Aanbevolen procedures voor Services voor NFS

U kunt Services voor NFS of opdrachtregelprogramma's niet gebruiken om lagere versies van Services voor NFS te beheren. Bovendien kunt u lagere versies van Services voor NFS of opdrachtregelprogramma's niet gebruiken om hogere versies van Services voor NFS te beheren.

U kunt Services voor NFS gebruiken om Services voor NFS-onderdelen te beheren op een externe computer als op beide computers Windows Server 2008 wordt uitgevoerd.

Voor Services voor NFS zijn verschillende poorten vereist die geopend moeten zijn in Windows Firewall en andere firewalls. Wanneer hierom wordt gevraagd, moet u Services voor NFS-onderdelen toestaan.

Met Server voor NFS kunt u de toegang van gebruikers en groepen tot Services voor NFS-bronnen beheren. U moet Active Directory Domain Services configureren en vullen met UID- (gebruikers-id) en GID-informatie (groeps-id), of Gebruikersnaamtoewijzing installeren op één computer in uw netwerk om Windows-gebruikersaccounts te koppelen aan UNIX-gebruikersaccounts. In sommige gevallen moet u mogelijk ook Server voor NFS-verificatie installeren.

Server voor NFS ondersteunt alleen opslagvolumes die zijn geformatteerd voor het NTFS-bestandssysteem. Met NTFS-volumes kunt u beveiliging op bestandsniveau bieden door bestandstoegang te verlenen of te weigeren aan specifieke gebruikers en groepen. Wanneer u anonieme gebruikers toegang wilt bieden tot bestanden, moet u deze de vereiste toegangsmachtigingen voor bestanden en mappen geven. Wanneer u de map deelt, moet u bovendien NFS-toegangsbeheer op hostniveau gebruiken bij het maken van de gedeelde NFS-bron om extra beveiliging te bieden voor de bestanden in de map.

Wanneer u een nieuw station toevoegt aan een computer waarop Server voor NFS wordt uitgevoerd, moet u de machtigingen aanpassen die de hoofdmap van het station beveiligen om te voorkomen dat niet-vertrouwde gebruikers, waaronder Iedereen-gebruikers, naar de map kunnen schrijven. Zo voorkomt u dat niet-vertrouwde gebruikers inbreuk maken op de Server voor NFS-beveiliging door gedeelde mappen op het station te beschermen.

Voordat u Server voor NFS stopt of verwijdert, moet u gebruikers die verbinding hebben gemaakt met gedeelde Services voor NFS-bronnen, hiervan op de hoogte stellen. Stop de service nadat de gebruikers de kans hebben gehad geopende bestanden te sluiten en de verbinding met gedeelde mappen te verbreken.

Er kunnen onverwachte resultaten optreden als een map wordt gedeeld met één type EUC-codering (Extended UNIX Code), zoals EUC-JP, en een client die is geconfigureerd om een andere EUC-codering te gebruiken, zoals EUC-TW, probeert verbinding te maken met de gedeelde map. Als u dit wilt voorkomen, maakt u een naamgevingsregel die moet worden gebruikt voor het delen van mappen met EUC-codering, zodat gebruikers van clientcomputers kunnen weten hoe gedeelde mappen worden gecodeerd.

Als u configuratiebestanden maakt (zoals een tekenomzettingsbestand of een controlelogboekbestand), moet u deze beveiligen met een discretionaire toegangsbeheerlijst (DACL) die Volledig beheer verleent aan het ingebouwde systeemaccount en aan de groep Administrators. De DACL mag geen andere vermeldingen bevatten.

Voor een juiste werking van Server voor NFS in een servercluster stopt u eerst Server voor NFS en vervolgens het servercluster, als u het servercluster wilt stoppen.

Als u ervoor wilt zorgen dat de clusterbron van een gedeelde map beschikbaar blijft als het knooppunt dat de bron bevat uitvalt, maakt u de clusterbron afhankelijk van de juiste fysieke schijfbron.

Hoewel u Windows Verkenner kunt gebruiken om de eigenschappen van een NFS Bronnen delen-clusterbron weer te geven, moet u dit programma niet gebruiken om die eigenschappen te wijzigen. U moet alleen Clusterbeheer of de opdracht cluster gebruiken om gedeelde NFS-mappen te maken of te beheren op een servercluster.

Zorg ervoor dat de sharenaam van elke gedeelde map op het servercluster uniek is. Als u dit niet doet en het ene knooppunt in het cluster wordt overgebracht naar het andere en gedeelde mappen op de twee knooppunten hebben dezelfde naam, is maar een van de gedeelde mappen beschikbaar.

Wijs een gedeelde schijfbron niet aan als de locatie van het Server voor NFS-controlelogboek. Slechts een knooppunt in het cluster kan de eigenaar zijn van het logboekbestand. Dit betekent dat als het eigendom van een groep wordt verplaatst naar een ander knooppunt, de controlegebeurtenissen voor de overige gedeelde bronnen op het originele knooppunt niet kunnen worden opgenomen in het bestand. Als u de beschikbaarheid van Server voor NFS-controlelogboeken wilt garanderen, moet u gebeurtenissen vastleggen in het gebeurtenislogboek Logboeken.

Wanneer Server voor NFS wordt gestopt op een clusterknooppunt dat als host fungeert voor actieve gedeelde NFS-bronnen, reageert de clusterservice alsof dit een fout is van een van de beheerde bronnen. Vervolgens probeert de clusterservice de service opnieuw te starten om te proberen de bron beschikbaar te laten blijven. Voordat u probeert Server voor NFS op een serverclusterknooppunt te stoppen, verplaatst u alle groepen met gedeelde NFS-bronnen naar een ander knooppunt op het cluster of brengt u alle gedeelde NFS-bronnen op het knooppunt offline.

Zorg ervoor dat u een gedeelde NFS-mapbron offline brengt voordat u de eigenschappen hiervan wijzigt. Als u dit niet doet, kunnen er onverwachte resultaten optreden.

Als u ervoor wilt zorgen dat Server voor NFS-configuratiewijzigingen juist worden gerepliceerd, moet u altijd een computer gebruiken die hoort bij een vertrouwd domein wanneer u een Server voor NFS beheert die wordt uitgevoerd op een cluster. Dit is nodig omdat Server voor NFS-configuratiewijzigingen niet juist worden gerepliceerd tussen knooppunten in een cluster als u Services voor NFS-beheer of nfsadmin uitvoert op een computer die hoort bij een domein dat niet wordt vertrouwd door het domein van het cluster.

Als de clusterservice opnieuw moet worden gestart op een knooppunt in het cluster, stopt u de Server voor NFS-service op dat knooppunt en start u deze opnieuw. Zo zorgt u ervoor dat Server voor NFS-configuratiewijzigingen juist worden gerepliceerd tussen de knooppunten van het cluster.

Wanneer u een gedeelde NFS-mapbron maakt, kunt u de hoofdmap van de opgegeven map of alle submappen in de map delen. Voordat u een van deze opties kiest, moet u eerst beslissen of u de toegang tot de submappen wilt beheren of de sharenamen hiervan wilt wijzigen. Als u dit wilt, moet u de submappen afzonderlijk delen omdat u geen toegangsmachtigingen kunt instellen, anonieme toegang kunt toestaan (of weigeren) of de sharenaam kunt wijzigen voor de afzonderlijke submappen wanneer u een gedeelde NFS-mapbron maakt om de submappen te delen.

Als u ervoor kiest alle submappen in de map te delen, moet u ervoor zorgen dat de machtigingen die de map beveiligen niet toestaan dat niet-vertrouwde gebruikers submappen maken. Als u dit niet doet, kan een kwaadwillende gebruiker de clusterservice overspoelen door een groot aantal submappen te maken die automatisch worden gedeeld als een clusterbron.

Als u de opdracht cluster gebruikt om NFS Bronnen delen-clusterbronnen te maken en te wijzigen, moet u op het volgende letten:

• Wanneer u de clusterbron maakt met de opdracht command, kunt u een aantal niet-persoonlijke eigenschappen instellen, maar niet allemaal.
  
  
• Wanneer u de opdracht cluster gebruikt om eigenschappen in te stellen, moet u niet vertrouwen op standaardwaarden omdat deze mogelijk ongeldig zijn voor een NFS Bronnen delen-clusterbron. Stel eigenschapswaarden altijd expliciet in.
  
  
• Als u machtigingen voor een NFS Bronnen delen-clusterbron wilt instellen of weergeven, gebruikt u Clusterbeheer. U kunt ook de opdracht nfsshare gebruiken om machtigingen weer te geven, maar niet om deze in te stellen.
  
  

Gebruikers van clientcomputers moeten harde koppelingen gebruiken bij het koppelen van NFS-mappen die worden gedeeld op het servercluster. Zo zorgt u ervoor dat, als het knooppunt uitvalt waarop de map wordt gedeeld, er geen time-out optreedt voor de clientcomputer voordat de overdracht naar een ander knooppunt is voltooid.

Gebruikers van clientcomputers moeten NFS-mappen die worden gedeeld op het servercluster, koppelen met behulp van de virtuele-servernaam uit dezelfde groep als de gedeelde map. Als u een virtuele-servernaam uit een andere groep of de knooppuntnaam gebruikt, kan de clientcomputer de map wel koppelen maar kan de koppeling verloren gaan in het geval van failover.