Configuring Disk Quota (windows Server 2012 R2)
Welcome to this step by step tutorial, you will be learning about How to Configure Disk Quota using File Server Resource Manager (FSRM) on Windows Server 2012 R2.
File Server Resource Manager is a pack of tools for Windows Server® 2008 or above that allows administrators to control and manage the quantity and type of data files that is stored on their network or servers.
Disk Quota is a tool part of the FSRM Pack of tools. It helps to Manage the capacity of a storage device on the server or network.
The Step by step process below shows how to Install Configure Disk Quota
Prerequisite: Ensure you have a Domain Network configured and at least one client computer for testing after configuration. Also, ensure FSRM is Installed and Configure File Share or DFS for central file storage to ensure Disk Quota works effectively.
Task Performed: DC1 (Domain Controller installed with Server 2012 R2) and a Client Computer (Installed with Windows 10)
Configure Disk Quota on DC1
Step 1
Go to Server Manager
Step 2
On the Server Manager Console. Select “Tools” on the right top corner and choose “File Server Resource Manager”
Step 3
On the File Server Resource Manager console, select “Quota Management -> Quotas”, Then Right-Click on “Quotas”. Select “Create Quota”
Step 4
Browser for Quota Path
Step 5
Select “Define Custom Quota Properties” and choose “custom Properties”
Step 6
Under the “Space Limit” Section, specify your preferred limit and choose “Ok”
Step 7
Select “Create”
Step 8
Save as a template with your preferred name. Our is “Graphic files template” and choose ‘OK’
We are done.
Next is to test the Quota selected by Storing Files with the greater limit capacity you have specified on the path and see our quota in operation.
See also, How to configure DFS Namespace and Replication, Server 2012
Watch the Disk Quota Configuration Tutorial video below;
Vinay
No one that stays in his comfort zone ever secures a future.
Содержание
Роль File and Storage Services
Дополнительные службы и компоненты роли
Добавление ролей к роли File and Storage Services
Создание общих ресурсов
Создание общих ресурсов с помощью диспетчера серверов
Создание общих ресурсов на удаленных компьютерах с помощью
диспетчера серверов
Публикация общих ресурсов в Active Directory
Управление разрешениями
Разрешения NTFS
Разрешения общего доступа
Сходные черты разрешений общего доступа и разрешений NTFS
Модификация разрешений общего доступа и NTFS
Объединение разрешений общего доступа и NTFS
Подключение к общим ресурсам
Конфликт между наборами учетных данных
Использование команды net use в сети WAN
Распространенные общие ресурсы
Диспетчер ресурсов файлового сервера
Создание политик квот
Создание политик блокировки файлов
Генерация отчетов
Параметры File Server Resource Manager
Протокол SMB 3.0
Совместимость с версиями SMВ 2.0 и SMB 1.0
Безопасность SMB
Внедрение Bitlocker
Что нового в BitLocker
Требования к оборудованию
Включение BitLocker
Использование автономных файлов / кеширования на стороне клиента
Как работает Offiine Files
BranchCache
Включение средств а Offiine Files на сервере
Одной из основных функций любого сервера является обслуживание ресурсов,
таких как файлы и папки. В Windows Server 2012 R2 роли File Services (Службы
файлов) и Storage Services (Службы хранилища) были объединены в одну роль под названием File and Storage Services (Службы файлов и хранилища). Эта роль устанавливается по умолчанию; однако любые дополнительные роли, которые обслуживают File and Storage Services, понадобится добавить посредством мастера в диспетчере серверов.
Роль File Services включает службы роли наподобие диспетчера ресурсов
файлового сервера (File Server Resource Manager — FSRM), службы для сетевой файловой системы (Network File System — NFS), обеспечивающие поддержку клиентов Unix, службу поиска в Windows (Windows Search) и службу BranchCache для удаленных офисов.
Теперь, когда роль Storage Services доступна в сочетании с ролью FileServices, в Windows Server 201 2 R2 предлагается несколько новых и усовершенствованных ролей и компонентов, в том числе дедупликация (Dedup1ication), пространства хранения (Storage Spaces) и пулы хранения (Storage Pools), которые еще более
улучшают эту версию Windows Server.
Когда вы планируете совместное использование файлов и папок, важно пони
мать не только то, как открыть общий доступ к данным, но также и то, как защитить их с помощью разрешений, включая разрешения файловой системы New Technology File System (NTFS) и общего доступа. Хотя оба набора разрешений применяются независимо, они обеспечивают накопительный эффект, предоставляя множество уровней расширенных параметров безопасности. Вы должны быть в состоянии быстро определить, какие окончательные разрешения имеет пользователь, который обращается к общему ресурсу через сеть. И если вы хотите защитить целые жесткие диски, то по-прежнему можете применять компонент BitLocker Drive Encryption
(Шифрование диска BitLocker), чтобы шифровать их содержимое, как это дела
лось в Windows Server 2008 R2. Одной из наиболее заметных новых возможностей
в шифровании дисков Windows Server 2012 R2 являются новые опции BitLocker
Dгive Encryption. Теперь можно использовать опцию Encrypt used disk space only
(Шифровать только использованное пространство диска). Больше не нужно ждать
часами, пока завершится шифрование целого тома, в то время как занята только не большая часть общего пространства на диске. Новые возможности BitLockeг более подробно рассматриваются ближе к концу этой главы.
Лежащим в основе протоколом, который обрабатывает передачи файлов, явля
ется SMB (Serveг Message Block — блок сообщений сервера), который в Windows
Serveг 201 2 был модернизирован до версии 3.0. Протокол SMB 3.0 поддерживает
много новых функций, которые превращают файловые обшие ресурсы в фундамент
для небольших и средних компаний. Этот стек протоколов обеспечивает ряд зна
чительных преимушеств при передаче файлов по сети — при условии подключения
к правильным видам клиентов. При подключении к унаследованным машинам по
прежнему будут применяться версии SMB 1 .0 и SMB 2.0, со всеми присущими им
проблемами. В настоя шее время только Windows 8 и семейство Windows Serveг 2012 могут извлечь полную выгоду от новых функций SMB 3.0, которые будут обсуждаться в этой главе.
В этой главе вы изучите следуюшие темы:
• установка на сервере дополнительных ролей File and Stoгage Services;
• объединение разрешений обшего доступа и NTFS;
• внедрение BitLockeг Drive Encryption.
Роль File and Storage Services
Роль File and Storage Services комбинирует множество файловых технологий и
технологий хранения, которые оказывают администраторам содействие в настройке
файловых серверов для их организации. Стандартная установка сделает возможным базовое администрирование функционаJ1ьности хранилища с применением диспетчера серверов или PoweгShell, но для построения подходяшего файлового сервера желательно установить роль File Server (Файловый сервер) наряду с другими важными ролями вроде File Serveг Resouгce Manageг (Диспетчер ресурсов файлового сервера) и DFS Replication (Репликация DFS). Дело вовсе не в том, что файловая система DFS требуется все время — но она определенно может быть великолепным дополнением, когда необходима репликация для обеспечения доступности или репликация между географически разбросанными местоположениями. Важно иметь план и конечную цель для серверных ролей. Постарайтесь получить максимальную отдачу от первого прохода мастера за счет соответствующего планирования. Мы будем добавлять роли в следующем разделе.
Основной компонент любого сервера — его способность к совместному исполь
зованию файлов. На самом деле служба Server (Сервер) во всем семействе операционных систем Windows Serveг (включая Windows Server 201 2 R2) обрабатывает базовые возможности сервера по обшему доступу к файлам и печати. Но что именно это значит и почему оно настолько важно’? По умолчанию одно лишь наличие функционируюшего сервера вовсе не означает доступность любых ресурсов лля пользователей. Прежде чем они смогут действительно работать с ресурсами, к этим ресурсам
должен быть открыт обший доступ.
Когда вы открываете общий доступ к этой папке через сеть под именем Apps,
вы разрешаете клиентам отображать новую букву диска на своих машинах на вашу
папку F: Apps. За счет такого отображения вы помещаете виртуальный указатель
прямо на удаленный диск. Если вы отображаете диск м клиента на общий ресурс
Apps сервера, то диск м будет выглядеть идентичным папке F: Apps сервера, как показано на рис. 1 3.2.
Не беспокойтесь; позже в этой главе м ы объясним, как создавать такой об
щий ресурс и подключаться к нему. Это все, что действительно нужно сделать.
Совместное использование ресурсов означает, что вы позволяете пользователям обращаться к этим ресурсам из сети. Никакой реальной обработки со стороны сервера не производится; он просто раздает файлы и папки в том виде, как они есть.
дополнительные службы и компоненты роли
Диспетчер серверов (Server Manager) — это одиночная консоль, включающая
множество разделов, которые могут применяться для управления различными сер
верными ролями, в том числе ролью File and Storage Services. Роль Fie and Storage Services в Windows Server 201 2 R2 позволяет делать намного больше, чем просто открьшать общий доступ к папкам. Роль File and Storage Services включает несколько дополнительных служб роли.
• File Server (Файловый сервер). Это главная служба роли, требуемая для поддержки роли File and Storage Services. Данная роль предоставляет возможность создания и управления общими ресурсами наряду с разрешением пользователям открывать совместный доступ и обращаться к файлам, доступным в сети.
Хорошей характеристикой службы роли File Server является то, что она авто
матически добавляется при открытии общего доступа к какой-либо папке. Эта
служба роли использует новый протокол SMB 3.0, который более подробно
обсуждается ближе к концу главы.
• Distrlbuted File System (Распределенная файловая система). Служба роли
Distributed File System (DFS) включает роли DFS Replication (Репликация
DFS) и DFS Namespaces (Пространства имен DFS) и более подробно раскры
вается в главе 14.
• Data Deduplication (Дедупликация данных). Служба роли Data Deduplication
(Dedup) позволяет сохранять больше дискового пространства за счет обнару
жения и устранения дублирования внутри файлов данных. Вместо хранения
множества копий идентичных файлов место занимает только одна копия, а все
дубликаты ссылаются на нее. Основная идея Data Deduplication — сохранить
больше данных внутри меньшего пространства, разделяя файлы на небольшие
блоки, идентифицируя дубликаты и затем поддерживая единственную копию
этих дубликатов. Дедупликация в Windows Server 201 2 R2 теперь является основанной на блоках на уровне самой операционной системы; во многих решениях от поставщиков хранилищ применяется дедупликация, основанная на файлах, на уровне хранилища. Многие люди задаются вопросом, какую экономию дискового пространства они могут ожидать мя разных типов файлов. В табл. 13. 1 приведены некоторые впечатляющие показатели, полученные в результате тес
тирования в испытательной среде. Эти тесты могут быть до некоторой степени
оптимизированы для достижения лучшей производительности.
• File Server Resource Manager (Диспетчер ресурсов файлового сервера). Служба
роли File Server Resource Manager (FSRM) предоставляет развитый набор до
полнительных инструментов, которые можно использовать для управления
хранилищем данных на сервере, включая конфигурирование квот, определе
ние политик блокировки файлов и генерация отчетов по хранилищу.
Таблица 13.1. Экономия хранилища, обеспечиваемая дедупликациеи
в испытательном среде
Общие файлы
Документы
Библиотека приложения
Библиотека VHD
ЭКОНОМКА
Экономия 56 пространства при включенной дедупликации
Экономия 35 пространства при включенной дедупликации
Экономия 780 пространства при включенной дедупликации
Экономия 80-95% пространства при включенной дедупликации
В разделе «Диспетчер ресурсов файлового сервера» далее в главе рассматрива
ются нововведения, привнесенные в FSRM версией Windows Server 2012 R2.
• Network File System (Сетевая файловая система). Эта служба позволяет предоставлять доступ к файлам из клиентских компьютеров Unix и других машин, которые могут взаимодействовать с применением Network File System (NFS).
Операционная система Windows Server 2012 R2 проделала действительно дол
гий путь со времен Windows Server 2008, предложив в этой серверной редак
ции впечатляющее решение с кластеризированной реализацией. В Windows
Server 2012 обеспечивается гладкий обход отказа для клиентов смешанного
режима в кластеризированной среде. Признавая потребность в росте виртуа
лизированного мира, в Microsoft спроектировали службу NFS специально для
кластеризироDанных виртуальных сред, где непрерывность ввода-вывода под
держивается независимо от операции, выполняемой во время отказа. Теперь
используется NFS версии 4.1 , делая реализацию NFS самой надежной и простой для развертывания в рамках семейства Windows Server.
В Windows Server 2012 R2 также появилось несколько новых командлетов
PowerShell, предназначенных для NFS. Чтобы получить полный их список, запустите командлет Get-Coпunand -Module NFS. Как вы увидите, доступны ко
мандлеты практически для любого действия, которое нужно выполнять с NFS.
Для получения информации о синтаксисе или об отдельной команде приме
няйте любой из следующих командлетов:
• Get-Help <имя командлета> -Detailed
• Get-Help <имя команд.лета> -Examples
• Get-Help <имя команд.лета> -Full
• Storage Senices (Службы хранилища). В Windows Server 2012 R2 добавлены
замечательные компоненты, входящие в состав Storage Services. Они теперь
включают пространства хранения и пулы хранения. За счет объединения
Storage Services с Data Deduplication в Windows Server 2012 R2 теперь можно не только предоставлять, но также и составлять конкуренцию службам, которые обычно требуют отдельной сети хранения данных.
• File Server VSS Agent Senice (Служба агента VSS файлового сервера). Когда включена, эта служба роли позволяет выполнять теневое копирование приложений, которые хранят данные на вашем файловом сервере. Новый в Windows Server 2012 компонент VSS for SMB File Shares (VSS для файловых общих ресурсов SMB) позволяет строить резервные копии во время записи актуальных данных на общие ресурсы SMB. Предшествующие версии VSS разрешали работу теневого копирования только на локальных томах.
• iSCSI Target Server (Целевой сервер iSCSI). Эта служба роли представляет собой серверный компонент, который предлагает блочное хранилище другим
серверам и приложениям в сети. Она содержит все инструменты управления,
необходимые для целей iSCSI.
Целевой сервер запускает цель iSCSI через сеть Ethernet без необходимости в развертывании какого-то дополнительного оборудования. Эта служба роли поддерживает неоднородное хранилище, что позволяет Windows Server совместно использовать его в смешанной программной среде, утилизируя разнообразные типы инициаторов iSCSI.
Данной службой роли можно управлять с применением нового графического пользовательского интерфейса, интегрированного в диспетчер серверов, или новых командлетов Windows PowerShell, включенных в Windows Server 2012 R2.
• BranchCache for Network Files (BranchCache для сетевых файлов).
Средство BranchCache может использоваться в среде с несколькими сайтами, чтобы позволить компьютерам в офисах филиалов кешировать общие загружаемые
файлы. Компонент BranchCache должен быть включен на общей папке. Вы
увидите, как это делается, в разделе «Использование автономных файлов / ке
ширования на стороне клиента» далее в главе.
ДОБАВЛЕНИЕ РОЛИ FILE SERVER ПРИ ОТКРЫТИИ ОБЩЕГО ДОСТУПА К ПАПКЕ
Если вы просто применяете проводник Windows для открытия общего доступа к папке, то роль F i l e Server добавляется автоматически. Вы не обязаны добавлять эту роль с использованием диспетчера серверов.
Тем не менее, когда вы планируете задействовать любые дополнительные роли, то должны добавлять их с помощью мастера добавления ролей и компонентов (Add Roles and Features Wizard), доступного в диспетчере серверов.
добавление ролей к роли File and Storage services
Для добавления ролей к роли File and Storage Services выполните следующие
шаги.
1 . Запустите диспетчер серверов, щелкнув на значке Server Manager (Диспетчер
серверов) в панели задач или на плитке Server Manager на экране Start (Пуск),
как показано на рис. 13.3.
2. На вкладке Dashboard (Управляющая панель) щелкните на ссылке Add Roles
and Features (Добавить роли и компоненты), как показано на рис. 13.4.
3. Мастер добавления ролей и компонентов (Add Roles and Features Wizard) прове
дет вас по остальным действиям процесса. Просмотрите информацию на экра
не Before you begin (Прежде чем начать) и щелкните на кнопке Next (Далее).
4. На экране lnstallation Туре (Тип установки) по умолчанию выбран переключа
тель Role-Based ог Feature-Based installation (Установка на основе ролей или
на основе компонентов). Второй переключатель, Remote Desktop Services
installation (Установка служб удаленного стола), касается служб роли для развертывания VDI (Yirtual Desktop Infrastructure — инфраструктура виртуальных рабочих столов). Оставьте выбор по умолчанию и щелкните на кнопке Next.
5. На экране Server Selection (Выбор сервера) выберите сервер, к которому необходимо добавить службы роли, и щелкните на кнопке Next.
6. На экране Server Roles (Серверные роли) выберите следующие службы роли
(рис. 13.5): File Server, File Server Resource Manager и BranchCache for Network Files. Щелкните на кнопке Next.
Теперь, когда службы роли выбраны, наступило время установить любые до
полнительные компоненты, которые помогают в поддержке этих служб ролей.
На выбор доступны многие полезные компоненты.
Ролью считается крупная функция сервера, тогда как компонент — это пакет дополнения меньшего размера, который обычно предоставляет добавочную поддержку
для основной роли. Основные роли могут включать Active Directory, DNS и DHCP.
Компоненты, подобные PowerSheП, Windows Server Backup (Резервное копирование
Wmdows Server) и Remote Ass istance (Дистанционный помощник), обеспечивают допол
нительную функuиональность, помогая эфф ективнее управлять серверными ролями.
7. Для примера давайте установим компоненты BitLocker Drive Encryption,
BranchCache и Enhanced Storage (Расширенное хранилище). Вы заметите, что вы
бор BitLocker Drive Encryption приводит к автоматическому выбору для установки также и компонента Enhanced Storage (рис. 13.6). Щелкните на кнопке Next.
8. Просмотрите информацию на экране Confirmation (Подтверждение), удостове
рившись в том, что ничего не упустили из виду.
Мастер аккуратно отображает все выбранные роли, компоненты и поддерживающие их инструменты. На этом экране присутствует несколько дополнительных опций, которые вы можете счесть полезными: Restart the destination server automatically if required (При необходимости автоматически перезапускать целевой сервер), Export configuration settings (Экспортировать настройки конфигурации) и Specify an alternate source path (Указать альтернативный исходный путь).
Рис. 1 3.6. Выбор дополнительных компонентов для служб роли
9. Щелкните на кнопке lnstall (Установить).
Финальным экраном мастера является Results (Результаты). Здесь отобразит
ся индикатор хода работ по установке. Если вы хотите закрыть этот экран и
выйти, задача будет выполняться в фоновом режиме. Вы всегда можете про
смотреть детальные сведения о задаче в панели задач, щелкнув на значке
Notifications (Уведомления).
10. После успешной установки перезагрузите сервер вручную, или если вы отме
тили флажок Restart the destination server automatically if required на экране Confirmation, то сервер перезагрузится по завершении процесса установки.
Теперь диспетчер серверов включает все роли и компоненты, которые были установлены во время выполнения упражнения. Открыв диспетчер серверов и перейдя на вкладку Dashboard, вы можете просмотреть и воспользоваться установленными ролями и компонентами, щелкая на инструментах и выбирая желаемые ресурсы.
Компоненты File SeNer Resource Manager показаны на рис. 1 3.7.
создание общих ресурсов
Проuесс создания общих ресурсов в этой редакции сервера претерпел ряд интересных изменений. Похоже, что практически все имеет мастер, проводящий нас по задачам и действиям. Существует множество разных способов создания общих ресурсов, которые обсуждаются в данной книге повсеместно. В этом разделе мы сосредоточим внимание на создании обших ресурсов с помошью диспетчера серверов.
Независимо от применяемого метода, на компьютере, где создаются обшие ресурсы, вы должны иметь права пользователя Administrator (Администратор) или Power User (Опытный пользователь).
После создания общий ресурс можно опубликовать в Active Directory, чтобы
упростить пользователям его нахождение. В этом разделе вы научитесь создавать общие ресурсы с использованием диспетчера серверов и публиковать их в Active Directory.
Создание общих ресурсов с помощью диспетчера серверов
Добавлять общие ресурсы в диспетчере серверов относительно просто. На вклад
ке Shares (Общие ресурсы) для роли File and Storage Services доступен мастер созда
ния общеrо ресурса (New Share Wizard), который помогает выполнить эту задачу.
1. Запустите диспетчер серверов, если это еще не сделано, щелкнув на значке
Server Manager (Диспетчер серверов) в панели задач или на плитке Server
Manager на экране Start (Пуск).
2. Выберите роль File and Storage Services и затем вкладку Shares (Общие ресурсы).
3. Щелкните правой кнопкой мыши на области местоположения общей пап
ки и выберите в контекстном меню пункт New Share (Создать общий ре
сурс). Можно также выбрать пункт New Share в раскрывающемся меню Tasks
(Задачи). В любом случае запустится мастер создания общего ресурса, как по
казано на рис. 13.8.
На первом экране мастера, Select Profile (Выбор профиля), предоставляется
возможность выбрать профиль протокола для применения при создании об
щего ресурса. Доступны два крупных варианта и несколько подвариантов. Вы
можете создать либо общий ресурс SMB, либо общий ресурс NFS. В целом
можно отметить следующее:
• общие ресурсы SMB используются для операционных систем Windows;
• общие ресурсы NFS применяются для взаимодействия с машинами на ос
нове Unix.
Протоколы SMB и NFS имеют варианты профиля общего ресурса Quick (Быстрый) и Advanced (Расщиренный). Профиль Advanced имеет несколько дополнительных опций конфигурации, среди которых включение квот. Позже всегда можно добавить дополнительные компоненты, используя диспетчер серверов. Если вы решите включить квоты, то вам сначала потребуется построить новый шаблон квот или отредактировать существующий такой шаблон.
Для SMB предусмотрен еще один шаблон профиля под названием SMB Share —
Applications (Общий ресурс SMB — Приложения). Этот профиль создает общий файловый ресурс SMB с дополнительными настройками, применяемыми
в виртуальной среде.
Рис. 13.8. Создание общего ресурса с использованием диспетчера серверов
4. Для целей этого упражнения выберите профиль SMB Share — Quick (Общий
ресурс SMB — Быстрый), как показано на рис. 1 3.9, и щелкните на кнопке
Next (Далее).
NFS для КЛИЕНТОВ UNIX
Вариант N FS не пригоден к употреблению, если на сервер не была добавлена роль Services for Network File System (Службы для сетевой файловой системы). Если позже вырешите добавить поддержку для клиентов Unix, то всегда сможете добавить упомянутую службу.
После этого варианты NFS стануr доступными в мастере New Share Wizard.
5. На экране Share Location (Местоположение общего ресурса) выберите сервер,
на котором будет размещен общий ресурс, и укажите том на сервере, который
будет служить местоположением общего ресурса.
Обратите внимание, что общий ресурс можно создавать только на сервере с
установленной ролью File Services Resource Manager.
6. Щелкните на кнопке Next.
На экране Share Name (Имя общего ресурса) можно определить имя общего
ресурса и предоставить его описание. При этом отображаются локальный и
удаленный сетевые пути, необходимые для достижения ресурса.
7. Примите эту информацию к сведению, т.к. вам понадобится сообщить ука
занные сетевые пути своим пользователям для доступа к общему ресурсу. На
рис. 13. 1 О приведен пример именования общего ресурса. Щелкните на кнопке
Next. На экране Other Settings (Другие настройки) предлагаются четыре допол
нительных настройки, помогающие сделать общий ресурс более надежным.
• Опция ЕnаЫе access-based enumeration (Включить перечисление на основе
доступа) будет автоматически скрывать папку от пользователя, который не
имеет разрешения читать папку.
• Опция Allow caching (Разрешить кеширование) предоставляет автономным
пользователям доступ к общим данным, когда они работают в автономном
режиме.
• Поскольку вы установили компонент BranchCache в предыдущем упражне
нии, то теперь можете выбрать опцию ЕnаЫе BranchCache on the file share
(Включить BranchCache на этом общем ресурсе).
• Последняя опция на этом экране, Encrypt data access (Шифровать доступ к
данным), защищает удаленный доступ к файлам из общего ресурса.
Если вы еще не включили шифрование на сервере, сделайте это прямо сейчас,
отметив этот флажок. В случае если он недоступен или уже отмечен, значит,
на данном сервере шифрование включено.
8. Сделайте нужный выбор и щелкните на кнопке Next.
9. Экран Permissions (Разрешения) предостамяет возможность при желании изме
нить разрешения NTFS. Разрешения NTFS будут раскрыты позже в этой главе, а
пока щелкните на кнопке Next, чтобы принять стандартные разрешения NTFS.
10. На экране Confirmation (Подтверждение) предстамена сводка по всем выбранным настройкам для создания нового общего ресурса. Внимательно просмотрите их, внесите любые необходимые изменения и щелкните на кнопке Create (Создать). Экран Confirmation показан на рис. 1 3. 1 1 .
Последним экраном этого мастера является Results (Результаты). Отобразят
ся два индикатора хода работ: один для задачи Create SMB Share (Создание
общего ресурса SMB) и еще один для задачи Set SMB Permissions (Установка
разрешений SMB). После того как состоянием обеих задач станет Completed
(Завершена), общий ресурс построен и готов к использованию.
1 1. Щелкните на кнопке Close (Закрыть), чтобы завершить работу мастера.
Создание общих ресурсов на удаленных компьютерах с помощью диспетчера серверов
Предыдущую процедуру можно также выполнить для создания общих ресурсов
на удаленных компьютерах с применением диспетчера серверов. Подобно пред
шествующим редакциям сервера, диспетчер серверов способен выполнять задачи
управления на удаленных компьютерах. На компьютерах, функционирующих под
управлением Windows Server 201 2, компонент Remote Management по умолчанию
установлен и включен. На рис. 13.12 видны различные опции, которые диспетчер
серверов предлагает, когда был добавлен другой сервер.
Управление сервером Windows Server 2008 из Windows Server 2012 R2
Для того чтобы полностью управлять серверами, на которых выполняется
Windows Server 2008 или Windows Server 2008 R2, потребуется провести несколько обновлений. Для начала установите .NET Framework 4.0 и затем Windows Management Framework 3.0. После этого необходимо удостовериться в корректной конфигурации удаленного компьютера, что можно сделать путем ввода трех команд.
1. Введите показанную ниже команду в окне командной строки на компьютере,
который вы желаете администрировать дистанционным образом. Эта команда
включит прослушиватель WinRM:
2. После выдачи запроса введите У и нажмите .
3. Удостоверьтесь, что на удаленном компьютере функционирует служба вирту
альных дисков (Virtual Disk Service). Это можно сделать с помощью следующих
команд:
sc config vds start= auto
net start vds
Вы можете сконфигурировать количество пользователей, которые могут одновре
менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит пользователей) в диалоговом окне свойств общего ресурса. Чтобы установить лимит пользователей, откройте папку Administrative Tools (Администрирование), дважды щелкните на значке Computer Management (Управление компьютером), разверните узел Shared Folders (Общие палки), выберите папку Shares (Общие ресурсы), щелкните правой кнопкой мыши на общем ресурсе, для которого хотите установить лимит пользователей, и выберите в контекстном меню пункт Properties (Свойства).
Ниже показан экранный снимок с настройкой лимита пользователей для общего
ресурса.
В качестве примера, если приложение лицензировано для 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей. Просто выберите переключатель Allow this number of users ( Разрешить это количество пользователей) и укажите в поле рядом соответствующее число (по умолчанию оно равно 1 ).
По мере того, как пользователи подключаются к общему ресурсу, их число приближается к лимиту пользователей. При отключении от общего ресурса их количествоуменьшается. Такой тип принудительного применения лицензий может быть удобен для снижения затрат на лицензирование.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.
В режиме клиентских лицензий производитель не заботится о том, сколько пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение.
В таких случаях лимит пользователей никак вас не защитит.
Необходимо также помнить о том, что этот лимит параллельно подключаемых пользователей основан на целом общем ресурсе.
Он не может быть определен для каждой папки внутри общего ресурса.
Например, у вас может быть два приложения на одном общем ресурсе.
Приложение 1 имеет лимит в 100 пользователей, а для приложения 2 лимит не предусмотрен. По невнимательности вы можете ограничить доступ к приложению 2, когда для общего ресурса устанавливается лимит подключений в 100 пользователей.
Наконец, вы должны принять во внимание, каким образом пользователи подключаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограничивать их на базе параллелизма.
Если все пользователи подключаются к общему ресурсу при входе в систему (как с отображенным диском), и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему пользователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей.
Если подключения осуществляются только при использовании приложения,
то лимит пользователей будет работать довольно хорошо.
Следите ЗА ПРОБЕЛАМИ в КОМАНДЕ sc
Команда sc config применяется для изменения конфигурации службы. По умолчанию служба виртуальных дисков (Virtual Disk Service — VDS) не запускается, поэтому вы будете использовать эту команду для автоматического запуска VDS на сервере.
Служба VDS необходима для получения доступа к возможностям дистанционного
управления. Чтобы получить дополнительные сведения об опциях и функциях команды sc, откройте окно командной строки и введите sc config?. Команда конфигурирования сервера (server config — sc) очень приверепдива в отношении пробелов.
Показанная ниже команда содержит пробел после символа =, и она будет работать:
sc config vds s tart= auto
С другой стороны, следующая команда работать откажется из-за пропущенного пробела:
sc config vds start=auto
4. Создайте исключение брандмауэра для группы Remote Volume Management
(Управление удаленными томами) с помощью приведенной далее команды.
В книге команда разнесена на две строки, но на самом деле она должна вводиться в одной строке.
netsh advfirewall firewall set rule-CA
group=»Remote Volume Management» new enaЬle=yes
Если команда была введена корректно, в выводе отобразится строка Updated
3 rules (Обновлены 3 правила).
После того как удаленный компьютер сконфигурирован, вы можете открыть
диспетчер серверов на своем локальном компьютере и выбрать в меню Manage
(Управление) пункт Add Servers (Добавить серверы). Существуют три способа нахождения и добавления новых машин в локальном диспетчере серверов. Сервер
можно добавить методом поиска в Active Directory и выбора компьютера, присоединенного к домену. Кроме того, сервер можно добавить, введя на вкладке DNS имя компьютера или его I Р-адрес.
И, наконец, вкладка lmport (Импорт) позволяет на прямую запросить сетевой путь к желаемой машине или просмотреть местоположения в сети для обнаружения нужного ресурса. Воспользовавшись одним из перечисленных методов, найдите машину для управления и щелкните на кнопке ОК.
Через короткое время диспетчер серверов подключится к удаленному компьютеру.
После этого вы сможете просматривать и управлять удаленным компьютером на вкладке All Servers (Все серверы) в диспетчере серверов. Просто щелкните правой кнопкой мыши на подключенном удаленном компьютере, и в контекстном меню отобразится список функций управления (рис. 13.13).
Публикация общих ресурсов в Active Directorv
Одной из великолепных особенностей среды Active Directory является возмож
ность объединения всех ресурсов предприятия в единый каталог, будь то принтеры, группы, пользователи, организационные единицы или что угодно из области ваших
фантазий — точнее, возможность их обслуживания. Это касается и общих ресурсов.
Главная причина публикации общего ресурса в Active Directory связана с тем, чтобы упростить пользователям его нахождение.
Публикация общего ресурса осуществляется в консоли управления Active
Directory Users and Computers (Пользователи и компьютеры Active Directory).
Щелкните правой кнопкой мыши на необходимой организаuионной единиuе и вы
берите в контекстном меню пункт New�Shared Folder (СоздатьqQбщая папка). Вам
будет предложено указать имя для этой публикаuии общего ресурса и, конечно же, имя самого общего ресурса. Это все, что нужно было сделать — общий ресурс теперь опубликован в Active Directory. После публикаuии общего ресурса можете также добавить ключевые слова, чтобы упростить пользователям его нахождение.
1 . Щелкните правой кнопкой мыши на объекте общей папки в консоли Active
Directory Users and Computers.
2. Выберите в контекстном меню пункт Properties (Свойства) и открывшемся
диалоговом окне щелкните на кнопке Keywords (Ключевые слова).
3. Добавьте любые желаемые ключевые слова, которые пользователи могут при
менять при поиске этого общего ресурса.
На рис. 1 3 .14 демонстрируется добавление ключевых слов к опубликованному
общему ресурсу Colorado Springs.
Рис. 1 3.14. Добавление ключевых слов к опубликованному общему ресурсу
После этого пользователи могут с помощью инструмента поиска в Active
Directory искать по ключевым словам. На рис. 13.15 показан инструмент поиска в
Active Directory с выбранным элементом Shared Folders (Общие папки) в раскрывающемся списке Find (Искать). Мы добавили ключевое слово Colorado и щелкнули на кнопке Find Now (Найти сейчас), что привело к нахождению нужного общего ресурса. Для доступа к общему ресурсу достаточно просто дважды щелкнуть на нем.
Рис. 1 3.15. Применение инструмента поиска в Active Directory
для нахождения опубликованного общего ресурса
Управление разрешениями
Одним из крупных достоинств дисков, сформатированных с файловой системой
NTFS, и общих ресурсов является возможность назначения разрешений и управления тем, кто может иметь доступ к различным файлам и папкам. В то время как в
главе 14 будет подробно раскрыта внутренняя работа этих разрешений, в настоящей главе мы дадим базовое введение в разрешения NTFS и общего доступа. Вы заметите, что в этой редакции сервера в отношении разрешений изменилось не очень многое. По большей части просто появился новый способ для навигации и работы с теми же самыми функuиями и инструментами, которые вы хорошо знаете по версии Windows Server 2008 R2.
Между разрешениями NTFS и разрешениями обшего доступа есть много сходства, о чем пойдет речь в этом разделе.
Сходство включает то, как каждому разрешению может быть назначено действие Allow (Разрешить) или Deny (Запретить), каким образом разрешения накапливаются, как Deny получает приоритет и каким образом используется принuип неявного запрета.
Когда пользователь обращается к общему ресурсу, к которому применены раз
решения NTFS и общего доступа, результирующее разрешение в общем случае называется наименее ограничивающим разрешением.
Поскольку вас могут попросить решить проблему с невозможностью доступа к какому-то файлу или папке, вы должны знать, как вычислить результирующее разрешение, чему и посвящен материал данного раздела.
Разрешения NTFS
Разрешения NTFS применяются к любому файлу или папке на диске, который
был сформатирован с файловой системой NTFS.
• Read (Чтение). Когда пользователю назначено разрешение Read, ему позволе
но просматривать содержимое, разрешения и атрибуты, ассоциированные с
файлом или папкой.
• Read & Execute (Чтение и выполнение). Разрешение Read & Execute используется для предоставления пользователю возможности запуска файлов. Любые исполняемые файлы (такие как . ехе, .bat и . сот) — это файлы, которые можно запускать. Если пользователь имеет только разрешение Read, но не Read & Execute, файлы не могут быть запущены.
• List Folder Contents (Список содержимого папки).
Разрешение List Folder Contents позволяет пользователю просматривать содержимое папки.
Оно дает пользователю возможность увидеть, какие файлы существуют внутри папки, но без применения разрешений Read к этим файлам.
• Write (Запись). Если пользователю назначено разрешение Write дпя файла или
папки, он может модифицировать содержимое этого файла или папки. Под
этим понимается добавление в папку новых файлов или папок либо внесение
изменений в существующие файлы или папки. Тем не менее, удалять файлы
из папки не допускается.
• Modify (Изменение). Разрешение Modify включает все разрешения Read, Read
& Execute и Change, а также возможность удаления файлов и папок.
• FuU Cootrol (Полный доступ). Разрешение Full Control представляет собой объединение всех доступных разрешений с дополнительной возможностью изме
нения разрешений и смены владельца файлов или папок.
Разрешения общего доступа
Разрешения общего доступа применяются к общим ресурсам, только когда к ним
производится доступ через сеть. Разрешений общего доступа всего лишь три.
• Read (Чтение). Пользователи, которым выдано разрешение Read, могут читать
файлы и папки внутри общего ресурса.
• Change (Изменение). Пользователи, которым выдано разрешение Change, могут
читать, запускать, модифицировать и удалять файлы и папки внутри общего
ресурса.
• Full Control (Полный доступ). Пользователи, которым выдано разрешение
Full Control, могут делать все то же самое, что и пользователи с разрешением
Change, а также вдобавок изменять разрешения для общего ресурса.
сходные черты разрешений общего доступа и разрешений NTFS
Теперь, когда вы имеете базовое понимание в целом разрешений NTFS и обшего
доступа, легче выявить сходные черты между ними. Все они перечислены ниже.
• Обоим типам разрешений может быть назначено действие Allow (Разрешить)
или Deny (Запретить).
• Оба типа разрешений являются накопительными.
• В обоих типах разрешений приоритет имеет действие Deny.
• Оба типа разрешений поддерживают принцип неявного запрета.
Назначение действия Allow или Deny
Приступив к работе с разрешениями, вы заметите, что для каждого из перечис
ленных разрешений предусмотрены флажки Allow (Разрешить) или Deny (Запретить).
Н иже приведен обзор того, как они работают.
• Если для разрешения отмечен флажок Allow в отношении пользователя или
группы, то этот пользователь или группа имеют данное разрешение.
• Если для разрешения отмечен флажок Deny в отношении пользователя или
группы, то этот пользователь или группа не имеют данного разрешения.
• Разрешения являются накопительными. Если пользователю назначено не
сколько разрешений Allow (таких как Allow Read и Allow Change), пользова
тель получает объединение назначенных разрешений.
• Если пользователю назначены разрешения и AJow, и Deny, то разрешения
Deny имеют преимущество.
Если пользователю вообще не назначены какие-либо разрешения, он не имеет
доступа к объекту. Это называется неявным запретом. Разрешения общего доступа
и разрешения NTFS используют модель избирательного управления доступом (dis
cretionary access control — DAC). Каждый объект имеет список избирательного управления доступом (discretionary access control list — DACL), состоящий из записей управления доступом (access control entry — АСЕ).
Каждая запись АСЕ идентифицирует пользователя или группу с ассоциированным
идентификатором защиты (security identifier — SID) и разрешением Allow или Deny.
Любой объект может иметь несколько записей АСЕ в своем списке DACL; другими
словами, любой объект может иметь множество назначенных ему разрешений.
ИДЕНТИФИКАТОРЫ ЗАЩИТЫ
Каждый пользователь и каждая группа уникально идентифицируются с помощью
S ID. Когда пользователь входит в систему, создается маркер, включающий STD пользователя и идентификаторы SID всех групп, членами которых пользователь является. Этот маркер применяется операционной системой для определения, должен ли пользователь иметь доступ. Идентифи:каторы SI D в маркере сравниваются с идентификаторами SI D из записей управления доступом в списке DACL, чтобы выяснить,возможен ли доступ.
Когда пользователь обращается к файлу, папке или общему ресурсу, операционная система сравнивает список DACL с учетной записью пользователя и его членством в группах. Если обнаруживается соответствие, пользователю предоставляется соответствующее разрешение.
Накопленные разрешения
Объектам могут назначаться множество разрешений. В качестве примера предположим, что имеется общий ресурс по имени Proj ectData. Группе Administrators может быть предоставлено разрешение Full Control, какой-то группе — разрешение Change, а еще какой-то группе — разрешение Read. При назначении нескольких разрешений они накапливаются. Другими словами, если к пользователю применяется множество разрешений, то пользователь получает объединение всех этих разрешений.
Представим, что Салли состоит в группах G_Sales и G_SalesAdmins, и этим
группам выданы следующие разрешения для общего ресурса Sales:
G Sales Разрешение Allow Change
G SalesAdmins Разрешение Allow Full Control
Поскольку Салли является членом обеих групп, ей предоставляются разрешения
Change и Full Control; говоря по-другому, она получает объединение разрешений
Change и Full Control.
Действие Deny имеет приоритет
Если к любому разрешению, назначенному пользователю, применены действия
Allow и Deny, то Deny получает приоритет. В качестве примера предположим, что группе G Sales выдано разрешение Full Control для общего ресурса, который содержит патентованную информацию. По ряду причин пользователь Billy Joe ВоЬ (являющийся членом группы G _ Sales) впал в немилость в компании. Вас попросили оставить его в группе G_Sales, чтобы он имел доступ к другим обшим ресурсам, но запретить ему доступ к общему ресурсу с патентованной информацией.
На рис. 13.16 показано, как вы можете пос
тупить. Для начала разрешения общею доступа
выданы персоналу из группы G_Sales, имею
шей разрешение Full Control для этого общего
ресурса. Чтобы полностью запретить пользо
вателю B i l l y Joe ВоЬ доступ к данным, его
учетная запись была добавлена и ей назначено
разрешение Deny Full Control. Другими слова
ми, его учетная запись была явно запрещена.
Обратите внимание на возникший конф
ликт. Пользователю предоставляется доступ как
члену группы G_Sales и запрещается доступ
для его учетной записи. Конфликт разрешает
ся в пользу Deny. Если подумать, то это имеет
смысл. Когда вы предпринимаете дополнитель
ные действия, необходимые для запрещения
доступа, то не хотите, чтобы что-то его перео
пределило. Действие Deny имеет приоритет.
Неявный запрет
Существует также характеристика, известная
как неявный запрет. Если разрешение не выда
но явно, оно неявно запрещается.
Предположим, что есть общий ресурс по имени Proj ectData, доступ к кото
рому разрешен только группе G_Sales. Мария состоит в группе G_HR и не явля
ется членом группы G_Sales, так что она не имеет доступа к этому общему ре
сурсу. Поскольку доступ Марии не был предоставлен явно, для нее неявно доступ запрещен.
Сравните это со своей квартирой. Если вы никому не давали ключи от нее, то
никто не сможет в нее попасть. Конечно, вам по-прежнему придется беспокоиться о бандитах и взломщиках, но с основной точки зрения отсутствие факта предостав ления разрешений означает отсутствие доступа.
модификация разрешений общего доступа и NTFS
Разрешения общего доступа и NТFS можно модифицировать с использованием
диспетчера серверов, значка Computer Management (Управление компьютером) или
проводника Windows.
Шаги для каждого метода немного отличаются, но, в конеч
ном счете, мы получим те же самые вкладки разрешений.
Мы ограничимся обсуждением процедуры, предусматривающей применение диспетчера серверов.
Предположим, что вы создали общий ресурс и выдали разрешение Read группе
Everyone (Все).
Однако теперь вы хотите изменить разрешения так, чтобы пользователи в группе G_Sales имели разрешение Change, и никто из пользователей
кроме администраторов не мог просматривать или использовать этот набор папок и файлов.
Чтобы внести такие изменения, выполните следующие шаги.
1. Запустите диспетчер серверов и откройте узел File and Storage ServicesqShares(Службы файлов и хранилищаqОбщие ресурсы).
2. Щелкните правой кнопкой мыши на общем ресурсе Apps и выберите в кон
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Permissioпs (Разрешения) и затем на кнопке Customize
Permissions (Изменить разрешения). Окно должно выглядеть примерно так,
как показано на рис. 1 3.17.
4. На вкладке Share (Общий доступ) щелкните на кнопке Add (Добавить).
Затем выберите переключатель Select а principal (Выбрать уч а стника) и введите имя группы, которой необходимо предоставить доступ к общему ресурсу
(например, G_Sales}, после чего щелкните на кнопке ОК.
5. Поскольку вы не хотите, чтобы доступ получили абсолютно все, выбери
те группу Everyone и щелкните на кнопке Remove (Удалить). Щелкните на
кнопке ОК.
6. Щелкните на кнопке Apply (Применить) и перейдите с вкладки Share на
вкладку Permissions (Разрешения).
Обратите внимание, что на вкладке Permissions делегированы разрешения
NTFS, а на вкладке Share делегированы разрешения Share. Смешивание этих
разрешений будет рассматриваться в следующем разделе.
7. Находясь на вкладке Permissions, щелкните на кнопке Add и введите имя
группы, которую нужно добавить (такое как G_Sales). Щелкните на кнопке
ОК, чтобы добавить группу.
По умолчанию любому добавляемому пользователю или группе автоматически
предоставляются разрешения Read, Read & Execute и List Folder Contents.
8. Выберите разрешение Allow Write для добавленной группы, удостоверьтесь, что
также внесли изменения в файлы, и щелкните на кнопке ОК.
9. Не забудьте также удалить группу Everyone из этого набора разрешений:
выберите группу Everyone и щелкните на кнопке Remove.
Разрешения общего доступа и разрешения NTFS управляются раздельно, но
работают вместе для предоставления надлежащих разрешений. Окно будет выглядеть примерно так, как показано на рис. 13.18.
10. Щелкните на кнопках Apply и ОК в диалоговом окне Advanced Security
(Расширенная безопасность) для завершения установки разрешений.
Объединение разрешений общего доступа и NTFS
Люди иногда находят сложным идентификацию разрешений, которые пользова
тель будет иметь, когда он обращается к файлу или папке через общий ресурс. Нам
нравится сохранять процесс простым благодаря следующим трем шагам.
. Определите накопленное разрешение NТFS.
2. Определите накогшенное разрешение общего доступа.
3. Определите, какое из этих двух разрешений обеспечивает наименьший до
ступ (обычно оно называется наиболее ограничивающим разрешением).
Представим, что Салли состоит в группах G S a l e s и G_I T S a l e sAdmi n s .
Разрешения, назначенные для папки SalesData (совместно используемой как об
щий ресурс SalesData), описаны в табл. 13.2.
Таблица 13.2. Пример объединения разрешений общего доступа и NTFS
Группа
G Sales
G IТSalesAdrnins
Разрешения NTFS
Read, Read & Execute, List Folder Contents
Full Control
Разрешения общего доступа
Read
Change
На шаге 1 вам необходимо определить накопленное разрешение NТFS. Салли
имеет разрешения Read, Read & Execute и List Folder Contents как член груп
пы G_Sales. Вдобавок она имеет разрешение Full Control, будучи членом группы
G_ITSalesAdmins. Поскольку разрешение Full Control включает все другие разрешения, накопленным разрешением NTFS будет Full Contro.
На шаге 2 вы должны определить накопленное разрешение общего доступа.
Салли имеет разрешение Read как член группы G_S a l e s . Кроме того, у нее есть разрешение Change, поскольку она является членом группы G _ ITSalesAdmins. Так как разрешение Change включает разрешения Read и Write, накопленным разрешением общего доступа оказывается Change.
Последний шаг предусматривает ответ на простой вопрос. Какое разрешение
предоставляет наименьший доступ, т.е. является наиболее ограничивающим: Full
Control или Change? Ответ — Change.
Разрешение Change Салли и получит, когда
обратится к общему ресурсу через сеть.
А как насчет сложного вопроса? Какое разрешение будет у Салли, когда она об
ратится к лапке SalesData локально?
Ответ — Full Control. Вспомните, что разрешения общего доступа применяются
только в случае, если пользователь обращается к общему ресурсу через сеть. При локальном доступе к папке применяются только разрешения NТFS.
подключение к общим ресурсам
Теперь, когда у вас есть общие ресурсы, каким образом люди могут пользоваться ими? Предполагая наличие общего ресурса по имени Apps на сервере BFl, как кто то, подключенный к сети, мог бы получить к нему доступ?
В основном вы подключаетесь к общему ресурсу, используя имя UNC (uni
versal naming convention — универсальное соглашение по именованию) вида
ИмяСервера ИмяОбщегоРесурса. В качестве альтернативы можете нажать ком
бинацию клавиш <Windows+R> на рабочем столе, чтобы открыть диалоговое окно
Run (Выполнить), и ввести в нем ИмяСервера (здесь указывается имя любого сер
вера, подключенного к сети) и следом обратную косую черту (рис. 13.19). Еще один
способ открытия диалогового окна Run в Windows Server 2012 предусматривает переход на экран Start (Пуск}, ввод Run и нажатие .
После подключения операционная система извлекает список доступных общих
ресурсов. На этом сервере в текущий момент существуют четыре общих ресурса,
причем все они не являются скрытыми. В главе 14 будет показано, как сделать доступными дополнительные скрытые общие ресурсы. Вы могли бы ввести Apps в
конце BFl , получив запись вида BFl Apps, или просто выбрать общий ресурс
Apps в раскрывающемся списке на рис. 13.19 и щелкнуть на кнопке ОК, чтобы подключиться к нему.
Помимо меню поиска, для подключения к общему ресурсу доступны и другие
методы.
• Отображение диска. Вы можете отобразить букву диска на общий ресурс в сети.
Например, пользователям может быть необходим доступ к общему ресурсу
при каждой загрузке системы. Щелкните правой кнопкой мыши либо на узле
Computer (Компьютер), либо на узле Network (Сеть) в проводнике Windows и
выберите в контекстном меню пункт Мар Network Drive (Подключить сетевой
диск). Уделите время на то, чтобы оценить новый внешний вид пользователь
ского интерфейса Windows Server 201 2 R2.
При открытом окне проводника Windows выберите узел Computer и затем опцию Computer в верхней панели действий.
Отобразится новая лента, похожая на те, которые вы знаете по программам вроде Microsoft Word. В этой ленте доступно много новых опций, в
числе которых Мар а Network Drive (Подключить сетевой диск). На рис. 13.20
показано диалоговое окно Мар Network Drive (Подключение сетевого диска).
При отмеченном флажке Reconnect at sign-in (Восстанавливать при входе в
систему) пользователь всегда будет иметь диск z, отображенный на общий ресурс, после загрузки системы.
• Поиск в Active Directory. Если клиент является членом домена, то в окне
Network (Сеть) появится опuия Search Active Directory (Поиск в Active
Directory). Чтобы открыть окно Network в Windows Server 201 2 R2, выберите на
экране Start (Пуск) плитку Network (Сеть).
+ Испол ьз ование net use. Вы можете применять команду net use в командной
строке. Базовый синтаксис выглядит следующим образом:
net use буква _ диска \имя сервераимя общего_ресурса
Например, чтобы присоединить общий ресурс Apps на сервере BFl и затем
иметь возможность ссылаться на этот общий ресурс как на диск z, можно вос
пользоваться такой командой:
net use Z : \BFlapps
Если позже вы захотите удалить это отображение, понадобится ввести следу
ющую команду:
net use Z : /delete
конфликт между наборами учетных данных
Иногда при попытке подключения к общему ресурсу возникает ошибка с сообщением следующего вида: «набор учетных данных конфликтует с существующим
набором учетных данных для этого общего ресурса».
Вот что происходит.
Вы уже пытались получить доступ к этому общему ресурсу
и по какой-то причине потерпели неудачу — возможно, неправильно ввели пароль.
Сервер, на котором находится общий ресурс, подготовил информаuию о том, что
вы — недобросовестный клиент, и он больше ничего не желает слышать о вас. Вам
нужно заставить сервер забыть о вас, чтобы вы могли начать все сначала. Это делается с помощью опции / d.
Предположим, что вы уже пробовали обратиться к общему ресурсу BFl Apps,
и попытка завершилась неудачей. Может быть, вы действительно подключились к обшему ресурсу, но без разрешений. (Мы знаем, что это не имеет смысла, но так случается.) Чтобы выяснить, к каким обшим ресурсам вы подключены, необходимо ввести просто net use. Скорее всего, вы увидите BFl Apps в списке. Вы должны отключиться от сервера BFl, чтобы впоследствии начать заново. Для этого введите следующую команду:
net use BFl apps /d
Затем введите еще раз команду net use, удостоверившись, что все эти подклю
чения очищены; может оказаться, что у вас есть множество соединений с определенным сервером. В редких случаях требуется отключиться от всех общих файловых ресурсов, для чего используется такая команда:
net use * /d
После закрытия всех подключений попробуйте подключиться к общему ресурсу
с помощью команды net use еще раз, и все заработает.
Использование команды net use в сети WAN
Мы подошли к одной из наиболее сложных областей сетевой работы: подключению к ресурсам через большие расстояния со многими неизвестными. Если вам
приходилось когда-либо иметь дело с удаленными на большие расстояния вычислениями, то вы знаете, что полагаться на них нельзя. Однако в арсенале команды
:-iet use появился новый небольшой набор функций, который позволяет прояснить множество «неизвестных» в общей картине.
Вместо того чтобы рассчитывать на выяснение подходящего сервера распознава
ниs1 имен, обращения к этому серверу и получения точного и надежного преобразования по неточному и ненадежному сетевому каналу, вы теперь можете отобразить нужный ресурс прямо на диск своего сервера через IР-адрес ресурса.
Конечно, выдолжны знать этот 1 Р-адрес, но такой подход довольно безопасен в плане отказов.
В нашем случае мы работаем из нескольких местоположений, соединенных посредством каналов WAN с ретрансляцией кадров. Сеть не всегда способна хорошо преобразовывать имена серверов в IР-адреса, поэтому команда net use BFl обычно сообщает о невозможности найти BFl. Но даже если она работает, распознавание имен — преобразование имени вроде BFl в сетевой адрес — занимает время.
Если вам известен 1 Р-адрес сервера, с которым вы пытаетесь взаимодействовать,
то указывайте его вместо имени этого сервера. Зная, что IР-адресом сервера BFl является 134.81.12.4, вы можете ввести такую команду:
net use 1 34 . 8 1 . 1 2 . 4 apps
И поскольку потенциально вы можете подключаться из другой сети, понадобит
ся добавить информацию /user : . Неплохо также указать /persistent : no, чтобы ваша система не тратила до пяти минут на попытки восстановления этого подключения при следующей загрузке. Таким образом, например, если сервер BFl является членом домена под названием BigFirm. com, и вы располагаете учетной записью в домене BigFirm . com по имени boss, то вы можете удостовериться в том, что BFl знает, кто вы такой, и позволит войти в систему:
net use \134 . 8 1 . 1 2 . 4apps /user : bigfirm . cornboss /persistent : no
Хотя существует много удобных методов подключения к общим ресурсам с при
менением различных графических пользовательских интерфейсов, не упускайте из
виду команду net use. Вы наверняка сочтете ее полезной.
Распространенные общие ресурсы
В Windows Server имеется несколько заранее созданных и распространенных об
щих ресурсов. Большинство из них являются скрытыми. Если вы знаете эти общие
ресурсы, то сможете подключиться к любому из них, используя путь UNC.
• С$, D$ и т.д. Все устройства, включая устройство для чтения CD-ROM, имеют скрытые общие ресурсы для своего корня. Общие ресурсы такого рода называются административными общими ресурсами. Вы не можете изменять разрешения или свойства этих общих ресурсов, разве что конфигурировать их для средства автономных файлов (Offiine Files), о котором пойдет речь в конце главы.
Подключаться к административным общим ресурсам могут только членыгрупп Administrators (Администраторы) и Backup Operators (Операторы
резервного копирования), и вы не можете отменить совместный доступ для административных общих ресурсов, не модифицировав реестр или не остановив
службу Server (что прекратит совместный доступ для всех обших ресурсов).
Такие общие ресурсы пригодятся администраторам сервера, которые решают
много задач управления дистанционно. Отображение диска на общий ресурс
С$ эквивалентно нахождению в каталоге с : на сервере.
• ADMIN$. Общий ресурс ADMIN$ — это еще один административный общий
ресурс, который отображается на местоположение операционной системы.
Например, если операционная система устаномена в о : Windows, то общий
ресурс АШ-ПN$ будет отображен на о : Windows.
• PRINТ$. Всякий раз, когда вы создаете совместно используемый принтер, система помещает его драйверы в этот общий ресурс.
В результате при подключении клиентов к общему принтеру драйверы легко загружаются.
• IPC$. Общий ресурс IPC$ является, пожалуй, одним из наиболее широко применяемых общих ресурсов в межсерверных коммуникациях, хотя вы редко будете взаимодействовать с ним напрямую.
Когда вы пытаетесь получить доступ к общим ресурсам на других компьютерах (для чтения журналов событий, например), система использует именованные каналы. Именованный канал — это фрагмент памяти, служащий коммуникационным каналом между двумя процессами, будь они локальными или удаленными, и общий ресурс IPC$ применяется этими именованными каналами.
• NEТLOGON. Общий ресурс NETLOGON используется в сочетании с обработкой запросов входа со стороны пользователей.
После успешного входа пользователи получают любую информацию профиля или сценарий, который должен для них выполниться. Таким сценарием часто является пакетный файл.
Например, у нас имеется общий пакетный файл, который мы хотим запускать мя всех пользователей каждый раз, когда они входят в систему. Это позволяет обеспечить выполнение всеми клиентами стандартного набора команд, подобных
копированию обновленной информации о сети, отображению стандартных
сетевых дисков и т.п.
Такие пакетные файлы, сценарии и профи.ш находятся
внутри общего ресурса NETLOGON. Общий ресурс NETLOGON требуется на всех
контроллерах домена.
• SYSVOL. Общий ресурс SYSVOL применяется для хранения информации груп
повой политики и сценариев, к которым обращаются клиенты по сети. Вы
всегда будете видеть общие ресурсы SYSVOL на контроллерах домена, но они
могут реплицироваться на серверы-члены.
диспетчер ресурсов файлового сервера
Диспетчер ресурсов файлового сервера (File Server Resource Manager — FSRM)
является важным дополнением, которое может конфигурироваться с помощью роли
File and Storage Services (Службы файлов и хранилища). Он включает несколько дополнительных возможностей, упрощающих управление файловым сервером:
• создание и управление политиками квот;
• создание и управление политиками блокировки файлов;
• просмотр отчетов.
Эти приемы рассматриваются в последующих разделах.
Создание политик квот
Файловая система NTFS давно включала средства управления квотами, но бла
годаря FSRM, они были значительно усовершенствованы. Выражаясь кратко, квоты
позволяют отслеживать и ограничивать пространство, которое пользователи могут потреблять на томе или в папке.
СРАВНЕНИЕ МОНИТОРИНГА ИСПОЛЬЗОВАНИЯ ХРАНИЛИЩА И ПОЛИТИК КВОТ
Хотя для мониторинга использования хранилища применяется та же самая техно
логия, что и в политиках квот, доступных в файловой системе NТFS, в ней имеется тонкое отличие от политик квот.
Мониторинг хранилища отслеживает том целиком и по умолчанию сконфигурирован на уведомление о ситуации, когда на диске заполняется 85% его емкости. Политики квот можно конфитурировать на отдельных папках, что дает возможность точной настройки того, что именно отслеживается.
При создании квот есть возможность установки лимитов, при которых выдается
предупреждение, установки лимитов принудительного применения, предоставле
ния уведомлений о достижении лимитов по электронной почте или через записи в
журнале событий и даже выполнения команд в ответ на достижение любого лимита.
Квоты могут быть установлены мя любого общего ресурса на сервере или мя любого заданного пути.
Квоты могут оказаться очень удобными мя мониторинга хранилища на файловых серверах. Например, в вашем распоряжении может находиться файловый
сервер с хранилищем в 2 Тбайт.
Вы можете считать, что имеете более чем достаточно пространства, но если какие-то пользователи создают и редактируют аудио и видео-файлы, то 2 Тбайт свободного пространства могут очень скоро сойти на нет.
Политика квоты может помочь в ограничении пользователей определенным
объемом. С другой стороны, эти аудио- и видео-файлы могут быть неотъемлемой
частью вашей бизнес-деятельности, поэтому ограничивать пространство хранения
нежелательно. В таком случае лучше обеспечить информирование о том, что занятое пространство хранилища достигло определенного порога.
Вместо действительного ограничения хранилища вы можете просто отслеживать его использование с помощью политики квоты.
На первый взгляд, политики квот очень просты для понимания и реализации.
Тем не менее, они могут стать довольно сложными при практическом применении.
Шаблоны квот
В состав диспетчера FSRM включено несколько шаблонов квот, которые мож
но легко применять в том виде, как они есть, или же модифицировать для удов
летворения существующих нужд. Можно даже создавать собственные шаблоны. На
рис.
Так как вы уже уловили идею о том, как работают квоты, по информации в этом
диалоговом окне вы сможете понять, что будет делать та или иная квота. Важной частью информации является тип квоты: жесткая или мягкая. Жесткая квота будет принудительно применять лимит и предотвращать его превышение пользователями.
Мягкая квота используется только для мониторинга; она выдаст уведомление, но не будет принудительно применять лимит.
Шаблон 200 МВ Limit with 50 МВ Extension (Лимит 200 Мбайт с расширением 50 Мбайт) представляет собой великолепный пример реагирования на достижение лимита квоты. Чтобы просмотреть или отредактировать свойства шаблона, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Edit Template Properties (Редактировать свойства шаблона).
На рис. 13.22 показаны свойства шаблона во время редактирования. Слева можно видеть базовый шаблон. Обратите внимание на нижнюю часть диалогового окна, где сконфигурированы три порога для уведомлений: 85%, 95% и 100%. Предупреждение о достижении порога в 85% только отправляется по электронной почте, предупреждение о пороге в 95% отправляется по электронной почте и фиксируется как событие в журнале, а предупреждение о пороге в 100% дополнительно инициирует выполнение команды.
Диалоговое окно справа на рис. 1 3.22 открывается в результате выбора элемента Warning (100%) (Предупреждение ( 100%)) в списке Notification thresholds (Пороги для уведомлений) и щелчка на кнопке Edit (Редактировать). Для модификации квоты применяется инструмент командной строки dirquota ехе. В частности, он изменяет лимит квоты с 200 Мбайт на 250 Мбайт. Команды, которые вы здесь помещаете, ограничиваются разве что вашей фантазией. При необходимости вы также устанавливаете контекст безопасности команды в зависимости от разрешений, которые требуются команде для выполнения.
Помимо выполнения команды, доступны другие реакции на достижение порога:
отправка сообщения электронной почты, регистрация события в журнале и созда
ние отчета.
Вкладка E-mail Message
Вкладка E-mail Message (Сообщение электронной почты) позволяет конфигу
рировать почтовый ответ, отправляемый при достижении порога. Если вы хотите
отправить сообщение администратору, просто добавьте на этой вкладке адрес электронной почты администратора (или группу рассылки администратора) в формате учетная _ запись@домен, например, ITAdmins@Ьigfirm. com. Можете также сконфигурировать отправку сообщения пользователю, который превысил порог, отметив для этого флажок Send e-mail to the user who exceeded the threshold (Отправить сообщение электронной почты пользователю, превысившему порог). Для поиска адреса электронной почты пользователя диспетчер FSRM использует Active Directory.
Шаблоны включают заранее настроенную строку темы и тело сообщения, nри
чем и там, и там присутствуют переменные. На рис. 13.23 видно, что тело сообщения содержит множество переменных: Source Io Owner (Исходный владелец оnе
раций ввода-вывода), Quota Path (Путь для квоты), Server (Сервер) и т.д. Если выщелкнете внутри строки темы или тела сообщения, раскрывающийся список nеременных сразу же станет доступным. При выборе любой nеременной ниже сnиска отображается краткое объяснение того, что она собой представляет. Наnример, увидев поначалу [ Source Io Owner] , не вполне ясно, что такое Io, но после выбора этой переменной в раскрывающемся списке становится nонятно, что I о означает
1/0, т.е. ввод-вывод.
Щелкнув на кнопке Additional E-mail Headers (Доnолнительные почтовые за
головки), вы можете добавить в сообщение электронной почты дополнительные
заголовки, которые показаны справа на рис. 13.23. Они также включают nеременные, которые можно выбирать в раскрывающемся списке Select variaЫe to insert (Выберите переменную для вставки) и щелкать на кнопке lnsert VariaЫe (Вставить переменную).
СЕРВЕР SMTP ДОЛЖЕН БЫТЬ СКОНФИГУРИРОВАН
Для отправки сообщений электронной почты диспетчером FSRM его потребуется
сконфигурировать с именем или IР-адресом сервера SMTP, который буде nринимать эти сообщения. Это делается в диалоговом окне параметров дисnетчера FSRM, которое рассматривается далее в главе.
Вкладка Event Log
При желании вы можете сконфигурировать регистрацию событий в журнале со
бытий приложений. Для этого достаточно перейти на вкладку Event Log (Журнал
событий) и отметить флажок Send warning to event log (Отправить предупреждение
в журнал событий), как показано на рис. 13.24. Любые отправляемые события попадут в журнал событий приложений.
Точно так же, как вы могли добавлять переменные в сообщения электронной
почты, вы можете добавлять их в журнальные записи. На рис. 13.24 раскрыт список переменных, чтобы продемонстрировать доступные для добавления переменные.
Переменных намного больше, чем удалось показать на этом рисунке.
Вкладка Report
Вкладка Report (Отчет) позволяет манипулировать порогами мя уведомлений.
Здесь вы можете настроить отчеты, которые генерируются в ответ на достижение
порога и автоматически отправляются по электронной почте администраторам
и/или пользователю. Отчеты могут также создаваться по запросу, как вы увидите
позже в этой главе.
Создание квоты
Теперь, когда вы понимаете основы, создать и применить квоту довольно прос
то. В Windows Server 2012 R2 доступно несколько способов конфигурирования квот на разных уровнях общих ресурсов и папок. Если вы уже создали общий ресурс и шаблоны квот, то можете легко сконфигурировать квоту, щелкнув правой кнопкой мыши на общем ресурсе на вкладке Shares (Общие ресурсы) в окне диспетчера серверов дпя роли File and Storage Services и выбрав в контекстном меню пункт Configure Quota (Сконфигурировать квоту). Корректировка свойств и создание шаблонов квот делается прямо в диспетчере FSRM, доступном через меню Tools (Сервис) диспетчера серверов.
Предположим, что вы хотите отслеживать объем данных, которые хранятся в
папке по имени Graphics в системе. В частности, вам нужно знать, приблизился
ли объем используемого хранилища к 500 Мбайт. Если этот лимит достигнут, вы хотите отправить пользователю отчет, который позволит ему выяснить, какие файлы дублируются, какие файлы являются самыми крупными, а какие файлы давно не использовались.
Для создания такой квоты понадобится выполнить следующие шаги.
1. Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт File
Server Resource Manager (Диспетчер ресурсон файлового сервера).
2. Разверните узел Quota Management (Управление квотами), щелкните правой
кнопкой мыши на папке Quotas (Квоты) и выберите в контекстном меню
Create Quota (Создать квоту).
3. Введите в текстовом поле Quota Path (Путь дпя квоты) путь к папке, которую
вы хотите отслеживать.
Например, вы могли бы ввести I : Finance. В качестве альтернативы можете
щелкнуть на кнопке Browse (Обзор) и проследовать на нужный путь. Здесь на
выбор доступна возможность применить эту новую квоту только к выбранной
папке или распространить действие шаблона квоты на все существующие и
новые подпапки внутри папки Graphics.
Следующий выбор в этом окне позволяет определить свойства квоты.
4. Для целей данного упражнения выберите шаблон 200 МВ Limit Reports to User
(Лимит 200 Мбайт с выдачей отчета пользователю). Позже мы отредактируем
свойства этой квоты.
5. Просмотрите сводку по свойствам квоты и щелкните на кнопке Create
(Создать).
Новая квота отобразится, позволив дальнейшую модификацию ее свойств.
6. Щелкните правой кнопкой мыши на новой квоте и выберите в контекстном
меню пункт Edit Quota Properties (Редактировать свойства квоты).
В диалоговом окне Quota Properties (Свойства квоты) предоставьте описание
НОВОЙ КВОТЫ.
7. Затем вручную скорректируйте значение в поле Space limit (Лимит пространства) на 500 Мбайт и оставьте без изменений выбранный по умолчанию переключатель Hard quota (Жесткая квота). Теперь можете отредактировать порогидпя уведомлений (в списке Notification thresholds (Пороги для уведомлений)),
как показано в левой части рис. 13.25.
8. Выберите в списке Notification thresholds элемент Warning (100%) (Предупреж
дение (100%)) и щелкните на кнопке Edit (Редактировать).
9. Просмотрите информацию на ВЮiадках E-mail Message (Сообщение электрон
ной почты), Event Log (Журнал сообщений) и Command (Команда).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да); вы
можете сконфигурировать сервер SMTP позже. Обратите внимание на воз
можность изменения данных на любой из этих ВЮiадок.
10. Перейдите на ВЮiадку Report, которая должна выглядеть примерно так, как
показано справа на рис. 13.25.
Обратите внимание, что отчеты уже сконфигурированы. Флажок Generate
reports (Генерировать отчеты) отмечен, и для генерации указаны три отчета:
Duplicate Files (Дублированные файлы), Large Files (Большие файлы) и Least
Recently Accessed Files (Файлы с наиболее давним доступом). Вдобавок кво
та сконфигурирована на отправку отчетов пользователю, который превысил
порог (отмечен флажок Send reports to the user, who exceeded the threshold
(Отправлять отчеты пользователю, превысившему порог)).
1 1. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно 100% Threshold
Properties (Свойства порога 100%).
12. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно Quota Properties.
Создание политик блокировки файлов
Фильтры блокировки файлов используется для фильтрации файлов, чтобы гаран
тировать, что файлы определенных типов не сохраняются на сервере. Предположим,
после внедрения политики квоты и ознакомления с рядом отчетов вы обнаруживаете, что диск F почти полон, т.к. один из пользователей сохранил на сервере несколько гигабайтов резервных копий файлов МРЗ.
Хотя замечательно, что пользователь создает резервные копии своих файлов, вас может не устраивать тот факт, что он задействует мя этого ваш сервер. Кроме того,вы можете решить, что на вашем сервере вообще никто не должен хранить файлы МРЗ или любые другие аудио- либо видео-файлы.
Вы можете создать фильтр блокировки файлов, которая будет блокировать со
хранение пользователями определенных типов файлов и генерировать уведомления, когда кто-то попытается записать блокируемые файлы на сервер. Фильтры блокировки файлов могут быть созданы на целых томах или конкретных папках, и точно так же, как квоты имеют шаблоны, фильтры блокировки файлов также могут иметь шаблоны. На рис. 1 3.26 показано окно диспе1Чера серверов с отображаемыми шаб лонами блокировки файлов.
Обратите внимание, что в шаблонах идентифицировано несколько хорошо известных типов групп файлов, таких как аудио- и видео-файлы и файлы изображений. Конкретные расширения этих типов файлов идентифицированы в узле File Groups (Группы файлов). Например, аудио- и видео-файлы включают расширения . mpl, .mp2, .mрЗ, . mp4 и .mpeg — причем это далеко не полный перечень.
Когда вы создаете фильтр блокировки файлов, то просто выбираете одну из групп файлов. Это будет удовлетворять вашим потребностям большую часть времени, но если вы хотите добавить типы файлов либо исключить определенные типы файлов из политики, то можете соответствующим образом модифицировать содержимое. Представьте, что в вашей компании недавно узнали, что многие пользовате ли хранят на сервере файлы Outlook с расширением . pst, которые имеют размеры свыше l Гбайт и поглощают пространство хранилища. В компании заявили, что пользователи не могут хранить файлы электронной почты на файловом сервере.
Чтобы обеспечить применение этого правила, выполните описанные ниже шаги.
l . Запустите диспетчер серверов и перейдите к узлу File Screen Templates
(Шаблоны блокировки файлов).
2. Щелкните правой кнопкой мыши на шаблоне Block E-mail Files (Блокировать
файлы электронной почты) и выберите в контекстном меню пункт Create File
Screen from Template (Создать фильтр блокировки файлов из шаблона).
3. В текстовом поле File Screen Path (Путь Д1IЯ фильтра блокировки) введите имя тома, на котором необходимо организовать блокировку файлов (такое как F:
Поскольку был выбран шаблон Block E-mail Files, свойства фильтра блокиров
ки файлов уже установлены. Это свойства можно было бы изменить или при
желании даже определить специальные свойства. Оставьте выбор по умолча
нию и просмотрите сводку в нижней части окна.
4. Щелкните на кнопке Create (Создать).
5. Выберите узел File Screens (Фильтры блокировки файлов), находящийся
выше узла File Screen Templates (Шаблоны блокировки файлов) в дереве дис
петчера FS RM.
6. Щелкните правой кнопкой мыши на только что созданном фильтре блоки
ровки файлов и выберите в контекстном меню пункт Edit File Screen Properties
(Редактировать свойства фильтра блокировки файлов). Диалоговое окно долж
но выглядеть подобным показанному на рис. 13.27.
Обратите внимание, что вы можете выбрать либо переключатель Active
screening (Активная блокировка), либо переключатель Passive screening (Пас
сивная блокировка). Поскольку вы хотите конкретно блокировать сохранение
пользователями файлов на сервере, оставьте выбранным переключатель Active
screening. Пассивная блокировка используется для мониторинга.
7. Просмотрите информацию на вкладках E-mail Message (Сообщение элект
ронной почты), Event Log (Журнал сообшений), Command (Команда) и Report
(Отчет).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да). Вы
заметите, что эти вкладки очень похожи на те, что применялись при настрой
ке квот. Изменилось только содержимое уведомления.
8. После просмотра вкладок шелкните на кнопке ОК.
Генерация отчетов
Доступно несколько разных отчетов. Отчеты можно генерировать как часть лю
бой политики квоты или политики блокировки файлов. Можно также настроить ге
нерацию отчетов по графику или генерировать их по требованию.
К счастью, отчеты удобно именованы, поэтому основное их содержимое легко
определить по одному лишь имени. Доступны следующие отчеты: Duplicate Files
(Дублированные файлы), File Screening Audit (Аудит блокировки файлов), Files
File Group (Файлы по файловым группам), Files Ьу Owner (Файлы по владельцам), Files Ьу Property (Файлы по свойствам), Large Files (Большие файлы), Least Recently Accessed Files (Файлы с наиболее давним доступом), Most Recently Accessed Files (Файлы с наименее давним доступом) и Quota Usage (Показатели использования квоты). Кроме того, отчеты можно сохранять в разных форматах, таких как DHTML, HTML, XML, CSV и текстовый. Для доступа к отчетам выполните следующие шаги.
1. Запустите диспетчер серверов. Щелкните правой кнопкой мыши на узле Storage
Reports Management (Управление отчетами по хранилищу) в окне диспетчера
ресурсов файлового сервера (File Server Resource Manager) и выберите в контекс тном меню пункт Generate Reports Now (Сгенерировать отчеты сейчас).
На вкладке Settings (Настройки) вы можете выбрать столько отчетов, сколько
нужно, но в случае выбора их всех запаситесь терпением;
для крупных томов генерация всех отчетов займет довольно ощутимое время. Некоторые отче ты имеют дополнительные параметры, допускающие модификацию. Например, если вы выбрали отчет Quota Usage, то можете щелкнуть на кнопке Edit Parameters (Редактировать параметры) и изменить минимальный показатель
использования квоты, который будет включен в отчет.
2. Выберите отчеты, подлежащие генерации, и отметьте флажки возле форматов,
в которых хотите получить эти отчеты. Диалоговое окно будет выглядеть при
мерно так, как показано на рис. 13.28.
3. Перейдите на вкладку Scope (Область действия).
На этой вкладке необходимо выбрать тип данных, которые будуr накапливать
ся в отчетах.
4. Сделайте выбор типов файлов и щелкните на кнопке Add (Добавить).
Откроется диалоговое окно, в котором можно перейти к нужным папкам и добавить их дЛЯ формирования отчетов.
5. Выберите папки и щелкните на кнопке ОК.
Последней вкладкой диалогового окна Storage Reports Task Properties (Свойства задачи генерации отчетов по хранилищу) является Delivery (Доставка). Отчеты можно отправить по электронной почте администратору.
6. Просто отметьте флажок и укажите адрес электронной почты лица, которому
должны быть отправлены отчеты.
Это особенно удобно дЛЯ отчетов, генерируемых по графику. Например, мож
но генерировать все отчеты в воскресенье и обеспечить их отправку по элект
ронной почте в понедельник уrром мя просмотра.
7. В диалоговом окне Generate Storage Reports (Генерация отчетов по хранилищу) выберите переключатель Generate Reports in the Background (Генерировать отчеты в фоновом режиме) и щелкните на кнопке ОК.
В результате будет создана задача генерации отчетов, которая удалится после
своего завершения. По умолчанию в диалоговом окне выбран переключатель
Wait for the reports to generate and then display them (Ожидать генерации отчетов и затем отобразить их).
Вы можете отслеживать выполнение задачи, а
после ее завершения отчеты отобразятся. Стандартным местоположением дnя
локального сохранения отчетов на сервере является \с$ StorageReports
Interactive. В зависимости от объема данных в отчетах выполнение может
потребовать нескольких минуr.
8. Пока задача генерации отчетов выполняется, щелкните правой кнопкой мыши
на узле Storage Reports Management и выберите в контекстном меню пункт
Schedule а New Report Task (Запланировать новую задачу генерации отчетов).
9. На вкладке Settings назначьте новой запланированной задаче генерации отчетов подходящее имя, укажите виды отчетов, подлежащие генерации, и выберите форматы этих отчетов.
1 О. Перейдите на вкладку Scope.
Здесь необходимо выбрать тип данных и папки, дnя которых будуr формиро
ваться отчеты.
1 1 . На вкладке Delivery отметьте флажок и укажите адрес электронной почты дnя еженедельной отправки отчетов.
Для любых уведомлений по электронной почте, предоставляемых FSRM, потребуется соответствующим образом сконфигурированный сервер SMTP.
12. По умолчанию на вкладке Schedule (График) выбран переключатель Weekly
(Еженедельно), отмечен флажок Sunday (Воскресенье), а в поле Run at
(Запускать в) указано 5:00:00 утра (рис. 1 3.29).
Новый график теперь отображается в окне FSRM с раскрытым узлом Storage
Reports Management. При наличии сконфигурированного сервера SMTP, щелкните правой кнопкой мыши на задаче и запустите ее, чтобы протестировать
выполненную работу.
ОТСЛЕЖИВАЙТЕ ПОТРЕБЛЕНИЕ ДИСКОВОГО ПРОСТРАНСТВА ОТЧЕТАМИ
Если вы создаете график генераuии отчетов, который будет создавать файлы от
четов в вашей системе, то должны отслеживать объем пространства, занимаемо
го отчетами. При наихудшем сценарии график генерации отчетов сформирован, и
отчеты регулярно создаются, постоянно потребляя дисковое пространство. Чтобы
снизить это влияние на функционирование сервера, можно изменить стандартное
местоположение отчетов, модифицировав настройки на вкладке Report Locations
(Местоположения для отчетов) в окне параметров File Server Resoшce Manager.
К этому моменту созданная ранее задача генерации отчетов должна завер
шиться.
14. Перейдите к отчетам, расположенным в папке %systemdrive%StorageReports
Interacti ve, используя для этого проводник Windows.
15. Дважды щелкните на сгенерированных НТМL-файлах, чтобы просмотреть до
ступную в них информацию. Дважды щелкните на текстовых файлах, чтобы
взглянуть, как отображается информация внутри них.
Как видите, диспетчер FSRM предлагает развитые возможности построения
отчетов.
Параметры File server Resource мanager
Дтя модификации доступно множество параметров FSRM. Параметры на вкладке Email Notifications (Уведомления по электронной почте) должны быть сконфигурированы, прежде чем вы сможете пользоваться любыми почтовыми возможностями сервера. Чтобы открыть диалоговое окно настройки параметров, щелкните правой кнопкой мыши на элементе File Server Resource Manager (Диспетчер ресурсов файлового сервера) внутри диспетчера серверов и выберите в контекстном менюпункт Configure Options (Конфигурировать параметры). Откроется диалоговое окно свойств с семью вкладками.
• Email Notifications (Уведомления по электронной почте).
Если вы хотите использовать уведомления по электронной почте, то должны ввести имя или 1Р-адрес сервера SMTP, который будет принимать почтовые отправления отвашего сервера.
На этой вкладке вы также вводите стандартный адрес электронной почты для получателя-администратора и стандартный адрес From (От).
Чтобы удостовериться о корректности сконфигурированных настроек, можно
отправить тестовое сообщение электронной почты.
• Notification Limits (Лимиты для уведомлений). После того, как порог (такой как потребление 85% пространства на диске) достигнут, он остается актуальным до тех пор, пока не будет предпринято какое-то действие.
Вместо того чтобы досаждать пользователю уведомлениями каждые 30 секунд, вы можете установить лимиты времени в минутах для таких уведомлений. По умолчанию для каждой реакции на достижение порога — уведомлению по электронной почте, записи в журнал событий и генерации отчетов — отводится 60 минут.
• Storage Reports (Отчеты по хранилищу). Многие отчеты имеют параметры,
которые можно модифицировать. Каждый параметр, допускающий измене
ние, имеет стандартное начальное значение, которое может быть установлено
на этой вкладке.
• Report Locations (Местоположе1П1я для отчетов). Отчеты сохраняются в стандартных местоположениях на системном диске
Внутри папки % systerndri ve% StorageReports создаются три подпапки:
Incident (.!UIЯ уведомлений), Scheduled (для запланированных задач генерации отчетов) и Interact ive (для отчетов, генерируемых по требованию).
На этой вкладке можно изменить стандартные местоположения мя любых отчетов.
• File Screen Audit (Аудит блокировки файлов). На этой вкладке присутствует единственный флажок Record file screening activity in an auditing database
(Записывать действия по блокировке файлов в базу данных аудита). Если он
отмечен, действия блокировки будут фиксироваться в базе данных с целью
дальнейшего изучения с помощью отчета по аудиту блокировки файлов.
• Automatic Classification (Автоматическая классификация). Файлами можно управлять на основе свойств классификации и создаваемых вами правил, а не на
базе того, где эти файлы находятся в дереве каталогов. Если вы используете управление классификацией (это делают немногие), можете на данной вкладке создать расписание для применения правил классификации и генерации отчетов.
Дополнительные сведения о классификации файлов приведены в следующей
статье TechNet: http: / /technet . rnicrosoft . corn/library /dd7 587 65 . aspx.
• Access-Denied Assistance (Помощь при запрете доступа). Пояоиошаяся в вер
сии Windows Se!V’er 2012 вкладка Access-Denied Assistance позволяет настраиоать собственное сообщение об ошибке запрета доступа, которое отображается пользователю, не имеющему подходящих разрешений дпя доступа к определенной папке или файлу.
Кроме того, можно предоставить пользователям возможность запрашивать помощь прямо из сообщения об ошибке, щелкая на
гиперссылке. Это очень удобная функция.
Хотя NTFS — великолепная файловая система, включающая такие дополнитель
ные средства, как квоты NTFS, вы можете получить намного больше возможностей
за счет использования диспетчера FSRM. Если вы управляете файловым сервером,
полезно ознакомиться с этими дополнительными средствами.
Протокол sмв 3.0
Блок сообщений сервера (Se!V’er Message Block — SMB) — это сетевой прото
кол уровня приложений, который применяется в основном для предоставления
общего доступа к файлам, принтерам, портам и коммуникациям между машинами
в сети. На протокол SMB обычно ссылаются как на общую файловую систему для
Интернета (Common fntemet File System — CfFS).
Этот протокол используется главным образом с операционными системами Windows и служит основой для реализации распределенной файловой системы (Distгibuted File System) от Microsoft.
В текущей редакции сервера протокол SMB 3.0 несколько изменился. Многие
новые функuии делают этот протокол надежной и высокопроизводительной альтер
нативой применению устройств Fibre Channel и iSCSI. Давайте рассмотрим некоторые новые возможности.
• Обход О1ЮL3З транспорта SMB. Эта возможность позволяет администраторам проводить обслуживание на кластеризированных компьютерах без необходимости в каком-либо простое. В случае обхода отказа в кластере клиенты SMB 3.0 будут автоматически подключены к другой кластеризированной машине, не теряя доступ к общим файловым ресурсам, которые они использовали. Кластеризированные машины файловых серверов устраняют единую точку отказа, когда имеется только один файловый сервер или некластеризированная среда.
• Масштабирование SMB. Клиенты SMB больше не ограничены полосой про
пускания одиночного узла кластера.
Кластеризированные машины балансируют нагрузку между собой с применением своих собранных вместе ресурсов.
Не каждый сервер в кластере файловых серверов является активным узлом,
обслуживающим содержимое для клиентов. Масштабируемые общие файло
вые ресурсы SMB всегда сконфигурированы с набором свойств Continuously
AvailaЬe (Постоянная готовность).
• Многоканальность SMB. Данная возможность позволяет файловым серверам
использовать несколько сетевых подключений одновременно, что значительно
увеличивает полосу пропускания, т.к. можно передавать больше данных через
множество высокоскоростных сетевых адаптеров в одно и то же время. Это
также означает наличие нового уровня отказоустойчивости в сети. Применяя
несколько подключений одновременно, клиенты продолжат бесперебойную
работу в случае утери какого-то одного подключения.
Еще одним преимуществом многоканальности SMB является автоматическое обнаружение.
Это средство будет обнаруживать наличие доступных сетевых путей и динамически добавлять подключения по мере надобности.
• Протокол SMB Direct. Протокол SMB Direct — это новый транспортный про
токол для SMB 3.0, который разрешает прямую передачу данных между серве
рами с минимальным участием центрального процессора и низкой задержкой,
когда имеются сетевые адаптеры с поддержкой RDMA (remote direct memory
access — удаленный прямой доступ в память). Сетевой файловый сервер ста
новится способным к размещению локального хранилища для приложений,
подобных Microsoft SQL Server 201 2 и Microsoft Hyper-V.
+ Командлеты Windows PowerShell и объекты WМI для SMB. Крупным преиму
ществом в Windows Server 201 2 является то, что все управляющие командлеты
PowerShel теперь включены в состав операционной системы. Новые коман
длеты SMB позволяют администраторам управлять и отслеживать файловые
серверы и общие файловые ресурсы. Вы можете также написать сценарии для
автоматизации общих задач администрирования файлового сервера. Благодаря
новым объектам WMI, разработчики извлекают выгоду из возможности со
здания автоматизированных решений для конфигурирования и мониторинга
файлового сервера.
• Шифрование SMB. Эта новая функция позволяет шифровать данные на ходу
на основе файлов или общих ресурсов. Она защитит передаваемые данные
от перехвата или подделки без протокола 1 Psec или любого дополнительно
го выделенного оборудования. Шифрование SMB также очень удобно, когда
удаленные пользователи пытаются получить доступ к данным из незащищен
ных сетей.
Оно обеспечит защиту данных при их передаче из ресурсов корпо
ративной сети в незащищенную удаленную сеть пользователя. Ранее в главе
мы включали шифрование SMB путем отметки соответствующего флажка на
экране Other Settings (Другие настройки) мастера создания общего ресурса
(New Share Wizard) при выполнении упражнения по созданию новых общих
ресурсов.
Эту функцию можно также включить прямо в диспетчере серверов,
не прибегая к помощи мастера.
+ Аренда каталогов SMB. Данная функция использует BranchCache для предо
ставления более быстрого доступа к документам через сети WAN, которым
присуща высокая задержка.
Аренда каталогов сокращает количество полных
циклов коммуникации между клиентом и сервером через WAN. Клиент кеширует метаданные каталогов и файлов в согласованной манере на более дли
тельные периоды времени.
Когда информация изменяется, сервер уведомляет клиента и инициирует синхронизацию, которая обновит кеш клиента.
Эта функция спроектирована для работы с домашними папками пользователей и
опубликованными общими ресурсами.
Хотя здесь бьmи подчеркнуты некоторые важные возможности SMB 3.0, мы определенно не раскрыли абсолютно все. Если вы желаете ознакомиться с полной спецификацией протокола, проследуйте по ссьшке http : //support .microsoft . com/kЬ/2709568.
Совместимость с версиями sмв 2.0 и sмв 1 .0
Для обеспечения обратной совместимости новейшие операuионные системы
поддерживают версии протокола SMB 2.0 и SM В 1 .0. Чтобы получить полную от
дачу от функuий, доступных в SMB 3.0, и на сервере, и на клиенте должна быть
возможность применения SMB 3.0.
В табл. 13.3 показаны версии операuионных систем и поддерживаемые ими версии протокола SMB. Сопоставив серверную ОС в верхней строке с клиентской ОС в левом столбuе таблиuы, вы получите версию SMB, которая будет использоваться во время взаимодействия.
Например, если вы выберете Windows Server 2008 R2 в верхней строке и Windows 7 в левом столбuе, то на пересечении будет указано.
что самой высокой поддерживаемой версией протокола яnляется SM В 2.1 .
Таблица 13.3. Версии операционных систем и поддержка протокола SMB
Кnиентская/ серверная Windows & Windows 7 Windows Vista Предшествую-
операционная система Windows Server Windows Windows щие версии
2012 R2 Server 2008 R2 Server 2008 Windows
Windows 8 SMB 3.0 SMB 2. 1 SMB 2.0 SMB 1 .0
Windows Server 2012 R2
Windows 7 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
Windows Server 2008 R2
Windows Vista SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Windows Server 2008
Предшествующие версии Windows SMB 1 .0 SMB 1.0 SMB 1.0 SMB 1 .0
Версия SMB 3.0 применяется всякий раз, когда это возможно мя клиентов, которые ее поддерживают. Поскольку SMB 3.0 не поддерживается другими операuионными системами (такими как Windows 7 или Windows Server 2008), более новые клиенты могут использовать старые версии протокола при взаимодействии с унаследованными машинами.
Хорошая новость в том, что все это делается автоматически.
Вам не придется предпринимать какие-то действия по конфигурированию, чтобы
задействовать SMB 3.0 либо переключиться обратно на SMB 2.0 или SMB 1.0 для
унаследованных клиентов. Вот что автоматически происходит в отношении SMB:
• если оба клиента поддерживают SMB 3.0, то SMB 3.0 будет применяться автоматически;
• если один из клиентов не поддерживает SMB 3.0 (например, Windows 7), то
для этого сеанса будет использоваться версия SM В, поддерживаемая этой ОС
(SMB 2.1 в данном примере).
Вероятно, вы уже слышали о маркетинговых кампаниях «Вместе лучше» («Better
Togetl1er»), про в одимых Microsoft. Это не просто маркетинг ради маркетинга.
Протокол SMB является одним из примеров, где вы по-настоящему получите более
высокую производительность, сочетая вместе новые технологии. В сети с серверами Windows Server 2012 R2, но с рабочими столами Windows 7 версия протокола SMB 3.0 применяться не сможет. Если это занятая сеть, то разница окажется заметной.
Безопасность sмв
В этой редакции сервера в реализацию SMB 3.0 было внесено несколько улучшений, касающихся безопасности. Протокол SMB 3.0 получил новый алгоритм ДllЯ подписи SMB под названием AES-CMAC.
Алгоритм СМАС (Cipher-based Message Authentication Code — код аутентификации сообщений, основанный на шифре) базируется на блочном шифре с симметричным ключом (AES (Advanced Encryption Staпdard — расширенный стандарт шифрования)), тогда как алгоритм НМАС, используемый в SM В 2.0, основан на хеш-функции (SHA (Secure Hash Algorithm -алгоритм безопасного хеширования)).
Стандарт AES был спецификацией, официально принятой правительством США в 2002 году, и одобрен Агентством национальной безопасности ДllЯ шифрования совершенно секретной информации.
Алгоритм AES-CMAC обеспечивает более строгую гарантию целостности дан
ных, чем контрольная сумма или код обнаружения ошибок. Алгоритм СМАС пред
назначен для обнаружения преднамеренных, неавторизованных изменений данных, а также случайных изменений. Верификация с помощью кода обнаружения ошибок или контрольной суммы позволяет выявить только случайные изменения данных.
Алгоритм НМАС SHA-256, применяемый в SMB 2.0, поддерживает целостность
данных — гарантию того, что данные не были модифицированы. Хотя SMB 1 .0 также обеспечивает целостность данных, безопасность в Н МАС SHA-256 выше, а в AES-CMAC — еще выше.
Хеш — это просто число, созданное путем выполнения алгоритма хеширования
над пакетом, сообщением или файлом. До тех пор пока пакет остается тем же самым (не изменяется), алгоритм хеширования будет всегда давать один и тот же хеш (одинаковое число).
В общем, хеш обеспечивает целостность данных для пакетов,
сообщений или файлов, следуя описанным ниже шагам.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Отправка пакета и хеша получателю.
4. Получатель вычисляет хеш полученного пакета и сравнивает его с полученным хешем.
• Если хеши совпадают, целостность данных соблюдена.
• Если хеши отличаются, целостность данных утеряна. Это может произойти
из-за того, что атакующий изменил данные, или просто потому, что биты FIO
время транспортировки потерялись.
Тем не менее, если атакующий может модифицировать данные в пути, то почему
бы ему не изменить также и хеш во время передачи? Чтобы воспрепятствовать этому, хеш шифруется с помощью ключа сеанса, известного только клиенту и серверу.
Такой процесс называется цифровы.t1 подписанием пакета в SMB 1 .0 и SMB 2.0. Он выглядит следующим образом.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Шифрование хеша помощью ключа сеанса (или общего ключа).
4. Отправка пакета с зашифрованным хешем.
5. Получатель расшифровывает зашифрованный хеш.
6. Получатель вычисляет хеш полученного пакета.
7. Получатель сравнивает два хеша, чтобы выяснить, не утеряна ли целостность данных.
Включение цифрового подписания для пакетов SMB 1 .0 может снизить производительность на 10-1 5%. Хотя вы по-прежнему столкнетесь с падением производительности в SMB 2.0, она не настолько значительна. Одна из основных причин связана с упрощением SMB 2.0, в результате чего меньше пакетов отправляется и меньше пакетов нуждается в подписании.
внедрение BitLocker
Шифрование дисков BitLocker (BitLocker Drive Encryption) — это технология,
предназначенная для обеспечения защиты целых дисковых накопителей. Более но
вой технологией является BitLocker То Go, которая появилась в Windows 7 и позволяет шифровать флэш-накопители USB.
Здесь мы сосредоточим внимание на использовании BitLocker Drive Encryption для защиты дисков в Windows Server 2012.
Основное предназначение BitLocker заключается в шифровании данных на жес
тких дисках, чтобы в случае их похищения или утери данные были недоступными.
Это часто применяется на ноутбуках и серверах, расположенных в местах со слабой физической защитой. Ноутбуки легко украсть — люди часто оставляют их в конфе ренц-залах на время обеда или забывают их на стульях, откуда они быстро исчезают.
Подобным же образом серверы, находящиеся в удаленных офисах, часто слабо
защищены физически — во всяком случае, слабее, чем в головном офисе. Возможно, главная серверная комната очень хорошо физически защищена, но сервер в удаленном офисе может скрываться за дверцами шкафа, которые легко открыть ломиком или даже кредитной карточкой.
BпLoCKER УСИЛИВАЕТ ФИЗИЧЕСКУЮ ЗАЩИТУ
BitLocker усиливает физическую защиту, но не может противостоять всем возможным атакам. Вредоносное программное обеспечение, такое как руткиты, может организовать в системе слабые места, которые сделают возможным доступ к данным, если компьютер впоследствии будет похищен.
Кроме того, если дисковые устройства на выведенном из эксплуатации сервере не очищены, они могут содержать данные, делиться которыми нежелательно.
BitLocker защитит эти данные от несанкционированного использования.
На первый взгляд, может показаться, что данные на этих дисках защищены пос
редством разрешений.
Однако атакующий может настроить домен и поместить свою
учетную запись в группу Enterprise Admins (Администраторы предприятия).
Имея физический доступ к серверу, он затем может изъять дисковое устройство из сервера, установить его на свой сервер и легко получить права владения над всеми файлами.
После этого он будет владеть всеми вашими данными. Тем не менее, если файлы зашифрованы, атакующему будет намного труднее получить доступ к данным — мы не решаемся утверждать о полной невозможности доступа, но сам факт шифрования вполне может отпугнуть большинство атакующих.
что нового в BitLocker
В Microsoft добавили к BitLocker несколько впечатляющих новых функций в версиях Windows 8 и Windows Server 2012. Теперь средство BitLocker может быть настроено перед установкой, и тогда шифрование понадобится только для используемого
дискового пространства. Это сэкономит массу времени на обеих сторонах установки.
Одним из недостатков первоначального выпуска BitLocker было длительное
время, затрачиваемое на шифрование диска. Очень приятно видеть значительный
рост производительности в данной редакции BitLocker. Ниже перечислены новые
возможности и функции последнего выпуска.
• Настройка BitLocker. За счет применения среды предустановки Windows
(Windows Preinstallation Environment — WinPE) администраторы теперь могут
включить BitLocker перед развертыванием операционной системы.
• Шифрование только используемого дискового пространства. Эта функция позволяет выполнять шифрование гораздо быстрее за счет того, что ему подвергается только используемое дисковое пространство. Доступны два метода шифрования: Full Volume Encryption (Шифрование полного тома) и Used Disk Space Only (Только используемое дисковое пространство).
• Возможность изменения РIN-кода и пароля стандартными пользователями. Для
конфигурирования BitLocker по-прежнему требуются административные при
вилегии, но теперь стандартным пользователям предоставлена возможность
изменять РIN-код или пароль для тома операционной системы либо тома
фиксированных данных по умолчанию.
• Защита Network Unlock. В Windows Server 201 2 R2 появилась новая опция защиты BitLocker для томов операционной системы — Network Unlock. Машины
домена, присоединенные к доверенной проводной сети, могут иметь разбло
кированный системный том сразу после загрузки системы. Это очень удобно в
случае утери РlN-кода.
• Поддержка зашифрованных жестких дисков для Windows. Версии Windows 8 и
Windows Server 2012 теперь содержат поддержку BitLocker для зашифрованных
жестких дисков. BitLocker будет поддерживать заранее зашифрованные жест
кие диски Windows от производителя.
• Шифрование для кластеризированных общих томов. Шифрование томов
Bitlocker поддерживается для кластеров с обходом отказа, которые функци
онируют под управлением Windows Server 201 2 R2. В среде Active Directory,
работающей на функциональном уровне домена Windows Server 201 2, тради
ционные кластеризированные диски и кластеризированные общие тома могут
применять шифрование на уровне томов, предоставляемое BitLocker.
Каждыйузел выполняет расшифровку, используя учетную запись компьютера, которая называется объектом имени кластера (custer name object — CNO). Это делает возможной физическую защиту развертывания за пределами защищенного
центра данных и помогает удовлетворять требованиям соответствия мя шиф
рования на уровне томов.
Требования к оборудованию
Для обеспечения наилучшей защиты оборудование должно включать криптопро
цессор Trusted Platform Module (ТРМ) версии 1 .2, представляющий собой встроенный в компьютер аппаратный компонент, который обычно находится на материнской плате.
Если в системе имеется ТРМ 1 .2 и средство BitLocker включено, система будет
выполнять проверку целостности во время заrрузки. Если она обнаруживает изменения в оборудовании, указывающие на то, что жесткий диск находится на друrом
компьютере, устройство блокируется и пребывает в таком состоянии до тех пор,
пока не будет вручную разблокировано с применением ключа восстановления.
Тем не менее, на многих компьютерах ТРМ 1 .2 отсутствует.
Существуют альтернативы, которыми можно воспользоваться дпя шифрования дисков с помощью ВitLocker.
• Пароль. Средство BitLocker может шифровать диск, а дпя его разблокирования
применяется пароль.
• Смарт-карта. Средство BitLocker может шифровать диск, а дпя его разблоки
рования используется смарт-карта с РIN-кодом.
Вариант ТРМ, пароля или смарт-карты выбирается при включении BitLocker на
конкретном диске. На рис. 1 3.30 система не имеет ТРМ, так что присутствуют только опции пароля и смарт-карты.
Также возможно выбрать опцию автоматического разблокирования диска при
доступе из того же самого компьютера. Это требует, чтобы диск, на котором находится Windows, был также защищен посредством ВitLocker. При таком использовании шифрование будет видимым только при переносе диска на другой компьютер
(или в случае изменения оборудования на текущем компьютере, достаточного дпя
того, чтобы средство BitLocker посчитало, что диск был перемещен).
Средство BitLocker может быть внедрено в разделах без шифрования всего диска.
Например, если система имеет единственный физический жесткий диск, разбитый
на два раздела (с и D), вы можете заблокировать диск о с помощью BitLocker, не
блокируя диск с.
Ключ восстановления
Ключ восстановления BitLocker может применяться, если ТРМ обнаруживает,
что диск был перемещен на другой компьютер. Как только криптопроцессор ТРМ
определяет факт переноса (либо изменения оборудования), он блокирует диск до тех пор, пока он не будет разблокирован с использованием ключа восстановления.
BitLocker поддерживает механизм восстановления на случай, если пароль забыл
или смарт-карты утеряна. В Microsoft рекомендуют сохранить ключ восстановления
в Active Directory Domain Services, записать его в файл, распечатать его или хранить
в надежном месте. Мастер BitLocker предоставляет три опции:
• сохранить ключ восстановления на флэш-накопитель USB;
• сохранить ключ восстановления в файл;
• распечатать ключ восстановления.
Этот ключ должен быть защищен на уровне, сопоставимом с данными, хранящимися на диске. Другими словами, если на вашем диске имеются секретные патентованные данные, то защищайте ключ восстановления подобно тому, как защищаете эти данные.
включение BitLocker
По умолчанию средство BitLocker не включено. Перед тем как BitLocker мож
но будет включить, вы должны добавить компонент BitLocker Drive Encryption
(Шифрование диска BitLocker). Вспомните упражнение по добавлению ролей в на
чале этой главы: мы уже включили роль BitLocker. При желании освежить память
можете возвратиться и просмотреть упражнение еще раз. В перечисленных ниже
шагах предполагается, что в системе отсутствует ТРМ 1.2, а роль BitLocker уже установлена на сервере.
1 . Откройте панель управления и щелкните на значке System and Security
(Система и безопасность).
В центре системы и безопасности (System and Security Center) вы должны уви
деть компонент BitLocker Drive Encryption. Если он отсутствует, значит, этот
компонент не был добавлен.
Поиск в ПАНЕЛИ УПРАВЛЕНИЯ
В панели управления имеется одна изящная функция, которая очень полезна, но на
нее часто не обращают внимания. В правом верхнем углу окна расположено поле
поиска. В нем можно вводить любой поисковый термин (такой как BitLocker или
User), и в окне будут отображаться только подходящие значки. Поиск в панели управления доступен также в Windows Vista, Windows 7, Windows 8 и Windows Server
2008. Аналогичная функция поиска не помешала бы и в групповой политике.
2. Щелкните на значке BitLocker Drive Encryption (Шифрование диска BitLocker).
3. Щелкните на ссылке Turn оп Bitlocker (Включить BitLocker).
Откроется начальный экран Bitlocker Drive Encryption (Шифрование диска Bit
Locker), который позволяет выбрать способ разблокирования этого диска. При
отсутствии ТРМ доступны две опции: Use а password to unlock the drive (Ис
пользовать пароль для снятия блокировки диска) и Use а smart card to unlock
the drive (Использовать смарт-карту для снятия блокировки диска).
4. Отметьте флажок Use а password to unlock the drive и введите пароль в двух полях. В качестве альтернативы, если у вас есть смарт-карта и система поддерживает работу со смарт-картами, можете отметить флажок Use а smart card to unlock the drive.
5. Щелкните на кнопке Next (Далее).
6. Выберите Save the гесоvегу key to а file (Сохранить ключ восстановления в файле). Укажите местоположение мя файла на своем компьютере и щелкните
на кнопке Save (Сохранить).
В идеальном случае этот файл должен быть сохранен на отдельном устройс
тве (таком как флэш-накопитель USB). При попытке сохранить файл на том
же физическом диске отобразится диалоговое окно с предупреждением, но вы
можете щелкнуть в нем на кнопке Yes (Да), чтобы продолжить.
7. Щелкните на кнопке Next.
На следующем экране можно указать объем дискового пространства, подлежа
щего шифрованию. Здесь можно выбрать новую опцию Encrypt disk space опlу
(Шифровать только используемое пространство на диске).
Если вы выберете Encrypt entire drive (Шифровать весь диск), то в зависимости
от размера диска процесс может занять продолжительное время. Мы заметили,
что шифрование 1 Гбайт требует около 30 секунд, так что при объеме диска
500 Гбайт у вас появится возможность сделать перерыв.
8. Оставьте все без изменений и щелкните на кнопке Next.
На следующем экране понадобится подтвердить свои намерения зашифровать
ЭТОТ ДИСК.
9. По готовности щелкните на кнопке Start encrypting (Начать шифрование).
Отобразится индикатор хода работ.
10. Дождитесь завершения процесса и щелкните на кнопке Close (Закрыть).
После перезагрузки системы диск оказывается помеченным как зашифрован
ный и не будет доступен.
1 1 . Вы можете разблокировать этот диск, щелкнув на его значке правой кнопкой мыши и выбрав в контекстном меню пункт Unlock Drive (Снять блокировку с диска), как показано на рис. 13.32. Введите указанный ранее пароль и разблокируйте диск.
После разблокирования диска вы можете обращаться к данным обычным об
разом.
12. Щелкните правой кнопкой мыши на значке диска и выберите в контекстном
меню пункт Manage Bitlocker (Управлять BitLockeг).
Это предоставит возможность изменить пароль и манипулировать другими опциями для диска.
В1тLоскЕR То Оо
BitLocker То Go — великолепная возможность, которой легко пользоваться после
того, как на сервер добавлен соответствующий компонент.
1. Откройте окно BitLocker Drive Encryption через панель управления.
2. Вставьте флэш-накопитель USB и щелкните для него на ссылке Turn Оп Bitlocker
(Включить ВitLocker).
3. Введите пароль, сохраните ключ восстановления и затем щелкните на кнопке Start encrypting (Начать шифрование).
Если флэш-накопитель переносится на другой компьютер, он перестает читаться.
Однако вы можете вставить флэш-накопитель в другой компьютер и ввести пароль, когда он будет запрошен, после чего вы получите доступ ко всем своим данным.
Хотя это лучше всего работает в Windows 8 или Windows Server 2012 R2, вы можете
получить доступ к своим данным и на других системах, таких как Windows 7, запустив программу Bi tLockerToGo . ехе для расшифровки и копирования данных.
Многие организации предпринимают дополнительные меры, чтобы защитить «данные в состоянии покоя», и BitLocker То Go вполне удовлетворяет таким потребностям. Мы ожидаем широкого применения этого средства в ближайшем будущем.
Использование автономных файлов / кеширования на стороне клиента
При наличии в вашей сетевой среде пользователей с ноуrбуками вам наверня
ка понравится средство Offiine Files (Автономные файлы) или Cient-Side Caching
(Кеширование на стороне клиента); в Microsoft применяют эти названия взаимозаменяемо.
На самом деле оно будет привлекательным практически ддя всех, кто использует сеть. Средство Offiine Files предоставляет три основных преимущества:
оно позволяет сети выглядеть более быстрой ддя своих пользователей, сглаживает «затормаживания» сети и упрощает задачу синхронизации файлов на ноутбуках с
файлами на сервере.
как работает Offline Files
Средство Offiine Files включено на общих ресурсах, расположенных на сервере.
Оно автоматически кеширует файлы, к которым производится доступ, сохраняя кешированные копии в папке на локальном жестком диске (папка вполне ожидаемо
называется Offline Files). Эти кешированные копии затем применяются ддя ускорения доступа в сеть (или кажущегося доступа в сеть), поскольку последующий доступ к файлу может быть обработан с использованием кешированной копии, а не путем передачи его содержимого через сеть.
Это очень удобно дЛЯ пользователей, находящихся в пути.
Средство Offiine Filesпозволяет кешированным копиям файлов действовать в качестве временной замены сети, если та отсутствует (что нередко бывает у мобильных пользователей) или работает крайне неустойчиво.
В Offiine Files применяется механизм кеширования со сквозной записью; когда вы записываете файл, он передается в целевое местоположение внутри сети ддя сохранения, а также кешируется на локальном жестком диске. И когда вы хотите обратиться к файлу, кешированному в Offline Files, средство Offiine Files предпочтет предоставить вам кешированную копию (что быстрее), но сначала проверит, не изменился ли этот файл на сервере, сравнивая даты, время и размеры его копий на сервере и в кеше. Если они остались одинаковыми, средство Offiine Files без проблем выдаст файл из кеша; в противном случае Offline Files извлечет копию файла из сети, обеспечив актуальность данных.
Средство Offiine Files увеличивает шансы наличия в кеше новейших копий файлов, выполняя фоновую синхронизацию несколькими способами, которые определяются пользователем. Эта синхронизация поч:ти незаметна для пользователя, который просто работает с общим ресурсом по сети.
Нам нравится средство Offiine Files по следующим причинам.
• Средство Always Offline Mode (Всегда автономный режим). Это новое настраиваемое средство в Windows 8 и Windows Server 201 2 предоставляет пользователям возможность более быстрого доступа к файлам и меньшего расходования полосы пропускания за счет работы всегда в автономном режиме.
В отличие от предшествующих редакций, в которых осуществлялось переключение из онлайнового режима в автономный в зависимости от наличия соединения с
сетью, средство Always Offiine Mode обеспечивает пребывание в автономном
режиме даже при высокоскоростном подключении к сети.
Операционная система Windows будет автоматически обновлять файлы путем их синхронизации с кешем Offline Files. Это новое средство способствует более высокой производительности дисков. Средство Always Offiine Mode требует, чтобы компьютер был присоединен к домену и установленного компонента Group Policy Management (Управление групповой политикой).
• Более быстрый доступ. Из-за того, что часто используемые кешированные файлы будут располагаться на локальном жестком диске в лапке Offline Files,
вы немедленно заметите увеличение скорости реакции сети.
Открытие файла,который выглядит как находящийся в сети, но в действительности хранится в папке на локальном диске, дает очевидные и значительные улучшения времени отклика. поскольку требуется лишь небольшая активность со стороны сети либо она вовсе отсутствует.
• Сокращенный сетевой трафик. Так как кешированные файлы не нуждаются в
повторной переда’Jе по локальной сети, сетевой трафик сокращается. Наличие
часто используемых файлов в локальной папке кеша также решает проблему,
когда необходим файл из сервера, а доступ в сеть отсутствует.
Если вы пытаетесь обратиться к файлу на сервере, который не отвечает (или вы физически не подключены к сети), средство Offiine Files перейдет в «автономный» режим.
В этом режиме Offiine Files просматривает кеш Offiine Files и если находит в нем копию требуемого файла, то предоставляет ее вам, как будто бы сервер
функционирует и соединен с рабочей станцией.
• Автоматическая синхронизация. Если вам когда-либо приходилось находиться
в командировке, то вы знаете две наихудших вещи, которые могут произойти при поездке с ноутбуком: когда внезапно обнаруживается, что вы забыли
один или два важных файла, или досаждают переживания по поводу того, что
по возврашении нужно не забыть скопировать измененные вами файлы.
Средство OПline Files значительно уменьшает шанс возникновении первой из двух проблем, потому что можно сконфигурировать аrпоматическое копирование часто используемых файлов в локальную папку кеша сети.
Автоматизаuия проuесса синхронизаuии ноутбука с серверами существенно снижает объем работ при выполнении второй задачи.
вranchCache
Технология BranchCache предназначена пля оптимизании доступности данных в
офисах филиалов, которые подключаются через мепленные каналы WAN. Средство
BranchCache, когда оно включено, позволяет данным кешироваться на компьютерах в офисе филиала и применяться другими компьютерами в этом офисе.
Предположим, что компания имеет головной офис, находящийся в Колорадо Спрингс, и офис филиала, расположенный в Тампе и соединенный мепленным каналом связи.
Когда пользователям из Тампы необходим доступ к данным, открытым на сервере в Колорадо-Спрингс, им приходится подключапся через канал WAN,
даже если они просто открыли и сразу же закрыли файл.
Благодаря BranchCache, файлы могут кешироваться на каком-то компьютере в
удаленном офисе после первого обращения к ним.
Пользователи, которым нужен файл, впоследствии могут получать доступ к его локально кешированной копии.
BranchCache по-прежнему проверяет актуальность кешированной версии файла, но
короткая проверка метки времени по каналу связи происходит намного быстрее,
чем повторная загрузка всего содержимого файла.
Средство BranchCache поддерживает два режима.
• Режим размещенного кеша (Hosted СасЬе). Данные размещаются на одном или
большем числе серверов в удаленном офисе с установленной операuионной
системой Windows Server 2008 R2 или более новой версии, такой как Windows
Server 2012 R2.
• Режим распределенного кеша (Distributed Cache). Данные размешаются на компьютерах в офисе филиала. Необходимость в сервере отсутствует, но данные могут кешироваться только на компьютерах с Windows 7 и Windows 8. Более старыеверсии клиентских операционных систем для размещения кеша непригодны.
Средство BranchCache поддерживается на серверах Windows Server 2008 R2,
Windows Server 2012 и Windows Server 2012 R2, а также на клиентах Windows Yista, Windows 7 и Windows 8. Включить BranchCache на серверах, предшествующих Windows Server 2008 R2, или на клиентах с версией ОС, более ранней, чем Windows Vista, не удастся. В режиме Distributed Cache данные будут кешироваться только накомпьютерах Windows 7 и Windows 8, но компьютеры с Windows Vista по-прежнему будут иметь доступ к данным, кешированным с помощью BranchCache, несмотря на то, что машины с Windows Vista не могут выступать в качестве хостов.
Прежде чем средство BranchCache может быть включено, оно должно быть добавлено как служба роли внутри роли File and Storage Services.
В групповой политике (Group Policy) предусмотрено несколько настроек, кото
рые можно использовать пля включения и управления BranchCache. Эти настройки
находятся в узле Computer ConfigurationPoliciesAdministrative TemplatesNetwork BranchCache (Конфигурация компьютера Политики Административные шаблоны Сеть BranchCache) групповой политики.
включение средства Offline Files на сервере
Средство Offiine Files включается на сервере относительно легко. Доступны
два способа включения кеширования общего ресурса. Это можно сделать на экра
не Other Settings (Друтие настройки) мастера создания общего ресурса (New Share Wizard) при создании нового общего ресурса, а если общий ресурс уже создан, то можно изменить его свойства.
1 . Запустите диспетчер серверов и перейдите на вкладку Shares (Общие ресурсы)
для роли File and Storage Services, где вы увидите все общие ресурсы, которые в настоящее время открыты в сети.
2. Щелкните правой кнопкой мыши на любом общем ресурсе и выберите в кон
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Settings ( Настройки) и в открывшемся диалоговом
окне перейдите на вкладку Caching (Кеширование).
Диалоговое окно будет выглядеть подобно показанному на рис. 1 3.33. Здесь вы можете включить кеширование общего ресурса и средство BranchCache, если оно еще не было включено.
Хотя в этом разделе объяснялось средство Offiine Files, и было показано, каким
образом его конфигурировать на сервере, его необходимо сконфигурировать так
же на стороне клиента. В разных клиентских операционных системах (Windows ХР,
Windows Vista, Windows 7 и Windows это делается по-разному.
Ниже приведены ссылки, по которым доступны описания для различных клиентов.
Windows ХР:
http : //support . microsoft . com/kЬ/307853
Windows Vista:
http : //windows . microsoft . com/en-US/windows-vista /Wo�king-with-net�orkfiles-when-you-are-offline
Windows 7:
http : //www . windows7update . com/Windows7-0ffline-Files . html
Window 8:
http : / /technet . microsoft . com/en-us /l ibrary/ht8 4 8 2 67
Дисковые квоты позволяют администраторам Windows контролировать сколько места используют пользователи на файловой системе серверов и рабочих станций. ОС Windows Server поддерживает два типа квотирования: квотирование на базе File Server Resource Manager (дисковые квоты FSRM) и NTFS квоты. Хотя FSRM квотирование и является более гибким и удобным, но в некоторых простых случаях эффективно можно использовать и NTFS квоты. Например, для ограничения размеров каталогов перемещаемых профилей (но не User Profile Disks) и перенаправляемых домашних папок на RDS серверах, личных каталогов пользователей на FTP сервере, личных каталогов на сайтах IIS и т.д. В этой статье мы рассматриваем как настроить дисковые квоты пользователям в Windows.
Содержание:
- Дисковые NTFS квоты в Windows
- Настройка дисковых NTFS квоты в Windows 10 / Windows Server 2016
- Настройка дисковых квот с помощью групповых политик
- Управление дисковыми квотами из командной строки/PowerShell
Дисковые NTFS квоты в Windows
С помощью дисковых квот Windows вы можете ограничить максимальный размер файлов и папок каждого пользователя так, чтобы он не превысил установленного лимита и не занял своими данными весь диск. Принадлежность фалов и каталогов определяется в соответствии с владельцем объекта файловой системы NTFS. Дисковые квоты работают как на северных, так и на клиентских версиях Windows.
Основные особенности и ограничения NTFS-квот:
- Квотирование может быть применено только целиком к конкретному тому (разделу), отформатированному в файловой систем NTFS (на ReFS томах квотирование не работает);
- Квоты действуют на всех пользователей, хранящих свои данные на данном разделе. Нельзя применить квоту на группу пользователей или отдельный каталог. В этом случае лучше использовать FSRM квоты;
- Принадлежность файлов пользователю определяется по его владельцу (owner) файла, заданного в дескрипторе защиты NTFS;
- По умолчанию Windows сканирует раздел с включенным квотированием и пересчитывает суммарный размер файлов каждого пользователя 1 раз в час;
- При использовании NTFS-компрессии, учитывается оригинальный размер файлов (до сжатия).
Можно выделить следующие сценарии использования дисковых квот:
- Мониторинг использования дисков – просмотр статистики использования пользователями места на диске сервера;
- Мониторинг и оповещение – в дополнении к первому сценарию, при превышении квоты в Event Viver записывается событие с информацией о пользователе и квоте.
- Контроль использования диска — при превышении квоты пользователь не может сохранять новые файлы.
Настройка дисковых NTFS квоты в Windows 10 / Windows Server 2016
Рассмотрим пример настройки NTFS квот на диске с данными пользователей на примере Windows Server 2016. Во всех предыдущих версия Windows (начиная с Windows 2003) дисковые NTFS квоты настраиваются аналогично.
Откройте окно свойства диска, на котором нужно включить квоты и перейдите на вкладку Quota. Затем нажмите на кнопку Show Quota Settings: Чтобы включить квоты для данного тома, установите чекбокс Enable quota management.
Дальнейшие опции следует выбрать в зависимости от желаемого сценария использования квот:
- Deny disk space to users exceeding quota limit – запретить запись на диск пользователям, превысившим лимит;
- Limit disk space to — задать лимит на суммарный размер файлов одного пользователя;
- Log event when a user exceeds their quota limit – записывать в Event Viewer событие при превышении квоты пользователем;
- Log event when a user exceeds their warning level – записывать в журнал события при приближении к указанному порогу.
Не рекомендуется сразу включать правило запрета записи при превышении лимита. Лучше сначала оценить текущее использование пользователями места на диске пользователями. В нашем примере мы хотим, чтобы каждый пользователь мог использовать не более 1 Гб места на диске сервера.
Сохраните изменения (Apply). Через некоторое время (в зависимости от размера диска и количества файлов), Windows подсчитает суммарное использования диска каждым пользователем.
Нажмите на кнопку Quota Entries. Перед вами появится таблица, в которой указаны квоты и текущий размер занятого места каждым пользователем (файлы которых найдены на файловой системе). Здесь вы сразу видите, какие пользователи уже превысили свои квоты на диске.
По умолчанию для всех пользователей устанавливаются одинаковые квоты. Из окна Quota Entries вы можете создать, увеличить или отключить стандартную квоту для конкретного пользователя.
Чтобы NTFS квоты не применялись к определенной учетной записи, нужно открыть свойства записи в таблице квот (Properties) и установить опцию Do not limit disk usage.
Важно. Обязательно следует отключить квотирование для системных учётных записей NT ServiceTrustedInstaller и NT AUTHORITYSYSTEM, иначе Windows может работать некорректно.
Из окна со список квот вы можете экспортировать настройки квот, а затем импортировать и применить их для другого диска или компьютера.
Если вы хотите вывести список файлов, которые учитываются в квоте конкретного пользователя, нужно выбрать пункт Delete.
Из этого диалогового окна можно сменить владельца файла (Take ownership), удалить (Delete) или переместить файл (Move).
После того, как навели порядок с мягкими квотами в режиме аудита, можно включать опцию Deny disk space to users exceeding quota limit. Это включит режим жестких квот. Теперь пользователи не смогут превысить выделенное им место на диске. Обратите внимание, что размер диска в сессии пользователя теперь отображается с учетом дисковой квот. В этом примере для моего аккаунта на диске C: свободно
876 Мб
из 1 Гб квоты.
При превышении квоты пользователь получает сообщение:
There is not enough space on ….
Одновременно в журнале системы фиксируется событие с EventID 37, source: Ntfs:
A user hit their quota limit on volume C:
Настройка дисковых квот с помощью групповых политик
Вы можете управлять настройками дисковых квот на компьютерах и серверах домена с помощью групповых политик. Параметры настройки квот находятся в разделе GPO Computer Configuration -> Administrative Templates -> System -> Disk Quotas. Чтобы включить дисковые квоты, аналогичные рассмотренным выше, задайте следующие политики:
- Enable Disk Quotas: Enable
- Enforce Disk Quota Limit: Enable
- Default Quota Limit And Warning Level: Enable (Default quota limit/warning level: 1 Gb)
- Log Event When Quota Limit Exceeded: Enable
- Apply Policy To Removable Media: Enable (если нужно применять квоты для съёмных носителей, в том числе USB флешкам)
Осталось назначить такую GPO на OU с компьютерами/серверами, на которых нужно внедрить дисковые квоты и дождаться обновления политик.
Дисковые квоты, настроенные через GPO применяются для всех дисков компьютера. Нельзя настроить исключения для определенных пользователей.
Управление дисковыми квотами из командной строки/PowerShell
NTFS-квотами можно управлять из командной строки Windows с помощью команы fsutil quota.
Чтобы включить мягкую квоту для диска, используйте команду:
fsutil quota track E:
Для включения жесткой NTFS квоты, выполните:
fsutil quota enforce E:
Для отключения дисковых квот используется команда:
fsutil quota disable E:
Чтобы получить текущие настройки квот для указанного диска, выполните:
fsutil quota query e:
Получить список пользователей, чьи квоты на диске уже превышены:
fsutil quota violations
Чтобы изменить пороги квот для определенного пользователя, используйте команду:
fsutil quota modify E: 3000000000 200000000 corpaaivanov
Размер квот указывается в байтах (в этом примере 3 Гб). Первое значение – максимальный размер данных пользователя на диске (жесткая квота, limit), второе — лимит, при котором появляются предупреждения (warning level).
Узнать частоту обновления (перерасчета) дисковых квот (в секундах):
fsutil behavior query quotanotify
По умолчанию квоты обновляются раз в час
В PowerShell нет встроенных командлетов для управления NTFS квотами на диске. Однако вы можете управлять ими через WMI класс Win32_DiskQuota. Например, следующий PowerShell скрипт выведет информацию о текущих квотах пользователей.
$strComputer = "."
$colItems = get-wmiobject -class "Win32_DiskQuota" -namespace "rootCIMV2" -computername $strComputer
foreach ($objItem in $colItems) {
write-host " Used: " $objItem.DiskSpaceUsed
write-host "Limit: " $objItem.Limit
write-host "Quota Volume: " $objItem.QuotaVolume
write-host "Status: " $objItem.Status
write-host "User: " $objItem.User
write-host "Warning Limit: " $objItem.WarningLimit
}
- Remove From My Forums
-
Вопрос
-
Как правильно настроить квоты на User profile disk в Windows 2012 R2 RDS на основе сеансов , чтобы пользователи получили сообщение при достижении 90 % квоти.
-
Изменено
2 февраля 2016 г. 20:34
-
Изменено
Ответы
-
Привет,
К сожалению я не уверен, что есть такой функционал как оповещение, внизу есть ссылка о том как изменить размер диска хранения:
Edit the User Profile Disks Maximum Size Limits
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные,
если они Вам помогли.-
Предложено в качестве ответа
Alexander RusinovModerator
3 февраля 2016 г. 20:59 -
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
12 февраля 2016 г. 9:03
-
Предложено в качестве ответа
Обновлено 03.08.2022
Доброго времени суток! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В сегодняшней статье я хочу продолжить борьбу за дисковое пространство на RDS фермах, которое используют пользователи. В пошлый раз я вам показал, как можно уменьшить объем папки Windows на RDS сервере, сегодня мы еще подрежем места за счет профилей. В данной инструкции я подробно рассмотрю алгоритм внедрения дисковых квот для пользователей на файловой системе NTFS. Расскажу в каких случаях, это будет быстрее и правильнее, нежели разворачивать роль FSRM.
Постановка задачи
Есть один или два хоста в RDS или терминальной ферме. 20-30 пользователей работают на них. У пользователей профили локальные, хотя и могут быть перемещаемые, либо это могут быть перенаправляемые папки. Размеры профилей разные и могут стремиться к бесконечности, предположим, что у нас есть физические ограничения на дисковое пространство, которое выделено серверам и пользователи начинают активно выедать его. Перед вами встала задача ограничить их, тут есть три варианта решения данной задача:
- Вы уведомляете пользователей, что нужно привести свои профили в порядок и почистить, а дальше надеяться на их ответственность. Могу со 100% уверенностью сказать, что они просто проигнорируют это письмо.
- Вы настраиваете простое решение в виде NTFS квот, применимо для плоских сетей или нескольких серверов.
- Вы устанавливаете роль FSRM (File Server Resource Manager), нужна будет серверная операционная система.
Плюсы и минусы использования NTFS квот
Список плюсов:
- NTFS квотирование настраивается в любой операционной системе, будь то клиентская WIndows 7 или 10, или же это серверная Windows Server 2016
- Не требует отдельной лицензии, и является стандартной функцией операционной системы
- Быстрая настройка, буквально за несколько минут
- Применима в не доменных системах, где небольшое количество серверов, но так же легко реализуется и в Active Directory
- Легко настраивается с помощью групповых политик и централизованное управление в будущем
Список минусов:
- Когда вы включаете NTFS квотирование, то они включается ко всему тому (Разделу), который как вы понимаете должен быть отформатирован в файловую систему NTFS, в новомодной файловой системе ReFS, она работает только начиная с версии 1709.
- Нельзя применить квоту на группу или отдельную папку, для этих целей у Microsoft есть роль FSRM (File Server Resource Manager)
- Квоты будут применимы сразу ко всем учетным записям, в том числе и системным, это нужно учитывать, благо есть возможность произвести исключения для нужных людей
- Пересчет квот и занятого места у каждого пользователя в системе происходит один раз в час
- Уведомления пользователям, о подходе к порогу заполнения отсутствует, по умолчанию пишется только событие в журнал логов Windows, но при желании можно воспользоваться PowerShell и выводить всплывающие окна.
- Когда вы активируете сжатие (компрессию) на папке NTFS, то квотирование будет считать только оригинальный размер, в моем примере, это 14,9 мб.
Настройка и активация NTFS квот через графический интерфейс
Предположим у меня есть один терминальный сервер, где пользователи хранят свои профили и работают с удаленными офисными программами, и я хотел бы им ограничить, то дисковое пространство, которое они могут использовать. У меня есть локальный диск объемом 520 ГБ, я щелкаю по нему правым кликом и выбираю свойства, через которые я буду настраивать дисковые квоты Windows.
Переходите на вкладку «Квота», где вам необходимо активировать кнопку «Показать параметры квоты (Show Quota Settings)»
Логично, что квотирование по умолчанию отключено, чтобы активировать возможность настроек, поставьте галку «Включить управление квотами (Enable quota management)».
Перед внедрением NTFS квот, я вам рекомендую заранее предупредить всех пользователей, о будущих мерах, чтобы для них это не было сюрпризом
Теперь давайте я вам опишу каждую из настроек:
- Активация галки «Не выделять место на диске при превышении квоты (Deny disk space to users exceeding quota limit)» включит режим жесткого квотирования, это означает, что пользователь не сможет превышать выделенное ему на диске место, если же данная галка отключена, но пороги выставлены, то превышение и подход к пороговым значениям будет детектироваться в событиях Windows, но место дальше продолжится выделяться и пользователь сможет выходить за рамки настроенных пороговых значений NTFS квот.
- По умолчанию у вас будет стоять тумблер на пункте «Не ограничивать выделение места на диске (Do not limit disk usage)», тут думаю все понятно и без описаний, даже имея активную галку «Не выделять место на диске при превышении квоты» люди будут продолжать писать и лимитов у них не будет, за это как раз отвечает активация пункта три
- «Выделять на диске не более (Limit disk space to)» — тут все просто у вас будет один верхний порог и один нижний порог (Порог выдачи предупреждений (Set warning level to)), по которому уже будут срабатывать оповещения с предупреждениями в системном журнале. Обратите внимание, что тут вы можете задавать цифры и в мегабайтах и в петтабайтах.
- Регистрация превышения квоты пользователя (Log event when a user exceeds their quota limit) — тут все понятно, превысил квоту, то будет записано все журнал
- Регистрация превышения порога предупреждения (Log event when a user exceeds their warning level), превысил порог уведомления, будет сделана запись в просмотре событий
Во время внедрения и перед фильтрацией учетных записей в журнале квот, я вам рекомендую пока включать мягкое квотирование, это подразумевает, что не активна опция «Не выделять место на диске при превышении квоты», что позволит в случае превышения лимита, продолжить пользователям работать.
Я в своем примере выставил жесткое квотирование, верхний предел, который нельзя превышать я установил на значении 15 ГБ, лимит предупреждений я выставил на 12 ГБ. По мере очищения пользовательских профилей я со временем уменьшу эти цифры до 5 и 3 соответственно.
Нажав применить у вас появится окно с предупреждением:
Включить дисковые квоты следует только в том случае, если вы хотите использовать квоты для этого дискового тома. Когда система квот будет задействована, том будет просмотрен для обновления данных об использовании тома.
После применения я вам советую нажать кнопку «Записи квот (Quota Entries)»
У вас будет открыт журнал дисковых квот нужного вам тома. Система начнет подсчет всех учетных записей (Профилей), которые она смогла обнаружить, если записей много, то на некоторое время вы в место имен можете наблюдать пользовательские SID, они начинаются с S-1-5-21-, о сидах читайте по ссылке слева. Обратите внимание, что если у вас есть пользователи, кто превысил квоту, они будут выделены красным значком со статусом «Превышен предел».
Вам самому под свои обстоятельства нужно будет разобрать данный список, но я вам настоятельно рекомендую системные учетные записи вывести в белый список, чтобы на них не распространялись лимиты.
Системные записи исключения
- NT AUTHORITYСистема
- NT AUTHORITYLOCAL SERVICE
- NT SERVICETrustedinstaller
- NT AUTHORITYNETWORK SERVICE
- BULTINАдминистраторы
- IIS APPPOOL
Чтобы изменить настройки дисковых квот NTFS для нужной учетной записи, например увеличить ей лимиты или сделать еще более жесткие, вам необходимо щелкнуть по нужному профилю правым кликом и выбрать свойства.
Ставим для системных учетных записей пункт «Не ограничивать выделение места на диске», а то могут быть проблемы в системе с разными компонентами и программами.
В итоге у меня для специальных учетных записей получилось вот так. Те же действия вы можете выполнить и для обычных пользователей, например из руководства, кому либо вообще не нужны лимиты, что не правильно, либо же сделать их слегка побольше.
так же может быть ситуация, что есть пользователь который еще не входил на данный сервер, а значит его еще нет в списке записей в таблице квотирования. Вы хотели бы, чтобы у него были персональные квоты, отличающиеся от стандартных, в таком случае вы можете его добавить в ручную, для этого нажмите в левом углу кнопку «Квота» и выберите пункт «Создать запись квоты»
В окне добавления, отыщите нужную вам учетную запись, после чего назначьте ей персональные дисковые квоты.
Как посмотреть файлы профиля через записи квот
Я в очередной раз удивляюсь тупейшей логике компании Microsoft в плане реализации некоторых моментов. Предположим, что один из пользователей превысил квоту и вы хотели бы посмотреть, что именно у него в профиле. Логично, что вы можете воспользоваться утилитой DirStat и детально посмотреть, но логично, что в самом окне «Записи квот» должна быть такая функция, и вы никогда не догадаетесь, как она называется.
Вы должны выбрать пользователя, кликнуть по нему и выбрать пункт «Удалить», да да вы не ослышались, мать его Microsoft, где логика, а!
У вас откроется маленькое окно, в котором не то, что не особо видно сколько занимает, тот или иной файл, а его даже невозможно расширить. У вас тут будут доступны вот такие функции:
- Вы сможете безвозвратно удалить файлы
- Сможете сменить владельца, если нажмете эту кнопку на нужном файле или папке, то вы станете ее владельцем
- Переместить файлы или папки в нужное расположение
После выхода из этого окна у меня выскакивает подсказка:
Место на диске распределено для пользователя с выбранной учетной записью. Пользователи, которым распределено место на диске, не могут быть удалены
И тут до меня доходит, что если вы хотите реально удалить пользователя из таблицы «Записи квот», то у него в папке не должно быть ничего, для этого и получается, что можно либо отнять его файлы став владельцем, или же их удалить. Как понимаю, это сделано для устарелых профилей, логика странная, так как есть более правильные пути удалить пользователя.
Когда вы включили квотирование на томе с NTFS и создали белый лист с исключением, у вас у каждого пользователя появится вместо диска C: или того тома который он ранее видел, уже новый локальный диск, но он будет того объема, что вы ему выставили в максимальном пределе. У моего тестового пользователя, отдельная дисковая квота, верхняя планка лимита 400 МБ, а предупредительная 300 МБ, как видите в его отображении диск C: имеет размер 400 МБ.
Когда пользователь израсходует доступное ему дисковое пространство и если включены жесткие дисковые квоты на томе, то он получит вот такое предупреждение при попытке записать данные:
Недостаточно места. Для копирования этого объекта нужно место. Удалите или переместите файлы для освобождения места.
Тут у пользователя два выхода, это почистить свой профиль или же умолять системного администратора, чтобы тот увеличил ему лимиты.
Если посмотреть логи системы в просмотре событий, то в журнале система, вы обнаружите событие с кодом ID 36 NTFS
Пользователь достиг порогового значения квоты на томе C:
Вы увидите в строке пользователь, его логин в моем примете, это Барбоскин Геннадий Викторович.
И если пользователь у себя увидел предупреждение «Недостаточно места. Для копирования этого объекта нужно место. Удалите или переместите файлы для освобождения места», то в логах Windows вы обнаружите событие ID 37 NTFS:
Пользователь достиг предела квоты на томе C: (A user hit their quota limit on volume C:)
Особенности поведения настроек у NTFS квот
Теперь хотел бы поделиться некоторыми особенностями, с которыми я столкнулся в момент эксплуатации данного решения. Во первых, предположим, что на начальном этапе вы выставили общие настройки квот 15 предел и 12 предупреждение, через какой-то момент вы решили изменить их и изменили на 10 и 8, на вкладке «Квота», логично что они должны изменить уже существующие, но не тут то было. Когда вы зайдете в «Записи квот», то увидите, что там остались старые значения, это потому, что для Windows, они как бы более приоритетные, нежели общие.
Чтобы установить новые значения вам нужно выделить все записи, кроме системных, щелкнуть правым кликом и задать параметры по новой вручную
Второй момент на который я обратил внимание, это было то, что общее число записей в квотах отличалось от того, сколько было профилей в системе, 4600 против 263.
Если посмотреть файлы дисковых квот, через меню удалить, то можно понять, что за данные остались у такого профиля, вот примеры. Остался лог от SCCM по пути C:WindowsCCM. Зайдите в папку, отфильтруйте по дате изменения и удалите старые.
Так же хвосты могут оставаться в корзине данного профиля, по пути C:$RECYCLE, почистить корзину у всех пользователей на терминальной ферме можно скриптом, ссылка на него слева.
После этого у вас будут записи с используемым размером 0 байт и вы их легко удалите, через соответствующую кнопку.
Дисковые квоты пользователей на файловой системе NTFS через GPO
Как я и писал в начале статьи, данные настройки вы легко сможете реализовать через централизованный механизм правления политиками рабочих станций в домене Active Directoty, но с некоторыми ограничениями. Открывает оснастку «Управление групповой политикой» создаем новую политику и переходим к ее редактированию. В новой политике перейдите по пути:
Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаДисковые квоты
У вас будут вот такие пункты:
- Включить дисковые квоты — активация данного пункта, равно ценна простановки галки «Включить управление квотами». Если параметр включен, то пользователь уже не может его отключить локально из системы, галка не будет активной. Если вы отключаете этот параметр политики, то управление дисковыми квотами отключается, и пользователи не могут его включить. Если выставить «Не задано», то квот не будет и администраторы локально могут их переопределить
- Обеспечить соблюдение квоты — По сути, это активация галки жестких квот. Тут как и в первом случае, включение не позволит менять локально эти настройки, если стоит статус «Отключено», то место будет дальше выделять в мягком режиме. Не забываем, что данный параметр работает в совокупности с указанием порогов в другой настройке.
- Определить квоту и порог предупреждений по умолчанию — В данной опции вы задаете те пороговые значения с которых будет вестись предупреждения и запрет на выделение нового дискового пространства.
- Записать в журнал события при превышении квоты — простановка соответствующей галки на вкладке квот NTFS
- Записать в журнал событие, возникающее при превышении порога предупреждений квоты
- Применить политику к съемным носителям — Этот параметр политики распространяет действие политик дисковых квот, установленных для данной папки, на тома файловой системы NTFS съемных носителей. Если вы отключаете или не настраиваете этот параметр политики, политики дисковых квот, установленные для данной папки, применяются только к томам NTFS на несъемных носителях. Примечание. Если этот параметр политики включен, то дисковые квоты будут применяться и к съемным, и к несъемным носителям.
1.Хочу отметить, что если вы настраиваете дисковые квоты, через групповую политику, то учтите, что они будут применяться ко всем локальным дискам, без исключения
2. Так же обратите внимание, что у вас тут нет возможности настроить исключения для определенных учетных записей, например системных
Далее вы назначаете созданную политику на организационное подразделение, содержащее объекты компьютеров и обновляете политику, после чего у вас появятся новые значения дисковых квот на локальных дисках.
Еще хочу отметить, что есть подобная настройка исключительно для пользователей, по ограничению их профилей, находится эта политика по пути:
Конфигурация пользователяПолитикиАдминистративные шаблоныСистемаПрофили пользователей
Тут есть такой параметр «Ограничить размер профиля». Этот параметр политики устанавливает максимальный размер для каждого профиля пользователя и определяет реакцию системы при достижении профилем пользователя максимального размера. Этот параметр политики относится как к локальным, так и к перемещаемым профилям. Активация политики даст возможность подрезать размер пользовательских профилей до нужного размера, обратите внимание, что оно в килобайтах, не перепутайте. Есть возможность не учитывать файлы реестра, нужно ли уведомлять пользователя, что он превысил свой размер профиля. Что классное, вы можете задать нужный текст в окне уведомления и раздражающую частоту его появления.
Управление дисковыми квотами NTFS через командную строку
Многие вещи вы сможете выполнить и через командную строку, откройте ее от имени администратора и вызовите утилиту Fsutil.
Чтобы включить квоту диска на диске C:, команда будет выглядеть вот так:
На выходе вы получите активированные две галки «Включить управление квотами» и «Не выделять место на диске при превышении квоты»
Чтобы выключить дисковые NTFS квоты, выполните команду:
Чтобы включить мягкие квоты и просто детектировать события, имеет такая команда:
В итоге у вас активируется «Включать управление квотами», но не активируется «Не выделять место на диске при превышении квоты»
далее вы можете изменить лимитные пороги для нужного пользователя, в моем примере, это Барбоскин Геннадий. Предположим, что я хочу Гене дать порог предупреждения в 3 Гб, а потолок 5 ГБ. Делается это командой:
fsutil quota modify c: 3000000000 500000000 доменbarboskin.g (Если пользователь локальный, то пишем без домена)
Обратите внимание, что цифры тут задаются в байтах, поэтому столько нулей.
Чтобы посмотреть текущие квоты, вы можете выполнить команду:
Своего Геннадия я нашел, и видно все пороговые значения. Получить события из журнала событий, о превышении квот вы можете через команду:
Подробнее про fsutil quota читайте по ссылке (https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/fsutil-quota)
Получить частоту обновления (перерасчета) таблицы квот, по умолчанию это 1 час, число может быть от 0 до 4294967295 (https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/fsutil-behavior). Данные значения в секундах, учтите это.
fsutil behavior query quotanotify
На этом у меня все, остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель портала Pyatilistnik.org.