Toto téma shrnuje doporučené postupy pro práci se Službou pro systém souborů NFS v prostředí Windows Server 2008. K oblastem, jimiž se zabývá, patří obecné doporučené postupy a tipy pro práci se službou Server pro systém souborů NFS v serverovém clusteru. Další informace o Službě pro systém souborů NFS naleznete na webu Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=92798 (stránka může být v angličtině)).

Obecné doporučené postupy

Ke správě Služby pro systém souborů NFS používejte správné nástroje.

Službu pro systém souborů NFS nebo nástroje příkazového řádku nelze použít ke správě starších verzí Služby pro systém souborů NFS. Rovněž nelze použít starší verze Služby pro systém souborů NFS nebo nástroje příkazového řádku ke správě novějších verzí Služby pro systém souborů NFS.

Pomocí Služby pro systém souborů NFS můžete spravovat součásti Služby pro systém souborů NFS ve vzdáleném počítači, pokud je v obou počítačích spuštěn systém Windows Server 2008.

Otevřete porty v bráně firewall.

Služba pro systém souborů NFS vyžaduje několik portů, které musí být otevřeny v bráně Windows Firewall a jiných branách firewall. Po výzvě ověřte, zda jsou povoleny součásti Služby pro systém souborů NFS.

Zajistěte zabezpečení na uživatelské úrovni.

Služba Server pro systém souborů NFS umožňuje řídit přístup k prostředkům Služby pro systém souborů NFS podle uživatelů a skupin. Je třeba nakonfigurovat a naplnit službu Active Directory Domain Services informacemi o identifikátoru uživatele (UID) a identifikátoru skupiny (GID), nebo do jednoho počítače v síti nainstalovat službu Mapování uživatelských jmen a přidružit uživatelské účty systému Windows k uživatelským účtům systému UNIX. V některých případech může být nutná také instalace modulu Ověřování služby Server pro systém souborů NFS.

Zabezpečte soubory.

Server pro systém souborů NFS podporuje pouze svazky úložišť, které jsou formátovány pro systém souborů NTFS. Svazky NTFS umožňují zabezpečení na úrovni souborů pomocí povolení a odepření přístupu konkrétních uživatelů a skupin k souborům. Pokud chcete povolit přístup k souborům anonymním uživatelům, ověřte, že oprávnění k adresářům a souborům poskytují příslušný přístup anonymním uživatelům. U sdílených adresářů dále můžete při vytváření sdílených prostředků systému souborů NFS použít řízení přístupu k systému souborů NFS na úrovni hostitele a poskytnout tak další úroveň zabezpečení souborů v adresáři.

Zabezpečte nové jednotky.

Při přidání nové jednotky do počítače se službou Server pro systém souborů NFS nezapomeňte změnit oprávnění, která chrání kořenový adresář jednotky, aby nedůvěryhodní uživatelé včetně uživatelů skupiny Everyone nemohli zapisovat do adresáře. Ochranou sdílených adresářů na jednotce zabráníte nedůvěryhodným uživatelům v ohrožení zabezpečení služby Server pro systém souborů NFS.

Povolte odpojení uživatelů před zastavením služby Server pro systém souborů NFS.

Před zastavením služby Server pro systém souborů NFS či před její odinstalací upozorněte uživatele připojené ke sdíleným prostředkům Služby pro systém souborů NFS, že se chystáte službu zastavit. Uživatelé budou mít příležitost zavřít otevřené soubory a odpojit se od sdílených adresářů. Potom bude možné službu zastavit.

Použijte zásady vytváření názvů k identifikaci sdílených složek s kódováním EUC.

Jestliže je adresář sdílen pomocí jednoho typu kódování EUC (Extended UNIX Code), například kódování EUC-JP, a klient nakonfigurovaný na použití jiného kódování EUC, například EUC-TW, se pokusí o připojení ke sdílenému adresáři, může dojít k neočekávaným výsledkům. Chcete-li této situaci zabránit, vytvořte zásady vytváření názvů, které budou použity při sdílení adresářů s kódováním EUC, takže uživatelé klientských počítačů budou moci zjistit, jak jsou sdílené adresáře kódovány.

Zajistěte ochranu konfiguračních souborů.

Jestliže vytvoříte konfigurační soubory (například soubor pro překlad znaků nebo soubor protokolu auditu), zajistěte ochranu těchto souborů pomocí volitelného seznamu řízení přístupu (DACL), v němž je předdefinovanému účtu System a skupině Administrators uděleno oprávnění k úplnému řízení. Seznam řízení přístupu DACL by neměl obsahovat žádné další položky.

Doporučené postupy pro provozování služby Server pro systém souborů NFS v serverovém clusteru

Zastavte službu Server pro systém souborů NFS před zastavením serverového clusteru.

Chcete-li zajistit správné fungování služby Server pro systém souborů NFS v serverovém clusteru, zastavte při zastavování serverového clusteru nejdříve službu Server pro systém souborů NFS a teprve potom serverový cluster.

Zajistěte dostupnost sdílených prostředků při selhání uzlu.

Chcete-li zajistit dostupnost prostředku clusteru sdíleného adresáře i po selhání uzlu, který obsahuje daný prostředek, nastavte prostředek clusteru tak, aby byl závislý na příslušném prostředku fyzického disku.

Ke správě prostředků sdílené složky systému souborů NFS clusteru používejte příslušný nástroj.

Přestože můžete zobrazit vlastnosti prostředku sdílené složky systému souborů NFS clusteru pomocí Průzkumníka Windows, není doporučeno používat jej ke změně těchto vlastností. K vytvoření a správě sdílených adresářů systému souborů NFS v serverovém clusteru byste měli používat pouze nástroj Správce clusteru nebo příkaz cluster.

Předcházejte vzniku konfliktů s názvy sdílených složek.

Ujistěte se, že název sdílených složek ve všech sdílených adresářích v serverovém clusteru je jedinečný. V opačném případě, jestliže dojde při selhání jednoho uzlu v clusteru k převzetí služeb jiným uzlem a sdílené adresáře v těchto dvou uzlech mají stejný název, bude k dispozici pouze jeden z těchto sdílených adresářů.

Zajistěte dostupnost protokolů auditu.

Neurčujte prostředek sdílného disku jako umístění protokolu auditu služby Server pro systém souborů NFS. Vlastníkem souboru protokolu může být pouze jeden uzel v clusteru. To znamená, že pokud je vlastnictví skupiny přesunuto do jiného uzlu, nelze události auditu u zbývajících sdílených prostředků v původním uzlu zaznamenat do souboru. Chcete-li zajistit dostupnost protokolů auditu služby Server pro systém souborů NFS, měli byste zaznamenávat události do protokolu událostí aplikace Prohlížeč událostí.

Před zastavením služby Server pro systém souborů NFS přesuňte sdílené prostředky nebo je převeďte do režimu offline.

Jestliže je služba Server pro systém souborů NFS zastavena v uzlu clusteru, který je hostitelem aktivních sdílených prostředků systému souborů NFS, zareaguje Clusterová služba tak, jako by došlo k selhání jednoho z jejích spravovaných prostředků. Následně se Clusterová služba pokusí restartovat službu, aby zachovala dostupnost prostředku. Před zastavením služby Server pro systém souborů NFS v uzlu serverového clusteru přesuňte všechny skupiny obsahující sdílené prostředky systému souborů NFS do jiného uzlu v clusteru nebo přepněte všechny tyto sdílené prostředky systému souborů NFS do režimu offline.

Převeďte prostředky do režimu offline před změnou.

Před změnou vlastností přepněte prostředek sdíleného adresáře systému souborů NFS do režimu offline. V opačném případě může dojít k neočekávaným výsledkům.

Spravujte službu Server pro systém souborů NFS pouze z počítačů v důvěryhodné doméně.

Chcete-li zajistit, aby byly změny konfigurace služby Server pro systém souborů NFS řádně replikovány, vždy tuto službu spuštěnou v clusteru spravujte prostřednictvím počítače, který patří do důvěryhodné domény. Pokud je správa Služby pro systém souborů NFS nebo nástroj nfsadmin spuštěn v počítači patřícím do domény, která není doménou clusteru považována za důvěryhodnou, nebudou změny konfigurace služby Server pro systém souborů NFS řádně replikovány v uzlech clusteru.

Restartujte službu Server pro systém souborů NFS po restartování Clusterové služby.

Pokud je třeba restartovat Clusterovou službu v uzlu v clusteru, zastavte a potom restartujte službu Server pro systém souborů NFS v daném uzlu. Tím zajistíte, že změny konfigurace služby Server pro systém souborů NFS budou řádně replikovány do uzlů v clusteru.

Vyberte vhodný režim sdílení.

Při vytváření prostředku sdíleného adresáře systému souborů NFS můžete sdílet kořen zadaného adresáře nebo všechny podadresáře v daném adresáři. Před výběrem některé z možností se nejprve rozhodněte, zda budete potřebovat řídit přístup k podadresářům nebo měnit názvy sdílených složek. Ve druhém případě je třeba podadresáře sdílet samostatně, protože při vytvoření prostředku sdíleného adresáře systému souborů NFS ke sdílení podadresářů nelze samostatně nastavit přístupová oprávnění, povolit (či odepřít) přístup anonymním uživatelům ani měnit názvy sdílených složek v podadresářích.

Jestliže zvolíte možnost sdílení všech podadresářů v adresáři, ujistěte se, že oprávnění chránící adresář neumožňují nedůvěryhodným uživatelům vytvářet podadresáře. V opačném případě se může stát, že uživatel se zlými úmysly zahltí Clusterovou službu vytvořením velkého počtu podadresářů, které budou automaticky sdíleny jako prostředek clusteru.

Při vytváření či změně prostředků sdílené složky systému souborů NFS clusteru používejte příkazový řádek správným způsobem.

Při použití příkazu cluster k vytvoření a změně prostředků sdílené složky systému souborů NFS clusteru platí následující omezení:

  • Při vytváření prostředku clusteru pomocí příkazu command můžete nastavit některé veřejné vlastnosti, avšak nikoli všechny.

  • Při použití příkazu cluster k nastavení vlastností nespoléhejte na výchozí hodnoty, protože mohou být pro prostředek sdílené složky systému souborů NFS clusteru neplatné. Hodnoty vlastností je třeba vždy výslovně nastavit.

  • K nastavení a zobrazení oprávnění u prostředku sdílené složky systému souborů NFS clusteru použijte nástroj Správce clusteru. K zobrazení oprávnění je možné použít také příkaz nfsshare. Tento příkaz však neumožňuje nastavení oprávnění.

Používejte pevná připojení.

Uživatelé klientských počítačů by měli při připojení k adresářům systému souborů NFS sdíleným v serverovém clusteru používat pevná připojení. Tím zajistíte, že v případě selhání uzlu, který sdílí adresář, nedojde u klientského počítače k vypršení časového limitu před dokončením převzetí služeb jiným uzlem.

Používejte správný název virtuálního serveru.

Uživatelé klientských počítačů by měli připojovat adresáře systému souborů NFS, které jsou sdíleny v serverovém clusteru, pomocí názvu virtuálního serveru ze stejné skupiny jako sdílený adresář. Použití názvu virtuálního serveru z jiné skupiny nebo použití názvu uzlu umožňuje klientským počítačům připojit adresář, ale v případě převzetí služeb při selhání může dojít ke ztrátě připojení.

Další informace


Obsah