Обновлено: 05.10.2020
Опубликовано: 2016 год или раньше
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
Для тех, кто только начинает задумываться о развертывании, в данной статье описаны шаги по внедрению Server 2012 в пяти типовых применениях: в качестве контроллера домена (DC) Active Directory (AD), файлового сервера и как операционной системы узла для SQL Server 2012, Exchange 2013 или SharePoint 2013
Прошло уже некоторое время со времени выпуска Windows Server 2012, но лишь немногие компании развернули операционную систему в производственной среде. И здесь дело не в Server 2012, которая, на мой взгляд, значительно превосходит любую серверную операционную систему, выпущенную компанией Microsoft (и даже Windows Server 2008 R2). Скорее это отражает подход компаний к развертыванию серверных операционных систем. Промежуток между выпуском и широким внедрением на предприятиях серверной операционной системы может затянуться на несколько лет. В случае с Server 2012 задержка, вероятно, будет еще более длительной, учитывая отсутствие поддержки таких распространенных продуктов, как Microsoft Exchange Server 2010 и SharePoint Server 2010. Некоторые компании дождутся перехода на Exchange Server 2013 и SharePoint Server 2013, прежде чем внедрять Server 2012.
.
Сопоставление функциональных возможностей
Пользователям Server 2008 R2 не приходилось повторно задействовать установочный носитель после развертывания продукта. Процесс установки копирует в папку на локальном жестком диске все необходимые файлы для добавления компонентов. Если требовалось добавить новую роль (например, AD, фоновая интеллектуальная служба передачи BITS), то нужно было лишь запустить мастер.
Иное дело — Server 2012. Чтобы уменьшить место, занимаемое при установке Server 2012, специалисты Microsoft не стали размещать все роли и компоненты в файлах, копируемых при установке операционной системы. Поэтому для установки некоторых компонентов с помощью мастера добавления ролей и компонентов требуется доступ к установочному носителю. В частности, многие администраторы Server 2012 сталкиваются с трудностями при запуске функций. NET Framework 3.5.
При попытке установить эти функции выдается запрос для ввода альтернативного пути к источнику, как показано на экране 1. При наличии установочного носителя альтернативный путь к источнику — папка sourcessxs. Если компьютер подключен к интернету, то Server 2012 загружает нужные файлы прямо с сайта Microsoft. Также можно указать местоположение в сети, поэтому создание ресурса общего доступа и размещение на нем папки sxs избавит вас от поисков установочного диска.
Экран 1. Приглашение для ввода альтернативного пути к?источнику |
Администраторы Server 2012 могут устанавливать роли и компоненты с помощью мастера добавления ролей и компонентов или Windows PowerShell (команда Install-WindowsFeature). Если воспользоваться командой для установки. NET Framework 3.5, то необходимо указать в команде местоположение источника. Этим местоположением может быть папка sourcessxs на установочном носителе, доступный файл install.wim или параллельная установка Server 2012.
Например, если установочный носитель расположен на томе E, то можно установить функции. NET Framework 3.5 с помощью следующей команды PowerShell:
Install-WindowsFeature NET-Framework-Core -Source E:SourcesSxS
. NET Framework 3.5 часто вызывает проблемы, так как платформа необходима многим продуктам, функционирующим с Windows Server. Если экземпляр Server 2012 не подключен к интернету, необходимо держать под рукой установочный носитель.
Контроллер домена Active Directory
В предыдущих версиях Windows Server для преобразования компьютера в контроллер домена (DC) использовалась утилита dcpromo.exe. В Server 2012 процесс немного изменился. Многие шаги, например запуск adprep.exe для отдельной подготовки леса и домена, выполняются автоматически при развертывании DC. В AD появились многочисленные усовершенствования, в том числе углубленная поддержка виртуальных DC, клонирование DC и групповые управляемые учетные записи службы. В центре администрирования Active Directory появились инструменты, благодаря которым значительно упрощается процесс развертывания точных политик паролей и интуитивно понятный интерфейс для использования корзиной Active Directory. Более подробно об усовершенствованиях в AD рассказано в статье Microsoft «What’s New in Active Directory Domain Services (AD DS)» (http://technet.microsoft.com/en-us/library/hh831477.aspx).
Прежде чем развернуть роль DC на компьютере, нужно выполнить следующие действия.
- Назначить компьютеру статический адрес IPv4. Можно настроить DC с IP-адресом, назначенным через резервирование DHCP, но мастер установки порекомендует назначить статический адрес IPv4 на контроллере домена.
- Дать компьютеру имя. При установке Server 2012 компьютеру назначается случайно выбранное имя. Дайте ему понятное имя, которое описывает роль и местоположение компьютера. Например, первый DC в городе Мельбурне можно назвать Melbourne-DC-1.
- Определите, будет ли DC функционировать так же, как DNS-сервер и сервер глобального каталога (GC). Большинство администраторов развертывает роль DNS на контроллерах домена. Также можно настроить DC в качестве GC-сервера или включить кэширование членства в универсальных группах.
- Назначьте пароль Directory Services Restore Mode (DSRM). Пароль необходим для выполнения операций режима восстановления служб каталогов. Полезно иметь единый пароль для всех контроллеров домена в компании вместо отдельных паролей для каждого DC. Единые пароли обеспечивают более плавное выполнение операций восстановления, нежели при наличии собственных паролей DSRM у каждого контроллера домена.
Чтобы настроить Server 2012 в качестве DC, выполните следующие шаги.
- В консоли Server Manager откройте меню Manage («Управление») и выберите пункт Add Roles and Features («Добавить роли и компоненты»).
- На странице Select installation type («Выбор типа установки») выберите Role-based or feature-based installation («Установка ролей или компонентов»), как показано на экране 2.
- Из пула серверов выберите сервер, на котором нужно установить AD. Server 2012 позволяет управлять несколькими серверами одновременно, поэтому с помощью данного мастера можно развертывать такие роли, как AD DC на локальном или удаленном сервере.
- На странице Select server roles («Выбор ролей сервера») выберите Active Directory Domain Services («Доменные службы Active Directory»). После этого вы получите приглашение установить связанные средства администрирования удаленного сервера (если они еще не установлены локально).
- Нажимайте кнопку Next, пока не появится страница с кнопкой Install. Нажмите Install, чтобы установить двоичные файлы AD Directory Services. Нажмите кнопку Close для выхода из окна мастера добавления ролей и компонентов.
- На странице All Servers Task Details and Notifications щелкните Promote this server to domain controller («Повысить роль этого сервера до уровня контроллера домена»).
Экран 2. Страница типа установки сервера |
В результате всех этих действий устанавливаются компоненты AD, но компьютер не назначается контроллером домена. Для этого нужно выполнить следующие шаги.
- В консоли Server Manager откройте пространство имен AD DS, а затем выберите режим Configuration required for Active Directory Domain Services.
- В окне All Servers Task Details and Notifications, показанном на экране 3, выберите Promote this server to a domain controller («Повысить роль этого сервера до уровня контроллера домена»).
- На странице Deployment Configuration («Конфигурация развертывания») вам будет задан вопрос, нужно ли добавить DC к существующему домену, добавить новый домен к существующему лесу или добавить новый лес.
- На странице Domain Controller Options («Параметры контроллера домена»), показанной на экране 4, выберите функциональный уровень домена и леса. Кроме того, укажите, должен ли DC выполнять функции как DNS-сервер или GC-сервер (первый DC в организации всегда должен быть GC-сервером). Введите пароль DSRM.
- Если принято решение развернуть DC, предоставляется вариант создания делегирования DNS.
- Если создается новый лес или домен, то будет предоставлено автоматически сформированное имя NetBIOS для домена. При необходимости это имя можно изменить.
- На странице Paths («Пути»), показанной на экране 5, можно указать базу данных, файлы журнала и папку SYSVOL, используемые на контроллере домена. В большинстве случаев вполне приемлемы значения, выбранные по умолчанию.
- Рассмотрев параметры, можно изучить сценарий, выполняющий установку. На экране 6 показано использование команды Install-ADDSForest (PowerShell) для развертывания и настройки роли DC.
- После того, как выбраны параметры установки, выполняется обязательная проверка. Если она успешна, то можно установить роль DC. Сервер перезагружается, завершая повышение роли.
Экран 3. Страница All Servers Task Details and Notifications |
Экран 4. Страница параметров контроллера домена |
Экран 5. Страница путей |
Экран 6. Команда Install-ADDSForest (PowerShell) |
Файловый сервер
Роль файлового сервера — самая распространенная роль для компьютеров с Server 2012. Большинство компаний с клиентскими операционными системами Windows располагают, по крайней мере, одним файловым сервером.
При подготовке Server 2012 компания Microsoft приложила много усилий для усовершенствования протокола Server Message Block (SMB). Пропускная способность файловых серверов, функционирующих с Server 2012, значительно выше, чем у предшествующих версий Windows Server. Файловые серверы Server 2012 обслуживают больше клиентов, чем файловые серверы Server 2008 R2 и гораздо реже теряют работоспособность при интенсивной нагрузке. Более подробно об улучшениях в SMB 3.0 рассказано в статье Microsoft «Server Message Block Overview» (http://technet.microsoft.com/en-us/library/hh831795.aspx).
Помимо изменений протокола SMB, Server 2012 поддерживает пространства хранения данных, технологию создания гибких и отказоустойчивых виртуальных накопителей с использованием нескольких дисков. Пространства хранения встраиваются в операционную систему, поэтому для их применения не нужно добавлять никаких ролей или компонентов. Дополнительные сведения о пространствах хранения приведены в статье Microsoft «Storage Spaces Overview» (http://technet.microsoft.com/en-us/library/hh831739.aspx).
Развертывание роли файлового сервера
Роль файлового сервера входит в стандартную установку Server 2012, поэтому совместный доступ к файлам возможен сразу же после завершения установки. Однако требования большинства компаний более высокие, и в этом случае приходится развертывать несколько файловых серверов. На компьютерах с полной версией Server 2012 или экземпляром Server Core можно разместить следующие службы роли.
- File Server. Обеспечивает элементарный доступ к общим папкам. Эта роль устанавливается по умолчанию на компьютере Server 2012.
- BranchCache for Network Files. Наделяет сервер функциональностью BranchCache, позволяя хранить файлы на клиентах BranchCache в сети WAN.
- Data Deduplication. Сокращает место, занимаемое данными на диске, сохраняя лишь один экземпляр данных на томе.
- DFS Namespaces. Позволяет создавать пространства имен DFS.
- DFS Replication. Обеспечивает синхронизацию файлов между офисами филиалов.
- File Server Resource Manager. Позволяет создавать фильтры файлов, управлять квотами на уровне папок, строить классификации файлов и составлять отчеты хранилища.
- File Server VSS Agent Service. Позволяет приложениям хранить данные на файловом сервере, создавая моментальные снимки Volume Shadow Copy Service (VSS).
- iSCSI Target Server. Позволяет Server 2012 функционировать в качестве цели iSCSI.
- iSCSI Target Storage Provider (VDS и VSS). Если эта роль установлена, то приложения, подключенные к цели iSCSI на локальном сервере, могут создавать моментальные снимки VSS.
- Server for NFS. Позволяет Server 2012 функционировать в качестве NFS-сервера. В основном NFS используется клиентами Unix и Linux.
- Storage Services. Обеспечивает функциональность для управления хранением данных.
Дедупликация данных возможно только на томах, на которых не размещена операционная система.
Управление файловым сервером
Значительное изменение Server 2012 — централизация управления серверами файлов и хранения данных. В Server 2008 R2 требовалось использовать различные консоли для управления задачами, относящимися к файловому серверу. Например, отдельные консоли применяются для управления томами, общими ресурсами, целями iSCSI, фильтрами файлов и квотами. В Server 2012 все эти функции объединены в разделе File and Storage Services («Файловые службы и службы хранилища») консоли Server Manager, как показано на экране 7.
Экран 7. Файловые службы и службы хранилища |
Выберите элемент, с которым предстоит работать — например, тома, диски, общие папки или iSCSI — из списка объектов в левой части экрана. Затем можно управлять характеристиками этих объектов в правой части. Вспомните парадигму управления несколькими серверами в Server 2012; с помощью этой консоли можно управлять файловыми службами и службами хранилища на нескольких серверах, а не только на сервере, на котором выполнена локальная регистрация. Возможность просмотреть состояние общих папок и томов во всей организации из одной консоли гораздо эффективнее процесса, используемого в Server 2008 R2 и предыдущих версиях.
Чтобы создать общую папку, выполните следующие действия.
- В Server Manager щелкните File and Storage Services.
- В File and Storage Services нажмите кнопку Shares.
- Рядом с Shares щелкните Tasks, а затем New Share.
- В мастере New Share Wizard («Мастер создания общих ресурсов»), показанном на экране 8, выберите профиль файлового ресурса общего доступа.
Экран 8. Мастер New Share Wizard |
Для большинства случаев приемлем вариант SMB Share — Quick. Выбирая его, укажите местоположение общего ресурса, его имя, разрешения и нужно ли включить такие функции, как кэширование, перечисление на основе доступа, BranchCache и доступ к зашифрованным данным. Выбор режима SMB Share — Quick не мешает впоследствии настроить расширенные параметры, например квоты или фильтры файлов. Используйте параметры NFS, только предоставляя доступ к общим файлам клиентам Unix или Linux.
SQL Server 2012
Наличие SQL Server — обязательное условие для функционирования многих продуктов Microsoft, в том числе комплекса Microsoft System Center и SharePoint Server 2013. Можно установить SQL Server 2012 с пакетом обновления SP1 на компьютерах, работающих с версиями Server 2012 как с обычным графическим интерфейсом, так и Server Core. В отличие от таких продуктов, как SharePoint и Exchange, предыдущие версии SQL Server совместимы с Server 2012. Список редакций и версий SQL Server, совместимых с Server 2012, можно найти в статье Microsoft «Using SQL Server in Windows 8 and Windows Server 2012 Environments» (http://support.microsoft.com/kb/2681562). Здесь речь идет прежде всего об SQL Server 2012, так как скорее всего потребители будут развертывать новейшую версию SQL Server вместе с новой версией операционной системы Windows Server.
Требования SQL Server 2012:
- . NET Framework 3.5 SP1 и. NET Framework 4.0;
- PowerShell 2.0 или более новая версия (поставляется с Server 2012);
- Microsoft IIS (требуется, если устанавливаются службы отчетов SQL Server — SSRS).
Вместе с SQL Server 2012 обязательно поставляется средство проверки, которое позволяет обнаружить любые отсутствующие компоненты. SQL Server 2012 позволяет задействовать групповые управляемые учетные записи службы и виртуальные учетные записи. По умолчанию при установке на Server 2012 используются виртуальные учетные записи. Требования SQL Server 2012 к программному обеспечению и оборудованию перечислены в статье Microsoft «Hardware and Software Requirements for Installing SQL Server 2012» (http://msdn.microsoft.com/en-us/library/ms143506.aspx).
Развертывание SQL Server в конфигурации по умолчанию, в которой устанавливаются только ядро базы данных и минимальный набор инструментов управления, включает следующие шаги.
- На экране приветствия выберите New SQL Server stand-alone installation («Новая изолированная установка SQL Server») или добавьте компоненты к существующему экземпляру на вкладке Installation.
- Правила поддержки развертывания обеспечат выполнение основных требований к установке. Другая проверка на последующих этапах процесса оценивает требования к конкретным компонентам. Обновленные файлы установки могут автоматически загружаться с сайта Microsoft. Установочные файлы записываются, что позволяет выполнить следующие шаги в процессе установки.
- На следующем этапе процесса установки введите ключ продукта и примите условия лицензионного соглашения.
- На странице Setup Role («Роль установки») укажите, следует ли установить определенные компоненты, SQL Server PowerPivot для SharePoint или все компоненты с настройками по умолчанию. В большинстве случаев, например если SQL Server поддерживает другой продукт, такой как System Center 2012 Configuration Manager или Operations Manager, необходимо установить лишь несколько компонентов. Как и при работе с любым продуктом, следует устанавливать только необходимые компоненты, а не те, которые, по вашему мнению, могут пригодиться.
- На странице Feature Selection («Выбор компонентов»), показанной на экране 9, выберите компоненты, которые требуется установить. На экране 9 вы видите устанавливаемые службы компонента Database Engine. Устанавливаются также инструменты управления, которых не видно на этом экране.
- SQL Server выполняет другую проверку, чтобы определить, можно ли установить нужную конфигурацию или существуют непреодолимые препятствия.
- На странице Instance Configuration («Конфигурация экземпляра») выберите, нужно ли устанавливать SQL Server как стандартный или именованный экземпляр. Если на сервере уже установлены другие экземпляры, то они будут перечислены в этом диалоговом окне.
- Затем программа установки SQL Server порекомендует использовать набор учетных записей виртуальной службы по умолчанию. На этом этапе можно указать пользовательские учетные записи службы, но преимущество применения учетных записей виртуальной службы заключается в том, что операционная система управляет паролем учетной записи, обеспечивая его регулярную смену. Также можно указать схему сопоставления, используемую экземпляром SQL Server. Если экземпляр SQL Server устанавливается для того, чтобы поддерживать определенный продукт, следует выяснить, требуется ли продукту определенная схема сопоставления.
- На странице Database Engine Configuration («Настройка компонента Database Engine»), показанной на экране 10, выберите, кто из пользователей будет наделен правами администратора SQL Server. На этой странице также можно выбрать режим проверки подлинности. В большинстве современных приложений используется проверка подлинности Windows, но в некоторых старых программах применяется смешанный режим, что позволяет применять проверку подлинности SQL Server.
- На данном этапе все готово для установки SQL Server. Хотя для установки SQL Server не требуется перезагружать сервер, но в целом сделать это полезно. Затем воспользуйтесь средой SQL Server Management Studio для подключения к экземпляру и убедитесь, что все работает исправно.
Экран 9. Установка служб компонентов Database Engine |
Экран 10. Страница настройки компонентов Database?Engine |
Exchange Server 2013
Exchange 2013 можно устанавливать на компьютерах с операционной системой Server 2008 R2 или Server 2012. Чтобы подготовить AD к развертыванию Exchange 2013, необходимо установить. NET Framework 4.5 и Windows Management Framework 3.0. Обе платформы входят в состав установки Server 2012 по умолчанию; их не требуется устанавливать отдельно. Также необходимо развернуть средства администрирования удаленного сервера, связанные со службами AD Directory. Эти инструменты можно установить с помощью мастера добавления ролей и компонентов и выполнив следующую команду PowerShell:
Install-WindowsFeature RSAT-ADDS
Для Exchange 2013 также требуется, чтобы мастер схемы, сервер GC и, по крайней мере, один DC в каждом сайте функционировал с Windows Server 2003 с пакетом исправления SP2 или более новым. Функциональный уровень леса должен быть Windows Server 2003 или более новой версии. Можно с уверенностью сказать, что компании, готовящейся к развертыванию Exchange 2013 на Server 2012, необходима инфраструктура, соответствующая следующим требованиям.
Если вы намерены установить роли как сервера почтовых ящиков, так и клиентского доступа на компьютере с Server 2012, то сделать это можно, выполнив команду PowerShell, приведенную в листинге. Необходимо перезапустить сервер после выполнения команды. Затем требуется установить программные продукты (загружаются с сайта Microsoft) в следующем порядке:
- Microsoft Unified Communications Managed API 4.0, Core Runtime (64-разрядный);
- Microsoft Office 2010 Filter Pack (64-разрядный);
- Microsoft Office 2010 Filter Pack SP1 (64-разрядный).
После того, как эти компоненты загружены, можно установить Exchange 2013, выполнив перечисленные ниже действия.
- Запустите программу установки с установочного носителя. Будет выдан запрос для проверки обновленных установочных файлов, подтверждения лицензионного соглашения и решения о передаче сведений в Microsoft.
- На странице Server Role Selection («Выбор роли сервера»), показанной на экране 11, можно выбрать установку роли сервера почтовых ящиков или роли сервера клиентского доступа. Процедуру установки Exchange 2013 можно настроить, чтобы автоматически установить любые роли и компоненты, необходимые для поддержки Exchange, хотя лучше сделать это до запуска процедуры установки.
- Поступит запрос о местоположении установочных файлов Exchange и имени организации Exchange. Также можно применить разделенные разрешения AD, если нужно разделить администрирование AD и Exchange.
- Укажите, нужно ли отключить собственную функцию поиска вредоносных программ. Единственная причина это делать — использование стороннего продукта для защиты сервера Exchange.
- Процедура установки выполняет обязательные проверки и анализ. После того, как проверки пройдены, можно установить Exchange 2013. Если установлены средства администрирования удаленного сервера служб каталогов AD, любые приготовления AD перед развертыванием будут выполнены автоматически.
- После завершения установки можно убедиться в успехе установки, перейдя с помощью браузера в центр администрирования Exchange, показанный на экране 12. Ссылка на эту страницу дана на последней странице мастера установки.
Экран 11. Страница выбора роли сервера |
Если для управления Exchange 2013 используется браузер, то полезно закрепить адрес сайта центра администрирования Exchange на панели задач компьютера, на котором установлен Exchange 2013. Требования к Exchange 2013 перечислены в статье Microsoft «Exchange 2013 System Requirements» (http://technet.microsoft.com/en-us/library/aa996719.aspx).
SharePoint 2013
Существует много способов развертывания SharePoint 2013. Проще всего установить один сервер с использованием встроенной базы данных.
Средство подготовки продуктов SharePoint устанавливает роли, компоненты и дополнительные программные продукты:
Роль Web Server (IIS)
Роль Application Server
. NET Framework 4.5
SQL Server 2008 R2 SP1 Native Client
Microsoft WCF Data Services 5.0
Microsoft Information Protection and Control Client (IPC)
Microsoft Sync Framework Runtime v1.0 SP1 (x64)
Windows Management Framework 3.0 вместе с PowerShell 3.0
Windows Identity Foundation (WIF) 1.0 и Microsoft Identity Extensions (в прошлом WIF 1.1)
Windows Server AppFabric
Cumulative Update Package 1 для Microsoft AppFabric 1.1 для Windows Server
Для запуска этого инструмента запустите файл prerequisiteinstaller.exe из корневой папки установочного носителя SharePoint 2013. Если у вас нет копий всех необходимых локальных файлов наряду с ролями и компонентами, таких как SQL Server 2008 R2 SP1 Native Client, для успешного запуска инструмента необходимо соединение с интернетом. При запуске средства подготовки придется один или несколько раз перезагрузить компьютер. Средство подготовки продолжит работать после перезагрузки, пока все обязательные компоненты не будут установлены и активизированы.
После того, как обязательные компоненты установлены, можно установить SharePoint Server 2013, выполнив следующие действия.
- Введите ключ продукта SharePoint 2013 и подтвердите условия лицензионного соглашения.
- Выберите полную или автономную установку. Во втором случае устанавливается локальный экземпляр SQL Server 2008 R2 Express с пакетом обновления SP1; этот вариант не рекомендуется для производственной среды. Если выбрана полная установка, то требуется административный доступ к экземпляру SQL Server 2008 R2 SP1 или более поздней версии. В этой роли может функционировать установка SQL Server 2012, описанная выше.
- После завершения установки необходимо запустить мастер настройки продуктов SharePoint. Он запускается по умолчанию после завершения работы мастера установки.
- При выполнении мастера настройки и подготовке нового развертывания SharePoint 2013 создайте новую ферму серверов. Укажите местонахождение имени базы данных и учетной записи пользователя с административными разрешениями для этого экземпляра, как показано на экране 12.
- Настройте парольную фразу фермы. Эта фраза будет использоваться каждый раз при присоединении новых серверов к ферме SharePoint.
- На странице Configure SharePoint Central Administration Web Application («Настройка веб-приложения центра администрирования SharePoint») укажите номер порта для веб-приложения или положитесь на произвольный выбор. Можно также выбрать между проверкой подлинности NTLM и Kerberos (по умолчанию — NTLM).
Экран 12. Создание новой фермы серверов |
После завершения настройки можно подключиться к сайту SharePoint Central Administration, чтобы закончить настройку SharePoint 2013. В статье Microsoft «Hardware and Software Requirements for SharePoint 2013» (http://technet.microsoft.com/en-us/library/cc262485.aspx) перечислены требования к одному серверу SharePoint со встроенной базой данных.
Простое развертывание
Итак, теперь вы знаете, как развернуть типовые роли Server 2012. Я показал, как развернуть такие продукты, как Exchange 2013, SharePoint 2013 и SQL Server 2012, но не рассматривал действия после завершения установки, необходимые для настройки каждого из продуктов перед развертыванием в производственной среде. Развернуть эти роли и продукты на платформе Server 2012 просто. Нужно лишь изучить страницы с техническими требованиями на сайте TechNet и убедиться, что соответствующие роли и компоненты установлены или доступны перед началом развертывания.
Листинг. Команда PowerShell для установки ролей сервера почтовых ящиков и клиентского доступа
Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation
В одном из предыдущих постов я описывал технологию SMB Multichannel, являющейся частью протокола SMB 3.0. Продолжая обсуждение возможностей SMB 3.0, сегодня сфокусируемся на SMB Transparent Failover (прозрачной отработке отказа). Суть этой технологии, как следует из названия, – обеспечить прозрачное переключение SMB-приложений на другой узел отказоустойчивого кластера (failover cluster) в случае аппаратного или программного сбоя текущего узла. Поскольку SMB 3.0 реализован в Windows Server 2012 и Windows 8, все нижесказанное относится только к этим ОС.
Использование файлового хранилища вместо блочного
Изменения в SMB и файловых службах Windows Server 2012 привели к тому, что теперь вы можете располагать в общих папках на файловом сервере (в файловых шарах) данные серверных приложений, например, базы данных SQL Server или виртуальные жесткие диски Hyper-V. Подобные серверные приложения предполагаю, что их данные хранятся на надежных высокодоступных хранилищах. Соответственно, построив отказоустойчивый файловый кластер, или иными словами, развернув на кластере, созданном с помощью службы failover clustering, роль File Server, мы получаем некий универсальный высокодоступный ресурс, который можем задействовать для различных серверных приложений, использующих файловый доступ.
Возможность использовать файловое хранилище вместо блочного дает ряд преимуществ:
- Более простое управление. Вместо создания LUN-ов и зон, необходимо управлять обычными общими папками на файловом сервере.
- Гибкость. В настройках приложений для доступа к данным указывается UNC-путь. Можно динамически перемещать приложения в рамках ЦОД без изменений в конфигурации доступа к сети и хранилищу.
- Использование существующих инвестиций в сетевую инфраструктуру. Не требуется развертывание новых сетей СХД, используются существующие конфигурации.
- Экономия. Файловый доступ позволяет применять более дешевые конфигурации, когда это оправдано с точки зрения соотношения цена/производительность. Например, с помощью технологии Storage Spaces можно построить кластерное хранилище на основе SAS-дисков.
Что дает применение SMB Transparent Failover?
На файловом кластере Windows Server 2012 можно создать общие папки с признаком непрерывной доступности (continuous availability). Замечу, по умолчанию шары на кластере создаются как раз такого типа. И при подключении именно к таким шарам и применяется SMB Transparent Failover, причем применяться технология может в двух сценариях:
- плановое переключение на другой узел кластера, например, для выполнения каких-либо работ по обслуживанию аппаратного или программного обеспечения;
- отработка незапланированного отказа в случае сбоя узла.
И в том, и в другом сценарии переключение на другой узел кластера происходит
без потери приложением доступа к файлам
, хранящимся в общей папке на кластере.
Более того, если в сочетании с SMB Transparent Failover использовать еще одну технологию SMB 3.0, а именно SMB Scale-Out (это возможно, но необязательно), файловый кластер будет работать в режиме active/active, и помимо отказоустойчивости обеспечит балансировку нагрузки между всеми узлами кластера.
Каковы требования для работы SMB Transparent Failover?
Для использования SMB Transparent Failover должны выполняться следующие требования:
- Отказоустойчивый файловый кластер под управлением Windows Server 2012 с минимум двумя узлами.
- Одна или несколько общих папок, созданных на кластере с признаком continuous availability.
- Клиент под управлением Windows Server 2012 или Windows 8.
Далее мы рассмотрим, как технически реализована прозрачная отработка отказа, и как эта технология настраивается.
Как работает SMB Transparent Failover?
Основная проблема в отработке отказа в файловом кластере, скажем в Windows Server 2008 R2, заключалась в том, что при переключении на другой узел приложение теряло доступ к используемым файлам и папкам. Если речь идет об открытом с кластерной шары документе или презентации, то проблема быстро решалась открытием файла заново. Но, очевидно, для серверных приложений типа SQL Server такой вариант решения проблемы едва ли приемлем. Либо приложение должно предусматривать в своем коде обработку подобных ситуаций, либо требуется вмешательство администратора для переподключения приложения. Факт же в том, что отработка отказа не оставалась для приложения незаметным.
В SMB 3.0 в реализации SMB-клиента и SMB-сервера появились новые компоненты: Witness Client, Witness Service и Resume Key Filter.
Когда SMB-клиент подключается к общей папке, он определяет, установлен ли для этой папки признак непрерывной доступности. Если да, то папка располагается на кластере и для нее можно применять прозрачную отработку отказа. SMB-клиент открывает файл от имени приложения, предоставляет уникальный ключ (resume key) и запрашивает информацию о дескрипторе файла (persistent file handle) с SMB-сервера. Используя Resume Key Filter, SMB-сервер получает и предоставляет клиенту необходимую информацию. С этого момента resume key фактически хранит информацию о состоянии файла, а операции к файлу применяются в режиме write-through, чтобы избежать влияния кэша на изменения в файле.
В случае планового и незапланированного переключения на другой узел кластера SMB-клиент предоставляет SMB-серверу нового узла свой resume key. Благодаря полученной информации, SMB-сервер через Resume Key Filter обеспечивает согласованное состояние файла на момент, предшествующий сбою. Приложение на SMB-клиенте никак не участвует в этом процессе, не получает никаких сообщений об ошибках и испытывает лишь небольшую задержку в операциях ввода-вывода. Таким образом обеспечивается прозрачность отработки отказа.
Witness-клиент и Witness-сервис помогают ускорить переключение на другой узел кластер в случае незапланированного сбоя. При первоначальном подключении к кластерному узлу Witness-клиент, запущенный на том же компьютере что и SMB-клиент, получает список узлов кластера с Witness-сервиса, запущенного на узле, к которому произошло подключение. Затем Witness-клиент выбирает другой альтернативный узел кластера и посылает запрос Witness-сервису на этом узле. Как только происходит сбой, служба failover clustering оповещает об этом Witness-сервис альтернативного узла, который, в свою очередь, передает сообщение Witness-клиенту, а тот SMB-клиенту. Сразу после получения оповещения SMB-клиент начинает переподключение к альтернативному узлу кластера. Подобный подход избавляет от необходимости дожидаться TCP-таймаута и существенно ускоряет восстановление подключений к файлам после сбоя.
Настройка SMB Transparent Failover
Прежде всего необходимо создать Failover Cluster и на каждом его узле развернуть роль File Server. На этих шагах подробно останавливаться не буду, они не претерпели каких-либо принципиальных изменений в Windows Server 2012.
Предполагая, что кластер создан, необходимо теперь уже на нем поднять роль отказоустойчивого файлового сервера. Запускаем мастер…
и выбираем соответствующую роль.
Вот отсюда начинаются изменения по сравнению с предыдущими версиями Windows Server. Как можно заметить, появилась возможность помимо, скажем так стандартного файлового сервера, развернуть Scale-Out File Server. В последнем случае мы получим упомянутый мною файловый кластер в режиме Active/Active. Более детально речь о нем пойдет в одном из будущих постов. В данном же варианте оставим опцию по умолчанию – File Server for general use.
Задаем имя точки доступа для последующего обращения к файловому серверу и указываем IP-адрес.
Выбираем диск для нашего сервера,
проверяем еще раз настройки,
и убеждаемся, что роль файлового кластера успешно создана.
Следующий шаг – создать на кластере одну или несколько общих папок с признаком continuous availability. Для этого нам нужен пункт Add File Share.
И вот в этом окне – средний пункт SMB Share – Applications.
Проверяем, что выбран нужный сервер и том,
задаем имя шары и путь к ней (локальный или сетевой),
и на очередном шаге лишний раз убеждаемся, что необходимый признак непрерывной доступности для шары установлен.
При необходимости настраиваем разрешения.
Если нас все устраивает, то смело жмем кнопку Create
С точки зрения настроек, это все. Если подключиться к созданной общей папке VMs и запустить команду:
Get-SmbOpenFile | Select *
то на узле кластера, который обрабатывает данное подключение, в качестве отклика вы увидите что-то вроде
Обратите внимание на то, что параметр ContinuouslyAvailable имеет значение True.
Для того, чтобы осуществить плановое переключение на другой узел кластера, необходимо воспользоваться следующей командой:
Move-ClusterGroup –Name ft-fs-01 –Node ws2012-srv04
где параметр Name указывает имя кластерного ресурса (то есть кластерного файлового сервера), Node – имя узла кластера, на который происходит переключение кластерного ресурса.
Каким способом лучше проверить отработку незапланированного сбоя – решать вам.
Итак, технология SMB Transparent Failover обеспечивает прозрачное для приложения переключение на другой узел отказоустойчивого кластера в случае запланированных работ или незапланированного сбоя. В сочетании с SMB Multichannel мы получаем отказоустойчивость на уровне хранилища, канала связи, сетевого адаптера. Применение SMB Scale-Out позволит балансировать нагрузку между узлами кластера и более эффективно использовать мощности серверов, входящих в кластер. Правильно комбинируя возможности SMB 3.0, можно, таким образом, достигнуть требуемого уровня надежности и производительности серверной инфраструктуры.
Опубликовано
⏰ 05.07.2019
Приветствую Вас, уважаемые читатели. Сегодня у нас тема: «Файловый сервер Windows server 2012-16». Мы добавим необходимую роль, и рассмотрим функционал файлового сервера.
Установка Файлового сервера в Windows server 2012-2016
- Заходим в диспетчер сервера, и на панели мониторинга кликаем по «Добавить роли и компоненты».
Окно-памятка мастера установки.
- Жмём «Далее».
Выбор типа установки.
- Нам нужна «Установка ролей и компонентов».
- Жмём «Далее».
Выбор целевого сервера.
- Выбираем нужный сервер, или виртуальный жёсткий диск, из списка.
- Жмём «Далее».
Выбор ролей сервера.
- Выбираем в списке «Диспетчер ресурсов файлового сервера».
- Открывается окно, с необходимыми к установке компонентами.
- Жмём «Добавить компоненты».
- В окне выбора компонентов, жмём «Далее».
Подтверждение установки компонентов.
- Проверяем выбранные параметры, если всё верно, жмём «Установить».
- Закрываем окно по окончании установки.
- Заходим в средства администрирования.
- Выбираем «Диспетчер ресурсов файлового сервера».
Радел «Квоты».
- Тут можно настроить квоты, для дискового пространства, необходимой директории.
- Квоты можно создать на своё усмотрение, либо воспользовавшись, одним из шаблонов.
Раздел «Управление блокировкой файлов».
- Тут можно настроить фильтры, для добавления файлов определённого расширения, в ту или иную директорию.
- Блокировку можно настроить в ручную, либо выбрав один из готовых шаблонов.
Раздел «Управление ресурсами хранилища».
- Тут можно автоматизировать процесс управления хранилищем.
Раздел «Управление классификацией».
- Тут можно настроить классификацию файлов, для более удобной работы с ними.
Раздел «Задачи управления файлами».
- Тут можно создать задачи для работы с файлами.
Сегодня мы рассмотрели тему: «Файловый сервер Windows server 2012-16». Добавили роль, и сделали краткий обзор функционала.
Надеюсь статья была вам полезна. До встречи в новых статьях.
✍
С уважением, Андрей Бондаренко.
Видео на тему «Файловый сервер Windows server 2012»:
Видео на тему «Файловый сервер Windows server 2016»:
✧✧✧
Поблагодарить автора за полезную статью:
WMZ-кошелёк = Z667041230317
✧ Рубрика «Windows server»
✧ Комментарии: нет
Похожие записи
Дата: 06.02.2015 Автор Admin
В данной статье я расскажу как настроить отказоустойчивый файловый сервер на Windows Server 2012 R2 в домене Active Directory Первым делом убедитесь что сервер введен в домен Active Directory, далее установите роли DFS и файлового сервера
Выберите следующие роли и установите их.
Далее создайте структуру папок на отдельном диске.
Теперь включим общий доступ.
Выберите «расширенная настройка»
Далее выберите «Разрешения» и установите права как на скриншоте.
Теперь нам нужно создать структуру прав для наших каталогов в Active Directory.
Для начала рассмотрим из чего состоит наша файловая структура.
Теперь на ее основе создадим в Active Directory OU — File Sharing
Переходим в консоль пользователи и компьютеры, и создаем OU
Аналогичным путем создадим структуру наших папок
Теперь создадим комплекты прав.
Начнем мы с верхних папок.
Создадим 2-е локальные группы с правами RW и RO , и 2-е глобальные группы с правами RW и RO, и одну локальную L группу для листинга.
Разберем почему именно так.
В глобальных группах хранятся пользователи, для правильной работы глобальные группы входят в локальные.
Локальные группы назначаются на папки. Их членами являются глобальные группы.
Локальные группы лучше использовать если у вас 1 домен, если доменов несколько и между ними настроено доверие нужно использовать универсальные группы.
Рассмотрим на практике, создадим комплект прав для папки Office_Files.
Создадим 2-е глобальные группы :
GD-Office_Files-RO
GD-Office_Files-RW
Создадим локальные группы:
LD-Office_Files-RO
LD-Office_Files-RW
LD-Office_Files-L
Глобальные группы входят в локальные
Теперь настроим права на папке.
Откройте свойство папки и выберите вкладку безопасность
Добавьте созданные локальные группы
Расставьте права на чтение и запись
Теперь нажмите кнопку «Дополнительно»
Теперь нужно установить права на листинг
Выберите L группу и нажмите изменить
Теперь установите параметры как на скриншоте ниже
Обратите внимание что мы даем доступ только на листинг и только для данной папки.
Это нужно для того чтобы пользователь получивший права на папку не смог попасть в каталоги ниже если у него нет соответствующих прав.
Для корректной работы добавим в эту группу пользователей домена, чтобы они могли видеть корень каталога.
Также отключите наследование прав от корневого каталога диска.
По аналогии настроим права на каталог Moscow.
Создадим группы:
GD-Moscow-RO
GD-Moscow-RW
LD-Moscow-RO
LD-Moscow-RW
LD-Moscow-L
В Active Directory это должно выглядеть так:
Теперь настроим права на папку:
Настроим листинг.
Теперь настроим нижний каталог — HR.
Создаем группы по аналогии.
GD-MoscowHR-RO
GD-MoscowHR-RW
LD-MoscowHR-RO
LD-MoscowHR-RW
Должно получится так
Теперь добавим группы GD-MoscowHR-RO и GD-MoscowHR-RW в группу LD-Moscow-L
Это нужно для того чтобы пользователи у которых нет прав на папку Moscow могли попасть во вложенную папку HR.
При этом открывать файлы в папке Moscow они не смогут.
Настроим права на папку.
По аналогии создадим права на остальные папки.
Теперь добавим пространство имен.
Откроем консоль DFS и создадим пространство имен.
Указываем наш сервер.
Указываем название пути DFS.
Включаем режим 2008.
Создаем пространство.
Теперь создадим папку.
Далее указываем путь к папке. Путь можно посмотреть тут, выбрав «open share».
Создаем папку.
Теперь по данному пути — \test.comofficeOffice Мы видим нашу общую папку.
Теперь если добавить пользователя в группу GD-MoscowHR-RW, он сможет попасть в папку HR, но не сможет открывать или редактировать файлы в папке Moscow.
В другие папки пользователь тоже попасть не сможет.
Если мы добавим пользователя в группу GD-Moscow-RW, он будет иметь доступ на всю папку Moscow, на чтение и запись.
Если мы добавим пользователя в группу GD-Office_Files-RW, он получит доступ ко всем каталогам.
Теперь рассмотрим настройку ABE.
Создайте следующую структуру в Active Directory.
Откройте общий доступ к папке.
Настройте права на папках.
И так далее.
Теперь создайте папку в DFS.
Должно получится так.
Теперь включим ABE.
В диспетчере сервера откройте «Файловые службы» — «Общие ресурсы».
Выберите каталог IT, и нажмите свойства.
Далее выбираем параметры, и включаем функцию — «Перечисление на основе доступа».
Особенность функции ABE в том что она проверяет права пользователя до того как нужно показать папки в проводнике.
Другими словами, пользователь видит только те папки на которые у него есть права.
Для примера дадим пользователю support права на папку Support (добавим его в группу — GD-IT-Support-RW)
Теперь перейдем по пути — \test.comofficeIT
Как видите пользователь видит только папку Support.
Если мы добавим его в группу GD-IT-NetAdm-RO , то у него появится папка Network administrators с правами на чтение.
На этом настройка ABE закончена.
Учтите, что если в вашей файловой структуре нужно давать права пользователям на под каталоги, минуя корневые папки, то ABE вам не подойдет, т.к. ABE просто скроет от пользователя корневую папку, через которую пользователь попадает в подкаталог.
Перейдем в оснастку — Диспетчер ресурсов файлового сервера.
Настроим квоты.
Настроим мягкую квоту для папки Office_Files.
Настроим жесткую квоту для папки Support.
Теперь настроим блокировку файлов для папки Office_Files.
Выберем типы файлов, которые мы будем блокировать.
Настроим отправку сообщений по электронной почте.
Включим журнал.
Включим отчеты.
Учтите, без SMTP сервера отправка отчетов работать не будет.
Если вы хотите изменить группы файлов, то это можно сделать тут:
Создадим задачу управления файлами.
Представим что у нас есть папка Exchange. в которой пользователи обмениваются файлами.
Нам нужно сделать так, чтобы раз в период данная папка очищалась, а удаленные данные перемещались в папку Temp
Создаем задачу.
Задаем имя задачи.
Задаем путь и область.
Задаем свойства управления папками.
Задаем срок действия папки.
Настраиваем уведомление.
Задаем условие.
Настраиваем расписание.
Готово!
Теперь перейдем к настройке репликации.
Настройте сервер реплику (роли и доступы), введите его в домен.
Создаем на сервере реплике общую папку и отключаем наследование.
Назовем ее Office_Files, она будет репликой папки — Office_Files с основного файлового сервера.
Переходим на основной файловый сервер, и открываем консоль DFS.
Выбираем пространство имен, которое хотим реплицировать, и выбираем пункт «Добавить конечный объект папки».
Указываем общую папку со 2-го сервера.
На вопрос о создании группы репликации отвечаем — да.
Оставляем заполненное по-умолчанию.
Проверяем что указаны 2-а наших сервера, основной и резервный.
Указываем основной сервер.
Выбираем топологию — полная сетка.
Выбираем пропускную способность канала между серверами.
Проверяем все, и выбираем — создать.
Если все прошло успешно, то вы увидите это:
Для отказоустойчивости добавим пространство имен для отображения, на 2-м нашем сервере.
И выберем наше пространство имен.
Должно получится так.
Теперь добавьте 2-й в «серверы пространства имен» на основном сервере.
Теперь пространство имен будет доступно на 2-х серверах.
Также обратите внимание, что настройки диспетчера ресурсов файлового сервера, настройки ABE, не реплицируются на 2-й сервер.
Настройку данного сервера нужно будет производить заново.
Также помните, что DFS репликация файлов работает по принципу — кто последний тот и прав.
Например, если 2 пользователя одновременно отредактируют или создадут один и тот же файл, то DFS реплицирует тот файл, который был создан последним.
А предыдущий файл будет сохранен в папке DfsrPrivateConflictandDeleted на сервере разрешившем проблему.
На этом все! Удачной настройки!
Related posts:
Содержание
Роль File and Storage Services
Дополнительные службы и компоненты роли
Добавление ролей к роли File and Storage Services
Создание общих ресурсов
Создание общих ресурсов с помощью диспетчера серверов
Создание общих ресурсов на удаленных компьютерах с помощью
диспетчера серверов
Публикация общих ресурсов в Active Directory
Управление разрешениями
Разрешения NTFS
Разрешения общего доступа
Сходные черты разрешений общего доступа и разрешений NTFS
Модификация разрешений общего доступа и NTFS
Объединение разрешений общего доступа и NTFS
Подключение к общим ресурсам
Конфликт между наборами учетных данных
Использование команды net use в сети WAN
Распространенные общие ресурсы
Диспетчер ресурсов файлового сервера
Создание политик квот
Создание политик блокировки файлов
Генерация отчетов
Параметры File Server Resource Manager
Протокол SMB 3.0
Совместимость с версиями SMВ 2.0 и SMB 1.0
Безопасность SMB
Внедрение Bitlocker
Что нового в BitLocker
Требования к оборудованию
Включение BitLocker
Использование автономных файлов / кеширования на стороне клиента
Как работает Offiine Files
BranchCache
Включение средств а Offiine Files на сервере
Одной из основных функций любого сервера является обслуживание ресурсов,
таких как файлы и папки. В Windows Server 2012 R2 роли File Services (Службы
файлов) и Storage Services (Службы хранилища) были объединены в одну роль под названием File and Storage Services (Службы файлов и хранилища). Эта роль устанавливается по умолчанию; однако любые дополнительные роли, которые обслуживают File and Storage Services, понадобится добавить посредством мастера в диспетчере серверов.
Роль File Services включает службы роли наподобие диспетчера ресурсов
файлового сервера (File Server Resource Manager — FSRM), службы для сетевой файловой системы (Network File System — NFS), обеспечивающие поддержку клиентов Unix, службу поиска в Windows (Windows Search) и службу BranchCache для удаленных офисов.
Теперь, когда роль Storage Services доступна в сочетании с ролью FileServices, в Windows Server 201 2 R2 предлагается несколько новых и усовершенствованных ролей и компонентов, в том числе дедупликация (Dedup1ication), пространства хранения (Storage Spaces) и пулы хранения (Storage Pools), которые еще более
улучшают эту версию Windows Server.
Когда вы планируете совместное использование файлов и папок, важно пони
мать не только то, как открыть общий доступ к данным, но также и то, как защитить их с помощью разрешений, включая разрешения файловой системы New Technology File System (NTFS) и общего доступа. Хотя оба набора разрешений применяются независимо, они обеспечивают накопительный эффект, предоставляя множество уровней расширенных параметров безопасности. Вы должны быть в состоянии быстро определить, какие окончательные разрешения имеет пользователь, который обращается к общему ресурсу через сеть. И если вы хотите защитить целые жесткие диски, то по-прежнему можете применять компонент BitLocker Drive Encryption
(Шифрование диска BitLocker), чтобы шифровать их содержимое, как это дела
лось в Windows Server 2008 R2. Одной из наиболее заметных новых возможностей
в шифровании дисков Windows Server 2012 R2 являются новые опции BitLocker
Dгive Encryption. Теперь можно использовать опцию Encrypt used disk space only
(Шифровать только использованное пространство диска). Больше не нужно ждать
часами, пока завершится шифрование целого тома, в то время как занята только не большая часть общего пространства на диске. Новые возможности BitLockeг более подробно рассматриваются ближе к концу этой главы.
Лежащим в основе протоколом, который обрабатывает передачи файлов, явля
ется SMB (Serveг Message Block — блок сообщений сервера), который в Windows
Serveг 201 2 был модернизирован до версии 3.0. Протокол SMB 3.0 поддерживает
много новых функций, которые превращают файловые обшие ресурсы в фундамент
для небольших и средних компаний. Этот стек протоколов обеспечивает ряд зна
чительных преимушеств при передаче файлов по сети — при условии подключения
к правильным видам клиентов. При подключении к унаследованным машинам по
прежнему будут применяться версии SMB 1 .0 и SMB 2.0, со всеми присущими им
проблемами. В настоя шее время только Windows 8 и семейство Windows Serveг 2012 могут извлечь полную выгоду от новых функций SMB 3.0, которые будут обсуждаться в этой главе.
В этой главе вы изучите следуюшие темы:
• установка на сервере дополнительных ролей File and Stoгage Services;
• объединение разрешений обшего доступа и NTFS;
• внедрение BitLockeг Drive Encryption.
Роль File and Storage Services
Роль File and Storage Services комбинирует множество файловых технологий и
технологий хранения, которые оказывают администраторам содействие в настройке
файловых серверов для их организации. Стандартная установка сделает возможным базовое администрирование функционаJ1ьности хранилища с применением диспетчера серверов или PoweгShell, но для построения подходяшего файлового сервера желательно установить роль File Server (Файловый сервер) наряду с другими важными ролями вроде File Serveг Resouгce Manageг (Диспетчер ресурсов файлового сервера) и DFS Replication (Репликация DFS). Дело вовсе не в том, что файловая система DFS требуется все время — но она определенно может быть великолепным дополнением, когда необходима репликация для обеспечения доступности или репликация между географически разбросанными местоположениями. Важно иметь план и конечную цель для серверных ролей. Постарайтесь получить максимальную отдачу от первого прохода мастера за счет соответствующего планирования. Мы будем добавлять роли в следующем разделе.
Основной компонент любого сервера — его способность к совместному исполь
зованию файлов. На самом деле служба Server (Сервер) во всем семействе операционных систем Windows Serveг (включая Windows Server 201 2 R2) обрабатывает базовые возможности сервера по обшему доступу к файлам и печати. Но что именно это значит и почему оно настолько важно’? По умолчанию одно лишь наличие функционируюшего сервера вовсе не означает доступность любых ресурсов лля пользователей. Прежде чем они смогут действительно работать с ресурсами, к этим ресурсам
должен быть открыт обший доступ.
Когда вы открываете общий доступ к этой папке через сеть под именем Apps,
вы разрешаете клиентам отображать новую букву диска на своих машинах на вашу
папку F: Apps. За счет такого отображения вы помещаете виртуальный указатель
прямо на удаленный диск. Если вы отображаете диск м клиента на общий ресурс
Apps сервера, то диск м будет выглядеть идентичным папке F: Apps сервера, как показано на рис. 1 3.2.
Не беспокойтесь; позже в этой главе м ы объясним, как создавать такой об
щий ресурс и подключаться к нему. Это все, что действительно нужно сделать.
Совместное использование ресурсов означает, что вы позволяете пользователям обращаться к этим ресурсам из сети. Никакой реальной обработки со стороны сервера не производится; он просто раздает файлы и папки в том виде, как они есть.
дополнительные службы и компоненты роли
Диспетчер серверов (Server Manager) — это одиночная консоль, включающая
множество разделов, которые могут применяться для управления различными сер
верными ролями, в том числе ролью File and Storage Services. Роль Fie and Storage Services в Windows Server 201 2 R2 позволяет делать намного больше, чем просто открьшать общий доступ к папкам. Роль File and Storage Services включает несколько дополнительных служб роли.
• File Server (Файловый сервер). Это главная служба роли, требуемая для поддержки роли File and Storage Services. Данная роль предоставляет возможность создания и управления общими ресурсами наряду с разрешением пользователям открывать совместный доступ и обращаться к файлам, доступным в сети.
Хорошей характеристикой службы роли File Server является то, что она авто
матически добавляется при открытии общего доступа к какой-либо папке. Эта
служба роли использует новый протокол SMB 3.0, который более подробно
обсуждается ближе к концу главы.
• Distrlbuted File System (Распределенная файловая система). Служба роли
Distributed File System (DFS) включает роли DFS Replication (Репликация
DFS) и DFS Namespaces (Пространства имен DFS) и более подробно раскры
вается в главе 14.
• Data Deduplication (Дедупликация данных). Служба роли Data Deduplication
(Dedup) позволяет сохранять больше дискового пространства за счет обнару
жения и устранения дублирования внутри файлов данных. Вместо хранения
множества копий идентичных файлов место занимает только одна копия, а все
дубликаты ссылаются на нее. Основная идея Data Deduplication — сохранить
больше данных внутри меньшего пространства, разделяя файлы на небольшие
блоки, идентифицируя дубликаты и затем поддерживая единственную копию
этих дубликатов. Дедупликация в Windows Server 201 2 R2 теперь является основанной на блоках на уровне самой операционной системы; во многих решениях от поставщиков хранилищ применяется дедупликация, основанная на файлах, на уровне хранилища. Многие люди задаются вопросом, какую экономию дискового пространства они могут ожидать мя разных типов файлов. В табл. 13. 1 приведены некоторые впечатляющие показатели, полученные в результате тес
тирования в испытательной среде. Эти тесты могут быть до некоторой степени
оптимизированы для достижения лучшей производительности.
• File Server Resource Manager (Диспетчер ресурсов файлового сервера). Служба
роли File Server Resource Manager (FSRM) предоставляет развитый набор до
полнительных инструментов, которые можно использовать для управления
хранилищем данных на сервере, включая конфигурирование квот, определе
ние политик блокировки файлов и генерация отчетов по хранилищу.
Таблица 13.1. Экономия хранилища, обеспечиваемая дедупликациеи
в испытательном среде
Общие файлы
Документы
Библиотека приложения
Библиотека VHD
ЭКОНОМКА
Экономия 56 пространства при включенной дедупликации
Экономия 35 пространства при включенной дедупликации
Экономия 780 пространства при включенной дедупликации
Экономия 80-95% пространства при включенной дедупликации
В разделе «Диспетчер ресурсов файлового сервера» далее в главе рассматрива
ются нововведения, привнесенные в FSRM версией Windows Server 2012 R2.
• Network File System (Сетевая файловая система). Эта служба позволяет предоставлять доступ к файлам из клиентских компьютеров Unix и других машин, которые могут взаимодействовать с применением Network File System (NFS).
Операционная система Windows Server 2012 R2 проделала действительно дол
гий путь со времен Windows Server 2008, предложив в этой серверной редак
ции впечатляющее решение с кластеризированной реализацией. В Windows
Server 2012 обеспечивается гладкий обход отказа для клиентов смешанного
режима в кластеризированной среде. Признавая потребность в росте виртуа
лизированного мира, в Microsoft спроектировали службу NFS специально для
кластеризироDанных виртуальных сред, где непрерывность ввода-вывода под
держивается независимо от операции, выполняемой во время отказа. Теперь
используется NFS версии 4.1 , делая реализацию NFS самой надежной и простой для развертывания в рамках семейства Windows Server.
В Windows Server 2012 R2 также появилось несколько новых командлетов
PowerShell, предназначенных для NFS. Чтобы получить полный их список, запустите командлет Get-Coпunand -Module NFS. Как вы увидите, доступны ко
мандлеты практически для любого действия, которое нужно выполнять с NFS.
Для получения информации о синтаксисе или об отдельной команде приме
няйте любой из следующих командлетов:
• Get-Help <имя командлета> -Detailed
• Get-Help <имя команд.лета> -Examples
• Get-Help <имя команд.лета> -Full
• Storage Senices (Службы хранилища). В Windows Server 2012 R2 добавлены
замечательные компоненты, входящие в состав Storage Services. Они теперь
включают пространства хранения и пулы хранения. За счет объединения
Storage Services с Data Deduplication в Windows Server 2012 R2 теперь можно не только предоставлять, но также и составлять конкуренцию службам, которые обычно требуют отдельной сети хранения данных.
• File Server VSS Agent Senice (Служба агента VSS файлового сервера). Когда включена, эта служба роли позволяет выполнять теневое копирование приложений, которые хранят данные на вашем файловом сервере. Новый в Windows Server 2012 компонент VSS for SMB File Shares (VSS для файловых общих ресурсов SMB) позволяет строить резервные копии во время записи актуальных данных на общие ресурсы SMB. Предшествующие версии VSS разрешали работу теневого копирования только на локальных томах.
• iSCSI Target Server (Целевой сервер iSCSI). Эта служба роли представляет собой серверный компонент, который предлагает блочное хранилище другим
серверам и приложениям в сети. Она содержит все инструменты управления,
необходимые для целей iSCSI.
Целевой сервер запускает цель iSCSI через сеть Ethernet без необходимости в развертывании какого-то дополнительного оборудования. Эта служба роли поддерживает неоднородное хранилище, что позволяет Windows Server совместно использовать его в смешанной программной среде, утилизируя разнообразные типы инициаторов iSCSI.
Данной службой роли можно управлять с применением нового графического пользовательского интерфейса, интегрированного в диспетчер серверов, или новых командлетов Windows PowerShell, включенных в Windows Server 2012 R2.
• BranchCache for Network Files (BranchCache для сетевых файлов).
Средство BranchCache может использоваться в среде с несколькими сайтами, чтобы позволить компьютерам в офисах филиалов кешировать общие загружаемые
файлы. Компонент BranchCache должен быть включен на общей папке. Вы
увидите, как это делается, в разделе «Использование автономных файлов / ке
ширования на стороне клиента» далее в главе.
ДОБАВЛЕНИЕ РОЛИ FILE SERVER ПРИ ОТКРЫТИИ ОБЩЕГО ДОСТУПА К ПАПКЕ
Если вы просто применяете проводник Windows для открытия общего доступа к папке, то роль F i l e Server добавляется автоматически. Вы не обязаны добавлять эту роль с использованием диспетчера серверов.
Тем не менее, когда вы планируете задействовать любые дополнительные роли, то должны добавлять их с помощью мастера добавления ролей и компонентов (Add Roles and Features Wizard), доступного в диспетчере серверов.
добавление ролей к роли File and Storage services
Для добавления ролей к роли File and Storage Services выполните следующие
шаги.
1 . Запустите диспетчер серверов, щелкнув на значке Server Manager (Диспетчер
серверов) в панели задач или на плитке Server Manager на экране Start (Пуск),
как показано на рис. 13.3.
2. На вкладке Dashboard (Управляющая панель) щелкните на ссылке Add Roles
and Features (Добавить роли и компоненты), как показано на рис. 13.4.
3. Мастер добавления ролей и компонентов (Add Roles and Features Wizard) прове
дет вас по остальным действиям процесса. Просмотрите информацию на экра
не Before you begin (Прежде чем начать) и щелкните на кнопке Next (Далее).
4. На экране lnstallation Туре (Тип установки) по умолчанию выбран переключа
тель Role-Based ог Feature-Based installation (Установка на основе ролей или
на основе компонентов). Второй переключатель, Remote Desktop Services
installation (Установка служб удаленного стола), касается служб роли для развертывания VDI (Yirtual Desktop Infrastructure — инфраструктура виртуальных рабочих столов). Оставьте выбор по умолчанию и щелкните на кнопке Next.
5. На экране Server Selection (Выбор сервера) выберите сервер, к которому необходимо добавить службы роли, и щелкните на кнопке Next.
6. На экране Server Roles (Серверные роли) выберите следующие службы роли
(рис. 13.5): File Server, File Server Resource Manager и BranchCache for Network Files. Щелкните на кнопке Next.
Теперь, когда службы роли выбраны, наступило время установить любые до
полнительные компоненты, которые помогают в поддержке этих служб ролей.
На выбор доступны многие полезные компоненты.
Ролью считается крупная функция сервера, тогда как компонент — это пакет дополнения меньшего размера, который обычно предоставляет добавочную поддержку
для основной роли. Основные роли могут включать Active Directory, DNS и DHCP.
Компоненты, подобные PowerSheП, Windows Server Backup (Резервное копирование
Wmdows Server) и Remote Ass istance (Дистанционный помощник), обеспечивают допол
нительную функuиональность, помогая эфф ективнее управлять серверными ролями.
7. Для примера давайте установим компоненты BitLocker Drive Encryption,
BranchCache и Enhanced Storage (Расширенное хранилище). Вы заметите, что вы
бор BitLocker Drive Encryption приводит к автоматическому выбору для установки также и компонента Enhanced Storage (рис. 13.6). Щелкните на кнопке Next.
8. Просмотрите информацию на экране Confirmation (Подтверждение), удостове
рившись в том, что ничего не упустили из виду.
Мастер аккуратно отображает все выбранные роли, компоненты и поддерживающие их инструменты. На этом экране присутствует несколько дополнительных опций, которые вы можете счесть полезными: Restart the destination server automatically if required (При необходимости автоматически перезапускать целевой сервер), Export configuration settings (Экспортировать настройки конфигурации) и Specify an alternate source path (Указать альтернативный исходный путь).
Рис. 1 3.6. Выбор дополнительных компонентов для служб роли
9. Щелкните на кнопке lnstall (Установить).
Финальным экраном мастера является Results (Результаты). Здесь отобразит
ся индикатор хода работ по установке. Если вы хотите закрыть этот экран и
выйти, задача будет выполняться в фоновом режиме. Вы всегда можете про
смотреть детальные сведения о задаче в панели задач, щелкнув на значке
Notifications (Уведомления).
10. После успешной установки перезагрузите сервер вручную, или если вы отме
тили флажок Restart the destination server automatically if required на экране Confirmation, то сервер перезагрузится по завершении процесса установки.
Теперь диспетчер серверов включает все роли и компоненты, которые были установлены во время выполнения упражнения. Открыв диспетчер серверов и перейдя на вкладку Dashboard, вы можете просмотреть и воспользоваться установленными ролями и компонентами, щелкая на инструментах и выбирая желаемые ресурсы.
Компоненты File SeNer Resource Manager показаны на рис. 1 3.7.
создание общих ресурсов
Проuесс создания общих ресурсов в этой редакции сервера претерпел ряд интересных изменений. Похоже, что практически все имеет мастер, проводящий нас по задачам и действиям. Существует множество разных способов создания общих ресурсов, которые обсуждаются в данной книге повсеместно. В этом разделе мы сосредоточим внимание на создании обших ресурсов с помошью диспетчера серверов.
Независимо от применяемого метода, на компьютере, где создаются обшие ресурсы, вы должны иметь права пользователя Administrator (Администратор) или Power User (Опытный пользователь).
После создания общий ресурс можно опубликовать в Active Directory, чтобы
упростить пользователям его нахождение. В этом разделе вы научитесь создавать общие ресурсы с использованием диспетчера серверов и публиковать их в Active Directory.
Создание общих ресурсов с помощью диспетчера серверов
Добавлять общие ресурсы в диспетчере серверов относительно просто. На вклад
ке Shares (Общие ресурсы) для роли File and Storage Services доступен мастер созда
ния общеrо ресурса (New Share Wizard), который помогает выполнить эту задачу.
1. Запустите диспетчер серверов, если это еще не сделано, щелкнув на значке
Server Manager (Диспетчер серверов) в панели задач или на плитке Server
Manager на экране Start (Пуск).
2. Выберите роль File and Storage Services и затем вкладку Shares (Общие ресурсы).
3. Щелкните правой кнопкой мыши на области местоположения общей пап
ки и выберите в контекстном меню пункт New Share (Создать общий ре
сурс). Можно также выбрать пункт New Share в раскрывающемся меню Tasks
(Задачи). В любом случае запустится мастер создания общего ресурса, как по
казано на рис. 13.8.
На первом экране мастера, Select Profile (Выбор профиля), предоставляется
возможность выбрать профиль протокола для применения при создании об
щего ресурса. Доступны два крупных варианта и несколько подвариантов. Вы
можете создать либо общий ресурс SMB, либо общий ресурс NFS. В целом
можно отметить следующее:
• общие ресурсы SMB используются для операционных систем Windows;
• общие ресурсы NFS применяются для взаимодействия с машинами на ос
нове Unix.
Протоколы SMB и NFS имеют варианты профиля общего ресурса Quick (Быстрый) и Advanced (Расщиренный). Профиль Advanced имеет несколько дополнительных опций конфигурации, среди которых включение квот. Позже всегда можно добавить дополнительные компоненты, используя диспетчер серверов. Если вы решите включить квоты, то вам сначала потребуется построить новый шаблон квот или отредактировать существующий такой шаблон.
Для SMB предусмотрен еще один шаблон профиля под названием SMB Share —
Applications (Общий ресурс SMB — Приложения). Этот профиль создает общий файловый ресурс SMB с дополнительными настройками, применяемыми
в виртуальной среде.
Рис. 13.8. Создание общего ресурса с использованием диспетчера серверов
4. Для целей этого упражнения выберите профиль SMB Share — Quick (Общий
ресурс SMB — Быстрый), как показано на рис. 1 3.9, и щелкните на кнопке
Next (Далее).
NFS для КЛИЕНТОВ UNIX
Вариант N FS не пригоден к употреблению, если на сервер не была добавлена роль Services for Network File System (Службы для сетевой файловой системы). Если позже вырешите добавить поддержку для клиентов Unix, то всегда сможете добавить упомянутую службу.
После этого варианты NFS стануr доступными в мастере New Share Wizard.
5. На экране Share Location (Местоположение общего ресурса) выберите сервер,
на котором будет размещен общий ресурс, и укажите том на сервере, который
будет служить местоположением общего ресурса.
Обратите внимание, что общий ресурс можно создавать только на сервере с
установленной ролью File Services Resource Manager.
6. Щелкните на кнопке Next.
На экране Share Name (Имя общего ресурса) можно определить имя общего
ресурса и предоставить его описание. При этом отображаются локальный и
удаленный сетевые пути, необходимые для достижения ресурса.
7. Примите эту информацию к сведению, т.к. вам понадобится сообщить ука
занные сетевые пути своим пользователям для доступа к общему ресурсу. На
рис. 13. 1 О приведен пример именования общего ресурса. Щелкните на кнопке
Next. На экране Other Settings (Другие настройки) предлагаются четыре допол
нительных настройки, помогающие сделать общий ресурс более надежным.
• Опция ЕnаЫе access-based enumeration (Включить перечисление на основе
доступа) будет автоматически скрывать папку от пользователя, который не
имеет разрешения читать папку.
• Опция Allow caching (Разрешить кеширование) предоставляет автономным
пользователям доступ к общим данным, когда они работают в автономном
режиме.
• Поскольку вы установили компонент BranchCache в предыдущем упражне
нии, то теперь можете выбрать опцию ЕnаЫе BranchCache on the file share
(Включить BranchCache на этом общем ресурсе).
• Последняя опция на этом экране, Encrypt data access (Шифровать доступ к
данным), защищает удаленный доступ к файлам из общего ресурса.
Если вы еще не включили шифрование на сервере, сделайте это прямо сейчас,
отметив этот флажок. В случае если он недоступен или уже отмечен, значит,
на данном сервере шифрование включено.
8. Сделайте нужный выбор и щелкните на кнопке Next.
9. Экран Permissions (Разрешения) предостамяет возможность при желании изме
нить разрешения NTFS. Разрешения NTFS будут раскрыты позже в этой главе, а
пока щелкните на кнопке Next, чтобы принять стандартные разрешения NTFS.
10. На экране Confirmation (Подтверждение) предстамена сводка по всем выбранным настройкам для создания нового общего ресурса. Внимательно просмотрите их, внесите любые необходимые изменения и щелкните на кнопке Create (Создать). Экран Confirmation показан на рис. 1 3. 1 1 .
Последним экраном этого мастера является Results (Результаты). Отобразят
ся два индикатора хода работ: один для задачи Create SMB Share (Создание
общего ресурса SMB) и еще один для задачи Set SMB Permissions (Установка
разрешений SMB). После того как состоянием обеих задач станет Completed
(Завершена), общий ресурс построен и готов к использованию.
1 1. Щелкните на кнопке Close (Закрыть), чтобы завершить работу мастера.
Создание общих ресурсов на удаленных компьютерах с помощью диспетчера серверов
Предыдущую процедуру можно также выполнить для создания общих ресурсов
на удаленных компьютерах с применением диспетчера серверов. Подобно пред
шествующим редакциям сервера, диспетчер серверов способен выполнять задачи
управления на удаленных компьютерах. На компьютерах, функционирующих под
управлением Windows Server 201 2, компонент Remote Management по умолчанию
установлен и включен. На рис. 13.12 видны различные опции, которые диспетчер
серверов предлагает, когда был добавлен другой сервер.
Управление сервером Windows Server 2008 из Windows Server 2012 R2
Для того чтобы полностью управлять серверами, на которых выполняется
Windows Server 2008 или Windows Server 2008 R2, потребуется провести несколько обновлений. Для начала установите .NET Framework 4.0 и затем Windows Management Framework 3.0. После этого необходимо удостовериться в корректной конфигурации удаленного компьютера, что можно сделать путем ввода трех команд.
1. Введите показанную ниже команду в окне командной строки на компьютере,
который вы желаете администрировать дистанционным образом. Эта команда
включит прослушиватель WinRM:
2. После выдачи запроса введите У и нажмите .
3. Удостоверьтесь, что на удаленном компьютере функционирует служба вирту
альных дисков (Virtual Disk Service). Это можно сделать с помощью следующих
команд:
sc config vds start= auto
net start vds
Вы можете сконфигурировать количество пользователей, которые могут одновре
менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит пользователей) в диалоговом окне свойств общего ресурса. Чтобы установить лимит пользователей, откройте папку Administrative Tools (Администрирование), дважды щелкните на значке Computer Management (Управление компьютером), разверните узел Shared Folders (Общие палки), выберите папку Shares (Общие ресурсы), щелкните правой кнопкой мыши на общем ресурсе, для которого хотите установить лимит пользователей, и выберите в контекстном меню пункт Properties (Свойства).
Ниже показан экранный снимок с настройкой лимита пользователей для общего
ресурса.
В качестве примера, если приложение лицензировано для 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей. Просто выберите переключатель Allow this number of users ( Разрешить это количество пользователей) и укажите в поле рядом соответствующее число (по умолчанию оно равно 1 ).
По мере того, как пользователи подключаются к общему ресурсу, их число приближается к лимиту пользователей. При отключении от общего ресурса их количествоуменьшается. Такой тип принудительного применения лицензий может быть удобен для снижения затрат на лицензирование.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.
В режиме клиентских лицензий производитель не заботится о том, сколько пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение.
В таких случаях лимит пользователей никак вас не защитит.
Необходимо также помнить о том, что этот лимит параллельно подключаемых пользователей основан на целом общем ресурсе.
Он не может быть определен для каждой папки внутри общего ресурса.
Например, у вас может быть два приложения на одном общем ресурсе.
Приложение 1 имеет лимит в 100 пользователей, а для приложения 2 лимит не предусмотрен. По невнимательности вы можете ограничить доступ к приложению 2, когда для общего ресурса устанавливается лимит подключений в 100 пользователей.
Наконец, вы должны принять во внимание, каким образом пользователи подключаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограничивать их на базе параллелизма.
Если все пользователи подключаются к общему ресурсу при входе в систему (как с отображенным диском), и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему пользователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей.
Если подключения осуществляются только при использовании приложения,
то лимит пользователей будет работать довольно хорошо.
Следите ЗА ПРОБЕЛАМИ в КОМАНДЕ sc
Команда sc config применяется для изменения конфигурации службы. По умолчанию служба виртуальных дисков (Virtual Disk Service — VDS) не запускается, поэтому вы будете использовать эту команду для автоматического запуска VDS на сервере.
Служба VDS необходима для получения доступа к возможностям дистанционного
управления. Чтобы получить дополнительные сведения об опциях и функциях команды sc, откройте окно командной строки и введите sc config?. Команда конфигурирования сервера (server config — sc) очень приверепдива в отношении пробелов.
Показанная ниже команда содержит пробел после символа =, и она будет работать:
sc config vds s tart= auto
С другой стороны, следующая команда работать откажется из-за пропущенного пробела:
sc config vds start=auto
4. Создайте исключение брандмауэра для группы Remote Volume Management
(Управление удаленными томами) с помощью приведенной далее команды.
В книге команда разнесена на две строки, но на самом деле она должна вводиться в одной строке.
netsh advfirewall firewall set rule-CA
group=»Remote Volume Management» new enaЬle=yes
Если команда была введена корректно, в выводе отобразится строка Updated
3 rules (Обновлены 3 правила).
После того как удаленный компьютер сконфигурирован, вы можете открыть
диспетчер серверов на своем локальном компьютере и выбрать в меню Manage
(Управление) пункт Add Servers (Добавить серверы). Существуют три способа нахождения и добавления новых машин в локальном диспетчере серверов. Сервер
можно добавить методом поиска в Active Directory и выбора компьютера, присоединенного к домену. Кроме того, сервер можно добавить, введя на вкладке DNS имя компьютера или его I Р-адрес.
И, наконец, вкладка lmport (Импорт) позволяет на прямую запросить сетевой путь к желаемой машине или просмотреть местоположения в сети для обнаружения нужного ресурса. Воспользовавшись одним из перечисленных методов, найдите машину для управления и щелкните на кнопке ОК.
Через короткое время диспетчер серверов подключится к удаленному компьютеру.
После этого вы сможете просматривать и управлять удаленным компьютером на вкладке All Servers (Все серверы) в диспетчере серверов. Просто щелкните правой кнопкой мыши на подключенном удаленном компьютере, и в контекстном меню отобразится список функций управления (рис. 13.13).
Публикация общих ресурсов в Active Directorv
Одной из великолепных особенностей среды Active Directory является возмож
ность объединения всех ресурсов предприятия в единый каталог, будь то принтеры, группы, пользователи, организационные единицы или что угодно из области ваших
фантазий — точнее, возможность их обслуживания. Это касается и общих ресурсов.
Главная причина публикации общего ресурса в Active Directory связана с тем, чтобы упростить пользователям его нахождение.
Публикация общего ресурса осуществляется в консоли управления Active
Directory Users and Computers (Пользователи и компьютеры Active Directory).
Щелкните правой кнопкой мыши на необходимой организаuионной единиuе и вы
берите в контекстном меню пункт New�Shared Folder (СоздатьqQбщая папка). Вам
будет предложено указать имя для этой публикаuии общего ресурса и, конечно же, имя самого общего ресурса. Это все, что нужно было сделать — общий ресурс теперь опубликован в Active Directory. После публикаuии общего ресурса можете также добавить ключевые слова, чтобы упростить пользователям его нахождение.
1 . Щелкните правой кнопкой мыши на объекте общей папки в консоли Active
Directory Users and Computers.
2. Выберите в контекстном меню пункт Properties (Свойства) и открывшемся
диалоговом окне щелкните на кнопке Keywords (Ключевые слова).
3. Добавьте любые желаемые ключевые слова, которые пользователи могут при
менять при поиске этого общего ресурса.
На рис. 1 3 .14 демонстрируется добавление ключевых слов к опубликованному
общему ресурсу Colorado Springs.
Рис. 1 3.14. Добавление ключевых слов к опубликованному общему ресурсу
После этого пользователи могут с помощью инструмента поиска в Active
Directory искать по ключевым словам. На рис. 13.15 показан инструмент поиска в
Active Directory с выбранным элементом Shared Folders (Общие папки) в раскрывающемся списке Find (Искать). Мы добавили ключевое слово Colorado и щелкнули на кнопке Find Now (Найти сейчас), что привело к нахождению нужного общего ресурса. Для доступа к общему ресурсу достаточно просто дважды щелкнуть на нем.
Рис. 1 3.15. Применение инструмента поиска в Active Directory
для нахождения опубликованного общего ресурса
Управление разрешениями
Одним из крупных достоинств дисков, сформатированных с файловой системой
NTFS, и общих ресурсов является возможность назначения разрешений и управления тем, кто может иметь доступ к различным файлам и папкам. В то время как в
главе 14 будет подробно раскрыта внутренняя работа этих разрешений, в настоящей главе мы дадим базовое введение в разрешения NTFS и общего доступа. Вы заметите, что в этой редакции сервера в отношении разрешений изменилось не очень многое. По большей части просто появился новый способ для навигации и работы с теми же самыми функuиями и инструментами, которые вы хорошо знаете по версии Windows Server 2008 R2.
Между разрешениями NTFS и разрешениями обшего доступа есть много сходства, о чем пойдет речь в этом разделе.
Сходство включает то, как каждому разрешению может быть назначено действие Allow (Разрешить) или Deny (Запретить), каким образом разрешения накапливаются, как Deny получает приоритет и каким образом используется принuип неявного запрета.
Когда пользователь обращается к общему ресурсу, к которому применены раз
решения NTFS и общего доступа, результирующее разрешение в общем случае называется наименее ограничивающим разрешением.
Поскольку вас могут попросить решить проблему с невозможностью доступа к какому-то файлу или папке, вы должны знать, как вычислить результирующее разрешение, чему и посвящен материал данного раздела.
Разрешения NTFS
Разрешения NTFS применяются к любому файлу или папке на диске, который
был сформатирован с файловой системой NTFS.
• Read (Чтение). Когда пользователю назначено разрешение Read, ему позволе
но просматривать содержимое, разрешения и атрибуты, ассоциированные с
файлом или папкой.
• Read & Execute (Чтение и выполнение). Разрешение Read & Execute используется для предоставления пользователю возможности запуска файлов. Любые исполняемые файлы (такие как . ехе, .bat и . сот) — это файлы, которые можно запускать. Если пользователь имеет только разрешение Read, но не Read & Execute, файлы не могут быть запущены.
• List Folder Contents (Список содержимого папки).
Разрешение List Folder Contents позволяет пользователю просматривать содержимое папки.
Оно дает пользователю возможность увидеть, какие файлы существуют внутри папки, но без применения разрешений Read к этим файлам.
• Write (Запись). Если пользователю назначено разрешение Write дпя файла или
папки, он может модифицировать содержимое этого файла или папки. Под
этим понимается добавление в папку новых файлов или папок либо внесение
изменений в существующие файлы или папки. Тем не менее, удалять файлы
из папки не допускается.
• Modify (Изменение). Разрешение Modify включает все разрешения Read, Read
& Execute и Change, а также возможность удаления файлов и папок.
• FuU Cootrol (Полный доступ). Разрешение Full Control представляет собой объединение всех доступных разрешений с дополнительной возможностью изме
нения разрешений и смены владельца файлов или папок.
Разрешения общего доступа
Разрешения общего доступа применяются к общим ресурсам, только когда к ним
производится доступ через сеть. Разрешений общего доступа всего лишь три.
• Read (Чтение). Пользователи, которым выдано разрешение Read, могут читать
файлы и папки внутри общего ресурса.
• Change (Изменение). Пользователи, которым выдано разрешение Change, могут
читать, запускать, модифицировать и удалять файлы и папки внутри общего
ресурса.
• Full Control (Полный доступ). Пользователи, которым выдано разрешение
Full Control, могут делать все то же самое, что и пользователи с разрешением
Change, а также вдобавок изменять разрешения для общего ресурса.
сходные черты разрешений общего доступа и разрешений NTFS
Теперь, когда вы имеете базовое понимание в целом разрешений NTFS и обшего
доступа, легче выявить сходные черты между ними. Все они перечислены ниже.
• Обоим типам разрешений может быть назначено действие Allow (Разрешить)
или Deny (Запретить).
• Оба типа разрешений являются накопительными.
• В обоих типах разрешений приоритет имеет действие Deny.
• Оба типа разрешений поддерживают принцип неявного запрета.
Назначение действия Allow или Deny
Приступив к работе с разрешениями, вы заметите, что для каждого из перечис
ленных разрешений предусмотрены флажки Allow (Разрешить) или Deny (Запретить).
Н иже приведен обзор того, как они работают.
• Если для разрешения отмечен флажок Allow в отношении пользователя или
группы, то этот пользователь или группа имеют данное разрешение.
• Если для разрешения отмечен флажок Deny в отношении пользователя или
группы, то этот пользователь или группа не имеют данного разрешения.
• Разрешения являются накопительными. Если пользователю назначено не
сколько разрешений Allow (таких как Allow Read и Allow Change), пользова
тель получает объединение назначенных разрешений.
• Если пользователю назначены разрешения и AJow, и Deny, то разрешения
Deny имеют преимущество.
Если пользователю вообще не назначены какие-либо разрешения, он не имеет
доступа к объекту. Это называется неявным запретом. Разрешения общего доступа
и разрешения NTFS используют модель избирательного управления доступом (dis
cretionary access control — DAC). Каждый объект имеет список избирательного управления доступом (discretionary access control list — DACL), состоящий из записей управления доступом (access control entry — АСЕ).
Каждая запись АСЕ идентифицирует пользователя или группу с ассоциированным
идентификатором защиты (security identifier — SID) и разрешением Allow или Deny.
Любой объект может иметь несколько записей АСЕ в своем списке DACL; другими
словами, любой объект может иметь множество назначенных ему разрешений.
ИДЕНТИФИКАТОРЫ ЗАЩИТЫ
Каждый пользователь и каждая группа уникально идентифицируются с помощью
S ID. Когда пользователь входит в систему, создается маркер, включающий STD пользователя и идентификаторы SID всех групп, членами которых пользователь является. Этот маркер применяется операционной системой для определения, должен ли пользователь иметь доступ. Идентифи:каторы SI D в маркере сравниваются с идентификаторами SI D из записей управления доступом в списке DACL, чтобы выяснить,возможен ли доступ.
Когда пользователь обращается к файлу, папке или общему ресурсу, операционная система сравнивает список DACL с учетной записью пользователя и его членством в группах. Если обнаруживается соответствие, пользователю предоставляется соответствующее разрешение.
Накопленные разрешения
Объектам могут назначаться множество разрешений. В качестве примера предположим, что имеется общий ресурс по имени Proj ectData. Группе Administrators может быть предоставлено разрешение Full Control, какой-то группе — разрешение Change, а еще какой-то группе — разрешение Read. При назначении нескольких разрешений они накапливаются. Другими словами, если к пользователю применяется множество разрешений, то пользователь получает объединение всех этих разрешений.
Представим, что Салли состоит в группах G_Sales и G_SalesAdmins, и этим
группам выданы следующие разрешения для общего ресурса Sales:
G Sales Разрешение Allow Change
G SalesAdmins Разрешение Allow Full Control
Поскольку Салли является членом обеих групп, ей предоставляются разрешения
Change и Full Control; говоря по-другому, она получает объединение разрешений
Change и Full Control.
Действие Deny имеет приоритет
Если к любому разрешению, назначенному пользователю, применены действия
Allow и Deny, то Deny получает приоритет. В качестве примера предположим, что группе G Sales выдано разрешение Full Control для общего ресурса, который содержит патентованную информацию. По ряду причин пользователь Billy Joe ВоЬ (являющийся членом группы G _ Sales) впал в немилость в компании. Вас попросили оставить его в группе G_Sales, чтобы он имел доступ к другим обшим ресурсам, но запретить ему доступ к общему ресурсу с патентованной информацией.
На рис. 13.16 показано, как вы можете пос
тупить. Для начала разрешения общею доступа
выданы персоналу из группы G_Sales, имею
шей разрешение Full Control для этого общего
ресурса. Чтобы полностью запретить пользо
вателю B i l l y Joe ВоЬ доступ к данным, его
учетная запись была добавлена и ей назначено
разрешение Deny Full Control. Другими слова
ми, его учетная запись была явно запрещена.
Обратите внимание на возникший конф
ликт. Пользователю предоставляется доступ как
члену группы G_Sales и запрещается доступ
для его учетной записи. Конфликт разрешает
ся в пользу Deny. Если подумать, то это имеет
смысл. Когда вы предпринимаете дополнитель
ные действия, необходимые для запрещения
доступа, то не хотите, чтобы что-то его перео
пределило. Действие Deny имеет приоритет.
Неявный запрет
Существует также характеристика, известная
как неявный запрет. Если разрешение не выда
но явно, оно неявно запрещается.
Предположим, что есть общий ресурс по имени Proj ectData, доступ к кото
рому разрешен только группе G_Sales. Мария состоит в группе G_HR и не явля
ется членом группы G_Sales, так что она не имеет доступа к этому общему ре
сурсу. Поскольку доступ Марии не был предоставлен явно, для нее неявно доступ запрещен.
Сравните это со своей квартирой. Если вы никому не давали ключи от нее, то
никто не сможет в нее попасть. Конечно, вам по-прежнему придется беспокоиться о бандитах и взломщиках, но с основной точки зрения отсутствие факта предостав ления разрешений означает отсутствие доступа.
модификация разрешений общего доступа и NTFS
Разрешения общего доступа и NТFS можно модифицировать с использованием
диспетчера серверов, значка Computer Management (Управление компьютером) или
проводника Windows.
Шаги для каждого метода немного отличаются, но, в конеч
ном счете, мы получим те же самые вкладки разрешений.
Мы ограничимся обсуждением процедуры, предусматривающей применение диспетчера серверов.
Предположим, что вы создали общий ресурс и выдали разрешение Read группе
Everyone (Все).
Однако теперь вы хотите изменить разрешения так, чтобы пользователи в группе G_Sales имели разрешение Change, и никто из пользователей
кроме администраторов не мог просматривать или использовать этот набор папок и файлов.
Чтобы внести такие изменения, выполните следующие шаги.
1. Запустите диспетчер серверов и откройте узел File and Storage ServicesqShares(Службы файлов и хранилищаqОбщие ресурсы).
2. Щелкните правой кнопкой мыши на общем ресурсе Apps и выберите в кон
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Permissioпs (Разрешения) и затем на кнопке Customize
Permissions (Изменить разрешения). Окно должно выглядеть примерно так,
как показано на рис. 1 3.17.
4. На вкладке Share (Общий доступ) щелкните на кнопке Add (Добавить).
Затем выберите переключатель Select а principal (Выбрать уч а стника) и введите имя группы, которой необходимо предоставить доступ к общему ресурсу
(например, G_Sales}, после чего щелкните на кнопке ОК.
5. Поскольку вы не хотите, чтобы доступ получили абсолютно все, выбери
те группу Everyone и щелкните на кнопке Remove (Удалить). Щелкните на
кнопке ОК.
6. Щелкните на кнопке Apply (Применить) и перейдите с вкладки Share на
вкладку Permissions (Разрешения).
Обратите внимание, что на вкладке Permissions делегированы разрешения
NTFS, а на вкладке Share делегированы разрешения Share. Смешивание этих
разрешений будет рассматриваться в следующем разделе.
7. Находясь на вкладке Permissions, щелкните на кнопке Add и введите имя
группы, которую нужно добавить (такое как G_Sales). Щелкните на кнопке
ОК, чтобы добавить группу.
По умолчанию любому добавляемому пользователю или группе автоматически
предоставляются разрешения Read, Read & Execute и List Folder Contents.
8. Выберите разрешение Allow Write для добавленной группы, удостоверьтесь, что
также внесли изменения в файлы, и щелкните на кнопке ОК.
9. Не забудьте также удалить группу Everyone из этого набора разрешений:
выберите группу Everyone и щелкните на кнопке Remove.
Разрешения общего доступа и разрешения NTFS управляются раздельно, но
работают вместе для предоставления надлежащих разрешений. Окно будет выглядеть примерно так, как показано на рис. 13.18.
10. Щелкните на кнопках Apply и ОК в диалоговом окне Advanced Security
(Расширенная безопасность) для завершения установки разрешений.
Объединение разрешений общего доступа и NTFS
Люди иногда находят сложным идентификацию разрешений, которые пользова
тель будет иметь, когда он обращается к файлу или папке через общий ресурс. Нам
нравится сохранять процесс простым благодаря следующим трем шагам.
. Определите накопленное разрешение NТFS.
2. Определите накогшенное разрешение общего доступа.
3. Определите, какое из этих двух разрешений обеспечивает наименьший до
ступ (обычно оно называется наиболее ограничивающим разрешением).
Представим, что Салли состоит в группах G S a l e s и G_I T S a l e sAdmi n s .
Разрешения, назначенные для папки SalesData (совместно используемой как об
щий ресурс SalesData), описаны в табл. 13.2.
Таблица 13.2. Пример объединения разрешений общего доступа и NTFS
Группа
G Sales
G IТSalesAdrnins
Разрешения NTFS
Read, Read & Execute, List Folder Contents
Full Control
Разрешения общего доступа
Read
Change
На шаге 1 вам необходимо определить накопленное разрешение NТFS. Салли
имеет разрешения Read, Read & Execute и List Folder Contents как член груп
пы G_Sales. Вдобавок она имеет разрешение Full Control, будучи членом группы
G_ITSalesAdmins. Поскольку разрешение Full Control включает все другие разрешения, накопленным разрешением NTFS будет Full Contro.
На шаге 2 вы должны определить накопленное разрешение общего доступа.
Салли имеет разрешение Read как член группы G_S a l e s . Кроме того, у нее есть разрешение Change, поскольку она является членом группы G _ ITSalesAdmins. Так как разрешение Change включает разрешения Read и Write, накопленным разрешением общего доступа оказывается Change.
Последний шаг предусматривает ответ на простой вопрос. Какое разрешение
предоставляет наименьший доступ, т.е. является наиболее ограничивающим: Full
Control или Change? Ответ — Change.
Разрешение Change Салли и получит, когда
обратится к общему ресурсу через сеть.
А как насчет сложного вопроса? Какое разрешение будет у Салли, когда она об
ратится к лапке SalesData локально?
Ответ — Full Control. Вспомните, что разрешения общего доступа применяются
только в случае, если пользователь обращается к общему ресурсу через сеть. При локальном доступе к папке применяются только разрешения NТFS.
подключение к общим ресурсам
Теперь, когда у вас есть общие ресурсы, каким образом люди могут пользоваться ими? Предполагая наличие общего ресурса по имени Apps на сервере BFl, как кто то, подключенный к сети, мог бы получить к нему доступ?
В основном вы подключаетесь к общему ресурсу, используя имя UNC (uni
versal naming convention — универсальное соглашение по именованию) вида
ИмяСервера ИмяОбщегоРесурса. В качестве альтернативы можете нажать ком
бинацию клавиш <Windows+R> на рабочем столе, чтобы открыть диалоговое окно
Run (Выполнить), и ввести в нем ИмяСервера (здесь указывается имя любого сер
вера, подключенного к сети) и следом обратную косую черту (рис. 13.19). Еще один
способ открытия диалогового окна Run в Windows Server 2012 предусматривает переход на экран Start (Пуск}, ввод Run и нажатие .
После подключения операционная система извлекает список доступных общих
ресурсов. На этом сервере в текущий момент существуют четыре общих ресурса,
причем все они не являются скрытыми. В главе 14 будет показано, как сделать доступными дополнительные скрытые общие ресурсы. Вы могли бы ввести Apps в
конце BFl , получив запись вида BFl Apps, или просто выбрать общий ресурс
Apps в раскрывающемся списке на рис. 13.19 и щелкнуть на кнопке ОК, чтобы подключиться к нему.
Помимо меню поиска, для подключения к общему ресурсу доступны и другие
методы.
• Отображение диска. Вы можете отобразить букву диска на общий ресурс в сети.
Например, пользователям может быть необходим доступ к общему ресурсу
при каждой загрузке системы. Щелкните правой кнопкой мыши либо на узле
Computer (Компьютер), либо на узле Network (Сеть) в проводнике Windows и
выберите в контекстном меню пункт Мар Network Drive (Подключить сетевой
диск). Уделите время на то, чтобы оценить новый внешний вид пользователь
ского интерфейса Windows Server 201 2 R2.
При открытом окне проводника Windows выберите узел Computer и затем опцию Computer в верхней панели действий.
Отобразится новая лента, похожая на те, которые вы знаете по программам вроде Microsoft Word. В этой ленте доступно много новых опций, в
числе которых Мар а Network Drive (Подключить сетевой диск). На рис. 13.20
показано диалоговое окно Мар Network Drive (Подключение сетевого диска).
При отмеченном флажке Reconnect at sign-in (Восстанавливать при входе в
систему) пользователь всегда будет иметь диск z, отображенный на общий ресурс, после загрузки системы.
• Поиск в Active Directory. Если клиент является членом домена, то в окне
Network (Сеть) появится опuия Search Active Directory (Поиск в Active
Directory). Чтобы открыть окно Network в Windows Server 201 2 R2, выберите на
экране Start (Пуск) плитку Network (Сеть).
+ Испол ьз ование net use. Вы можете применять команду net use в командной
строке. Базовый синтаксис выглядит следующим образом:
net use буква _ диска \имя сервераимя общего_ресурса
Например, чтобы присоединить общий ресурс Apps на сервере BFl и затем
иметь возможность ссылаться на этот общий ресурс как на диск z, можно вос
пользоваться такой командой:
net use Z : \BFlapps
Если позже вы захотите удалить это отображение, понадобится ввести следу
ющую команду:
net use Z : /delete
конфликт между наборами учетных данных
Иногда при попытке подключения к общему ресурсу возникает ошибка с сообщением следующего вида: «набор учетных данных конфликтует с существующим
набором учетных данных для этого общего ресурса».
Вот что происходит.
Вы уже пытались получить доступ к этому общему ресурсу
и по какой-то причине потерпели неудачу — возможно, неправильно ввели пароль.
Сервер, на котором находится общий ресурс, подготовил информаuию о том, что
вы — недобросовестный клиент, и он больше ничего не желает слышать о вас. Вам
нужно заставить сервер забыть о вас, чтобы вы могли начать все сначала. Это делается с помощью опции / d.
Предположим, что вы уже пробовали обратиться к общему ресурсу BFl Apps,
и попытка завершилась неудачей. Может быть, вы действительно подключились к обшему ресурсу, но без разрешений. (Мы знаем, что это не имеет смысла, но так случается.) Чтобы выяснить, к каким обшим ресурсам вы подключены, необходимо ввести просто net use. Скорее всего, вы увидите BFl Apps в списке. Вы должны отключиться от сервера BFl, чтобы впоследствии начать заново. Для этого введите следующую команду:
net use BFl apps /d
Затем введите еще раз команду net use, удостоверившись, что все эти подклю
чения очищены; может оказаться, что у вас есть множество соединений с определенным сервером. В редких случаях требуется отключиться от всех общих файловых ресурсов, для чего используется такая команда:
net use * /d
После закрытия всех подключений попробуйте подключиться к общему ресурсу
с помощью команды net use еще раз, и все заработает.
Использование команды net use в сети WAN
Мы подошли к одной из наиболее сложных областей сетевой работы: подключению к ресурсам через большие расстояния со многими неизвестными. Если вам
приходилось когда-либо иметь дело с удаленными на большие расстояния вычислениями, то вы знаете, что полагаться на них нельзя. Однако в арсенале команды
:-iet use появился новый небольшой набор функций, который позволяет прояснить множество «неизвестных» в общей картине.
Вместо того чтобы рассчитывать на выяснение подходящего сервера распознава
ниs1 имен, обращения к этому серверу и получения точного и надежного преобразования по неточному и ненадежному сетевому каналу, вы теперь можете отобразить нужный ресурс прямо на диск своего сервера через IР-адрес ресурса.
Конечно, выдолжны знать этот 1 Р-адрес, но такой подход довольно безопасен в плане отказов.
В нашем случае мы работаем из нескольких местоположений, соединенных посредством каналов WAN с ретрансляцией кадров. Сеть не всегда способна хорошо преобразовывать имена серверов в IР-адреса, поэтому команда net use BFl обычно сообщает о невозможности найти BFl. Но даже если она работает, распознавание имен — преобразование имени вроде BFl в сетевой адрес — занимает время.
Если вам известен 1 Р-адрес сервера, с которым вы пытаетесь взаимодействовать,
то указывайте его вместо имени этого сервера. Зная, что IР-адресом сервера BFl является 134.81.12.4, вы можете ввести такую команду:
net use 1 34 . 8 1 . 1 2 . 4 apps
И поскольку потенциально вы можете подключаться из другой сети, понадобит
ся добавить информацию /user : . Неплохо также указать /persistent : no, чтобы ваша система не тратила до пяти минут на попытки восстановления этого подключения при следующей загрузке. Таким образом, например, если сервер BFl является членом домена под названием BigFirm. com, и вы располагаете учетной записью в домене BigFirm . com по имени boss, то вы можете удостовериться в том, что BFl знает, кто вы такой, и позволит войти в систему:
net use \134 . 8 1 . 1 2 . 4apps /user : bigfirm . cornboss /persistent : no
Хотя существует много удобных методов подключения к общим ресурсам с при
менением различных графических пользовательских интерфейсов, не упускайте из
виду команду net use. Вы наверняка сочтете ее полезной.
Распространенные общие ресурсы
В Windows Server имеется несколько заранее созданных и распространенных об
щих ресурсов. Большинство из них являются скрытыми. Если вы знаете эти общие
ресурсы, то сможете подключиться к любому из них, используя путь UNC.
• С$, D$ и т.д. Все устройства, включая устройство для чтения CD-ROM, имеют скрытые общие ресурсы для своего корня. Общие ресурсы такого рода называются административными общими ресурсами. Вы не можете изменять разрешения или свойства этих общих ресурсов, разве что конфигурировать их для средства автономных файлов (Offiine Files), о котором пойдет речь в конце главы.
Подключаться к административным общим ресурсам могут только членыгрупп Administrators (Администраторы) и Backup Operators (Операторы
резервного копирования), и вы не можете отменить совместный доступ для административных общих ресурсов, не модифицировав реестр или не остановив
службу Server (что прекратит совместный доступ для всех обших ресурсов).
Такие общие ресурсы пригодятся администраторам сервера, которые решают
много задач управления дистанционно. Отображение диска на общий ресурс
С$ эквивалентно нахождению в каталоге с : на сервере.
• ADMIN$. Общий ресурс ADMIN$ — это еще один административный общий
ресурс, который отображается на местоположение операционной системы.
Например, если операционная система устаномена в о : Windows, то общий
ресурс АШ-ПN$ будет отображен на о : Windows.
• PRINТ$. Всякий раз, когда вы создаете совместно используемый принтер, система помещает его драйверы в этот общий ресурс.
В результате при подключении клиентов к общему принтеру драйверы легко загружаются.
• IPC$. Общий ресурс IPC$ является, пожалуй, одним из наиболее широко применяемых общих ресурсов в межсерверных коммуникациях, хотя вы редко будете взаимодействовать с ним напрямую.
Когда вы пытаетесь получить доступ к общим ресурсам на других компьютерах (для чтения журналов событий, например), система использует именованные каналы. Именованный канал — это фрагмент памяти, служащий коммуникационным каналом между двумя процессами, будь они локальными или удаленными, и общий ресурс IPC$ применяется этими именованными каналами.
• NEТLOGON. Общий ресурс NETLOGON используется в сочетании с обработкой запросов входа со стороны пользователей.
После успешного входа пользователи получают любую информацию профиля или сценарий, который должен для них выполниться. Таким сценарием часто является пакетный файл.
Например, у нас имеется общий пакетный файл, который мы хотим запускать мя всех пользователей каждый раз, когда они входят в систему. Это позволяет обеспечить выполнение всеми клиентами стандартного набора команд, подобных
копированию обновленной информации о сети, отображению стандартных
сетевых дисков и т.п.
Такие пакетные файлы, сценарии и профи.ш находятся
внутри общего ресурса NETLOGON. Общий ресурс NETLOGON требуется на всех
контроллерах домена.
• SYSVOL. Общий ресурс SYSVOL применяется для хранения информации груп
повой политики и сценариев, к которым обращаются клиенты по сети. Вы
всегда будете видеть общие ресурсы SYSVOL на контроллерах домена, но они
могут реплицироваться на серверы-члены.
диспетчер ресурсов файлового сервера
Диспетчер ресурсов файлового сервера (File Server Resource Manager — FSRM)
является важным дополнением, которое может конфигурироваться с помощью роли
File and Storage Services (Службы файлов и хранилища). Он включает несколько дополнительных возможностей, упрощающих управление файловым сервером:
• создание и управление политиками квот;
• создание и управление политиками блокировки файлов;
• просмотр отчетов.
Эти приемы рассматриваются в последующих разделах.
Создание политик квот
Файловая система NTFS давно включала средства управления квотами, но бла
годаря FSRM, они были значительно усовершенствованы. Выражаясь кратко, квоты
позволяют отслеживать и ограничивать пространство, которое пользователи могут потреблять на томе или в папке.
СРАВНЕНИЕ МОНИТОРИНГА ИСПОЛЬЗОВАНИЯ ХРАНИЛИЩА И ПОЛИТИК КВОТ
Хотя для мониторинга использования хранилища применяется та же самая техно
логия, что и в политиках квот, доступных в файловой системе NТFS, в ней имеется тонкое отличие от политик квот.
Мониторинг хранилища отслеживает том целиком и по умолчанию сконфигурирован на уведомление о ситуации, когда на диске заполняется 85% его емкости. Политики квот можно конфитурировать на отдельных папках, что дает возможность точной настройки того, что именно отслеживается.
При создании квот есть возможность установки лимитов, при которых выдается
предупреждение, установки лимитов принудительного применения, предоставле
ния уведомлений о достижении лимитов по электронной почте или через записи в
журнале событий и даже выполнения команд в ответ на достижение любого лимита.
Квоты могут быть установлены мя любого общего ресурса на сервере или мя любого заданного пути.
Квоты могут оказаться очень удобными мя мониторинга хранилища на файловых серверах. Например, в вашем распоряжении может находиться файловый
сервер с хранилищем в 2 Тбайт.
Вы можете считать, что имеете более чем достаточно пространства, но если какие-то пользователи создают и редактируют аудио и видео-файлы, то 2 Тбайт свободного пространства могут очень скоро сойти на нет.
Политика квоты может помочь в ограничении пользователей определенным
объемом. С другой стороны, эти аудио- и видео-файлы могут быть неотъемлемой
частью вашей бизнес-деятельности, поэтому ограничивать пространство хранения
нежелательно. В таком случае лучше обеспечить информирование о том, что занятое пространство хранилища достигло определенного порога.
Вместо действительного ограничения хранилища вы можете просто отслеживать его использование с помощью политики квоты.
На первый взгляд, политики квот очень просты для понимания и реализации.
Тем не менее, они могут стать довольно сложными при практическом применении.
Шаблоны квот
В состав диспетчера FSRM включено несколько шаблонов квот, которые мож
но легко применять в том виде, как они есть, или же модифицировать для удов
летворения существующих нужд. Можно даже создавать собственные шаблоны. На
рис.
Так как вы уже уловили идею о том, как работают квоты, по информации в этом
диалоговом окне вы сможете понять, что будет делать та или иная квота. Важной частью информации является тип квоты: жесткая или мягкая. Жесткая квота будет принудительно применять лимит и предотвращать его превышение пользователями.
Мягкая квота используется только для мониторинга; она выдаст уведомление, но не будет принудительно применять лимит.
Шаблон 200 МВ Limit with 50 МВ Extension (Лимит 200 Мбайт с расширением 50 Мбайт) представляет собой великолепный пример реагирования на достижение лимита квоты. Чтобы просмотреть или отредактировать свойства шаблона, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Edit Template Properties (Редактировать свойства шаблона).
На рис. 13.22 показаны свойства шаблона во время редактирования. Слева можно видеть базовый шаблон. Обратите внимание на нижнюю часть диалогового окна, где сконфигурированы три порога для уведомлений: 85%, 95% и 100%. Предупреждение о достижении порога в 85% только отправляется по электронной почте, предупреждение о пороге в 95% отправляется по электронной почте и фиксируется как событие в журнале, а предупреждение о пороге в 100% дополнительно инициирует выполнение команды.
Диалоговое окно справа на рис. 1 3.22 открывается в результате выбора элемента Warning (100%) (Предупреждение ( 100%)) в списке Notification thresholds (Пороги для уведомлений) и щелчка на кнопке Edit (Редактировать). Для модификации квоты применяется инструмент командной строки dirquota ехе. В частности, он изменяет лимит квоты с 200 Мбайт на 250 Мбайт. Команды, которые вы здесь помещаете, ограничиваются разве что вашей фантазией. При необходимости вы также устанавливаете контекст безопасности команды в зависимости от разрешений, которые требуются команде для выполнения.
Помимо выполнения команды, доступны другие реакции на достижение порога:
отправка сообщения электронной почты, регистрация события в журнале и созда
ние отчета.
Вкладка E-mail Message
Вкладка E-mail Message (Сообщение электронной почты) позволяет конфигу
рировать почтовый ответ, отправляемый при достижении порога. Если вы хотите
отправить сообщение администратору, просто добавьте на этой вкладке адрес электронной почты администратора (или группу рассылки администратора) в формате учетная _ запись@домен, например, ITAdmins@Ьigfirm. com. Можете также сконфигурировать отправку сообщения пользователю, который превысил порог, отметив для этого флажок Send e-mail to the user who exceeded the threshold (Отправить сообщение электронной почты пользователю, превысившему порог). Для поиска адреса электронной почты пользователя диспетчер FSRM использует Active Directory.
Шаблоны включают заранее настроенную строку темы и тело сообщения, nри
чем и там, и там присутствуют переменные. На рис. 13.23 видно, что тело сообщения содержит множество переменных: Source Io Owner (Исходный владелец оnе
раций ввода-вывода), Quota Path (Путь для квоты), Server (Сервер) и т.д. Если выщелкнете внутри строки темы или тела сообщения, раскрывающийся список nеременных сразу же станет доступным. При выборе любой nеременной ниже сnиска отображается краткое объяснение того, что она собой представляет. Наnример, увидев поначалу [ Source Io Owner] , не вполне ясно, что такое Io, но после выбора этой переменной в раскрывающемся списке становится nонятно, что I о означает
1/0, т.е. ввод-вывод.
Щелкнув на кнопке Additional E-mail Headers (Доnолнительные почтовые за
головки), вы можете добавить в сообщение электронной почты дополнительные
заголовки, которые показаны справа на рис. 13.23. Они также включают nеременные, которые можно выбирать в раскрывающемся списке Select variaЫe to insert (Выберите переменную для вставки) и щелкать на кнопке lnsert VariaЫe (Вставить переменную).
СЕРВЕР SMTP ДОЛЖЕН БЫТЬ СКОНФИГУРИРОВАН
Для отправки сообщений электронной почты диспетчером FSRM его потребуется
сконфигурировать с именем или IР-адресом сервера SMTP, который буде nринимать эти сообщения. Это делается в диалоговом окне параметров дисnетчера FSRM, которое рассматривается далее в главе.
Вкладка Event Log
При желании вы можете сконфигурировать регистрацию событий в журнале со
бытий приложений. Для этого достаточно перейти на вкладку Event Log (Журнал
событий) и отметить флажок Send warning to event log (Отправить предупреждение
в журнал событий), как показано на рис. 13.24. Любые отправляемые события попадут в журнал событий приложений.
Точно так же, как вы могли добавлять переменные в сообщения электронной
почты, вы можете добавлять их в журнальные записи. На рис. 13.24 раскрыт список переменных, чтобы продемонстрировать доступные для добавления переменные.
Переменных намного больше, чем удалось показать на этом рисунке.
Вкладка Report
Вкладка Report (Отчет) позволяет манипулировать порогами мя уведомлений.
Здесь вы можете настроить отчеты, которые генерируются в ответ на достижение
порога и автоматически отправляются по электронной почте администраторам
и/или пользователю. Отчеты могут также создаваться по запросу, как вы увидите
позже в этой главе.
Создание квоты
Теперь, когда вы понимаете основы, создать и применить квоту довольно прос
то. В Windows Server 2012 R2 доступно несколько способов конфигурирования квот на разных уровнях общих ресурсов и папок. Если вы уже создали общий ресурс и шаблоны квот, то можете легко сконфигурировать квоту, щелкнув правой кнопкой мыши на общем ресурсе на вкладке Shares (Общие ресурсы) в окне диспетчера серверов дпя роли File and Storage Services и выбрав в контекстном меню пункт Configure Quota (Сконфигурировать квоту). Корректировка свойств и создание шаблонов квот делается прямо в диспетчере FSRM, доступном через меню Tools (Сервис) диспетчера серверов.
Предположим, что вы хотите отслеживать объем данных, которые хранятся в
папке по имени Graphics в системе. В частности, вам нужно знать, приблизился
ли объем используемого хранилища к 500 Мбайт. Если этот лимит достигнут, вы хотите отправить пользователю отчет, который позволит ему выяснить, какие файлы дублируются, какие файлы являются самыми крупными, а какие файлы давно не использовались.
Для создания такой квоты понадобится выполнить следующие шаги.
1. Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт File
Server Resource Manager (Диспетчер ресурсон файлового сервера).
2. Разверните узел Quota Management (Управление квотами), щелкните правой
кнопкой мыши на папке Quotas (Квоты) и выберите в контекстном меню
Create Quota (Создать квоту).
3. Введите в текстовом поле Quota Path (Путь дпя квоты) путь к папке, которую
вы хотите отслеживать.
Например, вы могли бы ввести I : Finance. В качестве альтернативы можете
щелкнуть на кнопке Browse (Обзор) и проследовать на нужный путь. Здесь на
выбор доступна возможность применить эту новую квоту только к выбранной
папке или распространить действие шаблона квоты на все существующие и
новые подпапки внутри папки Graphics.
Следующий выбор в этом окне позволяет определить свойства квоты.
4. Для целей данного упражнения выберите шаблон 200 МВ Limit Reports to User
(Лимит 200 Мбайт с выдачей отчета пользователю). Позже мы отредактируем
свойства этой квоты.
5. Просмотрите сводку по свойствам квоты и щелкните на кнопке Create
(Создать).
Новая квота отобразится, позволив дальнейшую модификацию ее свойств.
6. Щелкните правой кнопкой мыши на новой квоте и выберите в контекстном
меню пункт Edit Quota Properties (Редактировать свойства квоты).
В диалоговом окне Quota Properties (Свойства квоты) предоставьте описание
НОВОЙ КВОТЫ.
7. Затем вручную скорректируйте значение в поле Space limit (Лимит пространства) на 500 Мбайт и оставьте без изменений выбранный по умолчанию переключатель Hard quota (Жесткая квота). Теперь можете отредактировать порогидпя уведомлений (в списке Notification thresholds (Пороги для уведомлений)),
как показано в левой части рис. 13.25.
8. Выберите в списке Notification thresholds элемент Warning (100%) (Предупреж
дение (100%)) и щелкните на кнопке Edit (Редактировать).
9. Просмотрите информацию на ВЮiадках E-mail Message (Сообщение электрон
ной почты), Event Log (Журнал сообщений) и Command (Команда).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да); вы
можете сконфигурировать сервер SMTP позже. Обратите внимание на воз
можность изменения данных на любой из этих ВЮiадок.
10. Перейдите на ВЮiадку Report, которая должна выглядеть примерно так, как
показано справа на рис. 13.25.
Обратите внимание, что отчеты уже сконфигурированы. Флажок Generate
reports (Генерировать отчеты) отмечен, и для генерации указаны три отчета:
Duplicate Files (Дублированные файлы), Large Files (Большие файлы) и Least
Recently Accessed Files (Файлы с наиболее давним доступом). Вдобавок кво
та сконфигурирована на отправку отчетов пользователю, который превысил
порог (отмечен флажок Send reports to the user, who exceeded the threshold
(Отправлять отчеты пользователю, превысившему порог)).
1 1. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно 100% Threshold
Properties (Свойства порога 100%).
12. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно Quota Properties.
Создание политик блокировки файлов
Фильтры блокировки файлов используется для фильтрации файлов, чтобы гаран
тировать, что файлы определенных типов не сохраняются на сервере. Предположим,
после внедрения политики квоты и ознакомления с рядом отчетов вы обнаруживаете, что диск F почти полон, т.к. один из пользователей сохранил на сервере несколько гигабайтов резервных копий файлов МРЗ.
Хотя замечательно, что пользователь создает резервные копии своих файлов, вас может не устраивать тот факт, что он задействует мя этого ваш сервер. Кроме того,вы можете решить, что на вашем сервере вообще никто не должен хранить файлы МРЗ или любые другие аудио- либо видео-файлы.
Вы можете создать фильтр блокировки файлов, которая будет блокировать со
хранение пользователями определенных типов файлов и генерировать уведомления, когда кто-то попытается записать блокируемые файлы на сервер. Фильтры блокировки файлов могут быть созданы на целых томах или конкретных папках, и точно так же, как квоты имеют шаблоны, фильтры блокировки файлов также могут иметь шаблоны. На рис. 1 3.26 показано окно диспе1Чера серверов с отображаемыми шаб лонами блокировки файлов.
Обратите внимание, что в шаблонах идентифицировано несколько хорошо известных типов групп файлов, таких как аудио- и видео-файлы и файлы изображений. Конкретные расширения этих типов файлов идентифицированы в узле File Groups (Группы файлов). Например, аудио- и видео-файлы включают расширения . mpl, .mp2, .mрЗ, . mp4 и .mpeg — причем это далеко не полный перечень.
Когда вы создаете фильтр блокировки файлов, то просто выбираете одну из групп файлов. Это будет удовлетворять вашим потребностям большую часть времени, но если вы хотите добавить типы файлов либо исключить определенные типы файлов из политики, то можете соответствующим образом модифицировать содержимое. Представьте, что в вашей компании недавно узнали, что многие пользовате ли хранят на сервере файлы Outlook с расширением . pst, которые имеют размеры свыше l Гбайт и поглощают пространство хранилища. В компании заявили, что пользователи не могут хранить файлы электронной почты на файловом сервере.
Чтобы обеспечить применение этого правила, выполните описанные ниже шаги.
l . Запустите диспетчер серверов и перейдите к узлу File Screen Templates
(Шаблоны блокировки файлов).
2. Щелкните правой кнопкой мыши на шаблоне Block E-mail Files (Блокировать
файлы электронной почты) и выберите в контекстном меню пункт Create File
Screen from Template (Создать фильтр блокировки файлов из шаблона).
3. В текстовом поле File Screen Path (Путь Д1IЯ фильтра блокировки) введите имя тома, на котором необходимо организовать блокировку файлов (такое как F:
Поскольку был выбран шаблон Block E-mail Files, свойства фильтра блокиров
ки файлов уже установлены. Это свойства можно было бы изменить или при
желании даже определить специальные свойства. Оставьте выбор по умолча
нию и просмотрите сводку в нижней части окна.
4. Щелкните на кнопке Create (Создать).
5. Выберите узел File Screens (Фильтры блокировки файлов), находящийся
выше узла File Screen Templates (Шаблоны блокировки файлов) в дереве дис
петчера FS RM.
6. Щелкните правой кнопкой мыши на только что созданном фильтре блоки
ровки файлов и выберите в контекстном меню пункт Edit File Screen Properties
(Редактировать свойства фильтра блокировки файлов). Диалоговое окно долж
но выглядеть подобным показанному на рис. 13.27.
Обратите внимание, что вы можете выбрать либо переключатель Active
screening (Активная блокировка), либо переключатель Passive screening (Пас
сивная блокировка). Поскольку вы хотите конкретно блокировать сохранение
пользователями файлов на сервере, оставьте выбранным переключатель Active
screening. Пассивная блокировка используется для мониторинга.
7. Просмотрите информацию на вкладках E-mail Message (Сообщение элект
ронной почты), Event Log (Журнал сообшений), Command (Команда) и Report
(Отчет).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да). Вы
заметите, что эти вкладки очень похожи на те, что применялись при настрой
ке квот. Изменилось только содержимое уведомления.
8. После просмотра вкладок шелкните на кнопке ОК.
Генерация отчетов
Доступно несколько разных отчетов. Отчеты можно генерировать как часть лю
бой политики квоты или политики блокировки файлов. Можно также настроить ге
нерацию отчетов по графику или генерировать их по требованию.
К счастью, отчеты удобно именованы, поэтому основное их содержимое легко
определить по одному лишь имени. Доступны следующие отчеты: Duplicate Files
(Дублированные файлы), File Screening Audit (Аудит блокировки файлов), Files
File Group (Файлы по файловым группам), Files Ьу Owner (Файлы по владельцам), Files Ьу Property (Файлы по свойствам), Large Files (Большие файлы), Least Recently Accessed Files (Файлы с наиболее давним доступом), Most Recently Accessed Files (Файлы с наименее давним доступом) и Quota Usage (Показатели использования квоты). Кроме того, отчеты можно сохранять в разных форматах, таких как DHTML, HTML, XML, CSV и текстовый. Для доступа к отчетам выполните следующие шаги.
1. Запустите диспетчер серверов. Щелкните правой кнопкой мыши на узле Storage
Reports Management (Управление отчетами по хранилищу) в окне диспетчера
ресурсов файлового сервера (File Server Resource Manager) и выберите в контекс тном меню пункт Generate Reports Now (Сгенерировать отчеты сейчас).
На вкладке Settings (Настройки) вы можете выбрать столько отчетов, сколько
нужно, но в случае выбора их всех запаситесь терпением;
для крупных томов генерация всех отчетов займет довольно ощутимое время. Некоторые отче ты имеют дополнительные параметры, допускающие модификацию. Например, если вы выбрали отчет Quota Usage, то можете щелкнуть на кнопке Edit Parameters (Редактировать параметры) и изменить минимальный показатель
использования квоты, который будет включен в отчет.
2. Выберите отчеты, подлежащие генерации, и отметьте флажки возле форматов,
в которых хотите получить эти отчеты. Диалоговое окно будет выглядеть при
мерно так, как показано на рис. 13.28.
3. Перейдите на вкладку Scope (Область действия).
На этой вкладке необходимо выбрать тип данных, которые будуr накапливать
ся в отчетах.
4. Сделайте выбор типов файлов и щелкните на кнопке Add (Добавить).
Откроется диалоговое окно, в котором можно перейти к нужным папкам и добавить их дЛЯ формирования отчетов.
5. Выберите папки и щелкните на кнопке ОК.
Последней вкладкой диалогового окна Storage Reports Task Properties (Свойства задачи генерации отчетов по хранилищу) является Delivery (Доставка). Отчеты можно отправить по электронной почте администратору.
6. Просто отметьте флажок и укажите адрес электронной почты лица, которому
должны быть отправлены отчеты.
Это особенно удобно дЛЯ отчетов, генерируемых по графику. Например, мож
но генерировать все отчеты в воскресенье и обеспечить их отправку по элект
ронной почте в понедельник уrром мя просмотра.
7. В диалоговом окне Generate Storage Reports (Генерация отчетов по хранилищу) выберите переключатель Generate Reports in the Background (Генерировать отчеты в фоновом режиме) и щелкните на кнопке ОК.
В результате будет создана задача генерации отчетов, которая удалится после
своего завершения. По умолчанию в диалоговом окне выбран переключатель
Wait for the reports to generate and then display them (Ожидать генерации отчетов и затем отобразить их).
Вы можете отслеживать выполнение задачи, а
после ее завершения отчеты отобразятся. Стандартным местоположением дnя
локального сохранения отчетов на сервере является \с$ StorageReports
Interactive. В зависимости от объема данных в отчетах выполнение может
потребовать нескольких минуr.
8. Пока задача генерации отчетов выполняется, щелкните правой кнопкой мыши
на узле Storage Reports Management и выберите в контекстном меню пункт
Schedule а New Report Task (Запланировать новую задачу генерации отчетов).
9. На вкладке Settings назначьте новой запланированной задаче генерации отчетов подходящее имя, укажите виды отчетов, подлежащие генерации, и выберите форматы этих отчетов.
1 О. Перейдите на вкладку Scope.
Здесь необходимо выбрать тип данных и папки, дnя которых будуr формиро
ваться отчеты.
1 1 . На вкладке Delivery отметьте флажок и укажите адрес электронной почты дnя еженедельной отправки отчетов.
Для любых уведомлений по электронной почте, предоставляемых FSRM, потребуется соответствующим образом сконфигурированный сервер SMTP.
12. По умолчанию на вкладке Schedule (График) выбран переключатель Weekly
(Еженедельно), отмечен флажок Sunday (Воскресенье), а в поле Run at
(Запускать в) указано 5:00:00 утра (рис. 1 3.29).
Новый график теперь отображается в окне FSRM с раскрытым узлом Storage
Reports Management. При наличии сконфигурированного сервера SMTP, щелкните правой кнопкой мыши на задаче и запустите ее, чтобы протестировать
выполненную работу.
ОТСЛЕЖИВАЙТЕ ПОТРЕБЛЕНИЕ ДИСКОВОГО ПРОСТРАНСТВА ОТЧЕТАМИ
Если вы создаете график генераuии отчетов, который будет создавать файлы от
четов в вашей системе, то должны отслеживать объем пространства, занимаемо
го отчетами. При наихудшем сценарии график генерации отчетов сформирован, и
отчеты регулярно создаются, постоянно потребляя дисковое пространство. Чтобы
снизить это влияние на функционирование сервера, можно изменить стандартное
местоположение отчетов, модифицировав настройки на вкладке Report Locations
(Местоположения для отчетов) в окне параметров File Server Resoшce Manager.
К этому моменту созданная ранее задача генерации отчетов должна завер
шиться.
14. Перейдите к отчетам, расположенным в папке %systemdrive%StorageReports
Interacti ve, используя для этого проводник Windows.
15. Дважды щелкните на сгенерированных НТМL-файлах, чтобы просмотреть до
ступную в них информацию. Дважды щелкните на текстовых файлах, чтобы
взглянуть, как отображается информация внутри них.
Как видите, диспетчер FSRM предлагает развитые возможности построения
отчетов.
Параметры File server Resource мanager
Дтя модификации доступно множество параметров FSRM. Параметры на вкладке Email Notifications (Уведомления по электронной почте) должны быть сконфигурированы, прежде чем вы сможете пользоваться любыми почтовыми возможностями сервера. Чтобы открыть диалоговое окно настройки параметров, щелкните правой кнопкой мыши на элементе File Server Resource Manager (Диспетчер ресурсов файлового сервера) внутри диспетчера серверов и выберите в контекстном менюпункт Configure Options (Конфигурировать параметры). Откроется диалоговое окно свойств с семью вкладками.
• Email Notifications (Уведомления по электронной почте).
Если вы хотите использовать уведомления по электронной почте, то должны ввести имя или 1Р-адрес сервера SMTP, который будет принимать почтовые отправления отвашего сервера.
На этой вкладке вы также вводите стандартный адрес электронной почты для получателя-администратора и стандартный адрес From (От).
Чтобы удостовериться о корректности сконфигурированных настроек, можно
отправить тестовое сообщение электронной почты.
• Notification Limits (Лимиты для уведомлений). После того, как порог (такой как потребление 85% пространства на диске) достигнут, он остается актуальным до тех пор, пока не будет предпринято какое-то действие.
Вместо того чтобы досаждать пользователю уведомлениями каждые 30 секунд, вы можете установить лимиты времени в минутах для таких уведомлений. По умолчанию для каждой реакции на достижение порога — уведомлению по электронной почте, записи в журнал событий и генерации отчетов — отводится 60 минут.
• Storage Reports (Отчеты по хранилищу). Многие отчеты имеют параметры,
которые можно модифицировать. Каждый параметр, допускающий измене
ние, имеет стандартное начальное значение, которое может быть установлено
на этой вкладке.
• Report Locations (Местоположе1П1я для отчетов). Отчеты сохраняются в стандартных местоположениях на системном диске
Внутри папки % systerndri ve% StorageReports создаются три подпапки:
Incident (.!UIЯ уведомлений), Scheduled (для запланированных задач генерации отчетов) и Interact ive (для отчетов, генерируемых по требованию).
На этой вкладке можно изменить стандартные местоположения мя любых отчетов.
• File Screen Audit (Аудит блокировки файлов). На этой вкладке присутствует единственный флажок Record file screening activity in an auditing database
(Записывать действия по блокировке файлов в базу данных аудита). Если он
отмечен, действия блокировки будут фиксироваться в базе данных с целью
дальнейшего изучения с помощью отчета по аудиту блокировки файлов.
• Automatic Classification (Автоматическая классификация). Файлами можно управлять на основе свойств классификации и создаваемых вами правил, а не на
базе того, где эти файлы находятся в дереве каталогов. Если вы используете управление классификацией (это делают немногие), можете на данной вкладке создать расписание для применения правил классификации и генерации отчетов.
Дополнительные сведения о классификации файлов приведены в следующей
статье TechNet: http: / /technet . rnicrosoft . corn/library /dd7 587 65 . aspx.
• Access-Denied Assistance (Помощь при запрете доступа). Пояоиошаяся в вер
сии Windows Se!V’er 2012 вкладка Access-Denied Assistance позволяет настраиоать собственное сообщение об ошибке запрета доступа, которое отображается пользователю, не имеющему подходящих разрешений дпя доступа к определенной папке или файлу.
Кроме того, можно предоставить пользователям возможность запрашивать помощь прямо из сообщения об ошибке, щелкая на
гиперссылке. Это очень удобная функция.
Хотя NTFS — великолепная файловая система, включающая такие дополнитель
ные средства, как квоты NTFS, вы можете получить намного больше возможностей
за счет использования диспетчера FSRM. Если вы управляете файловым сервером,
полезно ознакомиться с этими дополнительными средствами.
Протокол sмв 3.0
Блок сообщений сервера (Se!V’er Message Block — SMB) — это сетевой прото
кол уровня приложений, который применяется в основном для предоставления
общего доступа к файлам, принтерам, портам и коммуникациям между машинами
в сети. На протокол SMB обычно ссылаются как на общую файловую систему для
Интернета (Common fntemet File System — CfFS).
Этот протокол используется главным образом с операционными системами Windows и служит основой для реализации распределенной файловой системы (Distгibuted File System) от Microsoft.
В текущей редакции сервера протокол SMB 3.0 несколько изменился. Многие
новые функuии делают этот протокол надежной и высокопроизводительной альтер
нативой применению устройств Fibre Channel и iSCSI. Давайте рассмотрим некоторые новые возможности.
• Обход О1ЮL3З транспорта SMB. Эта возможность позволяет администраторам проводить обслуживание на кластеризированных компьютерах без необходимости в каком-либо простое. В случае обхода отказа в кластере клиенты SMB 3.0 будут автоматически подключены к другой кластеризированной машине, не теряя доступ к общим файловым ресурсам, которые они использовали. Кластеризированные машины файловых серверов устраняют единую точку отказа, когда имеется только один файловый сервер или некластеризированная среда.
• Масштабирование SMB. Клиенты SMB больше не ограничены полосой про
пускания одиночного узла кластера.
Кластеризированные машины балансируют нагрузку между собой с применением своих собранных вместе ресурсов.
Не каждый сервер в кластере файловых серверов является активным узлом,
обслуживающим содержимое для клиентов. Масштабируемые общие файло
вые ресурсы SMB всегда сконфигурированы с набором свойств Continuously
AvailaЬe (Постоянная готовность).
• Многоканальность SMB. Данная возможность позволяет файловым серверам
использовать несколько сетевых подключений одновременно, что значительно
увеличивает полосу пропускания, т.к. можно передавать больше данных через
множество высокоскоростных сетевых адаптеров в одно и то же время. Это
также означает наличие нового уровня отказоустойчивости в сети. Применяя
несколько подключений одновременно, клиенты продолжат бесперебойную
работу в случае утери какого-то одного подключения.
Еще одним преимуществом многоканальности SMB является автоматическое обнаружение.
Это средство будет обнаруживать наличие доступных сетевых путей и динамически добавлять подключения по мере надобности.
• Протокол SMB Direct. Протокол SMB Direct — это новый транспортный про
токол для SMB 3.0, который разрешает прямую передачу данных между серве
рами с минимальным участием центрального процессора и низкой задержкой,
когда имеются сетевые адаптеры с поддержкой RDMA (remote direct memory
access — удаленный прямой доступ в память). Сетевой файловый сервер ста
новится способным к размещению локального хранилища для приложений,
подобных Microsoft SQL Server 201 2 и Microsoft Hyper-V.
+ Командлеты Windows PowerShell и объекты WМI для SMB. Крупным преиму
ществом в Windows Server 201 2 является то, что все управляющие командлеты
PowerShel теперь включены в состав операционной системы. Новые коман
длеты SMB позволяют администраторам управлять и отслеживать файловые
серверы и общие файловые ресурсы. Вы можете также написать сценарии для
автоматизации общих задач администрирования файлового сервера. Благодаря
новым объектам WMI, разработчики извлекают выгоду из возможности со
здания автоматизированных решений для конфигурирования и мониторинга
файлового сервера.
• Шифрование SMB. Эта новая функция позволяет шифровать данные на ходу
на основе файлов или общих ресурсов. Она защитит передаваемые данные
от перехвата или подделки без протокола 1 Psec или любого дополнительно
го выделенного оборудования. Шифрование SMB также очень удобно, когда
удаленные пользователи пытаются получить доступ к данным из незащищен
ных сетей.
Оно обеспечит защиту данных при их передаче из ресурсов корпо
ративной сети в незащищенную удаленную сеть пользователя. Ранее в главе
мы включали шифрование SMB путем отметки соответствующего флажка на
экране Other Settings (Другие настройки) мастера создания общего ресурса
(New Share Wizard) при выполнении упражнения по созданию новых общих
ресурсов.
Эту функцию можно также включить прямо в диспетчере серверов,
не прибегая к помощи мастера.
+ Аренда каталогов SMB. Данная функция использует BranchCache для предо
ставления более быстрого доступа к документам через сети WAN, которым
присуща высокая задержка.
Аренда каталогов сокращает количество полных
циклов коммуникации между клиентом и сервером через WAN. Клиент кеширует метаданные каталогов и файлов в согласованной манере на более дли
тельные периоды времени.
Когда информация изменяется, сервер уведомляет клиента и инициирует синхронизацию, которая обновит кеш клиента.
Эта функция спроектирована для работы с домашними папками пользователей и
опубликованными общими ресурсами.
Хотя здесь бьmи подчеркнуты некоторые важные возможности SMB 3.0, мы определенно не раскрыли абсолютно все. Если вы желаете ознакомиться с полной спецификацией протокола, проследуйте по ссьшке http : //support .microsoft . com/kЬ/2709568.
Совместимость с версиями sмв 2.0 и sмв 1 .0
Для обеспечения обратной совместимости новейшие операuионные системы
поддерживают версии протокола SMB 2.0 и SM В 1 .0. Чтобы получить полную от
дачу от функuий, доступных в SMB 3.0, и на сервере, и на клиенте должна быть
возможность применения SMB 3.0.
В табл. 13.3 показаны версии операuионных систем и поддерживаемые ими версии протокола SMB. Сопоставив серверную ОС в верхней строке с клиентской ОС в левом столбuе таблиuы, вы получите версию SMB, которая будет использоваться во время взаимодействия.
Например, если вы выберете Windows Server 2008 R2 в верхней строке и Windows 7 в левом столбuе, то на пересечении будет указано.
что самой высокой поддерживаемой версией протокола яnляется SM В 2.1 .
Таблица 13.3. Версии операционных систем и поддержка протокола SMB
Кnиентская/ серверная Windows & Windows 7 Windows Vista Предшествую-
операционная система Windows Server Windows Windows щие версии
2012 R2 Server 2008 R2 Server 2008 Windows
Windows 8 SMB 3.0 SMB 2. 1 SMB 2.0 SMB 1 .0
Windows Server 2012 R2
Windows 7 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
Windows Server 2008 R2
Windows Vista SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Windows Server 2008
Предшествующие версии Windows SMB 1 .0 SMB 1.0 SMB 1.0 SMB 1 .0
Версия SMB 3.0 применяется всякий раз, когда это возможно мя клиентов, которые ее поддерживают. Поскольку SMB 3.0 не поддерживается другими операuионными системами (такими как Windows 7 или Windows Server 2008), более новые клиенты могут использовать старые версии протокола при взаимодействии с унаследованными машинами.
Хорошая новость в том, что все это делается автоматически.
Вам не придется предпринимать какие-то действия по конфигурированию, чтобы
задействовать SMB 3.0 либо переключиться обратно на SMB 2.0 или SMB 1.0 для
унаследованных клиентов. Вот что автоматически происходит в отношении SMB:
• если оба клиента поддерживают SMB 3.0, то SMB 3.0 будет применяться автоматически;
• если один из клиентов не поддерживает SMB 3.0 (например, Windows 7), то
для этого сеанса будет использоваться версия SM В, поддерживаемая этой ОС
(SMB 2.1 в данном примере).
Вероятно, вы уже слышали о маркетинговых кампаниях «Вместе лучше» («Better
Togetl1er»), про в одимых Microsoft. Это не просто маркетинг ради маркетинга.
Протокол SMB является одним из примеров, где вы по-настоящему получите более
высокую производительность, сочетая вместе новые технологии. В сети с серверами Windows Server 2012 R2, но с рабочими столами Windows 7 версия протокола SMB 3.0 применяться не сможет. Если это занятая сеть, то разница окажется заметной.
Безопасность sмв
В этой редакции сервера в реализацию SMB 3.0 было внесено несколько улучшений, касающихся безопасности. Протокол SMB 3.0 получил новый алгоритм ДllЯ подписи SMB под названием AES-CMAC.
Алгоритм СМАС (Cipher-based Message Authentication Code — код аутентификации сообщений, основанный на шифре) базируется на блочном шифре с симметричным ключом (AES (Advanced Encryption Staпdard — расширенный стандарт шифрования)), тогда как алгоритм НМАС, используемый в SM В 2.0, основан на хеш-функции (SHA (Secure Hash Algorithm -алгоритм безопасного хеширования)).
Стандарт AES был спецификацией, официально принятой правительством США в 2002 году, и одобрен Агентством национальной безопасности ДllЯ шифрования совершенно секретной информации.
Алгоритм AES-CMAC обеспечивает более строгую гарантию целостности дан
ных, чем контрольная сумма или код обнаружения ошибок. Алгоритм СМАС пред
назначен для обнаружения преднамеренных, неавторизованных изменений данных, а также случайных изменений. Верификация с помощью кода обнаружения ошибок или контрольной суммы позволяет выявить только случайные изменения данных.
Алгоритм НМАС SHA-256, применяемый в SMB 2.0, поддерживает целостность
данных — гарантию того, что данные не были модифицированы. Хотя SMB 1 .0 также обеспечивает целостность данных, безопасность в Н МАС SHA-256 выше, а в AES-CMAC — еще выше.
Хеш — это просто число, созданное путем выполнения алгоритма хеширования
над пакетом, сообщением или файлом. До тех пор пока пакет остается тем же самым (не изменяется), алгоритм хеширования будет всегда давать один и тот же хеш (одинаковое число).
В общем, хеш обеспечивает целостность данных для пакетов,
сообщений или файлов, следуя описанным ниже шагам.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Отправка пакета и хеша получателю.
4. Получатель вычисляет хеш полученного пакета и сравнивает его с полученным хешем.
• Если хеши совпадают, целостность данных соблюдена.
• Если хеши отличаются, целостность данных утеряна. Это может произойти
из-за того, что атакующий изменил данные, или просто потому, что биты FIO
время транспортировки потерялись.
Тем не менее, если атакующий может модифицировать данные в пути, то почему
бы ему не изменить также и хеш во время передачи? Чтобы воспрепятствовать этому, хеш шифруется с помощью ключа сеанса, известного только клиенту и серверу.
Такой процесс называется цифровы.t1 подписанием пакета в SMB 1 .0 и SMB 2.0. Он выглядит следующим образом.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Шифрование хеша помощью ключа сеанса (или общего ключа).
4. Отправка пакета с зашифрованным хешем.
5. Получатель расшифровывает зашифрованный хеш.
6. Получатель вычисляет хеш полученного пакета.
7. Получатель сравнивает два хеша, чтобы выяснить, не утеряна ли целостность данных.
Включение цифрового подписания для пакетов SMB 1 .0 может снизить производительность на 10-1 5%. Хотя вы по-прежнему столкнетесь с падением производительности в SMB 2.0, она не настолько значительна. Одна из основных причин связана с упрощением SMB 2.0, в результате чего меньше пакетов отправляется и меньше пакетов нуждается в подписании.
внедрение BitLocker
Шифрование дисков BitLocker (BitLocker Drive Encryption) — это технология,
предназначенная для обеспечения защиты целых дисковых накопителей. Более но
вой технологией является BitLocker То Go, которая появилась в Windows 7 и позволяет шифровать флэш-накопители USB.
Здесь мы сосредоточим внимание на использовании BitLocker Drive Encryption для защиты дисков в Windows Server 2012.
Основное предназначение BitLocker заключается в шифровании данных на жес
тких дисках, чтобы в случае их похищения или утери данные были недоступными.
Это часто применяется на ноутбуках и серверах, расположенных в местах со слабой физической защитой. Ноутбуки легко украсть — люди часто оставляют их в конфе ренц-залах на время обеда или забывают их на стульях, откуда они быстро исчезают.
Подобным же образом серверы, находящиеся в удаленных офисах, часто слабо
защищены физически — во всяком случае, слабее, чем в головном офисе. Возможно, главная серверная комната очень хорошо физически защищена, но сервер в удаленном офисе может скрываться за дверцами шкафа, которые легко открыть ломиком или даже кредитной карточкой.
BпLoCKER УСИЛИВАЕТ ФИЗИЧЕСКУЮ ЗАЩИТУ
BitLocker усиливает физическую защиту, но не может противостоять всем возможным атакам. Вредоносное программное обеспечение, такое как руткиты, может организовать в системе слабые места, которые сделают возможным доступ к данным, если компьютер впоследствии будет похищен.
Кроме того, если дисковые устройства на выведенном из эксплуатации сервере не очищены, они могут содержать данные, делиться которыми нежелательно.
BitLocker защитит эти данные от несанкционированного использования.
На первый взгляд, может показаться, что данные на этих дисках защищены пос
редством разрешений.
Однако атакующий может настроить домен и поместить свою
учетную запись в группу Enterprise Admins (Администраторы предприятия).
Имея физический доступ к серверу, он затем может изъять дисковое устройство из сервера, установить его на свой сервер и легко получить права владения над всеми файлами.
После этого он будет владеть всеми вашими данными. Тем не менее, если файлы зашифрованы, атакующему будет намного труднее получить доступ к данным — мы не решаемся утверждать о полной невозможности доступа, но сам факт шифрования вполне может отпугнуть большинство атакующих.
что нового в BitLocker
В Microsoft добавили к BitLocker несколько впечатляющих новых функций в версиях Windows 8 и Windows Server 2012. Теперь средство BitLocker может быть настроено перед установкой, и тогда шифрование понадобится только для используемого
дискового пространства. Это сэкономит массу времени на обеих сторонах установки.
Одним из недостатков первоначального выпуска BitLocker было длительное
время, затрачиваемое на шифрование диска. Очень приятно видеть значительный
рост производительности в данной редакции BitLocker. Ниже перечислены новые
возможности и функции последнего выпуска.
• Настройка BitLocker. За счет применения среды предустановки Windows
(Windows Preinstallation Environment — WinPE) администраторы теперь могут
включить BitLocker перед развертыванием операционной системы.
• Шифрование только используемого дискового пространства. Эта функция позволяет выполнять шифрование гораздо быстрее за счет того, что ему подвергается только используемое дисковое пространство. Доступны два метода шифрования: Full Volume Encryption (Шифрование полного тома) и Used Disk Space Only (Только используемое дисковое пространство).
• Возможность изменения РIN-кода и пароля стандартными пользователями. Для
конфигурирования BitLocker по-прежнему требуются административные при
вилегии, но теперь стандартным пользователям предоставлена возможность
изменять РIN-код или пароль для тома операционной системы либо тома
фиксированных данных по умолчанию.
• Защита Network Unlock. В Windows Server 201 2 R2 появилась новая опция защиты BitLocker для томов операционной системы — Network Unlock. Машины
домена, присоединенные к доверенной проводной сети, могут иметь разбло
кированный системный том сразу после загрузки системы. Это очень удобно в
случае утери РlN-кода.
• Поддержка зашифрованных жестких дисков для Windows. Версии Windows 8 и
Windows Server 2012 теперь содержат поддержку BitLocker для зашифрованных
жестких дисков. BitLocker будет поддерживать заранее зашифрованные жест
кие диски Windows от производителя.
• Шифрование для кластеризированных общих томов. Шифрование томов
Bitlocker поддерживается для кластеров с обходом отказа, которые функци
онируют под управлением Windows Server 201 2 R2. В среде Active Directory,
работающей на функциональном уровне домена Windows Server 201 2, тради
ционные кластеризированные диски и кластеризированные общие тома могут
применять шифрование на уровне томов, предоставляемое BitLocker.
Каждыйузел выполняет расшифровку, используя учетную запись компьютера, которая называется объектом имени кластера (custer name object — CNO). Это делает возможной физическую защиту развертывания за пределами защищенного
центра данных и помогает удовлетворять требованиям соответствия мя шиф
рования на уровне томов.
Требования к оборудованию
Для обеспечения наилучшей защиты оборудование должно включать криптопро
цессор Trusted Platform Module (ТРМ) версии 1 .2, представляющий собой встроенный в компьютер аппаратный компонент, который обычно находится на материнской плате.
Если в системе имеется ТРМ 1 .2 и средство BitLocker включено, система будет
выполнять проверку целостности во время заrрузки. Если она обнаруживает изменения в оборудовании, указывающие на то, что жесткий диск находится на друrом
компьютере, устройство блокируется и пребывает в таком состоянии до тех пор,
пока не будет вручную разблокировано с применением ключа восстановления.
Тем не менее, на многих компьютерах ТРМ 1 .2 отсутствует.
Существуют альтернативы, которыми можно воспользоваться дпя шифрования дисков с помощью ВitLocker.
• Пароль. Средство BitLocker может шифровать диск, а дпя его разблокирования
применяется пароль.
• Смарт-карта. Средство BitLocker может шифровать диск, а дпя его разблоки
рования используется смарт-карта с РIN-кодом.
Вариант ТРМ, пароля или смарт-карты выбирается при включении BitLocker на
конкретном диске. На рис. 1 3.30 система не имеет ТРМ, так что присутствуют только опции пароля и смарт-карты.
Также возможно выбрать опцию автоматического разблокирования диска при
доступе из того же самого компьютера. Это требует, чтобы диск, на котором находится Windows, был также защищен посредством ВitLocker. При таком использовании шифрование будет видимым только при переносе диска на другой компьютер
(или в случае изменения оборудования на текущем компьютере, достаточного дпя
того, чтобы средство BitLocker посчитало, что диск был перемещен).
Средство BitLocker может быть внедрено в разделах без шифрования всего диска.
Например, если система имеет единственный физический жесткий диск, разбитый
на два раздела (с и D), вы можете заблокировать диск о с помощью BitLocker, не
блокируя диск с.
Ключ восстановления
Ключ восстановления BitLocker может применяться, если ТРМ обнаруживает,
что диск был перемещен на другой компьютер. Как только криптопроцессор ТРМ
определяет факт переноса (либо изменения оборудования), он блокирует диск до тех пор, пока он не будет разблокирован с использованием ключа восстановления.
BitLocker поддерживает механизм восстановления на случай, если пароль забыл
или смарт-карты утеряна. В Microsoft рекомендуют сохранить ключ восстановления
в Active Directory Domain Services, записать его в файл, распечатать его или хранить
в надежном месте. Мастер BitLocker предоставляет три опции:
• сохранить ключ восстановления на флэш-накопитель USB;
• сохранить ключ восстановления в файл;
• распечатать ключ восстановления.
Этот ключ должен быть защищен на уровне, сопоставимом с данными, хранящимися на диске. Другими словами, если на вашем диске имеются секретные патентованные данные, то защищайте ключ восстановления подобно тому, как защищаете эти данные.
включение BitLocker
По умолчанию средство BitLocker не включено. Перед тем как BitLocker мож
но будет включить, вы должны добавить компонент BitLocker Drive Encryption
(Шифрование диска BitLocker). Вспомните упражнение по добавлению ролей в на
чале этой главы: мы уже включили роль BitLocker. При желании освежить память
можете возвратиться и просмотреть упражнение еще раз. В перечисленных ниже
шагах предполагается, что в системе отсутствует ТРМ 1.2, а роль BitLocker уже установлена на сервере.
1 . Откройте панель управления и щелкните на значке System and Security
(Система и безопасность).
В центре системы и безопасности (System and Security Center) вы должны уви
деть компонент BitLocker Drive Encryption. Если он отсутствует, значит, этот
компонент не был добавлен.
Поиск в ПАНЕЛИ УПРАВЛЕНИЯ
В панели управления имеется одна изящная функция, которая очень полезна, но на
нее часто не обращают внимания. В правом верхнем углу окна расположено поле
поиска. В нем можно вводить любой поисковый термин (такой как BitLocker или
User), и в окне будут отображаться только подходящие значки. Поиск в панели управления доступен также в Windows Vista, Windows 7, Windows 8 и Windows Server
2008. Аналогичная функция поиска не помешала бы и в групповой политике.
2. Щелкните на значке BitLocker Drive Encryption (Шифрование диска BitLocker).
3. Щелкните на ссылке Turn оп Bitlocker (Включить BitLocker).
Откроется начальный экран Bitlocker Drive Encryption (Шифрование диска Bit
Locker), который позволяет выбрать способ разблокирования этого диска. При
отсутствии ТРМ доступны две опции: Use а password to unlock the drive (Ис
пользовать пароль для снятия блокировки диска) и Use а smart card to unlock
the drive (Использовать смарт-карту для снятия блокировки диска).
4. Отметьте флажок Use а password to unlock the drive и введите пароль в двух полях. В качестве альтернативы, если у вас есть смарт-карта и система поддерживает работу со смарт-картами, можете отметить флажок Use а smart card to unlock the drive.
5. Щелкните на кнопке Next (Далее).
6. Выберите Save the гесоvегу key to а file (Сохранить ключ восстановления в файле). Укажите местоположение мя файла на своем компьютере и щелкните
на кнопке Save (Сохранить).
В идеальном случае этот файл должен быть сохранен на отдельном устройс
тве (таком как флэш-накопитель USB). При попытке сохранить файл на том
же физическом диске отобразится диалоговое окно с предупреждением, но вы
можете щелкнуть в нем на кнопке Yes (Да), чтобы продолжить.
7. Щелкните на кнопке Next.
На следующем экране можно указать объем дискового пространства, подлежа
щего шифрованию. Здесь можно выбрать новую опцию Encrypt disk space опlу
(Шифровать только используемое пространство на диске).
Если вы выберете Encrypt entire drive (Шифровать весь диск), то в зависимости
от размера диска процесс может занять продолжительное время. Мы заметили,
что шифрование 1 Гбайт требует около 30 секунд, так что при объеме диска
500 Гбайт у вас появится возможность сделать перерыв.
8. Оставьте все без изменений и щелкните на кнопке Next.
На следующем экране понадобится подтвердить свои намерения зашифровать
ЭТОТ ДИСК.
9. По готовности щелкните на кнопке Start encrypting (Начать шифрование).
Отобразится индикатор хода работ.
10. Дождитесь завершения процесса и щелкните на кнопке Close (Закрыть).
После перезагрузки системы диск оказывается помеченным как зашифрован
ный и не будет доступен.
1 1 . Вы можете разблокировать этот диск, щелкнув на его значке правой кнопкой мыши и выбрав в контекстном меню пункт Unlock Drive (Снять блокировку с диска), как показано на рис. 13.32. Введите указанный ранее пароль и разблокируйте диск.
После разблокирования диска вы можете обращаться к данным обычным об
разом.
12. Щелкните правой кнопкой мыши на значке диска и выберите в контекстном
меню пункт Manage Bitlocker (Управлять BitLockeг).
Это предоставит возможность изменить пароль и манипулировать другими опциями для диска.
В1тLоскЕR То Оо
BitLocker То Go — великолепная возможность, которой легко пользоваться после
того, как на сервер добавлен соответствующий компонент.
1. Откройте окно BitLocker Drive Encryption через панель управления.
2. Вставьте флэш-накопитель USB и щелкните для него на ссылке Turn Оп Bitlocker
(Включить ВitLocker).
3. Введите пароль, сохраните ключ восстановления и затем щелкните на кнопке Start encrypting (Начать шифрование).
Если флэш-накопитель переносится на другой компьютер, он перестает читаться.
Однако вы можете вставить флэш-накопитель в другой компьютер и ввести пароль, когда он будет запрошен, после чего вы получите доступ ко всем своим данным.
Хотя это лучше всего работает в Windows 8 или Windows Server 2012 R2, вы можете
получить доступ к своим данным и на других системах, таких как Windows 7, запустив программу Bi tLockerToGo . ехе для расшифровки и копирования данных.
Многие организации предпринимают дополнительные меры, чтобы защитить «данные в состоянии покоя», и BitLocker То Go вполне удовлетворяет таким потребностям. Мы ожидаем широкого применения этого средства в ближайшем будущем.
Использование автономных файлов / кеширования на стороне клиента
При наличии в вашей сетевой среде пользователей с ноуrбуками вам наверня
ка понравится средство Offiine Files (Автономные файлы) или Cient-Side Caching
(Кеширование на стороне клиента); в Microsoft применяют эти названия взаимозаменяемо.
На самом деле оно будет привлекательным практически ддя всех, кто использует сеть. Средство Offiine Files предоставляет три основных преимущества:
оно позволяет сети выглядеть более быстрой ддя своих пользователей, сглаживает «затормаживания» сети и упрощает задачу синхронизации файлов на ноутбуках с
файлами на сервере.
как работает Offline Files
Средство Offiine Files включено на общих ресурсах, расположенных на сервере.
Оно автоматически кеширует файлы, к которым производится доступ, сохраняя кешированные копии в папке на локальном жестком диске (папка вполне ожидаемо
называется Offline Files). Эти кешированные копии затем применяются ддя ускорения доступа в сеть (или кажущегося доступа в сеть), поскольку последующий доступ к файлу может быть обработан с использованием кешированной копии, а не путем передачи его содержимого через сеть.
Это очень удобно дЛЯ пользователей, находящихся в пути.
Средство Offiine Filesпозволяет кешированным копиям файлов действовать в качестве временной замены сети, если та отсутствует (что нередко бывает у мобильных пользователей) или работает крайне неустойчиво.
В Offiine Files применяется механизм кеширования со сквозной записью; когда вы записываете файл, он передается в целевое местоположение внутри сети ддя сохранения, а также кешируется на локальном жестком диске. И когда вы хотите обратиться к файлу, кешированному в Offline Files, средство Offiine Files предпочтет предоставить вам кешированную копию (что быстрее), но сначала проверит, не изменился ли этот файл на сервере, сравнивая даты, время и размеры его копий на сервере и в кеше. Если они остались одинаковыми, средство Offiine Files без проблем выдаст файл из кеша; в противном случае Offline Files извлечет копию файла из сети, обеспечив актуальность данных.
Средство Offiine Files увеличивает шансы наличия в кеше новейших копий файлов, выполняя фоновую синхронизацию несколькими способами, которые определяются пользователем. Эта синхронизация поч:ти незаметна для пользователя, который просто работает с общим ресурсом по сети.
Нам нравится средство Offiine Files по следующим причинам.
• Средство Always Offline Mode (Всегда автономный режим). Это новое настраиваемое средство в Windows 8 и Windows Server 201 2 предоставляет пользователям возможность более быстрого доступа к файлам и меньшего расходования полосы пропускания за счет работы всегда в автономном режиме.
В отличие от предшествующих редакций, в которых осуществлялось переключение из онлайнового режима в автономный в зависимости от наличия соединения с
сетью, средство Always Offiine Mode обеспечивает пребывание в автономном
режиме даже при высокоскоростном подключении к сети.
Операционная система Windows будет автоматически обновлять файлы путем их синхронизации с кешем Offline Files. Это новое средство способствует более высокой производительности дисков. Средство Always Offiine Mode требует, чтобы компьютер был присоединен к домену и установленного компонента Group Policy Management (Управление групповой политикой).
• Более быстрый доступ. Из-за того, что часто используемые кешированные файлы будут располагаться на локальном жестком диске в лапке Offline Files,
вы немедленно заметите увеличение скорости реакции сети.
Открытие файла,который выглядит как находящийся в сети, но в действительности хранится в папке на локальном диске, дает очевидные и значительные улучшения времени отклика. поскольку требуется лишь небольшая активность со стороны сети либо она вовсе отсутствует.
• Сокращенный сетевой трафик. Так как кешированные файлы не нуждаются в
повторной переда’Jе по локальной сети, сетевой трафик сокращается. Наличие
часто используемых файлов в локальной папке кеша также решает проблему,
когда необходим файл из сервера, а доступ в сеть отсутствует.
Если вы пытаетесь обратиться к файлу на сервере, который не отвечает (или вы физически не подключены к сети), средство Offiine Files перейдет в «автономный» режим.
В этом режиме Offiine Files просматривает кеш Offiine Files и если находит в нем копию требуемого файла, то предоставляет ее вам, как будто бы сервер
функционирует и соединен с рабочей станцией.
• Автоматическая синхронизация. Если вам когда-либо приходилось находиться
в командировке, то вы знаете две наихудших вещи, которые могут произойти при поездке с ноутбуком: когда внезапно обнаруживается, что вы забыли
один или два важных файла, или досаждают переживания по поводу того, что
по возврашении нужно не забыть скопировать измененные вами файлы.
Средство OПline Files значительно уменьшает шанс возникновении первой из двух проблем, потому что можно сконфигурировать аrпоматическое копирование часто используемых файлов в локальную папку кеша сети.
Автоматизаuия проuесса синхронизаuии ноутбука с серверами существенно снижает объем работ при выполнении второй задачи.
вranchCache
Технология BranchCache предназначена пля оптимизании доступности данных в
офисах филиалов, которые подключаются через мепленные каналы WAN. Средство
BranchCache, когда оно включено, позволяет данным кешироваться на компьютерах в офисе филиала и применяться другими компьютерами в этом офисе.
Предположим, что компания имеет головной офис, находящийся в Колорадо Спрингс, и офис филиала, расположенный в Тампе и соединенный мепленным каналом связи.
Когда пользователям из Тампы необходим доступ к данным, открытым на сервере в Колорадо-Спрингс, им приходится подключапся через канал WAN,
даже если они просто открыли и сразу же закрыли файл.
Благодаря BranchCache, файлы могут кешироваться на каком-то компьютере в
удаленном офисе после первого обращения к ним.
Пользователи, которым нужен файл, впоследствии могут получать доступ к его локально кешированной копии.
BranchCache по-прежнему проверяет актуальность кешированной версии файла, но
короткая проверка метки времени по каналу связи происходит намного быстрее,
чем повторная загрузка всего содержимого файла.
Средство BranchCache поддерживает два режима.
• Режим размещенного кеша (Hosted СасЬе). Данные размещаются на одном или
большем числе серверов в удаленном офисе с установленной операuионной
системой Windows Server 2008 R2 или более новой версии, такой как Windows
Server 2012 R2.
• Режим распределенного кеша (Distributed Cache). Данные размешаются на компьютерах в офисе филиала. Необходимость в сервере отсутствует, но данные могут кешироваться только на компьютерах с Windows 7 и Windows 8. Более старыеверсии клиентских операционных систем для размещения кеша непригодны.
Средство BranchCache поддерживается на серверах Windows Server 2008 R2,
Windows Server 2012 и Windows Server 2012 R2, а также на клиентах Windows Yista, Windows 7 и Windows 8. Включить BranchCache на серверах, предшествующих Windows Server 2008 R2, или на клиентах с версией ОС, более ранней, чем Windows Vista, не удастся. В режиме Distributed Cache данные будут кешироваться только накомпьютерах Windows 7 и Windows 8, но компьютеры с Windows Vista по-прежнему будут иметь доступ к данным, кешированным с помощью BranchCache, несмотря на то, что машины с Windows Vista не могут выступать в качестве хостов.
Прежде чем средство BranchCache может быть включено, оно должно быть добавлено как служба роли внутри роли File and Storage Services.
В групповой политике (Group Policy) предусмотрено несколько настроек, кото
рые можно использовать пля включения и управления BranchCache. Эти настройки
находятся в узле Computer ConfigurationPoliciesAdministrative TemplatesNetwork BranchCache (Конфигурация компьютера Политики Административные шаблоны Сеть BranchCache) групповой политики.
включение средства Offline Files на сервере
Средство Offiine Files включается на сервере относительно легко. Доступны
два способа включения кеширования общего ресурса. Это можно сделать на экра
не Other Settings (Друтие настройки) мастера создания общего ресурса (New Share Wizard) при создании нового общего ресурса, а если общий ресурс уже создан, то можно изменить его свойства.
1 . Запустите диспетчер серверов и перейдите на вкладку Shares (Общие ресурсы)
для роли File and Storage Services, где вы увидите все общие ресурсы, которые в настоящее время открыты в сети.
2. Щелкните правой кнопкой мыши на любом общем ресурсе и выберите в кон
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Settings ( Настройки) и в открывшемся диалоговом
окне перейдите на вкладку Caching (Кеширование).
Диалоговое окно будет выглядеть подобно показанному на рис. 1 3.33. Здесь вы можете включить кеширование общего ресурса и средство BranchCache, если оно еще не было включено.
Хотя в этом разделе объяснялось средство Offiine Files, и было показано, каким
образом его конфигурировать на сервере, его необходимо сконфигурировать так
же на стороне клиента. В разных клиентских операционных системах (Windows ХР,
Windows Vista, Windows 7 и Windows это делается по-разному.
Ниже приведены ссылки, по которым доступны описания для различных клиентов.
Windows ХР:
http : //support . microsoft . com/kЬ/307853
Windows Vista:
http : //windows . microsoft . com/en-US/windows-vista /Wo�king-with-net�orkfiles-when-you-are-offline
Windows 7:
http : //www . windows7update . com/Windows7-0ffline-Files . html
Window 8:
http : / /technet . microsoft . com/en-us /l ibrary/ht8 4 8 2 67
В Windows Server 2012 появилась технология SMB Scale-Out, позволяющая создавать масштабируемые файловые кластера — Scale-Out File Server (SOFS). SOFS представляет из себя новый тип файлового кластера, работающего в режиме Active-Active. В этом режиме все узлы кластера могут одновременно обрабатывать запросы SMB-клиентов на подключение к файловым шарам.
Принцип работы Scale-Out File Server
Для подключения к стандартному кластеру клиент использует специальную точку подключения Client Access Point (CAP). CAP является кластерным ресурсом и состоит из сетевого имени (Network Name, NN) и одного (или нескольких) уникальных IP-адресов. Также файловый кластер может включать в себя ресурсы типа Storage и File Server.
При соответствующей настройке CAP регистрируется в DNSWINS. Вот так в DNS выглядит обычная точка клиентского доступа (CAP) двухузлового файлового кластера.
Точка клиентского доступа может быть запущена только на одном узле кластера в каждый момент времени. Т.е. только один узел кластера является доступным для подключения клиентов. Остальные узлы кластера не будут иметь доступа к ресурсам, так как эти ресурсы используются текущим узлом-владельцем точки клиентского доступа.
SOFS использует другой подход для работы с клиентами. Для этого используется ресурсы распределенного сетевого имени (Distributed Network Name, DNN) и Scale-Out File Server. Ресурсы IP-адреса и хранилища не используются.
Группа ресурсов Scale-Out File Server запускается на одном из узлов кластера, который называется лидером (Leader). Все остальные узлы содержат копии (клоны) группы ресурсов. Клоны управляются лидером, который следит за порядком их запуска и остановки, а также отслеживает их состояние. Группа ресурсов SOFS не выключается, пока доступен хоть один клон. Лидер может быть перенесен на любой из узлов кластера, его перемещение никак не скажется на доступность файловых шар.
Хотя SOFS и не использует IP-адрес в качестве кластерного ресурса, DNN зависит от адресов каждого узла кластера. DNN регистрируется в DNS, используя IP-адреса сетевых интерфейсов всех узлов кластера, на которых обрабатываются клиентские подключения. Вот так в DNS выглядит запись DNN для двухузлового кластера SOFS.
DNN отвечает за отслеживание состояния узлов кластера и обновление информации в DNS:
• Каждые 24 часа, либо при запуске DNN;
• В случае добавления или удаления узлов кластера;
• При изменении IP-адреса;
• При добавлении или удаления IP-адреса из сети кластера.
Для распределения подключений к узлам кластера в DNS используется round-robin. SMB-клиент получает полный список адресов, связанных с DNN, и затем пытается подключиться, используя по очереди первые восемь адресов из списка. Попытки происходят с интервалом в 1 секунду до тех пор, пока не произойдет подключение.
Таким образом, в отличие от обычного кластера, в котором все клиенты подключаются к одному узлу (режим Active-Passive), при использовании кластера SOFS клиентские подключения равномерно распределяются между всеми узлами кластера (режим Active-Active).
Работа Scale-Out File Server базируется на нескольких новых технологиях, о которых стоит упомянуть.
Cluster Shared Volume (CSVv2)
CSV является расширением, предназначенным для организации одновременного доступа всех узлов кластера к общему кластерному хранилищу на уровне файловой системы. Это является необходимым условием для работы отказоустойчивого кластера в режиме Active-Active. При использовании CSV один из узлов кластера назначается в качестве координатора, отвечающего за все операции с метаданными (создание, удаление и переименование файлов), а остальные узлы могут осуществлять только прямые операции чтения-записи в файл. Т.е. если на узел кластера, не являющийся координатором, поступит запрос например на создание файла, то он перенаправит его на узел-координатор, а если же речь об операции чтения-записи — то выполнит сам.
При отказе текущего координатора автоматически назначается новый из числа работоспособных узлов. Также при необходимости координатор можно назначить вручную, из графической оснастки или с помощью PowerShell.
Технология CSV появилась еще в Windows Server 2008 R2, однако тогда общие тома CSV можно было задействовать исключительно для роли Hyper-V. Начиная со второй версии (CSVv2) в Windows Server 2012 эти ограничения сняты и можно использовать CSV-тома для роли отказоустойчивого файлового сервера. То есть мы можем сконфигурировать кластер с одним или несколькими томами CSV, поднять на нем роль Scale-Out File Server и в рамках этой роли создать на CSV необходимое количество файловых шар, одновременный доступ к которым будет возможен с любого из узлов кластера.
SMB Transparent Failover
Для созданных таким образом шар будет поддерживаться технология SMB Transparent Failover, реализованная в SMB 3.0. Суть этой технологии в том, чтобы обеспечить прозрачное переключение SMB-клиентов на другой узел кластера в случае отказа текущего узла.
При отработке отказа в обычном файловом кластере в том же Windows Server 2008 R2 существовало 2 основных проблемы. Во первых, при переключении на другой узел клиенту необходимо было определить факт недоступности текущего узла и осуществить подключение к работающему узлу. Эта процедура занимает некоторое время (порядка 40 секунд), в течение которого приостанавливались все операции с файлами. И во вторых, при переключении сбрасывались все файловые дескрипторы и блокировки. Как правило, это не причиняло особых проблем при работе с обычными пользовательскими файлами (документами, изображениями и т.п.), но для серверных приложений типа SQL Server подобный подход недопустим.
SMB Transparent Failover решает обе проблемы и обеспечивает непрерывную доступность общих файловых ресурсов для клиентов SMB 3.0. Для этого в SMB 3.0 используются компоненты SMB Witness и Resume Key Filter.
При подключении к общей шаре SMB-клиент проверяет, установлен ли для нее признак непрерывной доступности (Continuous availability), и если да — то открывает файл от имени приложения, запрашивает у SMB-сервера дескриптор файла и предоставляет уникальный ключ (resume key). SMB-сервер извлекает и предоставляет клиенту необходимые данные, а информацию о дескрипторе файла и клиентский ключ сохраняет на диске, используя фильтр Resume Key.
При переключении (плановом или внеплановом) на другой узел кластера SMB-клиент пытается завершить операцию, начатую на предыдущем узле, используя свой resume key. Сервер, получив resume key, обращается к фильтру Resume Key и восстанавливает состояние дескриптора файла на момент, предшествующий сбою. При этом приложение на клиенте никак не участвует в этом процессе и испытывает лишь небольшую задержку в операциях ввода-вывода.
Служба SMB Witness помогает ускорить процесс переключения на другой узел кластера в случае отказа. При первом подключении к узлу кластера Witness-клиент, запущенный на клиентском компьютере, запрашивает у Witness-сервиса на текущем узле список всех остальных узлов кластера. Из этого списка Witness-клиент выбирает альтернативный узел и посылает запрос на регистрацию запущенному на нем Witness-сервису, после чего Witness-сервис начинает отслеживать события в кластере, связанные с этим клиентом.
Как только на узле кластера, к которому подключен SMB-клиент, происходит сбой, служба кластера оповещает о нем Witness-сервис альтернативного узла, который сразу-же передает сообщение Witness-клиенту. Соответственно клиент SMB, получив извещение от Witness-клиента, немедленно начинает процедуру подключения к другому узлу кластера. Подобный подход позволяет значительно уменьшить время простоя (примерно с 40 до 7-10 секунд).
Надо сказать, что поскольку SOFS использует возможности протокола SMB 3.0, то для использования всех преимуществ SOFS необходим клиент с поддержкой этого протокола. На данный момент это операционные системы Windows 8Server 2012 и более новые. Хотя подключиться к шарам на файловом сервере SOFS смогут и другие клиенты, но прозрачная отработка отказа (Transparent failover) для них не будет доступна.
На этом закончим теоретическую часть и приступим к практике.
Для создания двухузлового файлового сервера с ролью Scale-Out File Server я использую два сервера SRV3 и SRV4 под управлением Windows Server 2012 R2. Оба сервера подключены к общему хранилищу iSCSI, на котором под нужды кластера выделены 2 LUNа — один под том CSV, второй под кворумный диск. Оба сервера являются членами домена Active Directory.
Вроде все необходимые требования соблюдены, можно приступать.
Установка службы Failover Clustering
Открываем Server Manager, запускаем мастер добавления ролей и в разделе «Features» отмечаем пункт Failover Clustering. Эту процедуру необходимо проделать на всех серверах, которые планируется добавлять в кластер.
То же самое можно проделать и с помощью PowerShell. Следующая команда установит фичу Failover Clustering вместе со средствами управления:
Install-WindowsFeature -Name Failover-Clustering –IncludeManagementTools
Создание отказоустойчивого кластера
Для создания кластера нам потребуется оснастка Failover Cluster Manager. Открыть ее можно из Server Manager, выбрав соответствующий пункт в меню Tools.
Перед тем, как создавать кластер, проведем валидацию его узлов, т.е. проверку всех компонентов кластера (серверов, сети и хранилища) на соответствие необходимым требованиям. Для запуска валидации в оснастке Failover Cluster Manager перейдем на пункт «Validate Configuration».
Запускается мастер проверки конфигурации. На первом экране читаем полезную информацию и жмем Next.
Выбираем сервера, которые будут проходить проверку.
На следующей странице Testing Options можно выбрать конкретные наборы тестов, либо указать запуск всех тестов. Выбор определенных тестов может понадобится при поиске проблем на уже готовом кластере, а при создании нового кластера стоит запустить все тесты.
Смотрим список тестов и жмем Next, запуская проверку.
Тестов довольно много, так что проверка занимает некоторое время. Процесс проверки отображается в окне мастера валидации.
По результатам проверки будет выведен отчет. Если при проверке были обнаружены некритичные ошибки, то в отчете будет предупреждение (желтый треугольник), серьезные ошибки будут отмечены красным крестом. С предупреждениями стоит ознакомиться, но можно их проигнорировать, ошибки же необходимо исправить перед созданием кластера.
Поскольку наш кластер успешно прошел валидацию, то отмечаем чекбокс Create the cluster now using the validated nodes (Создать кластер немедленно используя проверенные узлы) и жмем Finish.
Запускается мастер создания кластера. Жмем Next
Вводим имя кластера и IP-адрес, по которому кластер будет доступен в сети.
Примечание. Начиная с Windows Server 2012 IP-адрес кластера можно назначать через DHCP, но я предпочитаю назначать кластерам статический адрес.
Дальше переходим на страницу подтверждения, смотрим настройки и если все верно, то запускаем создание кластера кнопкой Next. Обратите внимание на чекбокс Add all eligible storage to the cluster (Добавить все подходящие хранилища в кластер). Если он отмечен (а по умолчанию это так), то мастер автоматически добавит в кластер и сконфигурирует все найденные общие диски.
По завершении мастер выдаст страницу с информацией о параметрах нового кластера.
Также провести валидацию и создать кластер можно с помощью PowerShell, следующими командами:
Test-Cluster -Node SRV3,SRV4
New-Cluster -Name Cluster1 -Node SRV3,SRV4 -StaticAddress 192.168.0.100
Настройка диска-свидетеля
При создании кластера по умолчанию используется модель кворума с диском-свидетелем (Disk Witness), при этом диск-свидетель выбирается автоматически, и иногда не тот, который нужен. Для того, чтобы проверить настройки дисков, открываем раздел Storage -> Disks. Диск-свидетель обозначен как Disk Witness in Quorum. Как видите, в нашем случае в качестве свидетеля выбран не тот диск, который я изначально планировал.
Для изменения настроек кворума кликаем правой кнопкой мыши на имени кластера и переходим на пункт меню More Actions -> Configure Cluster Quorum Settings.
В мастере настройки выбираем пункт Select the quorum witness.
Затем выбираем Configure a disk witness.
И отмечаем галочкой нужный диск, который и будет использоваться как свидетель.
Проверяем получившиеся настройки и жмем Next, подтверждая изменения.
Также перенастроить диски можно из PowerShell. Сначала выясняем, кто является кворумным диском-свидетелем:
Get-ClusterQuorum -Cluster Cluster1
и меняем его на другой:
Set-ClusterQuorum -Cluster Cluster1 -DiskWitness ″Cluster Disk 2″
Создание CSV
В отличие от Server 2008 R2 в Server 2012 общие кластерные тома (CSV) включены по умолчанию, требуется только выбрать хранилище. Чтобы активировать CSV на выбранном диске, кликаем по нему правой кнопкой и выбираем Add to Cluster Shared Volumes. После этого поле Assigned to этого диска изменится с Available Storage на Cluster Shared Volume.
Общие кластерные тома монтируются к системному диску как папки, так что на каждом из узлов кластера появится папка C:ClusterStorageVolume1.
И снова PowerShell. Для создания CSV-тома выполним команду:
Add-ClusterSharedVolume -Cluster Cluster1 -Name ″Cluster Disk 1″
Ну а для удаления, соответственно:
Remove-ClusterSharedVolume -Cluster Cluster1 -Name ″Cluster Disk 1″
В результате получаем вот такую картину — первый диск используется как CSV-том, а второй как диск-свидетель.
Установка роли Scale-Out File Server
Перед созданием Scale-Out File Server убедитесь, что на всех узлах кластера установлена роль File Server.
Затем в Failover Cluster Manager переходим в раздел Configure и жмем Configure Role.
Выбираем из списка доступных ролей File Server.
Затем выбираем тип файлового сервера Scale-Out File Server for application data.
Вводим имя, по которому сервер будет доступен для клиентов.
Подтверждаем настройки
и смотрим результат. А в результате у нас получился отказоустойчивый файловый сервер с именем FileSRV1.
Поднять роль SOFS-сервера из PowerShell можно командой:
Add-ClusterScaleOutFileServerRole -Cluster Cluster1 -Name FileSRV1
Создание файловой шары
Ну и последний пункт — это создание файловой шары со свойством непрерывной доступности (Continuous availability). Для этого переходим в раздел «Roles», кликаем правой клавишей на нужной роли и в открывшемся контекстном меню выбираем пункт «Add File Share».
Выбираем из списка тип SMB Share — Applications
указываем расположение файловой шары на выбранном сервере
и задаем имя и описание, а также локальный и удаленный пути к шаре.
Затем смотрим, отмечен ли в свойствах шары пункт «Enable continuous avalability».
Раздаем необходимые разрешения.
Проверяем получившиеся параметры и жмем «Create». Обратите внимание, что в свойствах шары указано Scale-Out file share.
Заключение
На этом создание отказоустойчивого файлового ресурса завершено, можно подключаться к созданной файловой шаре и использовать ее по назначению. И если уж речь зашла о назначении, то стоит упомянуть некоторые ограничения, о которых нужно помнить при использовании SOFS.
Во первых, SOFS не поддерживает протокол NFS, а также роли Distributed File System Replication (DFS-R) и File Server Resource Manager (FSRM). То есть для файловых шар нельзя задействовать файловые квоты, классификацию файлов и прочие полезности.
Также в силу того, что при использовании CSV изменениями метаданных управляет только один узел кластера (координатор), данный тип файл-сервера не очень подходит в случае, когда пользователи (или приложения) создают большой объем изменений метаданных, или проще говоря часто создают, удаляют, копируют и переименовывают файлы.
И наоборот, идеальной для SOFS является ситуация, когда файлы постоянно открыты и в них производится большое количество операций ввода-вывода, как в случае с файлами баз данных SQL Server или виртуальными дисками Hyper-V.
Исходя из этого, кластер SOFS не рекомендуется использовать для обычного хранения пользовательских файлов, а стоит использовать для серверных приложений, таких как SQL Server и Hyper-V.
Пн.- Пт. с 09.00 до 19.00 ч.
- Компания
- Каталог
- Акции
- Отрасли
- Решения
- Библиотека
- Импортозамещение
Серверные роли в операционной системе Windows Server 2012
Операционная система Windows Server 2012 является основой для работы многих центров обработки данных. По сравнению с предшественниками Windows Server 2012 содержит большое количество новых функций, открывающих новые возможности для сокращения расходов на информационные технологии. Остановимся на некоторых ролях сервера в Windows Server 2012.
Роль сервера – это, по сути, набор программ, которые позволяют компьютеру выполнять определенную функцию для пользователей или других компьютеров в сети. Роль определяет основную функцию сервера, при этом один сервер может играть несколько ролей.
Сервер приложений.
Сервер приложений создает интегрированную среду, которая позволяет развернуть и выполнять пользовательские бизнес-приложения на базе сервера. Эта роль необходима, когда на сервере Windows Server 2012 должны выполняться приложения, которые зависят от служб и компонентов, выбранных во время установки.
Сервер приложений обеспечивает выполнение следующих функций:
- Cоздает исполняющую среду, которая поддерживает развертывание выскопроизводительных серверных приложений и обеспечивает управление этими приложениями.
- Поддерживает платформу .NET Framework, которая предоставляет разработчикам упрощенную модель программирования для создания сетевых серверных приложений. Встроенные библиотеки .NET Framework позволяют использовать множество различных функций, а системным администраторам обеспечивают защищенную высокопроизводительную среду для настройки, развертывания и исполнения серверных приложений.
- Чтобы определить есть ли потребность в роли сервера приложений для организации, необходимо разобраться в требованиях бизнес-приложений. Эта роль подойдет для размещения приложений, использующих COM+, очереди сообщений, для приложений, созданных с помощью .NET Framework, для приложений обеспечивающих доступ к веб-страницам и так далее.
Файловый сервер.
Роль файлового сервера позволяет организовать эффективное хранение файлов и поддержку общих папок. Эта роль сервера в операционной системе называется «Файловые службы и службы хранения», она включает функции дедупликации данных (позволяет снизить количество дублированных блоков данных в хранилище), диспетчер серверов (позволяет удаленно управлять несколькими файловыми серверами), Windows PowerShell (для автоматизации управления файловыми серверами), конечный iSCSI-сервер (для создания централизованных, аппаратно-независимых дисковых подсистем iSCSI в сетях хранения данных).
Некоторые службы роли «Файловые службы и службы хранения» установлены по умолчанию, но для настройки файлового сервера и управления им необходимо использовать мастер добавления ролей для установки дополнительных служб.
Сервер печати.
Серверы печати используются для предоставления и управления доступом к принтерам. Службы печати и документов также позволяют получать документы с сетевых сканеров и передавать документы в общие сетевые ресурсы. Службы печати и документов обеспечивают следующие функции: безопасная печать WSD, прямой вывод на печать в филиале, печать с высокой доступностью. Среда PowerShell включает в себя модуль управления печатью. Есть поддержка формата OpenXPS.
Веб-сервер.
Эта роль позволяет создать легкую в управлении, безопасную и расширяемую платформу для надежного размещения сайтов, служб и приложений. IIS8 представляет собой единую веб-платформу, включающая службы ASP.NET, FTP не другие. IIS8 обеспечивает надежную защиту от интернет-угроз, удобное развертывание и запуск приложений ASP.NET, классического ASP и PHP на одном сервере. Управление IIS8 просто и удобно. Функции встроенного динамического кэширования и улучшенного сжатия позволяют ускорить работу веб-сайта.
DNS-сервер и DHCP-сервер.
DNS-сервер служит для разрешения имен в сетях, использующих протоколы TCP/IP, позволяя пользоваться для идентификации удаленных узлов сети символьными именами вместо численных IP-адресов. В Windows Server 2012 функциональные возможности DNS-сервера расширены. Поддержка модулей безопасности теперь включает сетевые подписи и автоматическое управление ключами. Добавлена поддержка общих с Active Directory сценариев, также поддерживаются обновленные стандарты DNSSEC. Обновленный пользовательский интерфейс обеспечивает более комфортное и легкое развертывание и управление. Windows PowerShell предоставляет более широкие возможности настройки и управления DNS.
Функции DHCP-сервера также были расширены. Сервер DHCP позволяет клиентам получать свой IP-адрес по мере необходимости, а также предоставляет дополнительную информацию для конфигурации сети, что позволяет облегчить администрирование узлов сети основанной на протоколе TCP/IP. При условии использования службы DHCP процесс настройки протокола TCP/IP на DHCP-клиентах происходит автоматически.
В операционной системе Windows Server 2012 добавлены функции отработки отказа DHCP (что позволяет двум DHCP-серверам обслуживать настройки одной и той же подсети, обеспечивая постоянную доступность DHCP для клиентов), оценка DHCP-запросов на основе определенных пользователем политик, более простое управление DCHP-сервером с помощью Windows PowerShell.