Ten temat zawiera podsumowanie najważniejszych wskazówek dotyczących pracy z usługami dla systemu plików NFS w środowisku systemu Windows Server 2008. Omówione zagadnienia obejmują najważniejsze wskazówki i porady dotyczące pracy z usługą Serwer systemu plików NFS w klastrze serwerów. Aby uzyskać więcej informacji na temat usług dla systemu plików NFS, zobacz witrynę Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=92798) (strona może zostać wyświetlona w języku angielskim).

Najważniejsze wskazówki - informacje ogólne

Używaj poprawnych narzędzi do administrowania usługami dla systemu plików NFS.

Za pomocą narzędzi usług dla systemu plików NFS oraz narzędzi wiersza polecenia nie można administrować starszymi wersjami usług dla systemu plików NFS. Ponadto, do administrowania nowszymi wersjami usług firmy Microsoft dla systemu plików NFS nie można używać wcześniejszych wersji tych usług ani narzędzi wiersza polecenia.

Za pomocą usług dla systemu plików NFS można administrować składnikami usług dla systemu plików NFS na komputerze zdalnym, jeśli na obu komputerach jest uruchomiony system Windows Server 2008.

Otwórz porty zapory.

Usługi dla systemu plików NFS wymagają otwarcia kilku portów w Zaporze systemu Windows oraz w innych zaporach. Po wyświetleniu monitu należy upewnić się, że jest możliwy dostęp do składników usług dla systemu plików NFS.

Stosuj zabezpieczenia na poziomie użytkowników.

Usługa Serwer systemu plików NFS umożliwia kontrolowanie dostępu użytkowników i grup do usług dla systemu plików NFS. Aby skojarzyć konta użytkowników systemu Windows z kontami użytkowników systemu UNIX, należy skonfigurować Usługi domenowe w usłudze Active Directory i określić w nich informacje o identyfikatorach użytkowników (UID) oraz identyfikatorach grup (GID) lub zainstalować mapowanie nazw użytkowników na jednym z komputerów w sieci. Niekiedy może także być konieczne zainstalowanie uwierzytelniania w usłudze Serwer systemu plików NFS.

Zabezpiecz pliki.

Usługa Serwer systemu plików NFS obsługuje wyłącznie woluminy magazynu sformatowane dla systemu plików NTFS. Woluminy NTFS umożliwiają stosowanie zabezpieczeń na poziomie plików, a także odmowę dostępu do plików dla określonych użytkowników i grup. Aby użytkownicy anonimowi mogli uzyskiwać dostęp do plików, należy upewnić się, że mają oni wystarczające uprawnienia do plików i katalogów. Udostępniając katalog systemu plików NFS, podczas tworzenia zasobu udostępnionego NFS należy używać kontroli dostępu na poziomie hosta w systemie plików NFS, co zapewnia dodatkowy poziom zabezpieczeń i ochronę plików w katalogu.

Zabezpiecz nowe dyski.

Po dodaniu nowego dysku do komputera, na którym jest uruchomiona usługa Serwer systemu plików NFS, należy zmodyfikować uprawnienia chroniące katalog główny dysku, aby uniemożliwić zapis w katalogu niezaufanym użytkownikom, w tym użytkownikom należącym do grupy Wszyscy. Zapewnia to ochronę udostępnionych katalogów na dysku, dzięki czemu niezaufani użytkownicy nie będą mogli złamać zabezpieczeń usługi Serwer systemu plików NFS.

Umożliwiaj użytkownikom rozłączenie połączeń przed zatrzymaniem usługi Serwer systemu plików NFS.

Przed zatrzymaniem lub odinstalowaniem usługi Serwer systemu plików NFS należy powiadomić użytkowników, którzy nawiązali połączenie z zasobami udostępnionymi przez usługi dla systemu plików NFS, że usługa zostanie wkrótce zatrzymana. Dzięki temu użytkownicy będą mogli zamknąć otwarte pliki i rozłączyć połączenia z katalogami udostępnionymi przez zatrzymaniem usługi.

Używaj konwencji nazewnictwa do identyfikowania udziałów udostępnionych przy użyciu kodowania EUC.

Jeśli katalog został udostępniony przy użyciu jednego z typów rozszerzonego kodowania systemu UNIX (EUC, Extended UNIX Code), takiego jak EUC-JP, to próba nawiązania połączenia z takim katalogiem przez klienta, który został skonfigurowany do używania innego kodowania EUC, na przykład EUC-TW, może dać nieoczekiwane wyniki. Aby temu zapobiec, należy ustanowić konwencję nazewnictwa stosowaną przy udostępnianiu katalogów za pomocą kodowania EUC, dzięki której użytkownicy komputerów klienckich będą znać kodowanie katalogów udostępnionych.

Chroń pliki konfiguracji.

Pliki konfiguracji (takie jak plik translacji znaków lub plik dziennika inspekcji) należy po utworzeniu zabezpieczyć przy użyciu poufnej listy kontroli dostępu (DACL), przyznając pełną kontrolę dla wbudowanego konta systemowego i grupy Administratorzy. Lista DACL nie powinna zawierać żadnych dodatkowych wpisów.

Najważniejsze wskazówki dotyczące uruchamiania usługi Serwer systemu plików NFS w klastrze serwerów

Zatrzymuj usługę Serwer systemu plików NFS przed zatrzymaniem klastra serwerów.

Aby zapewnić poprawne działanie usługi Serwer systemu plików NFS w klastrze serwerów, podczas zatrzymywania klastra należy najpierw zatrzymać usługę Serwer systemu plików NFS, a następnie zatrzymać klaster.

Zagwarantuj dostępność zasobów udostępnionych w przypadku awarii węzła.

Aby zagwarantować dostępność katalogu udostępnionego jako zasobu klastra w przypadku awarii węzła zasobu, należy utworzyć zależność zasobu klastra od odpowiedniego zasobu dysku fizycznego.

Używaj odpowiedniego narzędzia do zarządzania zasobami klastra udziału NFS.

Właściwości zasobu udziału NFS klastra można wyświetlić przy użyciu Eksploratora Windows, ale zmienianie ich za pomocą tego programu nie jest zalecane. Do tworzenia udostępnionych katalogów NFS w klastrze serwerów i administrowania nimi należy używać wyłącznie narzędzia Administrator klastrów lub polecenia cluster.

Nie stosuj nazw udziałów powodujących konflikt.

Należy stosować unikatowe nazwy udziałów katalogów udostępnionych w klastrze serwerów. Jeśli katalogi udostępnione w dwóch węzłach mają takie same nazwy, to tylko jeden z katalogów udostępnionych będzie dostępny w przypadku przełączenia jednego z węzłów klastra na inny węzeł do pracy awaryjnej.

Zagwarantuj dostępność dzienników inspekcji.

Nie należy wyznaczać udostępnionego zasobu dyskowego jako lokalizacji dziennika inspekcji usługi Serwer systemu plików NFS. Tylko jeden węzeł w klastrze może być właścicielem pliku dziennika. Oznacza to, że rejestrowanie zdarzeń inspekcji dla pozostałych zasobów udostępnionych w oryginalnym węźle będzie niemożliwe, jeśli inny węzeł stanie się właścicielem grupy. Aby zapewnić dostępność dzienników inspekcji usługi Serwer systemu plików NFS, zaleca się rejestrowanie zdarzeń w dzienniku Podglądu zdarzeń.

Przenoś zasoby udostępnione lub przełączaj je do trybu offline przed zatrzymaniem usługi Serwer systemu plików NFS.

Po zatrzymaniu usługi Serwer systemu plików NFS w węźle klastra, który obsługuje aktywne zasoby udostępnione NFS, usługa klastrowania będzie działać tak samo jak w przypadku awarii jednego z jej zarządzanych zasobów. Usługa klastrowania podejmie próbę ponownego uruchomienia usługi, aby utrzymać dostępność zasobu. Przed podjęciem próby zatrzymania usługi Serwer systemu plików NFS w węźle klastra serwerów należy przenieść wszystkie grupy zawierające zasoby udostępnione NFS do innego węzła w klastrze albo przełączyć wszystkie zasoby udostępnione NFS w węźle do trybu offline.

Przełączaj zasoby do trybu offline przed modyfikacją.

Aby zmodyfikować właściwości zasobu katalogu udostępnionego NFS, należy najpierw przełączyć zasób do trybu offline. W przeciwnym razie można uzyskać nieoczekiwane wyniki.

Administruj usługą Serwer systemu plików NFS wyłącznie za pomocą komputerów w zaufanej domenie.

Aby zagwarantować poprawną replikację zmian konfiguracji usługi Serwer systemu plików NFS, do administrowania takim serwerem w klastrze należy zawsze używać komputera, który należy do zaufanej domeny. Jest to konieczne, ponieważ zmiany konfiguracji usługi Serwer systemu plików NFS nie są poprawnie replikowane między węzłami klastra w przypadku uruchomienia narzędzi administracyjnych usług dla systemu plików NFS lub polecenia nfsadmin na komputerze należącym do domeny, która nie jest zaufana dla domeny klastra.

Ponowne uruchamiaj usługę Serwer systemu plików NFS po ponownym uruchomieniu usługi klastrowania.

Jeśli jest konieczne ponowne uruchomienie usługi klastrowania w węźle klastra, należy zatrzymać i ponownie uruchomić usługę Serwer systemu plików NFS w tym węźle. Dzięki temu zmiany konfiguracji usługi Serwer systemu plików NFS zostaną poprawnie zreplikowane między węzłami klastra.

Wybierz odpowiedni tryb udostępniania.

Po utworzeniu zasobu katalogu udostępnionego NFS można udostępnić katalog główny lub wszystkie podkatalogi określonego katalogu. Przed wybraniem opcji udostępniania należy zastanowić się, czy będzie konieczne kontrolowanie dostępu do podkatalogów lub zmienianie ich nazw udziałów. Jeśli jest to konieczne, należy oddzielnie udostępnić podkatalogi, ponieważ w przypadku udostępnienia podkatalogów przez utworzenie zasobu katalogu udostępnionego NFS nie można oddzielnie ustawiać uprawnień dostępu, zezwalać na dostęp anonimowy, odmawiać takiego dostępu ani zmieniać nazw udziałów dla poszczególnych podkatalogów.

Udostępniając wszystkie podkatalogi w katalogu, należy upewnić się, że uprawnienia chroniące katalog nie zezwalają niezaufanym użytkownikom na tworzenie podkatalogów. W przeciwnym razie złośliwy użytkownik może spowodować przeciążenie usługi klastrowania, tworząc bardzo wiele podkatalogów, które zostaną automatycznie udostępnione jako zasoby klastra.

Właściwie korzystaj z wiersza polecenia przy tworzeniu lub modyfikowaniu zasobów udziału NFS w klastrze.

Podczas tworzenia i modyfikowania zasobów udziału NFS klastra przy użyciu polecenia cluster należy uwzględnić następujące kwestie:

  • Tworząc zasób klastra przy użyciu polecenia command, można ustawić niektóre właściwości inne niż prywatne, ale nie wszystkie.

  • Ustawiając właściwości przy użyciu polecenia cluster, nie należy polegać na wartościach domyślnych, ponieważ mogą one nie być prawidłowe dla zasobu udziału NFS klastra. Wartości właściwości należy zawsze ustawiać jawnie.

  • Uprawnienia do zasobów udziałów NFS klastra można ustawiać i wyświetlać przy użyciu Administratora klastrów. Właściwości można też wyświetlać za pomocą polecenia nfsshare, ale nie umożliwia ono zmieniania ich.

Używaj instalacji twardych.

Należy poinstruować użytkowników komputerów klienckich, aby używali instalacji twardych przy instalowaniu katalogów udostępnionych NFS w klastrze serwerów. Dzięki temu na komputerze klienckim nie zostanie przekroczony limit czasu przed zakończeniem przełączania do pracy awaryjnej na inny węzeł, jeśli węzeł katalogu udostępnionego ulegnie awarii.

Używaj poprawnych nazw serwera wirtualnego.

Należy poinstruować użytkowników komputerów klienckich, aby instalowali katalogi udostępnione NFS w klastrze serwerów przy użyciu nazwy serwera wirtualnego z tej samej grupy co udostępniony katalog. Jeśli zostanie użyta nazwa serwera wirtualnego z innej grupy lub nazwa węzła, to komputer kliencki będzie mógł zainstalować katalog, ale instalacja może zostać utracona podczas pracy awaryjnej.

Dodatkowe informacje


Spis treści