Recommandations concernant les Services pour NFS

Vous ne pouvez pas utiliser les Services pour NFS ni les utilitaires de ligne de commande pour l’administration de versions antérieures des Services pour NFS. En outre, vous ne pouvez pas utiliser de versions antérieures des Services pour NFS, ni d’utilitaires de ligne de commande pour l’administration de versions plus récentes des Services pour NFS.

Vous pouvez utiliser les Services pour NFS afin d’administrer des composants des Services pour NFS sur un ordinateur distant si les deux ordinateurs exécutent Windows Server 2008.

Les Services pour NFS nécessitent plusieurs ports qui doivent être ouverts sur le Pare-feu Windows et les autres pare-feu. Lorsqu’un message vous le demande, assurez-vous d’autoriser les composants des Services pour NFS.

Avec le service Serveur pour NFS, vous pouvez contrôler l’accès des utilisateurs et des groupes aux ressources des Services pour NFS. Vous devez configurer et remplir les services de domaine Active Directory avec des informations d’identification d’utilisateur (UID) et d’identification de groupe (GID) ou installer le service Mappage de noms d’utilisateurs sur un ordinateur de votre réseau pour associer les comptes d’utilisateurs Windows aux comptes d’utilisateurs UNIX. Dans certains cas, il se peut que vous ayez besoin d’installer l’authentification du service Serveur pour NFS.

Le service Server pour NFS prend en charge uniquement les volumes de stockage au format NTFS. Les volumes NTFS vous permettent d’assurer la sécurité au niveau des fichiers en autorisant et en refusant l’accès aux fichiers à des utilisateurs et à des groupes spécifiques. Lorsque vous souhaitez que des utilisateurs anonymes accèdent à des fichiers, assurez-vous que les autorisations d’annuaire et de fichier fournissent l’accès approprié aux utilisateurs anonymes. En outre, lors du partage du répertoire, utilisez le contrôle d’accès NFS de niveau hôte lors de la création de ressources partagées NFS pour fournir un niveau de sécurité supplémentaire afin de protéger les fichiers du répertoire.

Lorsque vous ajoutez un nouveau lecteur à un ordinateur exécutant le service Serveur pour NFS, vous devez modifier les autorisations protégeant le répertoire racine du lecteur pour empêcher les utilisateurs non approuvés, y compris Tout le monde, d’écrire dans le répertoire. Cela empêchera les utilisateurs non approuvés de compromettre la sécurité du service Serveur pour NFS en protégeant des annuaires partagés sur le lecteur.

Avant d’arrêter le service Serveur pour NFS ou de le désinstaller, avertissez les utilisateurs qui sont connectés aux ressources partagées des Services pour NFS que vous vous apprêtez à arrêter le service. Vous pouvez ensuite arrêter le service après que les utilisateurs ont eu l’opportunité de fermer leurs fichiers et de se déconnecter des répertoires partagés.

Si un répertoire est partagé avec un type d’encodage EUC (Extended UNIX Code), tel que EUC-JP, et qu’un client qui est configuré pour utiliser un encodage EUC différent (comme EUC-TW) tente de se connecter au répertoire partagé, des résultats inattendus peuvent se produire. Pour empêcher cela, établissez une convention de nommage lors du partage de répertoires avec l’encodage EUC pour que les utilisateurs des ordinateurs clients puissent savoir de quelle manière les répertoires partagés sont encodés.

Si vous créez des fichiers de configuration (comme des fichiers de conversion des caractères ou un fichier journal d’audit), veillez à les protéger au moyen d’une liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) qui accorde un Contrôle total au compte Système intégré ainsi qu’au groupe Administrateurs. La liste DACL ne doit contenir aucune autre entrée.

Afin de garantir un fonctionnement approprié du service Serveur pour NFS dans un cluster de serveurs, arrêtez d’abord le service Serveur pour NFS, puis le cluster de serveurs.

Afin de garantir la disponibilité d’une ressource de cluster de répertoire partagé après l’échec du nœud contenant la ressource, rendez la ressource de cluster dépendante de la ressource de disque physique appropriée.

Bien que vous puissiez utiliser l’Explorateur Windows pour afficher les propriétés d’une ressource de cluster de partage NFS, vous devez éviter de l’utiliser pour modifier ces propriétés. Vous devez uniquement utiliser l’Administrateur de cluster ou la commande cluster pour créer et administrer des répertoires NFS partagés sur un cluster de serveurs.

Assurez-vous que le nom de partage de chaque répertoire partagé sur le serveur de clusters est unique. Sinon, si un nœud du cluster bascule vers un autre nœud, et si les répertoires partagés sur les deux nœuds ont le même nom, seul l’un des répertoires partagés est disponible.

Vous ne devez pas désigner une ressource de disque partagée comme emplacement du journal d’audit du service Serveur pour NFS. Un seul nœud du cluster peut être propriétaire du fichier journal. Cela veut dire que si la propriété du groupe est transférée à un autre nœud, les événements d’audit des ressources paratgées restantes sur le nœud d’origine ne peuvent pas être enregistrés dans le fichier. Pour garantir la disponibilité des journaux d’audit du service Serveur pour NFS, vous devez enregistrer les événements dans le journal d’événements de l’Observateur d’événements.

Lorsque le service Serveur pour NFS est arrêté sur un nœud de cluster hébergeant des ressources partagées NFS actives, le service de cluster répond comme si une défaillance s’était produite sur l’une de ses ressources gérées. Par conséquent, le service de cluster essaie de redémarrer le service afin de garder la ressource disponible. Avant de tenter d’arrêter le service Serveur pour NFS sur un nœud du cluster de serveurs, vous devez soit déplacer tous les groupes contenant des ressources partagées NFS vers un autre nœud du cluster, soit mettre hors connexion toutes les ressources partagées NFS sur le nœud.

Veillez à mettre hors connexion une ressource de répertoire partagée NFS avant de modifier ses propriétés. Sinon, vous risquez d’obtenir des résultats inattendus.

Afin de s’assurer que les modifications de configuration apportées au service Serveur pour NFS sont correctement répliquées, vous devez toujours utiliser un ordinateur qui appartient à un domaine approuvé lorsque vous administrez le service Serveur pour NFS s’exécutant sur un cluster. Cela est nécessaire, car les modifications de configuration apportées au service Serveur pour NFS ne sont correctement répliquées entre les nœuds d’un cluster que si vous exécutez Administration des services pour NFS ou nfsadmin sur un ordinateur qui appartient à un domaine non approuvé par le domaine du cluster.

Si le service de cluster doit être redémarré sur un nœud du cluster, arrêtez puis redémarrez le service Serveur pour NFS sur ce nœud. Cette opération garantit la réplication correcte des modifications de la configuration du service Serveur pour NFS sur les nœuds du cluster.

Lorsque vous créez une ressource de répertoire partagée NFS, vous avez la possibilité de partager la racine du répertoire spécifié ou de tous les sous-répertoires du répertoire. Avant de choisir cette option, déterminez d’abord s’il vous faudra contrôler l’accès aux sous-répertoires ou modifier leurs noms de partage. Dans ce cas, vous devez partager les sous-répertoires séparément car, lorsque vous créez une ressource de répertoire partagée NFS pour partager les sous-répertoires, vous ne pouvez ni définir d’autorisations d’accès, ni autoriser (ou refuser) d’accès anonyme, ni modifier le nom du partage des sous-répertoires séparément.

Si vous choisissez de partager tous les sous-répertoires du répertoire, vérifiez que les autorisations protégeant le répertoire ne permettent pas aux utilisateurs non approuvés de créer des sous-répertoires. Un utilisateur malveillant pourrait en effet saturer le service de cluster en créant un très grand nombre de sous-répertoires qui seraient automatiquement partagés comme ressources de cluster.

Si vous utilisez la commande cluster pour créer et modifier des ressources de cluster de partage NFS, tenez compte des éléments suivants :

• Lorsque vous créez la ressource de cluster à l’aide de la command cluster, vous pouvez définir certaines propriétés non privées, mais pas toutes.
  
  
• Lorsque vous utilisez la commande cluster pour définir des propriétés, ne vous basez pas sur les valeurs par défaut, car elles peuvent ne pas être valides pour une ressource de cluster de partage NFS. Définissez toujours de manière explicite les valeurs de propriété.
  
  
• Pour définir ou afficher des autorisations sur une ressource de cluster de partage NFS, utilisez l’Administrateur de cluster. Vous pouvez également utiliser la commande nfsshare pour afficher des autorisations, mais pas pour les définir.
  
  

Vous devez indiquer aux utilisateurs d’ordinateurs clients d’utiliser des montages inconditionnels lors du montage de répertoires NFS partagés sur le cluster de serveurs. Ainsi, si le nœud qui partage le répertoire était défaillant, l’ordinateur client ne dépasserait pas le délai imparti avant le basculement vers l’autre nœud.

Vous devez indiquer aux utilisateurs des ordinateurs clients de monter les répertoires NFS partagés sur le cluster de serveurs en utilisant le nom de serveur virtuel du même groupe que le répertoire partagé. L’utilisation d’un nom de serveur virtuel d’un autre groupe, ou du nom de nœud, permet à l’ordinateur client de monter le répertoire, mais le montage peut être perdu en cas de basculement.