления группы Database Managers
(Администраторы базы данных) и выдачи ей прав Modify.
2. Щелкните на кнопке Edit (Редактировать) и затем на кнопке Add (Добавить),
в результате чего откроется диалоговое окно Select Users, Computers, Service
Accounts, ог Groups (Выбор пользователей, компьютеров, учетных записей
служб или групп), которое было показано на рис. 14.9.
Здесь вы можете ввести имя пользователя или группы, щелкнуть на кнопке
Advanced (Дополнительно) и затем на кнопке Find Now (Найти сейчас), либо
настроить запрос вручную, подготовив список учетных записей домена.
3. Так как вы знаете имя группы, которую нужно добавить в этом примере
(Database Managers ) , просто введите его в диалоговом окне Select Users,
Computers, Service Accounts, ог Groups и щелкните на кнопке Check Names
(Проверить имена). Выполнится перекрестная проверка на совпадение вруч
ную введенной записи со списком имен.
4. Как только имя отобразится подчеркнутым, щелкните на кнопке ОК, чтобы
возвратиться на вкладку Security диалогового свойств папки APPS.
После добавления группы Database Managers диалоговое окно должно вы
глядеть подобным приведенному на рис. 14.13.
БОЛЕЕ БЫСТРОЕ ДОБАВЛЕНИЕ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП
Используя метод из предыдущего примера, можно добавлять сразу множество поль
зователей и групп.
Когда вы набираете имена вручную, просто введите первое имя,
щелкните на кнопке Check Names и начинайте набирать следующее имя. Если вы
ввели неполное имя до щелчка на кнопке Check Names, вам будет предоставлено
ближайшее соответствие введенной записи.
Если вы решили применять интерфейс поиска в Active Directory, то можете выбрать несколько учетных записей.
Для этого щелкните на первой записи .и затем, удерживая нажатой клавишу , щелкайте на дополнительных записях.
Теперь все, что осталось — назначить корректное разрешение, которым явля
ется право Modify.
5. Выделите группу Database Managers и отметьте флажок Allow (Разрешить)
для Modify.
Вкладка Security должна выглядеть примерно так, как показано на рис. 14.14.
Поскольку группы Users и Administrators были добавлены по умолчанию,
когда вы создавали общий ресурс, давайте посмотрим на стандартные разре
шения, примененные к ним, чтобы выяснить, необходимы ли какие-нибудь
корректировки.
6. Щелкните на группе Users; вы увидите диалоговое окно, представленное на
рис. 14.15.
ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УРОВНЕЙ РАЗРЕШЕНИЙ
Вы должны быть осмотрительны при выборе некоторых уровней разрешений. Выбор
Read & Execute включает все права Read, поэтому Read выбирается автоматически.
С другой стороны, если вы хотите очистить Read & Execute, снятие отметки с флажка Allow для Read & Execute не приводит к автоматическому снятию отметки с такого флажка для Read.
На рис. 14. 1 5 видно, что группа Users уже имеет ряд стандартных разреше
ний, в числе которых Read & Execute, List Folder Contents и Read. Вы также за
метите, что эти разрешения унаследованы, потому что флажки в столбuе Allow
затенены.
Тем не менее, как вы можете помнить, затенение записи Special
Pennissions не означает, что разрешения являются унаследованными (хотя они
и могут быть таковыми).
Затенение здесь указывает лишь на то, что имеются дополнительные записи разрешений, которые можно просмотреть в этом конкретном диалоговом окне.
7. Щелкните на кнопке Advanced (Дополнительно), чтобы получить диалоговое
окно Advanced Security Settings for APPS (Расширенные настройки безопаснос
ти для APPS). Взглянув на рис. 14.16, вы увидите намного более сложную вер
сию записей разрешений по сравнению с той, что была показана на рис. 14. 15.
Правда, не совсем понятно, почему разработчики из Microsoft решили сначала
отображать своего рода оглавление по разрешениям, а не предоставлять сразу
подробную информаuию.
В списке Permission entries (Записи безопасности) перечислены выбранные груп
пы и пользователи с описанием их прав. В этом диалоговом окне вы можете отключать наследование, щелкая на кнопке DisaЫe inheritance (Отключить наследование), а также по-прежнему добавлять и удалять записи, щелкая на кнопках Add (Добавить) и Remove (Удалить). Так в чем же разниuа? В этом окне вы получаете больше деталей.
Прежде всего, вы заметите, что одна запись в предшествующем окне разрешений
может стать здесь двумя и более детализированными записями, позволяя четко видеть, какие есть права и откуда они унаследованы, и созданы ли записи для данного
ресурса специально вручную. Например, обратите внимание, что группа Users имеет две записи, которые обе унаследованы от тома. Кроме того, в столбце Applies to
(Применяется к) четко видно, откуда происходят разрешения.
Разумеется, наличие всех этих деталей значительно помогает при поиске и устранении неполадок, т.к. вся необходимая информация собрана в одном месте (точнее, почти вся).
У вас есть возможность приспособить свои расширенные разрешения к атомарному уровню, выбрав запись и щелкнув на кнопке Edit (Редактировать). Однако
будьте осторожны. При таком большом количестве разрешений, поступающих из
множества разных мест (и здесь мы даже не учитывали разрешения общего доступа!), этот процесс легко может привнести путаницу в процедуру устранения неполадок. Пытайтесь максимально упрощать свои ресурсы и пользователей, по томам,
по группам или по машинам, и вы существенно облегчите себе жизнь, имея дело с разрешениями.
Чтобы посмотреть, какие права имеет группа Users, и удостовериться в том, что
она получит корректный доступ к папке APPS, выполните следующие шаги.
1. Выберите запись для группы Users с разрешением Read & Execute.
2. Щелкните на кнопке View (Просмотреть) в диалоговом окне Advanced Security
Settings for APPS (Расширенные настройки безопасности для APPS).
3. Щелкните на кнопке Show advanced permissions (Показать расширенные
разрешения) и обратите внимание, что опции здесь затенены.
Если вы повторите те же самые шаги для группы Database Managers, то за
метите, что теперь вместо кнопки View (Просмотреть) отображается кнопка Edit
(Редактировать).
Почему для группы Database Managers разрешения не затенены? Причина в том, что наследование применяется к группе Users, но не к группе
Database Managers. Если вы хотите редактировать разрешения для Users здесь, то
вам придется разорвать наследование и повторно добавить эту группу. На рис. 14.17
показаны атомарные разрешения для группы Users.
На основании точной информации выясняется, что конечным разрешением яв
ляется Read & Execute. Н и больше и ни меньше; эти пять атомарных разрешений
образуют разрешение Read & Execute. Считайте, что это закон.
НАСЛЕДОВАНИЕ РАЗРЕШЕНИЙ
Вы могли заметить, что раскрывающийся список Applies to (Применяется к) тоже
не доступен для записи группы Users. Это еще один результат наследования.
Наследование удобно трактовать как указание свыше. Такие разрешения будут при
меняться к данной папке, подпапкам и файлам, если только вы не отключите насле
дование и не создадите собственные специальные разрешения. Или же вы могли бы
перейти прямо к источнику, поскольку, будучи администратором, вы устанавливаете
правила, когда дело доходит до наследования. Открывая диалоговое окно свойств
для тома и редактируя записи для группы Users, вы можете удалить или модифи
цировать разрешения; затем вы можете точно указать, где они должны применяться
повсюду на томе, используя кнопку Apply Onto (Применить на).
Обратите внимание на наличие двух записей дЛЯ группы Users.
Стандартныеразрешения в Windows Server 201 2 являются более защищенными, чем в предшествующих редакциях сервера. Вспомните, что в Windows 2000 Server группа Everyone имела разрешение Full Control дЛЯ чего угодно!
Давайте исследуем атомарные разрешения мя другой записи группы Users.
1. Если вы по-прежнему видите диалоговое окно, показанное на рис. 14. 17, щел
кните на кнопке Close (Закрыть) — вам не нужно изменять запись Read &
Execute, т.к. это именно то, что требуется дЛЯ папки APPS.
2. Возвратившись в диалоговое окно Advanced Security Settings for APPS
(Расширенные настройки безопасности мя APPS), шелкните на другой записи
мя группы Users и затем щелкните на кнопке Edit (Редактировать). Откроется
диалоговое окно, представленное на рис. 14. 18.
Стандартные разрешения для группы Users включают возможность создания
файлов и папок на томе, а также возможность записи и добавления данных в фай
лы, содержащиеся внутри этого тома — конечно, если вы специально не запретите
такую возможность любым конкретным ресурсам на томе. Таким образом, вы имеете здесь набор разрешений, находящийся между двумя обсуждаемыми ранее группами атомарных разрешений. Первый набор атомарных разрешений, который вы видели мя группы Users, образует молекулярное разрешение Read & Execute. Если
вы добавили эти два атомарных разрешения, то молекулярное разрешение попадет
куда-то между Read & Execute и Modify. Вполне понятно, что разрешение Modify
также включает права Write Attributes, Write Extended Attributes и Delete Subfolders
and Files.
• Во-первых, вам не придется беспокоиться об остальных разрешениях, унасле
дованных от тома, часть из которых понадобится сохранить. Когда вы удаляете
наследование, вам предоставляется право копировать существующие унаследованные разрешения и затем редактировать их по своему усмотрению.
• Во-вторых, удаляя наследование, вы устраняете возможность вывода разрешений
из тома в глобальную область действия,что является довольно удобным средством.
Как упоминалось ранее, если вы можете упростить разрешения, выполняя
работу в глобальной области действия, то сохраните немало времени и усилий.
Чтобы отключить для группы Users возможность создания файлов или папок либо записи или добавления данных в папку APPS, просто отметьте флажки Deny (Запретить)
для обеих записей атомарных разрешений(рис. 14. 19) и щелкните на кнопке ОК.
Удаление группы или пользователя
Чтобы удалить запись для группы или пользователя, просто щелкните на кнопке
Permissions for APPS формации для определения полной истории разрешений на основе первоначального диалогового окна разрешений
Remove (Удалить) в любом диалоговом окне свойств, которые были рассмотрены
ранее. Если пользователь или группа присутствует по причине наследования, кноп
ка Remove будет недоступной, и вам придется отключить наследование, щелкнув на кнопке DisaЫe inheritance (Отключить наследование).
Использование детализированноrо интерфейса для получения полной истории
Взгляните на рис. 14. 19. Помните это диалоговое окно? Мы напомним вам кое
что, о чем говорилось ранее касательно интерфейсов, применяемых для управления
разрешениями NTFS: это окно не предоставляет достаточного объеiа информации,
из-за чего возникают затруднения. Если вы решили отключить наследование, чтобы
избавиться разрешения Write для группы Users, и для этого щелкнули на кнопке
Remove (Удалить) в данном диалоговом окне, то тем самым вы удалили обе записи
для группы Users, которые видели на рис. 14. 16.
К тому же, если вы используете это окно для добавления учетной записи пользователя или группы, то будете иметь возможность отметки только флажков для молекулярных разрешений, которые здесь видны — вы не сможете точно указать, где эти разрешения должны применяться с использованием наследования. Чтобы сделать это, вам пришлось бы перейти в диалоговое окно, показанное на рис. 14.16. Лучше всего пропустить это излишнее диалоговое окно и перейти непосредственно к детализированному представлению.
Это позволит получить полную историю с самого начала.
Конфликтующие разрешения
Разрешения можно назначать файлам, а также папкам.
Точно так же, как разрешения общего доступа могут вступать в противоречие с разрешениями для файлов и папок, разрешения для файлов могут конфликтовать с разрешениями для папок.
В конфликтах на уровне общего доступа преимущество получают разрешения общего доступа; если же в противоречие вступают разрешения для файлов и папок,
то предпочтение отдается разрешениям для файлов. Разрешения общего доступа
устанавливают максимально допустимый доступ, так что если разрешением обще
го доступа является Read, а разрешением NTFS — Write, то результатом окажется
разрешение Read. Если вы назначите папке права только для чтения, но какому-то
файлу внутри этой папки — права на изменение, то все равно будете иметь возмож
ность изменять этот файл.
Множество разрешений
А теперь поговорим о еще одной проблеме. Вы предоставили группе
Administrators полный контроль над папкой APPS, а группа Everyone имеет
только разрешение Read & Execute. Вот где разрешения снова вступают в конфликт.
Группа Everyone содержит пользователей, не так ли? Даже а)Iминистраторы явля
ются пользователями. Хм. Как же это работает? Дело в том, что при наличии не
скольких разрешений преимущество получит наименее ограничивающее разрешение
при условии, что в игру не вовлечены разрешения общего доступа.
Предположим,что у вас есть администратор Боб. Он входит в состав группы Users, которая имеет права доступа только для чтения к какому-то файлу. Боб также является членом группы Administrators, имеющей полный доступ. В таком случае Боб получит
полный доступ, т.к. это разрешение наименее ограничивающее.
Разрешения Deny
Ранее мы говорили о разрешениях Deny в связи с общими ресурсами и кратко
рассматривали последствия наследования разрешений в отношении к действиям
Alow и Deny. То же самое применимо к разрешениям файлов и папок, но чуть более
сложным способом из-за большего количества параметров безопасности. Подумайте
о файле электронной таблиuы с назначением премий внутри корпорашш. который вы пытаетесь зашитить.
Вы хотите, чтобы все видели этот файл. но изменять его содержимое могли только менеджеры. Это имеет смысл: предоставьте группе Employees (Сотрудники) права на чтение, а группе Managers (Менеджеры) — полный доступ. Предположим, что где-то по пути какой-то руководитель низшего звена попадает в обе группы.
По одним меркам эта персона должна быть частью группы Иanagers, тогда как по другим — входить в состав группы Employees.
Если вы оставите только что описанные разрешения, данный руководитель получит лучшее из двух миров в отношении файла электронной таблицы — полный доступ. По этой
причине вы принимаете решение о том, что члены группы Employees не должны
явно иметь полный доступ. И как теперь поступить?
Все довольно просто: запретите это чрезмерное разрешение.
Вам потребуется определить, какие разрешения не должны иметь сотрудники, и отметить для этих разрешений флажки в столбце Deny (Запретить); таким методом вы можете гарантировать, что сотрудники будут располагать только правами Read. Чтобы сделать это, выполните следующие шаги.
1. Щелкните на имени файла правой кнопкой мыши и выберите в контекстном
меню пункт Properties (Свойства).
2. В открывшемся диалоговом окне свойств перейдите на вкладку Security
(Безопасность) и щелкните на кнопке Advanced (Дополнительно). (Вспомнили
интерфейс, представленный на рис. 14.15?)
3. Выделите запись для группы Employees (Сотрудники) и щелкните на кноп
ке Edit (Редактировать), что позволит модифиuировать атомарные разрешения
для файла электронной таблицы.
4. В раскрывающемся списке Туре (Тип) выберите элемент Deny (Запретить) и
затем щелкните на ссылке Show advanced permissions (Показать расширенные
разрешения).
5. Отметьте флажки для разрешений, как показано на рис. 14.20.
Вы должны отдельно отметить флажки для каждого разрешения. Однако если
вы отметите флажок Full Control (Полный доступ), то отметятся все остальные
флажки, т.к. Full Control включает все разрешения. В этом примере нас интере
сует включение разрешения Read и отключение разрешения Write.
6. Щелкните на кнопке ОК, чтобы новые разрешения вступили в силу.
Вы получите предупреждение, сообщающее о том, что разрешения Deny перео
пределят разрешения Allow. Теперь в сuенарии с несколькими разрешениями пре
имущества получают разрешения Dепу, и даже с учетом того, что упомянутый ранее руководитель имеет членство в обеих группах Managers и Employees, его права будут ограничены посредством Deny.
В диалоговом окне Advanced Security Settings обратите внимание на наличие двух
записей для группы Employees: одна для разрешения Deny и одна для разрешения
Allow. Они больше не объединяются в единое целое, как вы привыкли видеть в вы
пусках Windows Server, предшествующих Windows Server 2008.
Действующие разрешения
Что будет конечным результатом всех этих разрешений, если одни из них насле
дуются, другие — нет, некоторые применяются к пользователям, а некоторые — к
группам? Кто и что сможет делать с теми или иными файлами? Как выяснить, ка
ким будет результат всех имеющихся разрешений для любой группы, пользователя
или объекта? В состав Windows Server 2012 включен инструмент, который позволяет
вычислить действующий доступ для любого отдельного пользователя или группы
на заданном объекте. Взгляните на диалоговое окно, представленное на рис. 14.21 .
И снова это диалоговое окно расширенных настроек безопасности для папки APPS,
которое к настоящему времени вы должны хорошо знать.
Вспомните, что администраторы имеют разрешение Full Control, администраторы базы данных — разрешениеModify, а пользователи — разрешение Read & Execute.
Чтобы увидеть, как в точности работают все эти разрешения, перейдите на вклад
ку Effective Access (Действующий доступ), которая показана на рис. 14.22. В выпуске
Windows Server 2012 R2 эта вкладка порядком изменилась.
Новая вкладка Effective Access теперь позволяет легко просматривать уровень доступа пользователя илигруппы к любым локальным или присоединенным к домену машинам или группам.
Вы можете выбрать локального или сетевого пользователя, включить в запрос членство в группах этого пользователя и просмотреть действующий доступ в отношении другой группы или сервера.
В следующем примере можно видеть действующие разрешения для группы Database Managers на тестовом сервере BFl.
Действующим_доступом является Modify, как было установлено в предшествующих упражнениях.
Конечно, для просмотра разрешений на любом проверяемом ресурсе необходимо
располагать соответствующими правами, и существуют ограничения в плане фак
торов, которые используются для определения действующего доступа. Например,
вы можете не иметь возможности просмотра разрешений для каждого пользователя или группы. Рассмотрим локальную группу Users на сервере по имени Storage,
на котором находится общий ресурс APPS. Из-за того, •по этот сервер является
членом домена Active Directory, глобальная группа под названием Doma in Users
(Пользователи домена) автоматически вкладывается внутрь локальной группы
Users. Чтобы просмотреть действующие разрешения на локальной группе Users,
понадобится выполнить перечисленные ниже действия на вкладке Effective Access
диалогового окна Advanced Security Settings for APPS (Расширенные настройки безо
пасности для APPS).
1. Щелкните на ссылке Select а user (Выбрать пользователя) или Select а
device (Выбрать устройство) и затем щелкните на кнопке Location (Место
положение).
2. Выберите локальное местоположение по имени Storage (в отличие от ката
лога).
Поскольку группа Domain Users вложена в локальную группу Users, пользова
тели домена имеют те же самые права для папки за исключением существования
любого другого набора разрешений, который конфликтовал бы с ними. Но когда вы
попытаетесь получить действующие разрешения для группы Domain Users с помо
щью этого инструмента, обнаружится отсутствие доступа, т.к. данный инструмент
не умеет вычислять действующие разрешения для групп домена, вложенных в ло
кальные группы.
Безусловно, это ограничивает эффективность инструмента, но вы по-прежнему
можете применять его при вычислении множества записей АСЕ для пользователя
или группы, как было продемонстрировано в предыдушем примере.
право владения
В процессе назначения и отзыва разрешений вы обязательно столкнетесь с про
блемой, когда никто, включая администраторов, не может получить доступ к фай
лу. И вы не можете изменить разрешения файла, потому что для этого необходимы
определенные разрешения. Ситуация зачастую оказывается действительно трудной.
К счастью, помочь здесь может право владения.
Каждый объект имеет атрибут, который называется владелец (owner). Владелец
полностью отделен от разрешений. Для каждого объекта всегда будет существовать
некоторый владелец. Но чем это может помо•1ь? Дело в том, что владелец объекта
обладает специальной привилегией — возможностью назначения разрешений.
Получение права владения файлом или папкой — относительно простая задача
при условии, что учетная запись, используемая для изменения права владения, име
ет полный доступ на желаемом ресурсе. Возвратившись обратно к рис. 14. 16, вы заметите поле Owner (Владелец}, расположенное ниже поля Name (Имя). Вы также обнаружите рядом ссылку Change (Изменить); если она недоступна, значит, вы вошли с учетной записью, которая не имеет привилегии на изменение права владения. По щелчку на ссылке Change откроется диалоговое окно Select User (Выбор пользователя}, позволяющее назначить право владения другому пользователю или группе.
На корпоративном общем ресурсе в производственной среде имеет смысл обеспечить права владения всеми его файлами и папками для учетной записи с повышенными полномочиями, контролируемой персоналом из IТ-отдела, или точнее — учетной записи службы уровня хранилища. Наиболее интенсивно такая конфигурация применяется целей резервного копирования и восстановления.
Некоторые файловые системы не позволяют восстанавливать файлы, для которых
отсуствуют разрешения на это действие.
Представьте себе попытку восстановления общего ресурса, на котором пользователи сделали себя владельцами папок и файлов, удалив весь остальной доступ. Такие папки или файлы окажутся невосстановимыми никем кроме своего владельца. Это укрепляет хорошую стратегию подпержания строгих и управляемых разрешений повсеместно в среде из одного контролируемого централизованного места.
Работа со скрытыми общими ресурсами
После открытия общего доступа к папке из
сети она становится видимой сообществу пользователей. Но что, если вы не хотите, чтобы общий ресурс могли видеть абсолютно все? Например, мы создали на сервере общий ресурс с исходными
дистрибутивами, чтобы всякий раз, когда мы находимся на рабочей станции пользователя, была возможность устанавливать любые приложения без необходимости
в захватывании с собой компакт-дисков.
На самом деле это сделано для удобства, но в то же время мы не хотим, чтобы пользователи могли заходить на данный общий ресурс и устанавливать любые приложения, которые им попадутся на глаза.
Несомненно, мы могли бы ограниt1ить общий ресурс, предоставив разрешения на
доступ к нему только себе, но это также требует определенных усилий.
Мы вовсе не хотим выходить из системы пользователя и заходить под своей учетной записью при каждом выполнении установки, особенно когда задействуются профили пользователей.
В такой ситуации может помочь создание скрытых общих ресурсов.
Мы хотим, чтобы общий ресурс существовал и был доступным, но просто не так легко
обнаруживался. Хотя это и не полностью защищенное решение, оно является сдерживающим фактором против чрезмерно любопытных пользователей.
Чтобы создать скрытый обший ресурс, откройте общий доступ к папке обычным
образом, но добавьте в конец имени нового общего ресурса знак доллара.
Вот и все.
Теперь, когда сервер регистрирует информацию для списка доступных ресурсов, он
просто не будет включать в него этот скрытый общий ресурс.
Давайте посмотрим, как создать общий ресурс по имени INSTALL$, который со
ответствует папке I : Install.
1 . Создайте общий ресурс, как это делается обычно, но назовите его INSTALL$, а
не INSTALL (рис. 14.2 3 ).
2. Выберите разрешения, чтобы позволить доступ только администраторам
Теперь из клиентских рабочих станций вы не увидите общего ресурса INSTALL$
в списке доступных ресурсов, но по-прежнему сможете вручную отображать
диск на ресурс INSTALL$ с целью дальнейшего подключения к нему.
3. Выберите имя общего ресурса в консоли Computer Management
Хотя скрытый общий ресурс не будет отображаться в списке доступных ресурсов
внуrри проводника Windows, он будет видимым через консоль Computer Management.
Это помогает помнить о том, какие скрытые общие ресурсы были созданы.
Исследование распределенной файловой системы
Что собой представляет распределенная файловая система (Distributed File
System — DFS)? Благодаря DFS вы можете создавать единственный общий ресурс,
который заключает в себе каждый ресурс, основанный на файловом общем ресурсе,
внутри сети. Думайте о нем, как о доме для всех общих файловых ресурсов в сети со
страницей «ссылок», указывающих клиентам на отдельный сервер или серверы, где
действительно размещены эти общие ресурсы. Вы можете иметь общие ресурсы, которые охватывают целый мир.
Сгруппируйте всех их вместе под одним пространством
имен и откройте пользовательской базе общий доступ к этому пространству имен.
чтобы сделать возможным дружественный к пользователям, централизованный метод
общего доступа к ресурсам.
Продвигаясь на шаг дальше, файловая система DFS может реплицировать изменения в общие ресурсы на любых серверах, которые ямяются членами группы репликации, сохраняя все эти серверы в актуальном состоянии.
В Windows Server 2012 применяются две технологии.
• DFS Namespaces (Пространства имен DFS). Компонент DFS Namespaces пре
доставляет возможность группировать общие папки, находящиеся на разных
сайтах и серверах, в одно или несколько логически структурированных про
странств имен. Пространство имен затем представляется пользователю в виде
единой общей папки, состоящей из множества подпапок, как если бы все они
располагались в локальном катаге.
Это великолепная функциональность,
которая делает возможным централизованный метод управления и использо
вания общих ресурсов на большом числе физически отдельных серверов или
местоположений сайтов. Такая структура повышает готовность и автоматичес
ки подключает пользователей к общим папкам внутри того же самого сайта
Active Directory Domain Services, когда они доступны, вместо их маршрутиза
ции по каналам WAN.
• DFS Replication (Репликация DFS). Компонент DFS Replication — это эффективный механизм репликации с несколькими хозяевами, который можно
применять ДЯ поддержания папок в синхронизированном состоянии между
серверами через сетевые подключения с ограниченной пропускной способностью. Репликация DFS может происходить среди множества сайтов и серверов,
находящихся внутри одного и того же леса. Компонент DFS Replication ис
пользует удаленное разностное сжатие (remote ditТerential compression — RDC)
ДЛЯ определения и репликации только изменившихся блоков данных файла.
Компонент DFS Replication работает рука об руку с новыми средствами дедупликации данных (Data Deduplication), премагаемыми в Windows Server 2012 R2.
Будучи интегрированным с той же самой технологией хранилища уровня блоков, компонент DFS Replication поддерживает репликацию папок и файлов, расположенных на томах, ДЯ которых включена дедупликация.
Применение дедупликации ДЯ снижения требований к хранилищу в файловой системе
NTFS не оказывает никакого неблагоприятного влияния на репликацию DFS.
Прежде чем можно будет пользоваться этими средствами, на сервер понадобится
добавить новые роли — DFS Namespaces и DFS Replication. Добавьте их с помощью
мастера добавления ролей и компонентов (Add Roles and Features Wizard) в диспетчере серверов (рис. 14.26).
Существует несколько дополнительных требований, которые необходимо при
нять во внимание до запуска DFS. Чтобы можно было успешно развернуть DFS
Replication в имеющейся среде, серверы должны быть сконфигурированы так, как
описано ниже.
• Все серверы, которые вы хотите сделать членами группы репликации, должны
иметь установленную роль DFS Replication.
• Вы должны удостовериться, что применяемое антивирусное программное
обеспечение совместимо с DFS Replication.
• Все серверы-члены должны находиться внутри одного и того же леса. Компо
нент DFS Repication хорошо работает между доменами, но пока что не подде
рживает репликацию между лесами.
• Удостоверьтесь в том, что схема АО DS актуальна и соответствует всем подхо
дящим дополнениям схемы в данной редакции сервера. В Windows Server 2012
R2 такая актуальность соблюдена.
• Учтите, что компонент DFS Replication не поддерживает файловые системы
FAT и Resilient File System (ReFS), а также не работает с данными, которые хра
нятся на кластеризированных общих томах. Чтобы репликация между серверами поддерживалась, данные должны находиться в файловой системе NTFS.
3. Запустите следующую команду для создания отдельного пространства имен DFS:
PS С : > New-DfsnRoot -TargetPath «\Test-FSSoftware» -Туре Standalone
-EnaЬleSiteCosting -Path «\TestSoftware»
4. Чтобы просмотреть доступные новые командлеты PowerShell в Windows
Server 2012 R2, предназначенные для DFS, выполните такую команду:
PS С: > Get-Command -Module DFS
Терминология, связанная с DFS
Прежде чем двигаться дальше, необходимо освоить терминологию, связанную с
DFS. Как и в случае Active Directory, здесь в игру вступает целый новый набор концепций.
Вы начинаете с корня (root). Его можно приблизительно трактовать как общий
ресурс, который будет видимым для сети. В нашем примере корнем является APPS.
Внутри сайта можно иметь много корней, и в Windows Server 2012 один сервер мо
жет содержать более одного корня подобно тому, как это было в Windows Server 2008.
Корень открывается для общего доступа из сети и в действительности функциони
рует подобно любому другому общему ресурсу. Внутри общей папки можно иметь
дополнительные файлы и папки.
Под корнем вы добавляете ссылки DFS (DFS link). Ссылка — это другой общий
ресурс где-то в сети, который помещен под корень.
Термин ссылка является частьюбесконечного смешения терминологии. В этом случае, похоже, мы сместились в сторону терминологии Интернета.
Представляйте корень DFS как домашнюю веб-страницу, содержащую ничего кроме имени и множества ссьшок на другие веб-страницы. Ссылки внутри иерархии DFS подобны гиперссылкам на веб-странице, которые автоматически направляют в новое местоположение. Вы, как пользователь,
не обязаны знать, куда ведут эти ссылки, до тех пор, пока вы получаете искомую
веб-страницу. После нахождения домашней страницы (корня DFS) посредством
этих rиперссьшок (ссылок DFS) вы будете направлены на любой желаемый веб-сайт
(общий ресурс).
Цель (target) или реплика (replica) может направляться либо на корень, ,1ибо на
ссьшку. При наличии в сети двух идентичных обших ресурсов, обычно нахоляшихся
на разных серверах, их можно сгруппировать вместе внутри одной и той же ссыл
ки в виде целей DFS. Вы также можете реплицировать целый корень — т.е. оглавле
ние — в качестве члена реплики корня. После того как цели сконфигурированы для
реГLJiикации, служба репликации файлов (File Replication Service) поддерживает со
держимое корней в синхронизированном состоянии.
Выбор между автономной и доменной файловой системой DFS
Перед тем, как приступать к созданию системы DFS, вы должны решить, какой
вид файловой системы DFS вам необходим. Это решение главным образом будет
основано на том, имеется ли Active Directory. Большое отличие будет касаться корня
DFS. В файловой системе DFS, основанной на Active Directory или на домене, сам
корень может иметь реплики. Другими словами, единая точка отказа — корень —
рассредоточивается по Active Directory.
Если используются реплики корня, то при наличии, скажем, 27 серверов, размещающих Active Directory, вы будете иметь 27 мест, где будет находиться информация DFS.
Надо заметить, что это не вся информация но ее вполне достаточно для указания клиентам на одну из реплик корня
DFS. Благодаря этому, до тех пор, пока служба Active Directory функционирует и доступна, доступной будет также и файловая система DFS. Кроме того, будучи интег
рированными в Active Directory, реплики ссылок могут быть сконфигурированы для
применения автоматической репликации.
DFS и вы
Мы начали эту главу с совета насчет того, что вы должны взглянуть или начать поль
зоваться файловой системой DFS. Ладно, позвольте нам поведать короткую историю
о том, как однажды сервер прекратил свое существование. Просто почитайте и осоз
найте, почему применение DFS может сберечь критически важные файлы и сокра
тить время, требуемое для восстановления файлов и/или папок.
Как-то раз несколько лет назад один из авторов этой книги в завершение рабо•1его
дня исследовал журналы событий на своих серверах. Казалось, что все было в поряд
ке, поэтому он поехал в направлении к дому, до которого было около 45 миль. Когда
до дома оставалось минут 1 5, он получил на пейджер сообщение от лица, занимаю
щегося поддержкой во второй половине дня, которое гласило, что главный сервер на
одной из площадок прекратил работу и не удается войти в систему или увидеть его с
помощью команды ping.
Опасаясь худшего, автор развернул машину обратно лишь для того, чтобы по прибытии увидеть, что производственная деятельность продолжается и ничего не требуется предпринимать. Критически важные файлы, необходимые для работы в ту ночь, были позаимствованы из другого сервера.
На следующий день сервер был восстановлен (как оказалось, причиной бьша пробле
ма с материнской платой) и компания не подверглась простою. Время, которое потребовалось бы для восстановления из резервной копии, вдвое бы превышало среднее время для восстановления (шеаn tiшe to restore — MTTR) и стоило бы миллионов долларов производственных потерь.
Эта цена включала бы людей, которые не смогли работать на предприятии из-за отсутствия данных. Если вы хотите сохранить данные в деле, освойте, как следует, функционирование файловой системы DFS.
При автоматической репликации служба репликации файлов (File Replication
Service) принимает на себя задачу синхронизации содержимого реплицированных
файлов, обеспечивая наличие во всех репликах одной и той же информации. Можно
с уверенностью утверждать, что если вы имеете домен Active Directory, то должны
выбрать файловую систему DFS, основанную на домене.
Но у файловой системы DFS, основанной на домене, есть действительно инте
ресная особенность. Если вы размещаете DFS в домене Active Directory под назва
нием test . com, то помимо того, что пользователи не обязаны знать, на каком сер
вере находится конкретный общий ресурс, они даже не нуждаются в информации
о том, на каком сервере располагается сама файловая система DFS.
Вместо отображения диска на \имя_ сервера имя_ DFS пользователи могли бы отображать диск на test . comимя_DFS.
Теперь, используя ту же самую логику, которую клиент применял для нахождения доступного контроллера домена Active Directory, клиент может искать хает DFS. Если один хает отказал, клиент просто обращается к другому хосту.
Файловая система DFS, основанная на домене, автоматически публикует свою
топологию в Active Directory.
Это означает, что действительная иерархия DFS — корни, ссьшки и цели — публикуется в Active Directory, так что все контроллеры домена будут знать, где находится DFS, как она выглядит и каким образом перейти к ней. Это вовсе не значит, что каждый контроллер домена является сервером реплик корня DFS.
Если вы добрались до этого места, то вероятно не располагаете Active Directory,
чтобы публикация стала возможной. А как насчет сетей, не основанных на AD?
Большинство компаний перешли на Active Diгectory. Большинство из них устано
вили местами, по меньшей мере, несколько серверов-членов. Для тех компаний,
которые не прошли через процесс миграции, технология DFS предЛагает расшире
ние базового файлового сервера, которое позволяет предприятию выйти за пределы
физических границ и перейти в более дружественное к пользователю и управляемое
состояние.
Автономная файловая система DFS является крупным шагом вперед в направ
лении мира файловых общих ресурсов из предшествующих версий Windows Server,
не требуя предварительного развертывания Active Directory. В автономной файловой
системе DFS вы не получите высокой отказоустойчивости самого корня, автомати
ческой репликации и опубликования DFS в Active Directory. Но вы все равно полу
чите в свое распоряжение остальные удобства, такие как объединение всех сетевых
обших ресурсов в единое пространство имен и в конечном итоге устранение зави
симости от имен физических серверов и местоположений, когда пользователи на
чнут обращаться к своим ресурсам. Чуть позже мы обсудим, как извлечь пользу от
привносимых DFS преимуществ в практической среде с или без Active Directory, но
сначала давайте посмотрим, как все это построить.
Предположим, что в сети имеется следующий набор общих ресурсов.
Путь UNC
\DClAPPS
\RC::SOURCElAPPS
\STORAGESALES
\STORAGE2USERS
\STORAGEFINANCE
\RESOURCE2APP2
От об ражение
у пол ьз ователей
G :
G :
S :
Н :
Q :
Р :
Описание ресурса
Все общие приложения
Те же приложения, что и в DCl APPS
Корпоративные данные о продажах
Все пользовательские каталоги
Корпоративные данные о финансах
Смешанные приложения
Это может вызвать настоящую головную боль у пользователей (не говоря уже
об администраторах), которым придется помнить, куда необходимо переходить для
подключения ко всем перечисленным ресурсам. Ресурсы размешены на пяти раз
ных серверах. Вдобаоок, если клиенту нужно получит доступ одновременно к ре
сурсам APPS, SALES, USERS и FINANCE, ему потребуется сделать четыре разных
подключения. Да, четыре подключения зоучит не так уж устрашаюше, но мы имели
дело с крупными сетями, где клиентам попросту не хватало доступных букв дис
ков дЛЯ отображения на очередной общий ресурс; каждая буква от А до z была на
что-то отображена. Вам также придется помнить, какие клиенты подключаются к
DCl APPS, а какие — к RESOURCEl APPS, которые представляют собой иден
тичные общие ресурсы, размещенные на двух разных серверах. Опять-таки, это не
является большой проблемой в данном конкретном примере, но при наличии, ска
жем, 50 серверов, содержащих тот же самый набор APPS, их отслеживание станет
настоящим кошмаром.
ПРЕИМУЩЕСТВА DFS
Как вы, вероятно, уже поняли, файловая система DFS наиболее выгодна на крупных
предприятиях, и ее развертывание в небольших сетях может не стоить приложенных
усилий.
А теперь давайте рассмотрим этот же сценарий, но в DFS. Вы будете иметь один
корень DFS (под названием Corp) с перечисленными внутри него всеми корпора
тивными общими ресурсами.
Создание корня DFS
В качестве типа корня DFS можно выбрать доменный корень или автономный ко
рень. Доменный корень опубликует себя в Active Directory, в то время как автономный
корень — нет. Это фундаментальное отличие является решающим фактором того, ка
кой объем функциональности вы получите. Имейте в виду, что доменный корень DFS
должен располагаться на контроллере домена, поэтому предполагается наличие Active
Directory. Одно из наиболее важных преимуществ возможности публикации в Active
Directory заключается в том, что доменные корни моrут иметь реплики, а реплика
корня позволяет хранить этот корень на любом контроллере домена, что значи
тельно повышает отказоустойчивость. Поскольку корни требуют для реплик такого
уровня наличие среды Active Directory, автономные корни не могут иметь реплики.
В следующем упражнении мы будем использовать тестовый сервер BFl в качестве
сервера пространства имен, и выберем эту опцию на соответствующем этапе.
Начнем с открытия окна DFS Management (Управление DFS), показанного на
рис. 14.27, чтобы приступить к работе с функциями DFS, которые мы вскоре опишем.
Создать новое пространство имен в окне DFS Management можно двумя путями.
Можно выбрать в меню Actioп (Действие) пункт New Namespace (Создать пространс
тво имен) или же можно щелкнуть правой кнопкой мыши на элементе Namespaces
(Пространства имен) и выбрать в контекстном меню такой же пункт. В результате
запустится мастер создания пространства имен (New Namespace Wizard), который
проведет вас через весь проuесс.
1 . Щелкнув на кнопке Browse (Обзор), найдите нужный сервер или введите его
имя напрямую
Мы рекомендуем пользоваться мастерами до тех пор, пока вы не освоитесь с процессом ; эта рекомендация справемива для всех редакций Windows Server 2012.
2. Назначьте имя пространству имен, как показано на рис. 14.29. Это имя будет
появляться после имени сервера, и вдобавок применяться в качестве имени
для коллекuии файлов и папок, добавленных в пространство имен.
Теперь необходимо указать тип создаваемого пространства имен.
На выбор доступно пространство имен, основанное на домене, и автономное пространство
имен. Пространство имен, основанное на домене, допускает хранение на одном и более серверов пространств имен. Автономное пространство имен предполагает его размещение на единственном сервере пространств имен.
3. В данном примере выберите на экране Namespace Туре (Тип пространство
имен) автономное пространство имен (рис. 14.30). Позже вы сможете добавить
в него файлы и папки.
На последнем экране, Review Settings and Create Namespace (Просмотр настроек и создание пространства имен), отображаются все настройки, которые необходимо подтвердить, чтобы пространство имен было создано (рис. 14.31 ).
4. Если настройки выбраны правильно, щелкните на кнопке Create (Создать),
чтобы создать пространство имен. Отобразится экран Confirmation (Подтверждение), приведенный на рис. 14.32.
Процесс создания пространства имен может занять некоторое время; однако,
после его завершения вы уже довольно далеко продвинулись в решении задачи
сбора файлов и папок в одном логически общем месте внутри серверной среды с
единственным именем, упрощающим к нему доступ. В области Shares (Общие ре
сурсы) окна диспетчера серверов вы увидите созданную папку Corp с локальным
путем с : DFSRoots Corp
добавление ссылок в корень DFS
Внутрь одного общего корня можно добавлять ссылки или файлы и папки.
Для этого понадобится щелкнуть на пункте контекстного меню Add Folder Target
(Добавить конечный объект папки) и добавить все желаемые файлы и папки. Итак,
давайте создадим новую папку и добавим в нее конечные файлы и папки.
В качестве демонстрации создадим новую папку внутри пространства имен
Corp.
1 . Находясь в консоли DFS Management, щелкните на пункте New Folder (Создать
папку) в области Actions (Действия) справа и назначьте ей имя.
2. Теперь добавьте конечные объекты папок. Для этого щелкните на новой пап
ке правой кнопкой мыши и выберите в контекстном меню пункт Add Folder
Target (Добавить конечный объект папки). В открывшемся диалоговом окне
Add Folder Target (Добавление конечного объекта папки) щелкните на кноп
ке Browse (Обзор), укажите нужную папку и щелкните на кнопке ОК. На
рис. 14.34 показано диалоговое окно Browse for Shared Folders (Просмотр от
крытых папок). В случае использования разных серверов их имена будут изме
няться после ; тем не менее, в этом примере мы имеем дело только с одним
сервером, т.к. выбрали автономный режим. Если применяется режим, осно
ванный на домене, мы указали бы только один конечный объект папки.
Рис. 14.34. Диалоговое окно Browse for Shared Folders
3. Щелкните на кнопке ОК. Поскольку для новой папки еще не создана группа
репликации, сделайте это сейчас.
Однако учтите, что DFS не является новым типом файлового сервера.
В определенном смысле это вообще не файловый сервер — напротив, это метод размещения
своего рода «оглавления» дЛЯ группы существующих общих файловых ресурсов и
указание клиентам на этот источник информации, когда они нуждаются в подключении к общему ресурсу, на который есть ссылка в данном оглавлении.
Файловая система DFS вовсе не создает самостоятельно общие файловые ресурсы; сначала вы должны создать все общие файловые ресурсы на различных серверах и только затем использовать DFS дЛЯ привнесения в них определенного порядка.
Чтобы подчеркнуть этот момент, вот еще один факт о DFS: общие файловые ресурсы не обязательно должны быть общими файловыми ресурсами Windows NТ, Windows Seiver
2003 или Windows Seiver 2008.
При наличии на компьютере клиентского программного обеспечения для Unix NFS, Banyan VINES и Novell NetWare вы могли бы создать «общий ресурс» DFS, указывающий только на тома NFS, VINES и NetWare!
Файловая система NFS будет рассматриваться следующей, но прежде нужно закончить с DFS.
Но не значит ли это, что новый корень DFS, т.е. «оглавление», образует новую
единую точку отказа? Если один сервер, на котором находится корень — место, куда
все пользователи обращаются за своими ресурсами — перестанет функционировать,
то и пользователи утратят возможность работы, не так ли? Не обязательно.
В сочетании с Active Directory корни DFS можно сделать отказоустойчивыми. Вместо размещения реального, физического корня на одном сервере он может быть сохранен
в среде Active Directory, поддерживаемой всеми контроллерами домена. После этого,
если один из серверов, содержащих корень — в Active Directory — потерпит отказ,
пользователи будут автоматически направлены в другое местоположение дЛЯ извлечения информации корня безо всякой заминки.
Мы еще раз подчеркиваем функцию DFS. Отказоустойчивость DFS не означает
резервное копирование данных в общих файловых ресурсах. Она лишь означает резервное копирование «оглавления», предлагаемого корнем DFS. Если компьютер,
на котором размещен корень DFS, перестанет работать (приносим свои извинения
за постоянное акцентирование внимания на этом моменте, но вполне реально, что
машина, хранящая корень DFS, не содержит ни единого байта из общих файлов, а
только указатели на серверы, где размещены такие файлы), то найдется другой компьютер, который возьмет на себя роль «сервера оглавления» или, выражаясь языком
Windows Server 2012, корня DFS.
конфигурирование репликации DFS
Можете ли вы как-то защитить общие файловые ресурсы и их данные путем
внедрения определенного вида отказоустойчивости? Да, это можно сделать с помощью репликации.
1. Откройте консоль DFS Management и щелкните на узле Replication (Репликация) внутри узла Namespaces (Пространства имен), как показано на рис. 14.35.
2. В области Actions (Действия) щелкните на пункте New Replication Group
(Создать группу репликации). Одной из замечательных особенностей Windows
Server 2012, которую мы пока специально не отмечали, является применение
мастеров и их внешний вид. Открыв окно мастера, обратите внимание, что все
шаги четко перечислены в колонке слева.
Это помогает планировать действия,
поскольку вы знаете, чего ожидать следующим — больше не бывает так, что
после щелчка на кнопке ОК или Next (Далее) обнаруживается нечто совершенно неожиданное. Кроме того, эти шаги снабжены гораздо лучшими пояснениями, чем в предшествующих версиях сервера.
Как бы то ни было, давайте возвратимся к работе. На первом экране мастера создания группы репликации (New Replication Group Wizard) доступы два
переключателя — Multipurpose replication group(Многоцелевая группа репликации) и Replication group for data collectioп (Группа репликации для сбора данных).
Если вы используете пространство имен, основанное на домене, или
автономное пространство имен, то должны оставить без изменений переключатель, выбранный по умолчанию, т.е. Multipurpose replication group. Если же вы
хотите реплицировать данные для их резервного копирования или «собирать»
данные, скажем, на сервере концентратора, то выберите переключатель Repli
cation group for data collection.
3. Оставьте выбранным переключатель Multipurpose replication group.
4. На экране Name and Domain (Имя и домен) необходимо назначить имя группе
репликации. Укажите в качестве имени CorpRep (рис. 14.36).
5. Далее понадобится добавить серверы, которые будут членами группы репли
кации. Выбор серверов должен быть обдуманным, потому что вы увеличиваете
объем данных, циркулирующих между такими серверами.
ОЖИДАНИЕ РЕПЛИКАЦИИ
Изменения конфигурации не применяются немедленно ко всем членам. Новая кон
фигурация должна быть реплицирована на все контроллеры домена, и каждый член
группы репликации должен опросить ближайший к нему контроллер домена, чтобы
получить эти изменения. Сколько времени потребует данные действия, зависит от
задержки репликации AD DS и длительности интервала опроса (60 минут) в каждом
члене. Чтобы обеспечить немедленный опрос изменений конфигурации, откройте
окно командной строки и введите следующую команду на каждом компьютере, являющемся членом группы репликации: df srdiag.ехе pollad.
6. Продолжите работу в мастере и сделайте выбор для топологии, сервера кон
центратора, целевой папки на сервере концентратора и реплицируемых папок,
расписания и полосы пропускания группы репликации.
7. Просмотрите все настройки и щелкните на кнопке Create (Создать), чтобы со
здать группу репликации.
Используя службу репликации DFS (DFS Replication Service — DFSR), файловая
система DFS может поддерживать все копии реплицированных целевых объектов в
синхронизированном друг с другом состоянии. Если по ссылке у вас есть полностью
динамические данные (под динамическими мы понимаем любые данные, которые
изменяются по мере доступа к ним пользователями, например, документы Word,
электронные таблицы, базы данных или что-то еще, что требует для изменения взаимодействия с пользователями), то вполне вероятно, что они не должны реплицироваться.
Предположим, что Джейн и Боб редактируют один и тот же документ, но
делают это в разных копиях на двух отдельных общих ресурсах.
Джейн вносит свои изменения и закрывает документ, а затем Боб вносит другие изменения и сохраняет свою версию.
Кто выиграет? Выиграет Боб, т.к. он сохранил документ последним.
После сохранения документ реплицируется на другой общий ресурс, перезаписывая
изменения, сделанные Джейн.
Таким образом, помните, что если пользователь редактирует документ, получая к нему доступ по ссьшке, которая ведет к реплике, товнесенные изменения будут перезаписаны при следующей репликации.
Соблюдайте осторожность при применении ссьшок на реплики и репликации.
Понятие репликации DFS
Сама по себе репликация проста. В автономной версии DFS репликация является.
ручной, и одна ссьшка на реплику является хозяином. Другими словами, изменения
от конкретного сервера-хозяина распространяются всем остальным сервера реплик.
Если физический общий ресурс, который вы хотите удерживать в синхронизирован
ном состоянии, находится внутри тома NTFS на машине Windows Server 201 2, то
репликация автоматически основывается на расписании репликации Active Directory
и используется репликация с несколькими хозяевами.
При репликации с несколькими хозяевами вы можете изменять файлы по любой одной ссылке на реплику, а изменения будут автоматически копироваться на другие члены. Действительно, в автоматической репликации нет такого понятия, как хозяин, после проведения начальной репликации. Первой репликации будет нужен хозяин, чтобы гарантировать, что все общие ресурсы имеют одну и ту же стартовую точку. Тем не менее, советуют не смешивать автоматическую и ручную репликацию внутри одного набора реплик.
ОТСУТСТВУЮЩАЯ ССЫЛКА
Теперь, когда раскрыт []роцесс репликации, мы должны обратить внимание на то,
что Active Directшy и DFS реплицируются в одно и то же время. Они не совпадают,
но дублируют метод своего выполнения. Однажды мы имели проблемы с реплика
цией и обнаружили, что после того, как скорректировали процесс репликации Active
Directory, репликация FRS, или DFS в этом случае, также восстановила работоспо
собность. Если это не исправляет репликацию DFS, то придется провести более де
тальный лоиск и устранение неполадок.
Управление репликацией DFS
После конфигурирования DFS потребуется пройти через несколько шагов для
надлежащего управления корнями, ссылками и клиентами, которые к ним подклю
чены. Настроив группы репликации, можете приступать к внесению необходимых
изменений.
Редактирование расписания и полосы пропускания для репликации
Выполните описанные ниже задачи, чтобы внести изменения в расписание и по
лосу пропускания для группы репликации.
Чтобы отредактировать расписание и полосу пропускания для группы реплика
ции, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните пра
вой кнопкой мыши на группе репликации, расписание которой необходимо
отредактировать, и выберите в контекстном меню пункт Properties (Свойства).
В открывшемся диалоговом окне щелкните на кнопке Edit Schedule
(Редактировать расписание).
2. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, когда
репликация должна происходить, а также установите максимальный объем по
лосы пропускания, который она может потреблять.
Чтобы отредактировать расписание и полосу пропускания для конкретного под
ключения, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, выберите со
ответствующую группу репликации.
2. Выберите папку Connections (Подключения), щелкните правой кнопкой мыши
на подключении, которое необходимо отредактировать, и выберите в контекс
тном меню пункт Properties (Свойства).
3. В открывшемся диалоговом окне свойств подключения перейдите на вкладку
Schedule (Расписание), выберите Custom connection schedule (Специальное
расписание для подключения) и щелкните на кнопке Edit Schedule (Редакти
ровать расписание).
4. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, ког
да репликация должна происходить, а также установите максимальный объем
полосы пропускания, который она может потреблять.
Включение и отключение репликации
Временами возникает необходимость во включении и отключении групп репли
кации.
Чтобы отключить или включить репликацию дпя конкретного подключения, вы
полните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, выберите
группу репликации, содержащую подключение, которое вы хотите отредакти
ровать.
РЕПЛИЦИРОВАТЬ ИЛИ НЕ РЕПЛИЦИРОВАТЬ
Если вы обновляете свою сеть и хотите управлять полосой пропускания, то может
понадобиться отключить репликацию. Всякий раз, когда мы модернизируем серверы
или сетевые устройства, мы отключаем репликацию и изменяем время репликации
Active Directory. Вряд ли вы захотите создать себе проблемы, если после добавления
оборудования серверы попытаются провести репликацию и потерпят неудачу. Это не
только переполнит журналы ошибок, но также быстро приведет к возникновению
проблем. При внесении изменений в архитектуру сети самое лучшее, что можно сде
лать — отклю’!Ить репликацию.
3. Щелкните на папке Connections (Подключения).
4. Выполните одно из указанных ниже действий.
• Чтобы отключить репликацию для подключения, щелкните правой кноп
кой мыши на подключении и выберите из контекстного меню пункт DisaЫe
(Отключить).
• Чтобы включить репликацию для подключения, щелкните правой кноп
кой мыши на подключении и выберите из контекстного меню пункт ЕnаЫе
(Включить).
ПОДДЕРЖКА ПОДКЛЮЧЕНИЙ
В Microsoft не поддерживают однонаправленные подключения для репликации DFS.
Создание однонаправленного подключения для репликации может вызвать м но
жество проблем, в числе которых ошибки топологии проверки работоспособности,
проблемы со ступенчатыми изменениями, а также проблемы с базой данных реп- .
ликации DFS. Чтобы создать однонаправленное подключение, вместо этого сделай
те реплицируемую папку на соответствующем члене группы репликации доступной
только для чтения.
Включение и отключение репликации на конкретном члене
Иногда может понадобиться включить или отключить репликацию для конкретных
членов группы репликации. На повестке дня должно стоять особое внимание. После
включения ранее отключенный член должен выполнить начальную репликацию реплицируемой папки. Начальная репликация приводит к передаче около 1 Кбайт данных для каждого файла или папки в реплицируемой папке, и любые модифицированные или новые файлы, появившиеся в члене группы репликации, будут перемещены
на нем в папку DfsrPrivatePreExisting и впоследствии заменены авторитетны
ми файлами из другого члена. Если все члены отключены, тогда главным членом ста
новится первый включенный член, что может оказаться не тем, что требуется.
ОБЩИЙ ДОСТУП или ПУБЛИКАЦИЯ
Изменения ‘IЛенства не применяются немедленно. Изменения членства должны реплицироваться на все контроллеры домена, и членам группы репликации понадобится
опрашивать ближайший контроллер домена, чтобы получить изменения. Количество
времени, сколько это может занять, зависит от задержки репликации AD DS и ко
роткого интервала опроса (пять минут) на члене.
Общий доступ или публикация реплицированной папки
После того как мастер New Replication Group Wizard завершен, может понадо
биться открыть общий доступ или опубликовать реплицированную папку. Для этого
папка должна быть добавлена в существующее или новое пространство имен.
Чтобы открыть общий доступ к реплицированной папке без ее публикации в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Repicated Foder Wizard) выберите переключатель Share the
replicated folder (Открыть общий доступ к реплицированной папке) и затем
следуйте всем указаниями мастера.
Чтобы открыть общий доступ к реплицированной папке и опубликовать ее в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Replicated Foder Wizard) выберите переключатель Share and
puЫish the replicated folder in а namespace (Открыть общий доступ и опубли
ковать реплицированную папку в пространстве имен) и затем следуйте всем
указаниями мастера.
ПРОВЕРКА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ
Для выполнения этой процедуры вы должны удовлетворить требования безопаснос
ти для управления репликацией и пространствами имен DFS. Если общий доступ к
палкам открывается с помощью мастера Share and Publish Replicated Folder Wizard,
то вы должны иметь членство в локальной группе Administrators на серверах, где
открывается общий доступ к каждой папке.
Случаи практического использования
Перед тем, как приступать к настройке корня, созданию ссылок и реорганизации
методов доступа пользователей к своим ресурсам, давайте кратко рассмотрим не
сколько случаев, когда DFS действительно повышает ценность сети. Помните, что
речь не идет о работе с какими-то новыми средствами, а только о том, чтобы упрос
тить жизнь, повысить эффективность и увеличить продуктивность.
Объединенные ресурсы предприятия
Пример DFS, с которым мы работали в этой главе, является хорошей демонстра
цией объединения ресурсов предприятия. Вы можете взять все общие ресурсы сети и поместить их в один логический общий ресурс. Тогда вместо того, чтобы помнить, на каком логическом диске находится тот или иной ресурс, необходимо знать только папку. Важно также то, что настройка DFS в действительности не оказывает никакого влияния на конфигурацию сети. Вы можете строить и экспериментировать с конфигурациями DFS целый день в производственной среде, и никто даже не заподозрит о ее существовании. Все старые общие ресурсы сети остануrся на своих местах, данные не будут затронуты, а пользователи не увидят ничего отличающегося. Как только новая конфигурация DFS станет готовой, наступит трудная часть
процесса — изменение у пользователей отображений дисков с одного диска для од
ного общего ресурса на один диск для всех общих ресурсов. Не стоит недооuенивать
такую задачу. Это больше, чем просто отображение новой буквы диска на корень
DFS. Все приложения должны будуr знать, что они больше не находятся на диске х,
например, а вместо этого располагаются на диске У.
Управление жизненнь1м циклом
Хорошая новость заключается в том, что с DFS вы в последний раз будете иметь
дело с изменением отображений дисков. Когда возникнет потребность переместить данные из одного сервера на другой, чтобы вывести из эксплуатации старый сервер и ввести вместо него новый, вам не придется заниматься резервным копированием данных, очисткой сервера, построением нового сервера с тем же именем и восстановлением данных с целью воссоздания прежней физической машины. С помощью DFS вы можете установить новый сервер и сконфигурировать его как отключенную ссылку на реплику для общего ресурса, который вы хотите «переместить». Убедившись,
что все данные были успешно перемещены, переведите новый сервер в онлайновый режим и отключите старый сервер. Пользователи даже не узнают, что они уже попадают на новый сервер. Файловая система DFS обрабатывает все безо всяких усилий.
Исследование сетевой файловой системы
Мы рассмотрели DFS, так что теперь вам известно, насколько удобным может
быть указание на единственное логическое местоположение для нахождения множес
тва файлов и папок. Теперь вы можете разговаривать с животными — или открывать
общий доступ к файлам для всяких липовых операционных систем. Конечно, это
шутка — вам нужна возможность общего доступа к файлам в рамках всей организа
ции, и если в ней присуrствуют машины с другими операционными системами, то
в Windows Server 2012 предлагается для этого соответствующий инструмент. Данный
раздел будет иметь несколько технический характер, и вы должны учитывать, что можете в этом не нуждаться; тем не менее, если вы все же испытываете потребность в
такой работе, то должны следовать приведенным здесь указаниям. При добавлении
роли File and Storage Services к серверу понадобится выбрать N FS. Вы должны были
сделать это в предьщущем разделе, посвященном DFS. В противном случае возврати
тесь к роли File and Storage Services и добавьте компонент NFS, отметив связанный с
ним флажок. Итак, мы начнем обсуждение с того, что собой представляет файловая
система N FS, и что может предоставить Windows Server 2012 в этом отношении.
Сетевая файловая система (Network File System — NFS) является решением об
щего доступа к файлам для организаций, которые имеют смешанные среды машин
с Windows и Unix/Linux. Файловая система NFS дает возможность открывать общий
доступ к файлам между указанными разными платформами при функционирую
щей операционной системе Windows Server 2012. Службы N FS в Windows Server 2012
включают следующие возможности и усовершенствования.
• Поиск в Active Directory. Вы имеете возможность применять Windows Active
Directory для доступа к файлам. Расширение схемы Jdentity Management for
Unix (Управление удостоверениями для Unix) для Active Directory содержит
поля идентификатора пользователя Unix (Unix user identifier — UID) и иден
тификатора группы (group identifier — G 1 D). Это позволяет службам Server
for NFS (Сервер для NFS) и Client for NFS (Клиент для NFS) просматривать
отображения учетных записей пользователей Windows на Unix прямо из служб
домена Active Directory (Active Directory Domain Services). Компонент ldentity
Management for Unix упрощает управление отображением учетных записей
пользователей Windows на Unix в Active Directory Domain Services.
• Улучшенная производительность сервера. Службы для NFS включают драйвер
фильтра файлов, который значительно сокращает общие задержки при досту
пе к файлам на сервере.
• Поддержка специальных устройств Unix. Службы для NFS поддерживают спе
циальные устройства Unix (rnknod).
• Расширенная поддержка Unix. Службы для NFS поддерживают следующие вер
сии Unix: Sun Microsystems Solaris версии 9, Red Hat Linux версии 9, IBM AIX
версии 5L 5.2 и Hewlett Packard HP-UX версии 1 1 i. Однако более новые вер
сии, несомненно, будут поддерживаться в будущем.
Вы можете пользоваться и нструментами командной строки, но в Windows
Server 2012 доступна также консоль Services for Network File System (Службы для се
тевой файловой системы), окно которой показано на рис. 14.37. Инструменты ко
мандной строки будут демонстрироваться далее в этой главе.
Один из наиболее распространенных сценариев, который создает необходи
мость в применении NFS, предусматривает открытие доступа пользователям в сре
де Windows к системе планирования ресурсов предприятия (enterprise resource plan
ning — ERP), основанной на Unix. Находясь в системе ERP, пользователи могут
создавать отчеты и/или экспортировать финансовые данные в Microsoft Excel для
дальнейшего анализа. Файловая система NFS позволяет обращаться к этим файлам,
по-прежнему находясь в среде Windows, что сокращает потребность в наличии спе
циальных технических навыков и снижает временные затраты на экспорт файлов с
использованием сценария Unix и последующий их импорт в определенное приложение Windows. Может также возникнуть ситуация, когда у вас имеется система Unix,
которая применяется для хранения файлов в какой-то сети хранения данных (stor
age area network — SAN). Запуск служб NFS на машине Windows Server 2012 позво
ляет пользователям в организации получать доступ к сохраненным там файлам безо
всяких накладных расходов, связщшых со сценариями на стороне Unix.
3. Запустите приведенную ниже команду, чтобы создать новый общий файловый
ресурс NFS:
PS С : > New-NfsShare -Narne «NFSshareOl» -Path «C: sharesNFSshareOl»
4. Для просмотра всех новых командлетов PowerShell, относящихся к NFS, кото
рые доступны в Windows Server 2012 R2, выполните следующую команду:
PS С : > Get-Cornrnand -Module NFS
УСТАНОВКА СТАНДАРТНЫХ РАЗРЕШЕНИЙ
Теперь вы будете применять ряд стандартных разрешений к создаваемым файлам и
папкам и затем внесете небольшие изменения в настройки брандмауэра на сервере который используется для NFS. Помните, что этот сервер должен находиться за основными брандмауэрами организации и быть защищенным. Для функционированияNFS вам понадобится открыть все перечисленные ниже порты.
Службы для компонента NFS Для чего открывается порт Протокол Порт
User Name Mappiпg (Отобра ж ение имен поль- Portmapper ТСР, UDP 1 1 1
зователе й ) и Server for NFS (Сервер для NFS) (Средство отобра ж ения портов)
Server for NFS (Сервер для NFS) Network Status Maпager ТСР, UDP 1039
(Диспетчер состояния сети)
Server for NFS (Сервер для NFS) Network Lock Maпager ТСР, UDP 1047
(Диспетчер блокировок сети)
Server for NFS (Сервер для NFS) NFS Mouпt (Монтирование NFS) ТСР, UDP 1048
Server for NFS (Сервер для NFS) Network File System ТСР, UDP 2049
(Сетевая фа й ловая система)
ТРЕБОВАНИЯ К ПОРТАМ
В зависимости от имеющихся требований, может понадобиться открыть порты ТСР
(Transmission Control Protocol — протокол упрамения передачей), порты UDP (User
Datagram Protocol — протокол дейтаграмм пользователя) либо те и другие. В целях
тестирования мы рекомендуем открыть транспорт ТСР и UDP для всех протоколов.
Чтобы открыть порты в брандмауэре, выполните следующие шаги.
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping или Server for NFS, нажмите комбинацию клавиш .
В окне Run (Выполнить) введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Port (Добавить порт).
3. В поле Name (Имя) введите имя открываемого порта, как упоминалось
выше во врезке «Установка стандартных разрешений».
4. В поле Port number (Номер порта) введите соответствующий номер порта.
5. Выберите переключатель ТСР или UDP и щелкните на кнопке ОК.
6. Повторите шаги 2-5 мя каждого открываемого порта и по завершении щелк
ните на кнопке ОК.
Затем потребуется добавить программу mapsvc . ехе в список исключений брандмауэра.
МЕРЫ ПРЕДОСТОРОЖНОСТИ, КАСАЮЩИЕСЯ БРАНДМАУЭРА
Перед внесением изменений в настройки брандмауэра удостоверьтесь, что файловый сервер, применяемый для NFS, хорошо защищен и находится за основными производственными брандмауэрами. Эти указания предполагают, что вы никогда не будете вносить такие изменения на пограничном сервере внутри демилитаризованной зоны
(DMZ).
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Program (Добавить программу).
3. Щелкните на кнопке Browse (Обзор), выберите файл mapsvc . ехе и затем
щелкните на кнопке Open (Открыть). По умолчанию этот файл находится в
%windir%System32.
4. В целях тестирования щелкните на кнопке Change scope (Изменить область
действия), в открывшемся диалоговом окне выберите переключатель Any com
puter (Любой компьютер) и щелкните на кнопке ОК.
5. Щелкните на кнопке ОК еще два раза.
Процесс практически подошел к концу. Далее необходимо включить общий до
ступ к файлам и принтерам на компьютере, выполняющем службы NFS. Вероятно,
вы уже знаете, как это сделать, раз уж дочитали до этого места, но ради завершенности ниже перечислены соответствующие шаги.
1 . Находясь в системе компьютера, на котором запущены службы Services for
N FS, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения), отметьте флажок File and
Printer Sharing (Общий доступ к файлам и папкам) и щелкните на кнопке ОК.
3. Повторите шаг 2 на каждом компьютере, выполняющем Services for NFS.
Перед тем, как предоставить результаты пользователям, вы наверняка захотите
провести тестирование, убедившись в работоспособности всей функциональности.
В следующей статье Microsoft TechNet описаны четыре теста, которые вы можете
выполнить: http: / /technet . microsoft . сот/ ru-ru/ library / сс7 53302 . aspx.
Для конфигурирования брандмауэра можно также использовать утилиту команд
ной строки netsh. На рис. 14.38 показан список доступных команд.
Обновлено: 05.10.2020
Опубликовано: 2016 год или раньше
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
Время прочтения
1 мин
Просмотры 100K
Всем привет!
Сегодня я хотел бы с вами поделиться информацией как можно достаточно легко и быстро с помощью технологии Group Policy Preferences (GPP) (Она доступна с Windows Server 2008) создавать и мапить пользовательские личные папки на сервере.
Данный процесс можно разбить на несколько основных этапов
- Создание и настройка прав на корневую папку в которой будут храниться папки пользователей
- Создание папки для пользователя
- Мапинг сетевого диска для пользователей
Создание и назначение прав на папку в которой будут храниться файлы пользователей
Первым делом, нам необходимо создать папку в которой будут храниться все папки пользователя.
Для нее необходимо установить следующие настройки безопасности:
Sharing доступ:
Autentication User — Full Control
NTFS доступ:
SYSTEM = Full Control
CREATOR OWNER = Full Control
Domain Administrtors = Full Control
Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions
В итоге должно получится как указано на рисунках приведенных ниже
Создание пользовательской папки
Для того, чтобы создать папки для пользователей в директории Users, мы переходим во вкладку
«User Configuration» — «Preferences — »Windows Settings» – «Folders» и в ней мы создаем папку %Logonuser% как указано на рисунке ниже.
Монтирование сетевого диска для пользователя
Создадим групповою политику для пользователя и в разделе «User Configuration» — «Preferences» — «Windows Settings» — Drive Maps» создадим новый сетевой диск и дадим ему имя, например HomeFolder
NFS (Network File System) — сетевой протокол доступа к доступ к файлам и файловой системе NFS-сервера, популярный в семейства ОС Linux/ UNIX, а также различных системах хранения. Microsoft также, не желая отставать от конкурентов, внедрила базовый функционал NFS сервера еще в Windows Server 2003 R2. В последующих версиях серверных платформ Microsoft возможности встроенного NFS Windows сервера расширялись, появлялся новый функционал и средства управления. NFS сервер в Windows Server 2012 – очередная веха в развитии данной технологии.
Что же нового предлагают нам разработчики Microsoft в данном продукте? Новые возможности NFS сервера в Windows Server 2012:
- Поддержка стандарта NFS v4.1. Поддержка последней версии NFS 4.1 – одно из основных новшеств Windows Server 2012. По сравнению с NFS v3 этот протокол обеспечивает повышенную безопасность, производительность и совместимость, полностью реализуя все аспекты RFC 5661.
- Производительность «из коробки». Благодаря использованию новой транспортной инфраструктуры RPC-XDR, оптимальная производительность NFS сервера может быть достигнута сразу «из коробки» без необходимости тонкой настройки параметров системы. Оптимальная производительность достигается за счет автоматически настраивающегося кэша, разделения рабочих процессов на пулы и динамическое управление пулами, основанное на их нагрузке.
- Упрощенное развертывание и управление. Данный факт достигнут за счет:
- — более 40 командлетов PowerShell для настройки сервера NFS и управления общими папками
- — простого графического интерфейса управления, позволяющего одновременно управлять как SMB, так и NFS шарами, а также настройками скрининга файлов и файловой классификации.
- — фиксации RPC порта (порт 2049) для простоты настройки файерволов
- — нового провайдера WMI v2
- — упрощенной идентификации за счет плоского файла мапинга
- Улучшения в NFSv3. За счет быстрой отправки клиентам уведомлений о сбоях монитором NSM (Network Status Monitor), старые NFS клиенты лучше и быстрее обрабатывают процедуру failover, что означает меньшее время простоя.
Итак, NFS сервер в Windows Server 2012 значительно улучшен с точки зрения простоты развертывания, масштабируемость, стабильность, доступность, надежность, безопасности и совместимости. Общие папки могут быть одновременно доступны по протоколам SMB и NFS, что означает возможность использования Windows Server 2012 в качестве хранилища в гетерогенных сетях.
Далее мы разберем сценарий развертывания и управления сервером NFS в Windows Server 2012.
Установка NFS сервера в Windows Server 2012
NFS сервер в Windows Server 2012 можно установить с помощью GUI и Powershell. Чтобы установить NFS сервер с помощью графического интерфейса, откройте консоль Server Manager и внутри роли файлового сервера (File and Storage Services) отметьте компонент Server for NFS.
После окончания установки компонента NFS, сервер необходимо перезагрузить.
Установка этой же роли с помощью Powershell также не вызывает затруднений, просто выполните команду:
Add-WindowsFeature "FS-NFS-Service"
Настройка общей папки NFS в Windows Server 2012
Далее мы покажем, как с помощью установленной нами роли создать NFS шару (общую папку) на сервере Windows. Создать NFS шару можно опять несколькими способами: с помощью графического интерфейса или Powershell.
Создание общего каталога NFS с помощью консоли Server Manager
Откройте консоль Server Manager, перейдите в раздел Share management (находится внутри роли File and Storage Services).
В контекстном меню запустите мастер создания нового общего каталога- New Share…
Выберите тип шары NFS Share — Quick
Далее нужно указать местоположение каталога на диске и путь, по которому должны подключатся удаленные NFS клиенты.
Затем необходимо задать тип аутентификации NFS клиентов: возможно, задействовать как Kerberos- аутентификацию, так и анонимную.
Предположим, в качестве потребителя создаваемого NFS ресурса будет выступать сервер виртуализации ESXi, в котором возможность аутентифицировать NFS соединения отсутствует (ESXi не поддерживает NFSv4). Поэтому тип аутентификации будет No Server Authentication, отметим также опции Enable unmapped user access и Allow unmapped user access by UID/GID.
Чтобы немного обезопасить создаваемую NFS шару от доступа сторонних лиц, ограничим доступ к NFS ресурсу по IP адресу клиента.
Host: 192.168.1.100
Language Encoding : BIG5
Share Permissions : Read/Write
Allow root access : Yes
Далее осталось проверить, что на уровне NTFS пользователь, в которого мапится подключающийся юзер, имеет доступ на чтение/запись (если решено задействовать анонимный доступ, придется для пользователя Everyone дать полные r/w права на уровне NTFS).
Как создать NFS шару с помощью Powershell
Создадим новую NFS шару:
New-NfsShare -Name "NFS " -Path "d:sharesnfr" -AllowRootAccess $true -Permission Readwrite -Authentication sys
Разрешим доступ к шаре для IP адреса 192.168.1.100 и зададим кодировку BIG5 (возможность просмотра содержимого NFS шары для клиента ESXi).
Grant-NfsSharePermission -Name “NFS” -ClientName 192.168.1.100 -ClientType host -LanguageEncoding BIG5
Созданную NFS шару можно использовать, например, как NFS-datastore в среде виртуализации VMWare vSphere, или для доступа к данным с других Unix-like клиентов. Как смонтировать NFS шару в Windows — клиентах описано в этой статье.
В статье показано, как можно использовать ресурсы CAFS для повышения уровня доступности и гибкости элементов существующей инфраструктуры. Технология CAFS обеспечивает более высокую доступность файловых ресурсов общего назначения, а также позволяет серверным приложениям, таким как SQL Server и Hyper-V, хранить свои данные на файловых ресурсах с высоким уровнем доступности, предоставляя новые возможности для хранения данных критически важных приложений
Постоянно доступные общие файловые ресурсы, Continuously Available File Shares (CAFS), – это новая технология, появившаяся в системе Windows Server 2012. На базовом уровне технология CAFS в системе Server 2012 расширяет возможности Windows по совместной работе с файлами с помощью кластерной технологии Server 2012. Механизмы CAFS используют преимущества новых функций протокола Server Message Block (SMB) 3.0, повышающих доступность общих ресурсов системы Windows Server, используемых для хранения документов и поддержки приложений. В число новых возможностей технологии SMB 3.0, позволяющих задействовать ресурсы CAFS, входят механизмы SMB Scale-Out, SMB Direct и SMB Multichannel.
Технология CAFS призвана решить проблемы, возникающие в ранних версиях файловых серверов высокой доступности, построенных на основе отказоустойчивых кластеров Windows Server. Предыдущие версии обеспечивали высокую доступность общих ресурсов, но были подвержены перерывам в работе и кратковременным потерям подключений в случаях отказа узла. Такие кратковременные сбои, как правило, допустимы в работе офисных приложений (например, Microsoft Office), часто выполняющих операции открытия и закрытия файлов, так как эти приложения могут повторно подключиться к ресурсу и сохранить изменения после отработки отказа. Однако подобные сбои недопустимы в работе таких приложений, как Hyper-V или SQL Server, которые держат файлы открытыми на протяжении длительного времени. В таких схемах сбой может привести к потере данных. До появления системы Server 2012 компания Microsoft не поддерживала установку серверов Hyper-V или SQL Server на общие ресурсы. Обеспечение поддержки приложений было одной из основных задач Microsoft при разработке технологии CAFS. Хотя вы можете использовать механизмы CAFS просто для предоставления клиентского доступа к общим ресурсам, реальной задачей данной технологии является поддержка серверных приложений. Технология CAFS дает возможность использовать преимущества недорогих механизмов хранения системы Windows Server применительно к критически важным приложениям. Технология CAFS обеспечивает непрерывный доступ к общим ресурсам, снижая время простоя практически до нуля.
Выберите решение
Существует два подхода к созданию ресурса CAFS.
- Файловый сервер общего назначения. Это очень похожая на поддержку файлового сервера с высокой доступностью в системе Windows Server 2008 R2, наиболее распространенная реализация технологии CAFS на файловом сервере, которая обеспечивает поддержку размещения общих ресурсов на отказоустойчивом кластере. Технология CAFS повышает доступность и производительность данной схемы, благодаря новому высокопроизводительному механизму клиентского доступа SMB 3.0.
- Масштабируемый файловый сервер. Реализация масштабируемого файлового сервера – это новая возможность технологии CAFS, предназначенная для обеспечения поддержки таких приложений как Hyper-V и SQL Server без простоя в работе. Данная реализация ограничена четырьмя серверами.
Обзор архитектуры CAFS приведен на рисунке.
Рисунок. Архитектура CAFS |
Одной из ключевых технологий, сделавшей возможным использование ресурсов CAFS, является поддержка механизмов SMB Transparent Failover системой Server 2012. Механизмы SMB Transparent Failover позволяют службам файлового сервера выполнять аварийное переключение на резервный узел кластера, благодаря чему приложения, имеющие открытые файлы на файловом сервере, не заметят обрывов в подключениях. Технология CAFS обеспечивает нулевой простой в работе приложений как при плановом обслуживании, так и при незапланированных отказах.
Соответствие требованиям
Поскольку технология CAFS использует механизмы SMB 3.0 системы Server 2012, наличие операционной системы Server 2012 является обязательным требованием. Технология поддерживается в обеих редакциях, Server 2012 Standard и Server 2012 Datacenter. В редакциях Essentials или Foundation технология CAFS не поддерживается.
Кроме того, для использования технологии CAFS необходимо наличие отказоустойчивого кластера Server 2012. Это означает, что у вас должен быть настроен кластер Server 2012 как минимум из двух узлов. Отказоустойчивые серверы Server 2012 поддерживают до 64 узлов. Вы можете найти пошаговые инструкции по настройке отказоустойчивого кластера в моей статье «Windows Server 2012: Building a Two-Node Failover Cluster» (опубликованной в Windows IT Pro/RE № за 2012 год).
Помимо собственно наличия кластера, на каждый его узел должна быть установлена роль файлового сервера. На кластерном файловом сервере должна быть настроена одна или несколько общих папок с активным новым параметром, отвечающим за постоянную доступность ресурса. Далее я подробно расскажу о создании и настройке постоянно доступных общих папок.
В отказоустойчивом кластере из двух узлов на кластерном хранилище должны быть настроены как минимум два различных тома LUN. На одном томе хранятся общие файлы. Этот том должен быть настроен в качестве общего тома кластера cluster shared volume (CSV). Другой том будет работать в качестве диска-свидетеля. В большинстве решений используется большее количество томов.
Также рекомендуется настроить сеть таким образом, чтобы между узлами было несколько путей. Благодаря такой топологии сеть перестает быть единственной точкой отказа. Использование объединения сетевых адаптеров и/или дублирующих маршрутизаторов позволяет повысить уровень отказоустойчивости вашей сети.
Наконец, для использования преимуществ нового механизма SMB Transparent Failover на компьютерах с клиентом SMB должны быть установлены операционные системы Windows 8 или Server 2012. Когда клиент SMB 3.0 подключается к ресурсу CAFS, он уведомляет службу-свидетеля кластера. Кластер назначает узел, который будет свидетелем для данного подключения. Узел-свидетель отвечает за переключение клиента на новый хост-сервер в случае остановки в работе службы, не вынуждая клиента дожидаться, пока пройдет время отклика протокола TCP.
Создание ресурсов CAFS общего назначения
Для настройки ресурса CAFS откройте мастер Failover Cluster Manager на любом из узлов кластера. Затем щелкните мышью на узле Roles в панели навигации. Как показано на экране 1, в окне Roles отображаются установленные роли.
Экран 1. Мастер Failover Cluster Manager |
Кластер может поддерживать несколько ролей и обеспечивает высокий уровень доступности для каждой из них. На экране 1 мы видим настроенную виртуальную машину с высоким уровнем доступности. Для создания нового ресурса CAFS общего назначения щелкните мышью по ссылке Configure Role…, отмеченной в окне Actions. Будет запущен мастер High Availability Wizard, показанный на экране 2.
Экран 2. Мастер High Availability Wizard |
Прокручивайте список ролей до тех пор, пока не увидите роль файлового сервера. Роль файлового сервера поддерживает ресурсы CAFS обоих типов: общего назначения и масштабируемых приложений. Выберите роль File Server и щелкните мышью на кнопке Next, чтобы перейти к экрану выбора типа ресурса CAFS, см. экран 3.
Экран 3. Окно выбора типа ресурса CAFS |
Диалоговое окно File Server Type позволяет выбрать, какой сервер необходимо создать: файловый сервер общего назначения (File Server for general use) или масштабируемый файловый сервер для данных приложений (Scale-Out File Server for application data). Роль «общего назначения» может быть использована для настройки как общих папок на основе механизма Windows SMB, так и общих папок на основе NFS. Ресурсы CAFS общего назначения также поддерживают устранение дублирования данных, репликацию DFS и шифрование данных. Щелкните мышью на кнопке Next, чтобы продолжить создание ресурса CAFS общего назначения. На экране появится диалоговое окно Client Access Point, показанное на экране 4.
Экран 4. Окно Client Access Point |
Для создания нового ресурса CAFS общего назначения необходимо указать имя сервера, которое клиенты будут использовать при обращении к ресурсу CAFS. Это имя будет зарегистрировано в DNS, и клиенты будут указывать его по аналогии с именем сервера. Кроме того, ресурсу CAFS общего назначения также необходим IP-адрес. На экране 4 я присвоил службе имя CAFS-Gen (для ресурса CFAS общего назначения) и статический IP-адрес 192.168.100.177. Щелкнув кнопку Next, вы сможете выбрать кластерное хранилище для ресурса CAFS.
Диалоговое окно Select Storage, показанное на экране 5, позволяет выбрать хранилище для ресурса CAFS общего назначения.
Экран 5. Окно Select Storage |
Хранилище должно быть доступно для служб кластера. Другими словами, оно должно быть в списке узлов хранения кластера и должно быть отмечено как доступное хранилище. Вы не можете использовать предварительно назначенные общие тома кластера CSV для создания ресурса CAFS общего назначения. В данном примере я мог задействовать три различных диска, и выбрал Cluster Disk 5, потому что изначально готовил это хранилище под размещение ресурса CAFS (экран 5). Однако вы можете выбрать любой из доступных дисков кластера. Щелкнув мышью на кнопке Next, вы перейдете к экрану Confirmation. На нем можно подтвердить выбранные настройки или вернуться к диалоговым окнам мастера High Availability Wizard и внести изменения. Если все параметры вас устраивают, щелкните мышью на кнопке Next экрана Confirmation и перейдите к окну Configure High Availability, которое отображает прогресс настройки ресурса CAFS. По окончании настройки вы увидите экран Summary. Щелчок мышью на кнопке Finish экрана Summary закроет мастер High Availability Wizard и вернет вас в окно Failover Cluster Manager, показанное на экране 6.
Экран 6. Создание постоянно доступной общей файловой папки |
Следующим шагом после создания роли CAFS будет создание постоянно доступной общей файловой папки, использующей данную роль. На экране 6 видно, что роль CAFS-Gen активно работает и использует роль файлового сервера. Для добавления новой постоянно доступной общей файловой папки выберите ссылку Add File Share в окне, которое вы видите в правой части экрана 6. Вы увидите диалоговое окно Task Progress, которое отображает процесс получения информации с сервера. Сразу по завершении на экране появится диалоговое окно New Share Wizard, которое вы видите на экране 7.
Экран 7. Окно New Share Wizard |
Первым делом мастер New Share Wizard спросит, какой тип ресурса CAFS вы хотите создать. Вы можете выбрать ресурс CAFS одного из двух типов: SMB или NFS. Режим SMB Share—Quick активирует создание ресурса CAFS общего назначения. Режим SMB Share—Applications отвечает за создание высоконадежного общего ресурса приложений для таких систем как Hyper-V или SQL Server. Создание масштабируемых ресурсов CAFS для приложений я рассматриваю ниже. Для создания ресурса CAFS общего назначения выберите режим SMB Share—Quick и щелкните кнопку Next. Мастер New Share Wizard отобразит диалоговое окно Share Location, показанное на экране 8.
Экран 8. Окно Share Location |
Имя роли CAFS отображается в поле Server Name. На экране 8 мы видим имя роли CAFS-Gen, которую я создал ранее, и ее состояние – online. Вы может выбрать размещение общего ресурса с помощью полей в нижней части экрана. В данном примере по умолчанию был выбран диск G (экран 8). Если вы хотите использовать другой диск, то можете ввести альтернативный путь в поле Type a custom path, расположенном внизу экрана. В этом примере я оставляю предложенный по умолчанию диск G и нажимаю кнопку Next для перехода к диалоговому окну Share Name, показанному на экране 9.
Экран 9. Имя общего ресурса |
Диалоговое окно Share Name позволяет вам ввести имя общего файлового ресурса. Для простоты я использовал для ресурса CAFS то же имя, что и для службы, CAFS-Gen (экран 9), но это не обязательно. Вы можете дать общей папке любое корректное имя SMB. В центре экрана мы видим локальный и удаленный пути к ресурсу CAFS. Локальный путь в данном примере — G:SharesCAFS-Gen. Сетевые системы будут обращаться к общей папке по пути \CAFS-genCAFS-Gen. Щелкнув мышью по кнопке Next, вы откроете диалоговое окно настройки общего ресурса Configure, показанное на экране 10.
Экран 10. Окно настройки общего ресурса |
Диалоговое окно настройки общего ресурса Configure позволяет контролировать процесс обработки ресурса сервером. Чтобы сделать файловый ресурс постоянно доступным, требуется установить флаг Enable continuous availability. Этот параметр активируется по умолчанию. Параметр Enable access-based enumeration управляет возможностью просмотра файлов и папок пользователями без привилегий. Этот параметр выключен по умолчанию. Параметр Allow caching of share разрешает доступ к ресурсу для пользователей, работающих автономно, посредством технологии BranchCache. И наконец, параметр Encrypt data access позволяет обезопасить удаленный доступ к файлам путем шифрования данных, передаваемых ресурсу и извлекаемых из него. Этот параметр по умолчанию отключен. Щелкнув мышью по кнопке Next, вы откроете диалоговое окно Permissions, показанное на экране 11.
Экран 11. Назначение общему ресурсу разрешений |
По умолчанию ресурс CAFS создается с привилегиями Full Control, предоставленными группе Everyone. В большинстве решений вы, скорее всего, захотите изменить настройку прав доступа. В данном примере я соглашаюсь с правами доступа, заданными по умолчанию. Щелкнув мышью на кнопке Next, вы перейдете к диалоговому окну Confirmation, где сможете просмотреть сводку действий, выполненных на предыдущих экранах мастера New Share Wizard. Вы можете щелкнуть мышью по кнопке Previous, чтобы вернуться к этим экранам и изменить любые параметры. Нажатие мышью кнопки Create в диалоговом окне Confirmations приведет к созданию ресурса CAFS и настройке прав доступа для общей папки. После того, как ресурс CAFS будет создан, мы сможете обратиться к нему, как к любой общей файловой папке. На экране 12 показано, как подключиться к общему ресурсу, введя в проводнике Windows Explorer имена сервера и общей папки – \cafs-genCAFS-Gen.
Экран 12. Подключение к общему ресурсу |
Теперь вы можете наполнить общую папку документами и файлами других типов, использование которых станет более эффективным благодаря высокой доступности ресурсов CAFS.
Создание масштабируемых ресурсов CAFS
Основная задача ресурсов CAFS — обеспечить высокий уровень доступности приложений, хранящих данные в общих файловых папках. В прошлом компания Microsoft не предоставляла поддержку такого типа для приложений, подобных системе SQL Server, хранящих свои базы данных на общих файловых ресурсах. Ситуация изменилась с выпуском платформы Server 2012, поддерживающей технологию CAFS. Настройка масштабируемых ресурсов CAFS отличается от настройки ресурсов CAFS общего назначения. Однако для создания масштабируемого решения используется тот же мастер High Availability Wizard. Чтобы создать новый ресурс CAFS для поддержки масштабируемых приложений, выберите ссылку Configure Role… в окне Actions оснастки Failover Cluster Manager (см. экран 1). Далее в диалоговом окне Select Role выберите роль File Server (см. экран 2). Эти два шага такие же, как при создании ресурса CAFS общего назначения. Однако, как показано на экране 13, в диалоговом окне File Server Type необходимо выбрать режим Scale-Out File Server for application data.
Экран 13. Выбор режима масштабирования ресурсов |
Механизм масштабируемого файлового сервера разработан для приложений, которые оставляют свои файлы открытыми на продолжительное время. Щелкнув мышью кнопку Next, вы перейдете к диалоговому окну Client Access Point, показанному на экране 14.
Экран 14. Окно Client Access Point |
Диалоговое окно Client Access Point позволяет вам задать имя для роли CAFS. Я назвал масштабируемый ресурс CAFS именем CAFS-Apps (экран 14). Это серверное имя, которое клиентские приложения используют при обращении к общему ресурсу. Щелкнув мышью кнопку Next, вы перейдете на экран Confirmation, где можно подтвердить выбранные решения или вернуться назад к окнам High Availability Wizard и внести изменения. Если все верно, щелкните мышью на кнопке Next экрана Confirmation, чтобы перейти к диалоговому окну Configure High Availability, который отображает прогресс настройки ресурса CAFS. По завершении процесса настройки вы увидите экран Summary. Щелчок мышью на кнопке Finish на экране Summary приведет к закрытию мастера High Availability Wizard и вернет вас к оснастке Failover Cluster Manager.
Следующий шаг — добавление общей файловой папки к CAFS-серверу масштабируемых приложений. Чтобы создать новый файловый ресурс для роли CAFS, выберите ссылку Add File Share из окна Actions, по аналогии с созданием файловой папки общего назначения на экране 6. Щелкните мышью по ссылке Add File Share для масштабируемого ресурса CAFS, чтобы запустить мастер New Share Wizard, показанный на экране 15.
Экран 15. Выбор профиля для общего ресурса |
Для создания масштабируемого ресурса CAFS из диалогового окна Select Profile выделите профиль SMB Share—Applications в списке File share profile, после чего щелкните мышью кнопку Next, чтобы перейти к диалоговому окну Share Location, показанному на экране 16.
Экран 16. Выбор файлового сервера масштабируемых приложений |
В поле Server в верхней части диалогового окна отображаются два файловых сервера CAFS, созданных ранее. Для добавления ресурса CAFS к файловому серверу масштабируемых приложений выберите файловый сервер CAFS-APPS с описанием Scale-Out File Server в столбце Cluster Role. После этого выберите том CSV, на котором вы хотите создать общий ресурс CAFS. В этом примере доступно два созданных общих ресурса кластера. В качестве места размещения нового ресурса CAFS я выбрал том C:ClusterStorageVolume1. При желании вы можете вручную ввести путь и к другому тому CSV. После выбора тома CSV нажмите кнопку Next для перехода к экрану Share Name, показанному на экране 17.
Экран 17. Указание имени для файлового ресурса |
Диалоговое окно Share Name позволяет назначить имя для файлового ресурса. Ресурсу CAFS для масштабируемых приложений я присвоил имя HyperV-CAFS (экран 17). В центре экрана мы видим локальный и удаленные пути к ресурсу CAFS. Локальный путь в данном примере — C:ClusterStorageVolume1SharesHyperV-CAFS. Удаленные обращения к общей папке будут выполняться с использованием сетевого имени \cafs-appsHyperV-CAFS. Щелкните мышью на кнопке Next, чтобы перейти к диалоговому окну Configure, см. экран 18.
Экран 18. Диалоговое окно Configure |
При создании масштабируемого ресурса CAFS флаг Enable continuous availability устанавливается по умолчанию.
Параметры Enable access-based enumeration и Allow caching of share отключены, вы не можете выбрать их. Единственный дополнительный параметр, который вы можете выбрать — Encrypt data access. Я оставил без изменений настройки, предложенные по умолчанию (экран 18). Щелкните кнопку Next, чтобы перейти к диалоговому окну Specify permissions to control access, показанному на экране 19.
Экран 19. Разрешения для масштабируемого ресурса CAFS |
Как и ресурс CAFS общего назначения, масштабируемый ресурс CAFS создается с привилегиями Full Control, предоставленными группе Everyone, — и эти права доступа вы, скорее всего, захотите изменить. Я согласился с привилегиями, предложенными по умолчанию, нажал кнопку Next, открывающую диалоговое окно Confirmation, в котором вы можете просмотреть сводку по действиям, выполненным в предыдущих диалоговых окнах мастера New Share Wizard. Вы можете щелкнуть мышью кнопку Previous, чтобы вернуться назад и изменить любой из параметров. Нажатие кнопки Create в окне Confirmations приведет к созданию масштабируемого ресурса CAFS и настройке заданных прав доступа. После того, как ресурс создан, к нему можно подключиться локально, используя путь C:ClusterStorageVolume1SharesHyperV-CAFS, или удаленно, используя путь \cafs-appsHyperV-CAFS. Новый ресурс CAFS теперь виден в точке подключения тома CSV (экран 20).
Экран 20. Новый ресурс CAFS |
Теперь вы можете наполнить ресурс виртуальными машинами Hyper-V, данными SQL Server, а также файлами журналов и данными приложений других типов.
Повышение доступности файлов
В данной статье я показал, как можно использовать ресурсы CAFS для повышения уровня доступности и гибкости элементов существующей инфраструктуры. Технология CAFS обеспечивает более высокую доступность файловых ресурсов общего назначения, а также позволяет серверным приложениям, таким как SQL Server и Hyper-V, хранить свои данные на файловых ресурсах с высоким уровнем доступности, предоставляя новые возможности для хранения данных критически важных приложений.
В данном случае если ваша «схема» работала на Win2003, то она будет работать и на Win2012. В данном отношении ничего не изменилось. Смотрите внимательнее кому ставите правило запрета. Правило запрета всегда
имеет приоритет перед разрешающими, даже доп. окно выскакивает при установке запрещающих правил с предупреждением. Неважно даже, что гость у вас включён (выключите его!).
При попытке входа с рабочей станции на сервер в рабочей группе имеет значение только имя пользователя и его пароль. Если связка имя_пользователя-пароль совпадает на клиенте и на сервере, то аутентификация проходит успешно. Имя машины
неважно (а вот имя домена имеет значение, но это не ваш случай). Если при этом на шарке стоит явный запрет для этого пользователя, то доступа не будет. Сервер в рабочей группе может оперировать только с локальными
учётными данными, ни про какие WS1UserX он не знает и права назначить им не сможет. Имеет значение только имя учётной записи.
Если в вашем случае пользователь всё равно входит без каких-либо запросов, значит в «хранилище паролей» клиента сохранены другие учётные данные для этого ресурса.
На сервере выполните: Win+R -> cmd -> compmgmt.msc
В дереве выберите пункт Shared Folders («Общие папки») -> Sessions (Сессии) и там увидите открытые сессии к шаркам и имена пользователей.
На проблемном клиенте откройте «менеджер паролей», выполнив команду. Пуск -> выполнить -> control userpasspasswords2. Вкладка расширенные -> управление паролями. И там ищите сохранённые учётные
данные к этому ресурсу.
P.S. Желательно всё-таки не давать права группе «Все», а создать на сервере специальную группу с названием, отражающим её назначение, и уже туда добавить пользователей которым нужен доступ. Установка запрещающих правил в подавляющем
большинстве случаев является необоснованным и в корне неправильным подходом.
-
Изменено
10 апреля 2013 г. 13:55
-
Помечено в качестве ответа
Denis DyagilevEditor
12 апреля 2013 г. 12:03