Procedure consigliate per Servizi per NFS (Network File System)

Non è possibile utilizzare Servizi per NFS o le utilità da riga di comando per l'amministrazione di versioni precedenti di Servizi per NFS. Non è inoltre possibile utilizzare versioni precedenti di Servizi per NFS o di utilità da riga di comando per l'amministrazione di versioni più recenti di Servizi per NFS.

È possibile utilizzare Servizi per NFS per l'amministrazione dei componenti di Servizi per NFS presenti su un computer remoto se entrambi i computer eseguono Windows Server 2008.

Servizi per NFS richiede l'apertura di diverse porte in Windows Firewall e altri firewall. Quando richiesto, assicurarsi di consentire l'accesso ai componenti di Servizi per NFS.

Con Server per NFS è possibile controllare l'accesso di utenti e gruppi alle risorse di Servizi per NFS. È necessario configurare e popolare Servizi di dominio Active Directory con informazioni sull'ID utente (UID) e l'identificatore di gruppo (GID) o installare Mapping nomi utente in un computer della rete per associare gli account utente Windows con account utente UNIX. In alcuni casi, può essere necessario installare Autenticazione Server per NFS.

Server per NFS supporta solo volumi di archiviazione formattati per il file system NTFS. Con i volumi NTFS è possibile garantire sicurezza a livello di file consentendo e negando l'accesso ai file a utenti e gruppi specifici. Se si desidera consentire agli utenti anonimi di accedere ai file, verificare che le autorizzazioni su file e directory garantiscano accesso appropriato agli utenti anonimi. Quando si condivide la directory, inoltre, utilizzare il controllo di accesso NFS a livello di host durante la creazione della risorsa NFS condivisa allo scopo di garantire un livello di sicurezza maggiore per i file della directory.

Quando si aggiunge una nuova unità a un computer in cui è in esecuzione Server per NFS, modificare le autorizzazioni proteggendo la directory radice dell'unità affinché gli utenti considerati non attendibili, inclusi gli utenti del gruppo Everyone, non possano scrivere nella directory. Grazie alla protezione delle directory condivise nell'unità, gli utenti non attendibili non saranno in grado di compromettere la sicurezza di Server per NFS.

Prima di arrestare o di disinstallare Server per NFS, informare gli utenti connessi alle risorse condivise di Servizi per NFS che il servizio verrà arrestato. Quando gli utenti avranno avuto la possibilità di chiudere i file aperti e disconnettersi dalle directory condivise, sarà quindi possibile arrestare il servizio.

Se una directory è condivisa con un tipo di codifica EUC (Extended UNIX Code), ad esempio EUC-JP e un client configurato per utilizzare una codifica EUC diversa, ad esempio EUC-TW, tenta di connettersi alla directory condivisa, si possono verificare risultati imprevisti. Per impedire che si verifichi questa situazione, stabilire una convenzione di denominazione da utilizzare per la condivisione di directory con codifica EUC affinché gli utenti dei computer client possano conoscere la codifica utilizzata per le directory condivise.

Se si creano file di configurazione, ad esempio un file per la conversione dei caratteri o un file di registro di controllo, proteggerli con un elenco di controllo di accesso discrezionale (DACL) che garantisca controllo completo all'account System predefinito e al gruppo Administrators. Nell'elenco DACL non devono essere incluse altre voci.

Per assicurare il funzionamento corretto di Server per NFS in un cluster di server, arrestare Server per NFS prima del cluster di server.

Per garantire la disponibilità di una risorsa cluster in una directory condivisa nel caso si verifichino errori nel nodo che contiene la risorsa, rendere la risorsa cluster dipendente dalla risorsa disco fisico appropriata.

Sebbene sia possibile utilizzare Esplora risorse per visualizzare le proprietà di una risorsa cluster di una condivisione NFS, è consigliabile non utilizzarlo per la modifica delle proprietà. Per creare e amministrare le directory NFS condivise in un cluster di server, utilizzare solo Amministrazione cluster o il comando cluster.

Accertarsi che il nome di condivisione di ogni directory condivisa nel cluster di server sia univoco. In caso contrario, se si verifica il failover di un nodo del cluster in un nodo diverso e se le directory condivise dei due nodi hanno lo stesso nome, sarà disponibile solo una delle directory condivise.

Non impostare una risorsa disco condivisa come percorso del registro di controllo di Server per NFS. Solo un nodo del cluster può essere proprietario del file di registro. Di conseguenza, se la proprietà di un gruppo viene spostata a un altro nodo, gli eventi di controllo delle risorse condivise rimanenti nel nodo originale non potranno essere registrati nel file. Per garantire la disponibilità dei registri di controllo di Server per NFS, registrare gli eventi nel registro eventi di Visualizzatore eventi.

Quando Server per NFS viene arrestato in un nodo del cluster che ospita risorse NFS condivise attive, il servizio cluster risponderà come se si fosse verificato un errore delle relative risorse gestite e, di conseguenza, tenterà di riavviare il servizio per garantire la disponibilità della risorsa. Prima di tentare di arrestare Server per NFS in un nodo di un cluster di server, spostare tutti i gruppi che contengono risorse NFS condivise in un altro nodo del cluster oppure disconnettere tutte le risorse NFS condivise nel nodo.

Disconnettere sempre una directory NFS condivisa prima di modificarne le proprietà. In caso contrario si potrebbero verificare risultati imprevisti.

Per garantire la replica corretta delle modifiche alla configurazione di Server per NFS, amministrare sempre Server per NFS in esecuzione in un cluster utilizzando un computer appartenente a un dominio trusted. Le modifiche alla configurazione di Server per NFS infatti non vengono replicate correttamente nei nodi di un cluster se si esegue Amministrazione Servizi per NFS o nfsadmin in un computer appartenente a un dominio non considerato trusted dal dominio del cluster.

Se il servizio cluster deve essere riavviato in un nodo del cluster, arrestare e riavviare il servizio Server per NFS nello stesso nodo per garantire che le modifiche alla configurazione di Server per NFS vengano replicate correttamente nei nodi del cluster.

Quando si crea una risorsa directory NFS condivisa, è possibile condividere la directory radice o tutte le sottodirectory della directory. Prima di scegliere l'opzione, determinare prima se è necessario controllare l'accesso alle sottodirectory o modificarne i nomi di condivisione. In caso affermativo, condividere le sottodirectory separatamente perché quando si crea una risorsa directory NFS condivisa per condividere le sottodirectory, non è possibile impostare le autorizzazioni di accesso, consentire o negare l'accesso anonimo o modificare il nome di condivisione delle sottodirectory separatamente.

Se si sceglie di condividere tutte le sottodirectory della directory, verificare che le autorizzazioni che proteggono la directory non consentano ad utenti non attendibili di creare sottodirectory. In caso contrario, un utente malintenzionato potrebbe sovraccaricare il servizio cluster creando un numero molto elevato di sottodirectory che verrebbero automaticamente condivise come risorsa del cluster.

Se si utilizza il comando cluster per creare e modificare le risorse cluster di una condivisione NFS, sono valide le considerazioni seguenti:

• Quando si crea la risorsa cluster utilizzando il comando cluster, è possibile impostare alcune proprietà non private, ma non tutte.
  
  
• Quando si utilizza il comando cluster per impostare le proprietà, non accettare automaticamente i valori predefiniti perché potrebbero non essere validi per una risorsa cluster di una condivisione NFS. Impostare sempre i valori delle proprietà in modo esplicito.
  
  
• Utilizzare Amministrazione cluster per impostare o visualizzare le autorizzazioni di una risorsa cluster di una condivisione NFS. È inoltre possibile utilizzare il comando nfsshare per visualizzare le autorizzazioni, ma non per impostarle.
  
  

Indicare agli utenti dei computer client di utilizzare l'hard mount per il montaggio di directory NFS condivise nel cluster di server per garantire che, in caso di errore del nodo che condivide la directory, non si verifichi un timeout del computer client prima del completamento del failover a un nodo diverso.

Indicare agli utenti dei computer client di montare le directory NFS condivise nel cluster di server utilizzando il nome del server virtuale dello stesso gruppo della directory condivisa. Utilizzando un nome di server virtuale di un gruppo diverso o il nome del nodo, il computer client potrà montare la directory, ma il montaggio potrebbe essere perso in caso di failover.