In diesem Thema werden bewährte Methoden für das Verwenden von Dienste für NFS (Network File System) in Windows Server 2008 zusammengefasst. Es werden allgemeine bewährte Methoden und Tipps für das Verwenden von Server für NFS in einem Servercluster dargestellt. Weitere Informationen zu Dienste für NFS finden Sie im Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=92798, möglicherweise in englischer Sprache).

Allgemeine bewährte Methoden

Verwenden Sie zur Verwaltung von Dienste für NFS die richtigen Dienstprogramme.

Frühere Versionen von Dienste für NFS können nicht mithilfe von Dienste für NFS oder Befehlszeilenprogrammen verwaltet werden. Zudem können frühere Versionen von Dienste für NFS oder Befehlszeilenprogramme nicht zum Verwalten der neuen Versionen von Dienste für NFS verwendet werden.

Sie können Dienste für NFS verwenden, um Dienste für NFS-Komponenten auf einem Remotecomputer zu konfigurieren, auf dem Windows Server 2008 ausgeführt wird.

Öffnen Sie Firewallports.

Dienste für NFS erfordert mehrere Ports, die in der Windows-Firewall und anderen Firewalls geöffnet sein müssen. Lassen Sie Dienste für NFS-Komponenten zu, wenn die entsprechende Eingabeaufforderung angezeigt wird.

Stellen Sie Sicherheit auf Benutzerebene bereit.

Mit Server für NFS können Sie den Zugriff von Benutzern und Gruppen auf Dienste für NFS-Ressourcen steuern. Sie müssen Active Directory-Domänendienste (Active Directory Domain Services, AD DS) mit UID- und GID-Informationen (Benutzer-IDs und Gruppen-IDs) konfigurieren und auffüllen oder die Benutzernamenzuordnung auf einem Computer im Netzwerk installieren, um Windows-Benutzerkonten UNIX-Benutzerkonten zuzuordnen. In einigen Fällen müssen Sie auch Server für NFS-Authentifizierung installieren.

Sichern Sie Dateien.

Server für NFS unterstützt nur für das NTFS-Dateisystem formatierte Speichervolumes. Mithilfe von NTFS-Volumes können Sie Sicherheit auf Dateiebene bereitstellen, indem Sie bestimmten Benutzern und Gruppen Dateizugriff erteilen und verweigern. Wenn anonyme Benutzer Zugriff auf Dateien haben sollen, müssen die Verzeichnis- und Dateiberechtigungen entsprechend für anonyme Benutzer konfiguriert werden. Verwenden Sie beim Erstellen der freigegebenen NFS-Ressource für das Verzeichnis zudem die NFS-Zugriffssteuerung auf Hostebene, um zusätzliche Sicherheit zum Schutz der Dateien im Verzeichnis bereitzustellen.

Sichern Sie neue Laufwerke.

Wenn Sie einem Computer mit Server für NFS ein neues Laufwerk hinzufügen, müssen Sie die Berechtigungen zum Schutz des Stammverzeichnisses des Laufwerks ändern, um sicherzustellen, dass nicht vertrauenswürdige Benutzer (einschließlich der Benutzer in der Gruppe Jeder) nicht in das Verzeichnis schreiben können. Durch diesen Schutz der freigegebenen Verzeichnisse auf dem Laufwerk wird verhindert, dass nicht vertrauenswürdige Benutzer die Sicherheit von Server für NFS gefährden.

Ermöglichen Sie es Benutzern, vor dem Beenden des NFS-Diensts die Verbindung zu trennen.

Benachrichtigen Sie mit freigegebenen NFS-Ressourcen verbundene Benutzer, bevor Sie Server für NFS beenden oder deinstallieren. Sie können den Dienst dann beenden, nachdem die Benutzer die Gelegenheit hatten, geöffnete Dateien zu schließen und die Verbindung mit freigegebenen Verzeichnissen zu trennen.

Verwenden Sie Namenskonventionen zum Identifizieren von Freigaben mit EUC-Codierung.

Wenn ein Verzeichnis mit einer EUC-Codierung (erweiterter UNIX-Code, EUC) freigegeben wird (z. B. EUC-JP) und ein zur Verwendung einer anderen EUC-Codierung (z. B. EUC-TW) konfigurierter Client versucht, eine Verbindung mit dem freigegebenen Verzeichnis herzustellen, führt dies zu unerwarteten Ergebnissen. Wenn Sie dies verhindern möchten, sollten Sie eine Namenskonvention für die Freigabe von Verzeichnissen mit EUC-Codierung einrichten, damit Benutzer von Clientcomputern wissen, wie freigegebene Verzeichnisse codiert sind.

Schützen Sie Konfigurationsdateien.

Schützen Sie Konfigurationsdateien (z. B. eine Zeichenübersetzungsdatei oder Überwachungsprotokolldatei) bei ihrer Erstellung mit einer freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL), die dem integrierten Konto System und der Gruppe Administratoren Vollzugriff erteilt. Die DACL sollte keine weiteren Einträge enthalten.

Bewährte Methoden für die Ausführung von Server für NFS in einem Servercluster

Beenden Sie Server für NFS, bevor Sie den Servercluster beenden.

Wenn Sie einen einwandfreien Betrieb von Server für NFS in einem Servercluster sicherstellen möchten, müssen Sie beim Beenden des Serverclusters zunächst Server für NFS und dann den Servercluster anhalten.

Stellen Sie die Verfügbarkeit der freigegebenen Ressource beim Ausfall eines Knotens sicher.

Wenn Sie sicherstellen möchten, dass eine freigegebene Verzeichnisclusterressource nach dem Ausfall des Knotens mit der Ressource verfügbar ist, muss die Clusterressource von der entsprechenden physikalischen Datenträgerressource unabhängig sein.

Verwalten Sie NFS-Freigabeclusterressourcen mit dem entsprechenden Tool.

Obwohl der Windows-Explorer zum Anzeigen der Eigenschaften einer NFS-Freigabeclusterressource verwendet werden kann, sollten Sie die Eigenschaften der Ressource nicht mit diesem Tool ändern. Verwenden Sie zum Erstellen und Verwalten von freigegebenen NFS-Verzeichnissen in einem Servercluster nur die Clusterverwaltung oder den Befehl cluster.

Vermeiden Sie in Konflikt stehende Freigabenamen.

Stellen Sie sicher, dass der Freigabename jedes freigegebenen Verzeichnisses im Servercluster eindeutig ist. Wenn im Cluster ein Failover von einem Knoten zu einem anderen erfolgt und freigegebene Verzeichnisse auf den beiden Knoten denselben Namen besitzen, ist andernfalls nur eines der freigegebenen Verzeichnisse verfügbar.

Stellen Sie die Verfügbarkeit von Überwachungsprotokollen sicher.

Geben Sie keine freigegebene Datenträgerressource als Speicherort des Überwachungsprotokolls von Server für NFS an. Nur ein Knoten im Cluster kann der Besitzer der Protokolldatei sein. Wenn der Besitz einer Gruppe an einen anderen Knoten übertragen wird, können die Überwachungsereignisse für die verbleibenden freigegebenen Ressourcen auf dem ursprünglichen Knoten daher nicht in der Datei aufgezeichnet werden. Wenn Sie die Verfügbarkeit der Überwachungsprotokolle von Server für NFS sicherstellen möchten, sollten Ereignisse im Ereignisprotokoll der Ereignisanzeige protokolliert werden.

Verschieben Sie freigegebene Ressourcen, oder schalten Sie sie offline, bevor Sie Server für NFS beenden.

Wenn Server für NFS auf einem Clusterknoten, der aktive freigegebene NFS-Ressourcen hostet, beendet wird, reagiert der Clusterdienst wie bei einem Fehler einer seiner verwalteten Ressourcen. Folglich versucht der Clusterdienst, den Dienst neu zu starten, um die Verfügbarkeit der Ressource aufrechtzuerhalten. Bevor Sie Server für NFS auf einem Serverclusterknoten beenden, sollten Sie alle Gruppen mit freigegebenen NFS-Ressourcen auf einen anderen Knoten im Cluster verschieben oder alle freigegebenen NFS-Ressourcen auf dem Knoten offline schalten.

Schalten Sie Ressourcen vor dem Ändern offline.

Schalten Sie eine freigegebene NFS-Verzeichnisressource unbedingt offline, bevor Sie ihre Eigenschaften ändern. Andernfalls kann es zu unerwarteten Ergebnissen kommen.

Verwalten Sie Server für NFS nur auf Computern in einer vertrauenswürdigen Domäne.

Wenn Sie sicherstellen möchten, dass Änderungen der Server für NFS-Konfiguration ordnungsgemäß repliziert werden, sollte für die Verwaltung von Server für NFS in einem Cluster immer ein Computer in einer vertrauenswürdigen Domäne verwendet werden. Dies ist erforderlich, da Änderungen der Server für NFS-Konfiguration nicht ordnungsgemäß zwischen Knoten in einem Cluster repliziert werden, wenn Sie die Dienste für NFS-Verwaltung oder nfsadmin auf einem Computer ausführen, dessen Domäne der Clusterdomäne nicht vertraut.

Starten Sie den Server für NFS-Dienst nach dem Neustart des Clusterdiensts neu.

Wenn der Clusterdienst auf einem Knoten im Cluster neu gestartet werden muss, beenden Sie den Server für NFS-Dienst auf diesem Knoten, und starten Sie ihn neu. Dadurch wird sichergestellt, dass Änderungen der Server für NFS-Konfiguration ordnungsgemäß zwischen den Knoten des Clusters repliziert werden.

Wählen Sie den geeigneten Freigabemodus aus.

Beim Erstellen einer freigegebenen NFS-Verzeichnisressource können Sie festlegen, ob der Stamm des angegebenen Verzeichnisses oder alle Unterverzeichnisse im Verzeichnis freigegeben werden. Vor der Auswahl dieser Option sollten Sie zunächst entscheiden, ob Sie den Zugriff auf die Unterverzeichnisse steuern oder ihre Freigabenamen ändern müssen. Wenn dies der Fall ist, müssen die Unterverzeichnisse separat freigegeben werden, da es beim Erstellen einer freigegebenen NFS-Verzeichnisressource zum Freigeben der Unterverzeichnisse nicht möglich ist, Zugriffsberechtigungen festzulegen, anonymen Zugriff zu erteilen (oder zu verweigern) oder den Freigabenamen der Unterverzeichnisse separat zu ändern.

Wenn Sie alle Unterverzeichnisse im Verzeichnis freigeben, müssen die zum Schutz des Verzeichnisses verwendeten Berechtigungen so definiert werden, dass nicht vertrauenswürdige Benutzer keine Unterverzeichnisse erstellen können. Andernfalls kann ein böswilliger Benutzer den Clusterdienst überfluten, indem er eine sehr große Anzahl von Unterverzeichnissen erstellt, die automatisch als Clusterressource freigegeben werden.

Verwenden Sie beim Erstellen oder Ändern von NFS-Freigabeclusterressourcen die Befehlszeile richtig.

Wenn Sie mit dem Befehl cluster NFS-Freigabeclusterressourcen erstellen, müssen Sie Folgendes beachten:

  • Beim Erstellen der Clusterressource mit dem Befehl command können Sie einige, aber nicht alle nicht-privaten Eigenschaften festlegen.

  • Verlassen Sie sich beim Festlegen von Eigenschaften mit dem Befehl cluster nicht auf die Standardwerte – sie sind für NFS-Freigabeclusterressourcen möglicherweise nicht gültig. Legen Sie Eigenschaftswerte immer explizit fest.

  • Verwenden Sie zum Festlegen oder Anzeigen von Berechtigungen für eine NFS-Freigabeclusterressource die Clusterverwaltung. Mit dem Befehl nfsshare können Berechtigungen ebenfalls angezeigt, aber nicht festgelegt werden.

Verwenden Sie ständige Bereitstellungen.

Benutzer von Clientcomputern sollten angewiesen werden, beim Bereitstellen von freigegebenen NFS-Verzeichnissen im Servercluster ständige Bereitstellungen zu verwenden. Dadurch wird sichergestellt, dass bei einem Ausfall des für die Freigabe des Verzeichnisses zuständigen Knotens keine Zeitüberschreitung für den Clientcomputer erfolgt, bevor das Failover zu einem anderen Knoten abgeschlossen ist.

Verwenden Sie den richtigen virtuellen Servernamen.

Benutzer von Clientcomputern sollten angewiesen werden, für die Bereitstellung von freigegebenen NFS-Verzeichnissen im Servercluster den virtuellen Servernamen aus der Gruppe zu verwenden, der das freigegebene Verzeichnis angehört. Wird ein virtueller Servername aus einer anderen Gruppe oder der Knotenname verwendet, kann der Clientcomputer das Verzeichnis zwar bereitstellen, die Bereitstellung kann bei einem Failover jedoch verloren gehen.

Weitere Verweise


Inhaltsverzeichnis