Prácticas recomendadas de Servicios para Network File System

No puede usar Servicios para NFS o las utilidades de línea de comandos para administrar las versiones anteriores de Servicios para NFS. Tampoco se pueden utilizar las versiones anteriores de Servicios para NFS ni utilidades de la línea de comandos para administrar las versiones más recientes de Servicios para NFS.

Puede usar Servicios para NFS para administrar componentes de Servicios para NFS en un equipo remoto si los dos equipos ejecutan Windows Server 2008.

Servicios para NFS necesita varios puertos que deben estar abiertos en Firewall de Windows y en otros servidores de seguridad. Si se le solicita, asegúrese de habilitar los componentes de Servicios para NFS.

Con Servidor para NFS, puede controlar el acceso de los usuarios y grupos a los recursos de Servicios para NFS. Debe configurar y rellenar Servicios de dominio de Active Directory con información de identificador de usuario (UID) y de identificador de grupo (GID) o instalar Asignación de nombre de usuario en un equipo de la red para asociar las cuentas de usuario de Windows a las de UNIX. En algunos casos también tendrá que instalar Autenticación de Servidor para NFS.

Servidor para NFS sólo admite volúmenes de almacenamiento con formato para el sistema de archivos NTFS. Los volúmenes NTFS le permiten proporcionar seguridad en el nivel de archivo mediante la concesión y denegación del acceso a archivos a usuarios y grupos concretos. Si desea que los usuarios anónimos tengan acceso a los archivos, compruebe que los permisos de archivo y directorio proporcionan el acceso adecuado para los usuarios anónimos. Además, al compartir el directorio, use el control de acceso NFS en el nivel de host cuando cree el recurso compartido NFS para proporcionar mayor seguridad y proteger los archivos del directorio.

Al agregar una unidad nueva a un equipo donde se ejecuta Servidor para NFS, no olvide modificar los permisos que protegen el directorio raíz de la unidad para garantizar que los usuarios que no sean de confianza, incluso los usuarios del grupo Todos, no puedan escribir en el directorio. De esta forma, se impedirá que los usuarios que no son de confianza puedan poner en peligro la seguridad de Servidor para NFS, mediante la protección de los directorios compartidos de la unidad.

Antes de detener Servidor para NFS o de desinstalarlo, notifique a los usuarios que estén conectados a recursos compartidos de Servidor para NFS que se dispone a detener el servicio. Después, puede detener el servicio cuando los usuarios hayan tenido oportunidad de cerrar los archivos abiertos y de desconectarse de los directorios compartidos.

Si un directorio es compartido con un tipo de codificación Código UNIX extendido (EUC), por ejemplo EUC-JP, y un cliente configurado para usar otra codificación EUC, por ejemplo EUC-TW, intenta conectarse al directorio compartido, se pueden producir resultados inesperados. Para que esto no suceda, establezca una convención de nomenclatura para usarla al compartir directorios con codificación EUC, de forma que los usuarios de los equipos cliente sepan cómo están codificados los directorios compartidos.

Si crea archivos de configuración (como un archivo de traducción de caracteres o un archivo de registro de auditoría), asegúrese de protegerlos con una lista de control de acceso discrecional (DACL) que conceda control total a la cuenta de sistema integrada y al grupo Administradores. La DACL no debe contener ninguna otra entidad.

Para garantizar que Servidor para NFS funcione correctamente en un clúster de servidores, cuando vaya a detener el clúster de servidores, detenga primero Servidor para NFS y, después, el clúster de servidores.

Para garantizar que un recurso compartido de clúster de directorio esté disponible si se produce un error en el nodo que lo contiene, haga que el recurso de clúster dependa del recurso de disco físico correspondiente.

Aunque puede usar el Explorador de Windows para ver las propiedades de un recurso de clúster compartido NFS, no debe usarlo para cambiar las propiedades. Sólo debe usar Administrador de clústeres o el comando cluster para crear y administrar directorios NFS compartidos en un clúster de servidores.

Asegúrese de que el nombre de recurso compartido de todos los directorios compartidos del clúster de servidores sea exclusivo. De lo contrario, si un nodo del clúster conmuta por error a otro nodo y los directorios compartidos de los dos nodos tienen el mismo nombre, sólo estará disponible uno de los directorios compartidos.

No designe un recurso de disco compartido como ubicación del registro de auditoría de Servidor para NFS. Sólo un nodo del clúster puede ser el propietario del archivo de registro. Esto significa que, si la propiedad de un grupo se pasa a otro nodo, los eventos de auditoría de los demás recursos compartidos del nodo original no se pueden incluir en el archivo. Para garantizar la disponibilidad de los registros de auditoría de Servidor para NFS, debe registrar los eventos en el registro de eventos del Visor de eventos.

Cuando se detiene Servidor para NFS en un nodo del clúster que hospeda recursos compartidos NFS activos, el servicio de clúster responde como si se tratara de un error de uno de sus recursos administrados. Por lo tanto, el servicio de clúster intentará reiniciar el servicio y mantener el recurso disponible. Antes de intentar detener Servidor para NFS en un nodo de clúster de servidores, mueva todos los grupos con recursos compartidos de archivos NFS a otro nodo del clúster, o ponga fuera de conexión todos los recursos compartidos de archivos NFS del nodo.

Asegúrese de poner fuera de conexión el recurso de directorio compartido NFS antes de modificar sus propiedades. Si no lo hace así, se pueden producir resultados inesperados.

Para garantizar que los cambios de configuración de Servidor para NFS se repliquen correctamente, use siempre un equipo que pertenezca a un dominio de confianza al administrar Servidor para NFS en ejecución en un clúster. Es necesario hacerlo así porque los cambios de configuración de Servidor para NFS no se replican correctamente entre los nodos de un clúster si se ejecuta Administración de Servicios para NFS o nfsadmin en un equipo que pertenezca a un dominio que no sea de confianza para el dominio del clúster.

Si se debe reiniciar el servicio de clúster en un nodo del clúster, detenga y reinicie el servicio Servidor para NFS en dicho nodo. De esta forma, los cambios de configuración de Servidor para NFS se replicarán correctamente entre los nodos del clúster.

Al crear un recurso de directorio compartido NFS, tiene la opción de compartir la raíz del directorio especificado o todos los subdirectorios del directorio. Antes de elegir esta opción, debe decidir si va a necesitar controlar el acceso a los subdirectorios o cambiar sus nombres de recurso compartido. Si va a ser necesario, debe compartir los subdirectorios por separado, porque al crear un recurso de directorio compartido NFS para compartir los subdirectorios no puede establecer permisos de acceso, permitir o denegar el acceso anónimo, ni cambiar el nombre compartido de los subdirectorios por separado.

Si decide compartir todos los subdirectorios del directorio, asegúrese de que los permisos que protegen el directorio no permiten crear subdirectorios a los usuarios que no sean de confianza. En caso contrario, un usuario malintencionado puede saturar el servicio de clúster creando un gran número de subdirectorios que, automáticamente, se compartirían como un recurso de clúster.

Si usa el comando cluster para crear y modificar recursos de clúster compartidos NFS, tenga en cuenta lo siguiente:

• Cuando cree el recurso de clúster mediante el comando command, puede establecer ciertas propiedades no privadas, pero no todas.
  
  
• Al usar el comando cluster para establecer propiedades, no use los valores predeterminados, porque es posible que no sean válidos para un recurso de clúster compartido NFS. Establezca siempre los valores de las propiedades explícitamente.
  
  
• Para establecer o ver los permisos de un recurso de clúster compartido NFS, use el Administrador de clústeres. También puede usar el comando nfsshare para ver los permisos, pero no para establecerlos.
  
  

Se debe indicar a los usuarios de equipos cliente que usen montajes forzados al montar directorios NFS compartidos en el clúster de servidores. Así se garantizará que, si se produce un error en el directorio que comparte el nodo, el equipo cliente no agotará el tiempo de espera antes de que finalice la conmutación por error a otro nodo.

Se debe indicar a los usuarios de equipos cliente que monten los directorios de NFS compartidos en el clúster de servidores mediante el uso del nombre de servidor virtual del grupo del directorio compartido. Si se usa un nombre de servidor virtual de otro grupo o si se usa el nombre del nodo, el equipo cliente puede montar el directorio, pero el montaje se puede perder si se produce una conmutación por error.