Для администрирования более ранних версий оснастки «Службы для NFS» невозможно использовать службы для NFS или служебные программы командной строки. Нельзя также использовать более ранние версии служб для NFS и средства командной строки для администрирования новых версий служб для NFS.

Службы для NFS можно использовать для администрирования компонентов служб для NFS на удаленном компьютере, если оба компьютера работают под управлением операционной системы Windows Server 2008.

Службы для NFS нуждаются в нескольких портах, которые должны быть открыты в брандмауэре Windows и других брандмауэрах. Во время запроса убедитесь, что разрешено использование компонентов служб для NFS.

С помощью сервера для NFS можно управлять доступом пользователей и групп к ресурсам служб для NFS (Network Files System). Необходимо настроить и заполнить доменные службы Active Directory сведениями об идентификаторах пользователей (UID) и идентификаторах групп (GID) либо установить службу сопоставления имен пользователей на одном компьютере в сети, чтобы связать учетные записи пользователей Windows с учетными записями пользователей UNIX. В некоторых случаях может потребоваться установка службы проверки подлинности сервера для NFS.

Сервер для NFS поддерживает только тома хранилищ, отформатированные для файловой системы NTFS. NTFS-тома позволяют обеспечивать безопасность на уровне файлов, разрешая и запрещая доступ к файлам для определенных пользователей и групп. Когда требуется открыть доступ к файлам анонимным пользователям, убедитесь, что разрешения каталогов и файлов предоставляют соответствующий доступ для анонимных пользователей. Кроме того, открывая общий доступ к каталогу, используйте при создании общего ресурса NFS управление доступом NFS на уровне узлов для обеспечения дополнительного уровня безопасности в целях защиты файлов в каталоге.

При добавлении нового диска в компьютер, на котором запущен сервер для NFS, не забудьте изменить разрешения, защищающие корневой каталог диска, чтобы пользователи без доверия, включая пользователей группы «Все», не имели права записи в каталог. Это позволяет с помощью защиты общих каталогов на диске исключить возможность нарушения пользователями без доверия системы безопасности сервера для NFS.

Прежде чем остановить службу «Сервер для NFS» или удалить ее, уведомите пользователей, подключенных к общим ресурсам служб для NFS, что вы собираетесь остановить службу. По истечении времени, предоставленного пользователям для закрытия файлов и отключения от общих каталогов, можно остановить службу.

Если общий доступ к каталогу открыт с одним типом кодировки расширенного кода UNIX (Extended UNIX Code, EUC), например, EUC-JP, а клиент, настроенный на использование другой кодировки EUC (например, EUC-TW), пытается подключиться к общему каталогу, может возникнуть непредвиденный результат. Для предотвращения такой ситуации определите соглашение об именовании, которое должно использоваться при открытии общего доступа к каталогам с кодировкой EUC, чтобы пользователи клиентских компьютеров знали, как кодируются имена общих каталогов.

Если вы создаете файлы конфигурации (например, файл таблицы преобразования знаков или файл журнала аудита), не забудьте защитить их с помощью списка управления доступом на уровне пользователей (DACL), который предоставляет полный доступ для встроенной системной учетной записи и для группы «Администраторы». Список DACL не должен содержать других записей.

Чтобы обеспечить надлежащую работу службы «Сервер для NFS» в кластере серверов, при остановке сервера кластеров сначала остановите «Сервер для NFS», а затем остановите кластер серверов.

Чтобы обеспечить доступность ресурса кластера общих каталогов при отказах узла, содержащего ресурс, сделайте ресурс кластера зависимым от соответствующего ресурса физического диска.

Хотя для просмотра свойств ресурса кластера общих папок NFS можно воспользоваться проводником, его не следует использовать для изменения этих свойств. Для создания и администрирования общих каталогов NFS на кластере серверов следует пользоваться только оснасткой «Администратор кластера» или командой cluster.

Обеспечивайте уникальность имен общих ресурсов в каждом общем каталоге на кластере серверов. В противном случае, если один узел в кластере отказывает и переносится на другой узел, а общие каталоги на двух узлах имеют одинаковое имя, будет доступным только один из общих каталогов.

Не назначайте ресурс общего диска в качестве местоположения журнала аудита сервера для NFS. Файл журнала может принадлежать только одному узлу в кластере. Это означает, что если владелец группы перемещается на другой узел, события аудита для оставшихся общих ресурсов на исходном узле невозможно будет записать в файл. Чтобы обеспечить доступность журналов аудита службы «Сервер для NFS», события следует регистрировать в журнале событий оснастки «Просмотр событий».

Когда останавливается сервер для NFS на узле кластера, на котором размещаются активные общие ресурсы NFS, служба кластеров реагирует так, как будто бы это был сбой одного из управляемых ею ресурсов. Поэтому служба кластеров будет пробовать перезапустить службу, чтобы попытаться сохранить ресурс доступным. Прежде чем останавливать сервер для NFS на узле кластеров серверов, переместите все группы, содержащие общие ресурсы NFS, на другой узел кластера или переведите все общие ресурсы NFS на узле в автономный режим.

Прежде чем изменять свойства ресурса общих каталогов NFS, необходимо убедиться, что этот ресурс переведен в автономный режим. Невыполнение этого условия может привести к непредсказуемым результатам.

Чтобы обеспечить надлежащую репликацию изменений конфигурации сервера для NFS, всегда используйте компьютер, принадлежащий доверенному домену, когда выполняете администрирование службы «Сервер для NFS», запущенной на кластере. Это условие необходимо соблюдать, так как изменения конфигурации службы «Сервер для NFS» не реплицируются правильно между узлами в кластере, если администрирование служб для NFS или команда nfsadmin запускается на компьютере, принадлежащем домену, которому не доверяет домен кластера.

Если служба кластеров должна быть перезапущена на узле в кластере, остановите и затем перезапустите службу «Сервер для NFS» на этом узле. Это гарантирует надлежащую репликацию изменений конфигурации службы «Сервер для NFS» среди узлов кластера.

При создании ресурса общих каталогов NFS имеется возможность открытия общего доступа к корню указанного каталога или ко всем подкаталогам в этом каталоге. Прежде чем выбрать эту возможность, сначала решите, надо ли управлять доступом к этим подкаталогам или изменять имена их общих ресурсов. Если потребность в этом существует, следует отдельно открыть общий доступ к подкаталогам, поскольку при создании ресурса общих каталогов NFS с целью предоставления общего доступа к подкаталогам, невозможно установить разрешения доступа, разрешить (или запретить) анонимный доступ или отдельно изменить имя общего ресурса подкаталогов.

Если решено предоставить общий доступ ко всем подкаталогам в каталоге, убедитесь, что разрешения, защищающие каталог, не позволяют создавать подкаталоги пользователям без доверия. В противном случае злоумышленник может переполнить службу кластеров, создав очень большое число подкаталогов, к которым автоматически будет предоставлен общий доступ как к ресурсу кластера.

Если для создания или изменения ресурсов кластера общих папок NFS используется команда cluster, действуют перечисляемые ниже правила.

• При создании ресурса кластера с помощью команды command можно устанавливать некоторые нечастные свойства, но не все.
  
  
• При использовании команды cluster для задания свойств не полагайтесь на значения по умолчанию, поскольку они могут быть недопустимы для ресурса кластера общих папок NFS. Всегда задавайте значения свойств в явном виде.
  
  
• Чтобы задать или просмотреть разрешения для ресурса кластера общих папок NFS используйте администратор кластеров. Для просмотра разрешений, но не для их установки, можно использовать команду nfsshare.
  
  

Необходимо проинструктировать пользователей клиентских компьютеров, чтобы они использовали аппаратные подключения при подключении каталогов NFS, к которым открыт общий доступ на кластере серверов. Это гарантирует, что тайм-аут клиентского компьютера не истечет до завершения перехода на другой узел в случае, когда происходит отказ узла, предоставляющего общий доступ к каталогу.

Необходимо проинструктировать пользователей клиентских компьютеров, чтобы они подключали каталоги NFS, к которым открыт общий доступ на кластере серверов, используя имя виртуального сервера из той же группы, что и общий каталог. Использование имени виртуального сервера из другой группы или имени узла позволяет клиентскому компьютеру подключить каталог, но подключение может быть потеряно в случае возникновения сбоя.

Дополнительные ссылки