Práticas recomendadas para Serviços de NFS

Não é possível usar Serviços de NFS ou utilitários de linha de comando para administrar versões anteriores dos Serviços de NFS . Além disso, não é possível usar versões anteriores de Serviços de NFS ou utilitários de linha de comando para administrar versões mais recentes dos Serviços de NFS.

Você pode usar os Serviços de NFS para administrar componentes dos Serviços de NFS em um computador remoto se ambos os computadores estiverem em funcionamento Windows Server 2008.

O recurso Serviços de NFS requer diversas portas, que devem ser abertas no Firewall do Windows e em outros firewalls. Quando for solicitado, verifique se você permitiu todos os componentes de Serviços de NFS.

Com o Server for NFS, é possível controlar o acesso de usuários e grupos aos recursos dos Serviços de NFS. É preciso configurar e preencher o Serviços de Domínio Active Directory com informações do identificador de usuário (UID) e de grupo (GID) ou instalar o Mapeamento de Nomes de Usuário em um computador na rede para associar as contas de usuários do Windows às contas de usuários do UNIX. Em alguns casos, talvez seja também necessário instalar o Servidor para Autenticação NFS.

O Server for NFS só oferece suporte para volumes de armazenamento formatados para o sistema de arquivos NTFS. Os volumes NTFS proporcionam segurança em nível de arquivo, pois concedem e negam acesso de usuários e grupos específicos aos arquivos. Para que usuários anônimos acessem os arquivos, verifique se as permissões de diretórios e arquivos oferecem acesso adequado a usuários anônimos. Além disso, ao compartilhar o diretório, use o controle de acesso NFS em nível de host quando criar o recurso compartilhado NFS para conferir um grau extra de segurança e proteção aos arquivos do diretório.

Quando você adicionar uma nova unidade a um computador que execute o Server for NFS, modifique as permissões que protegem o diretório raiz da unidade para que usuários não confiáveis, incluindo os usuários Todos, não possam gravar no diretório. Isso impedirá que usuários não confiáveis comprometam a segurança do Server for NFS, pois os diretórios compartilhados na unidade estarão protegidos.

Antes de interromper ou desinstalar o Server for NFS, notifique os usuários conectados a recursos compartilhados dos Serviços de NFS de que você está prestes a interromper o serviço. Dessa forma, você poderá interromper o serviço depois que os usuários fecharem arquivos abertos e se desconectarem de diretórios compartilhados.

Se um diretório estiver compartilhado com um tipo de codificação EUC (código UNIX estendido), como EUC-JP, e um cliente que esteja configurado para usar outra codificação EUC, como EUC-TW, tentar se conectar ao diretório compartilhado, poderão ocorrer resultados inesperados. Para evitar que isso aconteça, estabeleça uma convenção de nomeação a ser usada durante o compartilhamento de diretórios com a codificação EUC para que usuários de computadores cliente saibam como os diretórios compartilhados estão codificados.

Se você criar arquivos de configuração (como um arquivo de conversão de caracteres ou um arquivo de log de auditoria), proteja-os com uma lista de controle de acesso condicional (DACL) que conceda controle total à conta interna Sistema e ao grupo Administradores. A DACL não deve conter qualquer outra entrada.

Para garantir o funcionamento adequado do Server for NFS em um cluster de servidores, interrompa o Server for NFS antes de interromper o cluster de servidores.

Para garantir que um recurso de cluster do diretório compartilhado esteja disponível após falha do nó que contém o recurso, torne o recurso de cluster dependente do recurso de disco físico apropriado.

Embora seja possível usar o Windows Explorer para exibir propriedades de um recurso de cluster de Compartilhamento NFS, não o utilize para alterar essas propriedades. Use somente o Administrador de Cluster ou o comando cluster para criar e administrar diretórios NFS compartilhados em um cluster de servidores.

Verifique se o nome de compartilhamento de todo diretório compartilhado no cluster de servidores é exclusivo. Se não for, em caso de failover de um nó do cluster em outro nó, se os diretórios compartilhados nos dois nós tiverem o mesmo nome, somente um dos diretórios compartilhados estará disponível.

Não designe um recurso de disco compartilhado como o local do log de auditoria do Server for NFS. Somente um nó do cluster pode ter o arquivo de log. Isso significa que se a propriedade de um grupo for transferida para outro nó, os eventos de auditoria dos demais recursos compartilhados no nó original não poderão ser gravados no arquivo. Para garantir a disponibilidade dos logs de auditoria do Server for NFS, registre eventos no log de eventos Visualizador de Eventos.

Quando o Server for NFS for interrompido em um nó de cluster que hospede recursos compartilhados de NFS ativos, o serviço de cluster responderá como se isso fosse falha de um de seus recursos gerenciados. Consequentemente, o serviço de cluster tentará reiniciar o serviço em uma tentativa de manter o recurso disponível. Antes de interromper o Server for NFS em um nó de cluster de servidores, mova todos os grupos que contêm recursos compartilhados de NFS para outro nó do cluster ou coloque todos os recursos compartilhados de NFS no nó offline.

Coloque um recurso de diretório compartilhado de NFS offline antes de modificar suas propriedades. Se isso não for feito, poderão ocorrer resultados inesperados.

Para que as alterações de configuração do Server for NFS sejam replicadas corretamente, sempre use um computador que pertença a um domínio confiável quando administrar o Server for NFS em execução em um cluster. Isso é necessário porque as alterações de configuração do Server for NFS não são replicadas corretamente entre os nós de um cluster se você executar a Administração dos Serviços de NFS ou nfsadmin em um computador que pertence a um domínio que não seja confiável no domínio do cluster.

Se o serviço de cluster precisar ser reiniciado em um nó do cluster, interrompa e reinicie o serviço Server for NFS nesse nó. Dessa forma, as alterações de configuração do Server for NFS serão replicadas corretamente entre os nós do cluster.

Quando você cria um recurso de diretório compartilhado NFS, tem a opção de compartilhar a raiz ou todos os subdiretórios do diretório especificado. Antes de fazer essa escolha, decida se precisará controlar o acesso aos subdiretórios ou alterar os respectivos nomes de compartilhamento. Se precisar fazer isso, você terá que compartilhar os subdiretórios separadamente porque, quando criar um recurso de diretório compartilhado NFS para compartilhar os subdiretórios, você não poderá definir permissões de acesso, permitir (ou negar) acesso anônimo ou alterar o nome de compartilhamento dos subdiretórios separadamente.

Se você optar por compartilhar todos os subdiretórios do diretório, as permissões que protegem o diretório não aceitarão que usuários não confiáveis criem subdiretórios. Caso contrário, um usuário mal intencionado pode sobrecarregar o serviço de cluster criando um número enorme de subdiretórios que seriam compartilhados automaticamente como um recurso de cluster.

Se você usar o comando cluster para criar e modificar recursos de cluster de Compartilhamento NFS, considere o seguinte:

• Ao criar o recurso de cluster usando o command cluster, você pode definir algumas propriedades não privativas, mas não todas.
  
  
• Quando usar o comando cluster para definir propriedades, não conte com os valores padrão, pois eles podem não ser válidos para um recurso de cluster de Compartilhamento NFS. Sempre defina os valores de propriedade explicitamente.
  
  
• Para definir ou exibir permissões em um recurso de cluster de Compartilhamento NFS, use o Administrador de Cluster. Você também pode usar o comando nfsshare para exibir permissões, mas não para defini-las.
  
  

Os usuários de computadores cliente devem ser instruídos a usar montagens rígidas para diretórios NFS compartilhados no cluster de servidores. Esse procedimento garantirá que, se o nó que compartilha o diretório falhar, o tempo limite do computador cliente não se esgotará antes da conclusão do failover em outro nó.

Os usuários de computadores cliente devem ser instruídos a montar diretórios NFS compartilhados no cluster de servidores usando o nome do servidor virtual do mesmo grupo do diretório compartilhado. O uso do nome de um servidor virtual de outro grupo, ou o nome do nó, permite que o computador cliente monte o diretório, mas a montagem poderá se perder em caso de um failover.