Bästa praxis för Services för Network File System

Du kan inte använda Services för NFS eller kommandoradsverktyg för att administrera äldre versioner av Services för NFS. Du kan inte heller använda äldre versioner av Services för NFS eller kommandoradsverktyg för att administrera nyare versioner av Services för NFS.

Du kan använda Services för NFS för att administrera komponenter i Services för NFS på en fjärrdator om båda datorer kör Windows Server 2008.

Services för NFS kräver flera portar som måste vara öppna på Windows-brandväggen och andra brandväggar. Vid uppmaning, kontrollera att du tillåter Services för NFS-komponenter.

Med Server för NFS kan du kontrollera användares och gruppers åtkomst till resurser i Services för NFS. Du måste konfigurera och fylla Active Directory Domain Services med UID- (användaridentifierare) och GID- (gruppidentifierare) information eller installera Mappning av användarnamn på en dator i nätverket för att koppla ihop Windows-användarkonton med UNIX-användarkonton. I vissa fall kan du också behöva installera Server för NFS-autentisering.

Server för NFS stöder bara lagringsvolymer som är formaterade för NTFS-filsystemet. NTFS-volymer innebär att du kan ge säkerhet på filnivå genom att tillåta och neka vissa användare och grupper filåtkomst. När du vill att anonyma användare ska få åtkomst till filer bör du kontrollera att katalog- och filbehörigheter ger anonyma användare rätt åtkomst. När du delar katalogen ska du dessutom använda NFS-åtkomstkontroll på värdnivå när du skapar den NFS-delade resursen, för att ge ytterligare en nivå säkerhet som skydd för filerna i katalogen.

När du lägger till en ny enhet på en dator som kör Server för NFS, kontrollera då att du ändrar de behörigheter som skyddar enhetens rotkatalog, så att inte ej betrodda användare, inklusive Alla-användare, kan skriva till katalogen. Det förhindrar ej betrodda användare att skada Server för NFS-säkerheten genom att skydda delade kataloger på enheten.

Innan du stoppar Server för NFS eller avinstallerar den, ska du meddela användare som är anslutna till Services för NFS-delade resurser att du tänker stoppa tjänsten. Du kan därefter stoppa tjänsten efter att användarna har haft möjlighet att stänga öppna filer och koppla från anslutning till delade kataloger.

Om en katalog delas med en typ av EUC-kodning (Extended UNIX Code) (som EUC-JP), och en klient som är konfigurerad att använda en annan EUC-kodning (som EUC-TW) försöker ansluta till den delade katalogen kan det uppstå oväntade resultat. För att förhindra detta upprättar du en namnkonvention som ska användas vid delning med EUC-kodning så att användare av klientdatorer kan förstå hur delade kataloger är kodade.

Om du skapar konfigurationsfiler (som en teckenöversättningsfil eller en granskningsloggfil), ska du kontrollera att du skyddar dem med en DACL (Discretionary Access Control List) som tilldelar Fullständig kontroll till det inbyggda systemkontot och till gruppen Administratörer. DACL får inte innehålla fler poster.

För att Server för NFS ska fungera korrekt i ett serverkluster, ska du, när du stoppar serverklustret, börja med att stoppa Server för NFS och därefter stoppa serverklustret.

Om du vill garantera att en delad katalogklusterresurs är tillgänglig vid fel på noden som innehåller resursen, gör du klustret resursberoende på tillämplig fysisk diskresurs.

Trots att du kan använda Windows Utforskaren för att visa egenskaper för en klusterresurs för ett NFS-resurskluster bör du inte använda den till att ändra dessa egenskaper. Du bör endast använda Klusteradministratören eller kommandot cluster för att skapa och administrera delade NFS-kataloger på ett serverkluster.

Kontrollera att enhetsnamnet på varje delad katalog på serverklustret är unikt. I annat fall, om en nod i klustret överförs till en annan, och om delade kataloger på de två noderna har samma namn, kommer bara en av de delade katalogerna att vara tillgängliga.

Utse inte en delad diskresurs som plats för granskningsloggen för Server för NFS. Bara en nod i klustret kan äga loggfilen. Det innebär att om ägandet av en grupp flyttas till en annan nod, kan inte granskningshändelserna för de återstående delade resurserna på den ursprungliga noden registreras i filen. Om du vill garantera tillgänglighet för granskningsloggar för Server för NFS, bör du skriva händelser till händelseloggen Loggboken.

När Server för NFS stoppas på en klusternod som är värd för aktiva resurser för NFS-delade resurser, reagerar klustertjänsten som om det hade blivit fel på en av dess hanterade resurser. Följden blir att klustertjänsten försöker starta om tjänsten för att hålla den tillgänglig. Innan du försöker stoppa Server för NFS på en serverklusternod, ska du antingen flytta alla grupper med NFS-delade resurser till en annan nod på klustret eller koppla från alla NFS-delade resurser på noden.

Kontrollera att du har kopplat från NFS-delad katalogresurs innan du ändrar dess egenskaper. Om du inte gör det kan oväntade resultat uppstå.

Om du vill säkerställa att konfigurationsändringar av Server för NFS replikeras korrekt, ska du alltid använda en dator som tillhör en betrodd domän när du administrerar Server för NFS som körs på ett kluster. Detta är nödvändigt eftersom konfigurationsändringar för Server för NFS inte replikeras korrekt bland noderna i ett kluster om du kör Services för NFS-administration eller nfsadmin på en dator som tillhör en domän som inte är betrodd av domänen i klustret.

Om klustertjänsten måste startas om på en nod i klustret, stoppar och startar du sedan om tjänsten Server för NFS på den noden. Det säkerställer att konfigurationsändringarna för Server för NFS replikeras korrekt bland noderna i klustret.

När du skapar en NFS-delad katalogresurs har du möjlighet att dela ut roten för den angivna katalogen eller för alla underkataloger i katalogen. Innan du väljer det här alternativet ska du besluta om du behöver kontrollera åtkomsten till underkatalogerna eller ändra deras resursnamn. Om du behöver göra det, måste du ändra underkatalogerna separat, eftersom du inte kan konfigurera åtkomstbehörigheter, tillåta (eller neka) anonym åtkomst eller ändra enhetsnamn på underkatalogerna separat när du skapar en NFS-delad katalogresurs för att dela ut underkatalogerna.

Om du väljer att dela ut alla underkataloger i katalogen, ska du kontrollera att de behörigheter som skyddar katalogen inte tillåter ej betrodda användare att skapa underkataloger. Annars skulle en användare kunna skada klustertjänsten genom att skapa ett stort antal underkataloger som automatiskt skulle delas som en klusterresurs.

Om du använder kommandot cluster för att skapa och ändra klusterresurser för NFS-resurser gäller följande beaktanden:

• När du skapar klusterresursen med klustret command kan du konfigurera vissa icke-privata egenskaper men inte alla.
  
  
• När du använder kommandot cluster för att konfigurera egenskaper ska du inte förlita dig på standardvärdena, eftersom de kan vara ogiltiga för en klusterresurs för en NFS-resurs. Konfigurera alltid egenskapsvärden explicit.
  
  
• Om du vill visa behörigheter för en klusterresurs för en NFS-resurs använder du Klusteradministratören. Du kan också använda kommandot nfsshare för att visa behörigheter men inte för att konfigurera dem.
  
  

Användare av klientdatorer bör anvisas att använda hårdmonteringar vid montering av NFS-kataloger som delas på serverklustret. Detta säkerställer att, vid fel på noden som delar katalogen, att det inte blir timeout för klientdatorn innan återställning vid fel till en annan nod är avslutad.

Användare av klientdatorer bör anvisas att montera NFS-kataloger som är delade på serverklustret med det virtuella servernamnet från samma grupp som den delade katalogen. Om du använder ett virtuellt servernamn från en annan grupp, eller nodnamnet, kan klientdatorn montera katalogen men monteringen kan förloras vid återställning efter fel.