Este tópico resume os procedimentos recomendados na utilização dos Serviços para NFS (Network File System) num ambiente do Windows Server 2008. As áreas abrangidas incluem procedimentos recomendados gerais e sugestões para a utilização do Servidor para NFS num cluster de servidores. Para mais informações sobre os Serviços para NFS, consulte o Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=92798) (esta página poderá estar em inglês).

Procedimentos recomendados gerais

Utilize os utilitários correctos para administrar os Serviços para NFS.

Não é possível utilizar os Serviços para NFS ou utilitários da linha de comandos para administrar versões anteriores dos Serviços para NFS. Também não é possível utilizar versões anteriores dos Serviços para NFS nem utilitários de linha de comandos para administrar versões mais recentes dos Serviços para NFS.

É possível utilizar os Serviços para NFS para administrar componentes dos Serviços para NFS num computador remoto se ambos os computadores executarem o Windows Server 2008.

Abrir portas de firewall

Os Serviços para NFS requerem várias portas, que deverão ser abertas na Firewall do Windows e noutras firewalls. Quando for solicitado, certifique-se de que autoriza os componentes dos Serviços para NFS.

Fornecer segurança ao nível de utilizador.

Com o Servidor para NFS é possível controlar o acesso de utilizadores e grupos aos recursos dos Serviços para NFS. Tem de configurar e povoar os Serviços de Domínio do Active Directory com informações do identificador de utilizador (UID) e identificador de grupos (GID), ou instalar o Mapeamento de Nomes de Utilizador num computador da rede para associar contas de utilizador do Windows a contas de utilizador do UNIX. Em alguns casos, poderá ter de instalar também a Autenticação do Servidor para NFS.

Proteger ficheiros.

O Servidor para NFS só suporta volumes de armazenamento formatados para o sistema de ficheiros NTFS. Os volumes NTFS permitem-lhe fornecer segurança ao nível de ficheiros ao permitirem ou negarem o acesso a ficheiros por parte de utilizadores ou grupos específicos. Quando pretender que utilizadores anónimos acedam a ficheiros, certifique-se de que as permissões de ficheiro e de directório fornecem o acesso adequado a utilizadores anónimos. Além disso, quando partilhar o directório utilize o controlo de acesso NFS ao nível anfitrião ao criar o recurso partilhado do NFS, para fornecer um nível adicional de segurança para proteger os ficheiros do directório.

Proteger novas unidades.

Quando adicionar uma nova unidade a um computador com o Servidor para NFS, certifique-se de que modifica as permissões que protegem o directório raiz da unidade, de modo a garantir que utilizadores não fidedignos, incluindo os utilizadores no grupo Todos, não consigam escrever no directório. Isto vai impedir que utilizadores não fidedignos comprometam a segurança do Servidor para NFS ao proteger directórios partilhados na unidade.

Permitir aos utilizadores desligar antes de parar o serviço Servidor para NFS.

Antes de parar ou desinstalar o Servidor para NFS, notifique os utilizadores que estão ligados a recursos partilhados dos Serviços para NFS de que vai parar o serviço. Poderá então parar o serviço depois de os utilizadores terem tido a oportunidade de fechar ficheiros abertos e de desligarem de directórios partilhados.

Utilizar convenções de nomenclatura para identificar partilhas com a codificação EUC.

Se um directório for partilhado com um tipo de codificação Código UNIX Expandido (EUC), tal como EUC-JP, e um cliente configurado para utilizar uma codificação EUC diferente (tal como EUC-TW) tentar ligar ao directório partilhado, poderão ocorrer resultados inesperados. Para o impedir, estabeleça uma convenção de nomenclatura a utilizar quando partilhar directórios com codificação EUC, para que os utilizadores de computadores cliente possam saber como os directórios partilhados são codificados.

Proteger ficheiros de configuração.

Se criar ficheiros de configuração (tal como um ficheiro de conversão de caracteres ou um ficheiro de registo de auditoria), certifique-se de que os protege com uma lista de controlo de acesso discricionário (DACL) que concede Controlo Total à conta Sistema incorporada e ao grupo Administradores. A DACL não deve conter quaisquer outras entradas.

Procedimentos recomendados para executar o Servidor para NFS num cluster de servidores

Parar o Servidor para NFS antes de parar o cluster de servidores.

Para garantir um funcionamento adequado do Servidor para NFS num cluster de servidores, quando parar o cluster de servidores, pare primeiro o Servidor para NFS e, em seguida, pare o cluster de servidores.

Garantir a disponibilidade dos recursos partilhados quando um nó falhar.

Para garantir que um recurso do cluster de directório partilhado vai estar disponível depois de o nó contendo o recurso falhar, faça com que o recurso do cluster seja dependente no recurso de disco físico apropriado.

Utilizar a ferramenta adequada para gerir os recursos de cluster da Partilha de NFS.

Apesar de poder utilizar o Explorador do Windows para ver as propriedades de um recurso de cluster da Partilha de NFS, não o deverá utilizar para alterar essas propriedades. Deverá utilizar apenas o Administrador de Clusters ou o comando cluster para criar e administrar directórios NFS partilhados num cluster de servidores.

Evitar nomes de partilhas em conflito.

Certifique-se de que o nome da partilha de cada directório partilhado no cluster de servidores é exclusivo. Caso contrário, se um nó no cluster falhar para outro nó e se os directórios partilhados nos dois nós tiverem o mesmo nome, então apenas um dos directórios partilhados estará disponível.

Garantir a disponibilidade dos registos de auditoria.

Não designe um recurso de disco partilhado como a localização do registo de auditoria do Servidor para NFS. Apenas um nó no cluster pode ser proprietário do ficheiro de registo. Isto significa que se a propriedade de um grupo for movida para outro nó, os eventos de auditoria dos restantes recursos partilhados no nó original não poderão ser registados no ficheiro. Para garantir a disponibilidade dos registos de auditoria do Servidor para NFS, deverá registar eventos no registo de eventos do Visualizador de Eventos.

Mover recursos partilhados ou colocá-los offline antes de parar o Servidor para NFS.

Quando o Servidor para NFS é parado num nó de cluster que aloja recursos partilhados activos do NFS, o serviço de Cluster responde como se tivesse sido uma falha de um dos respectivos recursos geridos. Como consequência, o serviço de Cluster vai tentar reiniciar o serviço para tentar manter o recurso disponível. Antes de tentar parar o Servidor para NFS num nó do cluster de servidores, mova todos os grupos contendo recursos partilhados do NFS para outro nó do cluster, ou coloque offline todos os recursos partilhados de NFS do nó.

Colocar os recursos offline antes de os modificar.

Certifique-se de que coloca um recurso de directório partilhado do NFS offline antes de modificar as respectivas propriedades. Se não o fizer, poderá obter resultados inesperados.

Administrar o Servidor para NFS apenas a partir de computador num domínio fidedigno.

Para garantir que as alterações de configuração do Servidor para NFS são correctamente replicadas, utilize sempre um computador que pertença a um domínio fidedigno quando administrar o Servidor para NFS em execução num cluster. Este procedimento é necessário porque as alterações de configuração do Servidor para NFS não são replicadas correctamente entre os nós de um cluster se o utilizador executar a Administração de Serviços para NFS ou nfsadmin num computador pertencente a um domínio que não seja considerado fidedigno pelo domínio do cluster.

Reiniciar o serviço Servidor para NFS após o reinício do serviço de Cluster.

Se o serviço de Cluster tiver de ser reiniciado num nó no cluster, pare e reinicie o serviço Servidor para NFS nesse nó. Isto vai assegurar que as alterações de configuração do Servidor para NFS vão ser correctamente replicadas entre os nós do cluster.

Seleccionar o modo de partilha adequado.

Quando cria um recurso de directório partilhado do NFS, tem a opção de partilhar a raiz do directório especificado ou todos os subdirectórios no directório. Antes de escolher esta opção, decida primeiro se vai necessitar de controlar o acesso aos subdirectórios ou de alterar os respectivos nomes de partilha. Se tiver de o fazer, terá de partilhar os subdirectórios em separado porque quando criar um recurso de directório partilhado do NFS para partilhar os subdirectórios não poderá definir permissões de acesso, permitir (ou negar) o acesso anónimo, ou alterar o nome da partilha dos subdirectórios em separado.

Se optar por partilhar todos os subdirectórios no directório, certifique-se de que as permissões que protegem o directório não permitem utilizadores não fidedignos para criar subdirectórios. Caso contrário, um utilizador mal intencionado pode sobrecarregar o serviço de Cluster ao criar um número bastante grande de subdirectórios que seriam automaticamente partilhados como um recurso de cluster.

Utilizar a linha de comandos adequadamente ao criar ou modificar recursos de cluster da Partilha de NFS.

Se utilizar o comando cluster para criar e modificar recursos de cluster da Partilha de NFS, deverá ter em conta as seguintes considerações:

  • Quando criar o recurso de cluster utilizando o cluster command, poderá definir algumas propriedades não privadas, mas não todas.

  • Quando utilizar o comando cluster para definir propriedades, não se baseie em valores predefinidos porque estes poderão não ser válidos para um recurso de cluster da Partilha de NFS. Defina sempre os valores das propriedades de forma explícita.

  • Para definir ou ver permissões num recurso de cluster da Partilha de NFS, utilize o Administrador de Clusters. Também pode utilizar o comando nfsshare para ver permissões, mas não para as definir.

Utilizar montagens ao nível do hardware.

Os utilizadores de computadores cliente devem ser instruídos a utilizar montagens ao nível do hardware quando montarem directórios NFS partilhados no cluster de servidores. Isto vai garantir que, se o nó que partilha o directório falhar, o computador cliente não vai atingir o tempo limite antes de a activação pós-falha para outro nó estar concluída.

Utilizar o nome do servidor virtual correcto.

Os utilizadores de computadores cliente devem ser instruídos a montar directórios NFS partilhados no cluster de servidores utilizando o nome do servidor virtual a partir do mesmo grupo que o directório partilhado. A utilização de um nome do servidor virtual de outro grupo, ou do nome do nó, permite ao computador cliente montar o directório, mas a montagem poderá ser perdida em caso de activação pós-falha.

Referências adicionais


Sumário