[an error occurred while processing this directive]

В этом разделе обобщены советы и рекомендации по работе с оснасткой «Службы для NFS» в среде Windows Server 2008. Рассматриваемые области охватывают общие рекомендации и советы по работе с сервером для NFS в кластере серверов. Дополнительные сведения об оснастке «Службы для NFS» см. в техническом центре Windows Server (http://go.microsoft.com/fwlink/?LinkId=92798).

Общие советы и рекомендации

Используйте соответствующие служебные программы для администрирования оснастки «Службы для NFS».

Для администрирования более ранних версий оснастки «Службы для NFS» невозможно использовать службы для NFS или служебные программы командной строки. Нельзя также использовать более ранние версии служб для NFS и средства командной строки для администрирования новых версий служб для NFS.

Службы для NFS можно использовать для администрирования компонентов служб для NFS на удаленном компьютере, если оба компьютера работают под управлением операционной системы Windows Server 2008.

Откройте порты брандмауэра.

Службы для NFS нуждаются в нескольких портах, которые должны быть открыты в брандмауэре Windows и других брандмауэрах. Во время запроса убедитесь, что разрешено использование компонентов служб для NFS.

Обеспечьте безопасность на уровне пользователей.

С помощью сервера для NFS можно управлять доступом пользователей и групп к ресурсам служб для NFS (Network Files System). Необходимо настроить и заполнить доменные службы Active Directory сведениями об идентификаторах пользователей (UID) и идентификаторах групп (GID) либо установить службу сопоставления имен пользователей на одном компьютере в сети, чтобы связать учетные записи пользователей Windows с учетными записями пользователей UNIX. В некоторых случаях может потребоваться установка службы проверки подлинности сервера для NFS.

Обеспечьте защиту файлов.

Сервер для NFS поддерживает только тома хранилищ, отформатированные для файловой системы NTFS. NTFS-тома позволяют обеспечивать безопасность на уровне файлов, разрешая и запрещая доступ к файлам для определенных пользователей и групп. Когда требуется открыть доступ к файлам анонимным пользователям, убедитесь, что разрешения каталогов и файлов предоставляют соответствующий доступ для анонимных пользователей. Кроме того, открывая общий доступ к каталогу, используйте при создании общего ресурса NFS управление доступом NFS на уровне узлов для обеспечения дополнительного уровня безопасности в целях защиты файлов в каталоге.

Обеспечьте защиту новых дисков.

При добавлении нового диска в компьютер, на котором запущен сервер для NFS, не забудьте изменить разрешения, защищающие корневой каталог диска, чтобы пользователи без доверия, включая пользователей группы «Все», не имели права записи в каталог. Это позволяет с помощью защиты общих каталогов на диске исключить возможность нарушения пользователями без доверия системы безопасности сервера для NFS.

Предоставьте пользователям возможность отключения, прежде чем служба «Сервер для NFS» будет остановлена.

Прежде чем остановить службу «Сервер для NFS» или удалить ее, уведомите пользователей, подключенных к общим ресурсам служб для NFS, что вы собираетесь остановить службу. По истечении времени, предоставленного пользователям для закрытия файлов и отключения от общих каталогов, можно остановить службу.

Используйте соглашения об именовании, чтобы идентифицировать общие ресурсы с помощью кодировки EUC.

Если общий доступ к каталогу открыт с одним типом кодировки расширенного кода UNIX (Extended UNIX Code, EUC), например, EUC-JP, а клиент, настроенный на использование другой кодировки EUC (например, EUC-TW), пытается подключиться к общему каталогу, может возникнуть непредвиденный результат. Для предотвращения такой ситуации определите соглашение об именовании, которое должно использоваться при открытии общего доступа к каталогам с кодировкой EUC, чтобы пользователи клиентских компьютеров знали, как кодируются имена общих каталогов.

Защитите файлы конфигурации.

Если вы создаете файлы конфигурации (например, файл таблицы преобразования знаков или файл журнала аудита), не забудьте защитить их с помощью списка управления доступом на уровне пользователей (DACL), который предоставляет полный доступ для встроенной системной учетной записи и для группы «Администраторы». Список DACL не должен содержать других записей.

Советы и рекомендации по запуску сервера для NFS в кластере серверов

Остановите службу «Сервер для NFS», прежде чем остановить кластер серверов.

Чтобы обеспечить надлежащую работу службы «Сервер для NFS» в кластере серверов, при остановке сервера кластеров сначала остановите «Сервер для NFS», а затем остановите кластер серверов.

Обеспечьте доступность общего ресурса при отказах узла.

Чтобы обеспечить доступность ресурса кластера общих каталогов при отказах узла, содержащего ресурс, сделайте ресурс кластера зависимым от соответствующего ресурса физического диска.

Используйте соответствующее средство для управления ресурсами кластера общих папок NFS.

Хотя для просмотра свойств ресурса кластера общих папок NFS можно воспользоваться проводником, его не следует использовать для изменения этих свойств. Для создания и администрирования общих каталогов NFS на кластере серверов следует пользоваться только оснасткой «Администратор кластера» или командой cluster.

Избегайте конфликта имен общих ресурсов.

Обеспечивайте уникальность имен общих ресурсов в каждом общем каталоге на кластере серверов. В противном случае, если один узел в кластере отказывает и переносится на другой узел, а общие каталоги на двух узлах имеют одинаковое имя, будет доступным только один из общих каталогов.

Обеспечьте доступность журналов аудита.

Не назначайте ресурс общего диска в качестве местоположения журнала аудита сервера для NFS. Файл журнала может принадлежать только одному узлу в кластере. Это означает, что если владелец группы перемещается на другой узел, события аудита для оставшихся общих ресурсов на исходном узле невозможно будет записать в файл. Чтобы обеспечить доступность журналов аудита службы «Сервер для NFS», события следует регистрировать в журнале событий оснастки «Просмотр событий».

Прежде чем останавливать сервер для NFS, переместите общие ресурсы или переведите их в автономный режим.

Когда останавливается сервер для NFS на узле кластера, на котором размещаются активные общие ресурсы NFS, служба кластеров реагирует так, как будто бы это был сбой одного из управляемых ею ресурсов. Поэтому служба кластеров будет пробовать перезапустить службу, чтобы попытаться сохранить ресурс доступным. Прежде чем останавливать сервер для NFS на узле кластеров серверов, переместите все группы, содержащие общие ресурсы NFS, на другой узел кластера или переведите все общие ресурсы NFS на узле в автономный режим.

Прежде чем изменять ресурсы, переведите их в автономный режим.

Прежде чем изменять свойства ресурса общих каталогов NFS, необходимо убедиться, что этот ресурс переведен в автономный режим. Невыполнение этого условия может привести к непредсказуемым результатам.

Выполняйте администрирование сервера для NFS только с компьютеров в доверенном домене.

Чтобы обеспечить надлежащую репликацию изменений конфигурации сервера для NFS, всегда используйте компьютер, принадлежащий доверенному домену, когда выполняете администрирование службы «Сервер для NFS», запущенной на кластере. Это условие необходимо соблюдать, так как изменения конфигурации службы «Сервер для NFS» не реплицируются правильно между узлами в кластере, если администрирование служб для NFS или команда nfsadmin запускается на компьютере, принадлежащем домену, которому не доверяет домен кластера.

Перезапускайте сервер для NFS после перезапуска службы кластеров.

Если служба кластеров должна быть перезапущена на узле в кластере, остановите и затем перезапустите службу «Сервер для NFS» на этом узле. Это гарантирует надлежащую репликацию изменений конфигурации службы «Сервер для NFS» среди узлов кластера.

Выберите подходящий режим общего доступа.

При создании ресурса общих каталогов NFS имеется возможность открытия общего доступа к корню указанного каталога или ко всем подкаталогам в этом каталоге. Прежде чем выбрать эту возможность, сначала решите, надо ли управлять доступом к этим подкаталогам или изменять имена их общих ресурсов. Если потребность в этом существует, следует отдельно открыть общий доступ к подкаталогам, поскольку при создании ресурса общих каталогов NFS с целью предоставления общего доступа к подкаталогам, невозможно установить разрешения доступа, разрешить (или запретить) анонимный доступ или отдельно изменить имя общего ресурса подкаталогов.

Если решено предоставить общий доступ ко всем подкаталогам в каталоге, убедитесь, что разрешения, защищающие каталог, не позволяют создавать подкаталоги пользователям без доверия. В противном случае злоумышленник может переполнить службу кластеров, создав очень большое число подкаталогов, к которым автоматически будет предоставлен общий доступ как к ресурсу кластера.

При создании или изменении ресурсов кластера общих папок NFS правильно используйте средства командной строки.

Если для создания или изменения ресурсов кластера общих папок NFS используется команда cluster, действуют перечисляемые ниже правила.

  • При создании ресурса кластера с помощью команды command можно устанавливать некоторые нечастные свойства, но не все.

  • При использовании команды cluster для задания свойств не полагайтесь на значения по умолчанию, поскольку они могут быть недопустимы для ресурса кластера общих папок NFS. Всегда задавайте значения свойств в явном виде.

  • Чтобы задать или просмотреть разрешения для ресурса кластера общих папок NFS используйте администратор кластеров. Для просмотра разрешений, но не для их установки, можно использовать команду nfsshare.

Используйте аппаратные подключения.

Необходимо проинструктировать пользователей клиентских компьютеров, чтобы они использовали аппаратные подключения при подключении каталогов NFS, к которым открыт общий доступ на кластере серверов. Это гарантирует, что тайм-аут клиентского компьютера не истечет до завершения перехода на другой узел в случае, когда происходит отказ узла, предоставляющего общий доступ к каталогу.

Используйте правильное имя виртуального сервера.

Необходимо проинструктировать пользователей клиентских компьютеров, чтобы они подключали каталоги NFS, к которым открыт общий доступ на кластере серверов, используя имя виртуального сервера из той же группы, что и общий каталог. Использование имени виртуального сервера из другой группы или имени узла позволяет клиентскому компьютеру подключить каталог, но подключение может быть потеряно в случае возникновения сбоя.

Дополнительные ссылки


[an error occurred while processing this directive]