このトピックでは、Windows Server 2008 の環境で NFS (Network File System) 用サービスを扱う際のヒントについて説明しています。ここには、サーバー クラスターで NFS サーバーを扱う際の一般的なヒントが含まれています。NFS 用サービスの詳細については、Windows Server TechCenter (https://go.microsoft.com/fwlink/?LinkId=92798 (英語の可能性あり)) を参照してください。

一般的なヒント集

適正なユーティリティを使用して NFS 用サービスを管理する

NFS 用サービスまたはコマンド ライン ユーティリティを使用して、以前のバージョンの NFS 用サービスを管理することはできません。また、以前のバージョンの NFS 用サービスまたはコマンド ライン ユーティリティを使用して、新しいバージョンの NFS 用サービスを管理することもできません。

ローカル コンピューターとリモート コンピューターの両方で Windows Server 2008 を実行している場合は、ローカル コンピューターの NFS 用サービスを使用してリモート コンピューターの NFS 用サービスのコンポーネントを管理できます。

ファイアウォールのポートを開く

NFS 用サービスでは、ポートがいくつか必要になります。それらのポートは、Windows ファイアウォールとその他のファイアウォールで開く必要があります。メッセージが表示されたら、NFS 用サービスのコンポーネントを許可してください。

ユーザー レベルのセキュリティを提供する

NFS サーバーを使用すると、NFS 用サービスのリソースへのアクセスをユーザーやグループ別に制御できます。ユーザー識別子 (UID) やグループ識別子 (GID) の情報を取り込み、それらの情報を使用して Active Directory ドメイン サービスを構成するか、ネットワーク内の 1 台のコンピューターにユーザー名マッピングをインストールして、Windows のユーザー アカウントと UNIX のユーザー アカウントを関連付ける必要があります。場合によっては、NFS 認証用サーバーをインストールする必要もあります。

ファイルをセキュリティで保護する

NFS サーバーでは、NTFS ファイル システム用にフォーマットされたストレージ ボリュームのみがサポートされます。NTFS ボリュームでは、特定のユーザーおよびグループに対してファイル アクセスを許可または拒否することで、ファイル レベルのセキュリティを提供できます。匿名ユーザーにファイルへのアクセスを許可するときには、ディレクトリやファイルのアクセス権によって匿名ユーザーに適切なアクセスが提供されるようにします。さらに、ディレクトリを共有する場合は、ディレクトリ内のファイルを保護するために、ホスト レベルの NFS アクセス制御を使用して NFS 共有リソースを作成し、追加のセキュリティ レベルを確保してください。

新しいドライブをセキュリティで保護する

NFS サーバーを実行しているコンピューターに新しいドライブを追加する場合は、そのドライブのルート ディレクトリを保護しているアクセス権を変更して、Everyone ユーザーなどの信頼されていないユーザーがディレクトリに書き込めないようにします。これにより、ドライブ上の共有ディレクトリが保護され、信頼されていないユーザーが NFS サーバーのセキュリティを侵害できなくなります。

ユーザーが切断してから NFS サーバー サービスを停止できるようにする

NFS サーバーを停止またはアンインストールする前に、NFS 用サービスの共有リソースに接続しているユーザーに対して、間もなくサービスを停止することを通知します。ユーザーに開いているファイルを閉じて共有ディレクトリから切断する機会を与えた後に、サービスを停止できます。

名前付け規則を使用して、EUC エンコードによる共有を識別できるようにする

ディレクトリが拡張 UNIX コード (EUC) エンコードの一種 (EUC-JP など) により共有されている場合に、異なる EUC エンコード (EUC-TW など) を使用するように構成されているクライアントがこの共有ディレクトリへの接続を試みると、予期しない結果が発生する可能性があります。この状況を防止するには、クライアント コンピューターのユーザーに共有ディレクトリのエンコード方法がわかるように、EUC エンコードによるディレクトリの共有時に使用する名前付け規則を確立します。

構成ファイルを保護する

構成ファイル (文字変換ファイルや監査ログ ファイルなど) を作成する場合は、随意アクセス制御リスト (DACL) でファイルを保護します。DACL は、ビルトインのシステム アカウントと Administrators グループにフル コントロールを付与します。その他のエントリは DACL に含めないでください。

サーバー クラスターで NFS サーバーを実行するためのヒント集

NFS サーバーを停止してからサーバー クラスターを停止する

サーバー クラスターで NFS サーバーが適切に動作するよう、サーバー クラスターを停止する場合には NFS サーバーを停止してからサーバー クラスターを停止します。

ノードの障害時に共有リソースを必ず使用できるようにする

リソースを含むノードが障害を起こした後も、共有ディレクトリのクラスター リソースを確実に使用できるように、クラスター リソースを適切な物理ディスク リソースに依存させます。

適切なツールを使用して NFS 共有のクラスター リソースを管理する

Windows エクスプローラーを使用すると NFS 共有のクラスター リソースのプロパティを表示できますが、これらのプロパティの変更には Windows エクスプローラーを使用しないでください。サーバー クラスター上の共有 NFS ディレクトリの作成と管理には、フェイルオーバー クラスター管理または cluster コマンドのみを使用することをお勧めします。

重複する共有名を使用しない

サーバー クラスター上では、各共有ディレクトリの共有名が一意になるようにします。そうしないと、あるクラスター ノードが他のノードにフェールオーバーするときに、2 つのノードの共有ディレクトリに同じ名前が付いていると、一方の共有ディレクトリしか使用できなくなります。

監査ログを必ず使用できるようにする

NFS サーバー監査ログの場所として、共有ディスク リソースを指定しないでください。ログ ファイルを所有できるノードは、クラスター内で 1 つだけです。つまり、グループの所有権が別のノードに移ると、元のノードに残っている共有リソースに関する監査イベントは、ファイルに記録できなくなります。NFS サーバー監査ログの可用性を確保するには、イベントをイベント ビューアーのイベント ログに記録する必要があります。

NFS サーバーを停止する前に、共有リソースを移動するかオフラインにする

アクティブな NFS 共有リソースをホストしているクラスター ノード上の NFS サーバーを停止すると、クラスター サービスは管理対象リソースの 1 つに障害が発生した場合と同様の反応をします。そのため、クラスター サービスは、リソースを引き続き使用できるようにするためにサービスの再開を試みます。サーバー クラスター ノード上で NFS サーバーを停止する前に、NFS 共有リソースを含むすべてのグループをクラスターの別のノードに移動するか、ノード上のすべての NFS 共有リソースをオフラインにしてください。

リソースはオフラインにした後で変更する

NFS 共有ディレクトリ リソースのプロパティを変更する前に、必ずそのリソースをオフラインにします。オフラインにしないと、予期しない結果になる可能性があります。

NFS サーバーは、信頼されているドメイン内のコンピューターからのみ管理する

NFS サーバーの構成変更が適切にレプリケートされるようにするため、クラスター上で実行されている NFS サーバーを管理する場合は必ず、信頼されるドメインに属するコンピューターを使用します。これは、クラスターのドメインによって信頼されていないドメインに属しているコンピューター上で NFS 用サービスの管理または nfsadmin を実行すると、クラスター内のノード間で NFS サーバーの構成変更が適切にレプリケートされないからです。

クラスター サービスを再開してから NFS サーバー サービスを再開する

クラスターのノード上でクラスター サービスを再開する必要がある場合は、そのノード上で NFS サーバー サービスを停止してから再開します。この操作によって、NFS サーバーの構成変更がクラスターのノード間で適切にレプリケートされます。

適切な共有モードを選択する

NFS 共有ディレクトリ リソースを作成する際には、指定したディレクトリのルートを共有するか、指定したディレクトリの全サブディレクトリを共有するかを選択できます。このオプションを選択する前に、サブディレクトリへのアクセスを制御する必要があるか、サブディレクトリの共有名を変更する必要があるかを判断します。これらの作業が必要な場合には、サブディレクトリを個別に共有する必要があります。NFS 共有ディレクトリ リソースを作成してサブディレクトリを共有した場合、アクセス権の設定、匿名アクセスの許可または拒否、または共有名の変更をサブディレクトリごとに行うことができません。

ディレクトリの全サブディレクトリを共有する場合は、そのディレクトリを保護しているアクセス権を確認して、信頼されていないユーザーによるサブディレクトリの作成を許可しないようにしてください。そうしないと、悪意のあるユーザーが大量に作成したサブディレクトリがクラスター リソースとして自動的に共有され、クラスター サービスに支障が出る可能性があります。

NFS 共有のクラスター リソースを作成または変更するときに、コマンド ラインを適切に使用する

cluster コマンドを使用して NFS 共有のクラスター リソースを作成または変更する場合は、次の事項に注意してください。

  • cluster コマンドを使用してクラスター リソースを作成する場合、一部 (すべてではない) の非プライベート プロパティを設定することができます。

  • cluster コマンドを使用してプロパティを設定する場合は、既定値を使用しないでください。既定値は、NFS 共有のクラスター リソースには有効でない場合があります。プロパティ値は必ず明示的に設定してください。

  • NFS 共有のクラスター リソースに対するアクセス権を設定または表示するには、フェールオーバー クラスター管理を使用します。nfsshare コマンドを使用してアクセス権を表示することもできますが、設定はできません。

ハード マウントを使用する

クライアント コンピューターのユーザーには、サーバー クラスター上で共有される NFS ディレクトリのマウント時に、ハード マウントを使用するように指示することをお勧めします。これによって、ディレクトリを共有するノードで障害が発生した場合に、他のノードへのフェールオーバーが完了する前にクライアント コンピューターがタイム アウトすることがなくなります。

正しい仮想サーバー名を使用する

クライアント コンピューターのユーザーには、サーバー クラスター上で共有される NFS ディレクトリのマウントに、共有ディレクトリと同じグループからの仮想サーバー名を使用するように指示することをお勧めします。他のグループの仮想サーバー名、またはノード名を使用すると、クライアント コンピューターでディレクトリをマウントすることはできますが、フェールオーバーが発生した場合にはマウントが解除される可能性があります。

その他の参照情報

目次