Часто при реализации структуры на базе Windows Server возникают задачи связанные с настройкой сервера для файлов и распределением прав на пользователей\группы.
В нашем случае мы будем настраивать файловый сервер на Windows Server 2019.
1. Подготовка.
Для того чтобы настроить файловый сервер на Windows Server 2019, требуется установить операционную систему на виртуальную или физическую машину. Активировать операционную систему и подключиться на сервер с правами администратора.
2. Установка роли файлового сервера.
Чтобы установить роль файлового сервера, требуется:
- Зайти в диспетчер серверов.
- Управление => Добавить роли и компоненты.
- В мастере добавления ролей нажимаем “Далее” до Ролей сервера.
- Устанавливаем роль “Файловый сервер” и нажимаем “Далее”.
- Нажимаем “Установить”Нажимаем “Установить”.
3. Настройка файлового сервера.
- Заходим в Диспетчер Серверов => Файловые службы и службы хранилища => Общие ресурсы.
- Нажимаем “Задачи” и выбираем “Новый общий ресурс”.
- Выбираем подходящий нам профиль общего файлового сервера. В нашем случае мы выбираем “Общий ресурс SMB — быстрый профиль” и нажимаем “Далее”.
- Выбираем том на котором будет располагаться папка для доступа по сети, нажимаем “Далее”.
- Создаем имя общего ресурса, нажимаем “Далее”.
- В следующем окне выбираем требуемые параметры и нажимаем “Далее”.
- В окне “Распределения разрешение для управления доступом” мы настраиваем параметры безопасности на сетевую папку. А именно распределяем правами разрешения для определенных пользователей или групп, нажимаем “Далее”.
- В подтверждающем окне мы видим какие параметры будут сделаны и нажимаем “Создать”.
Рисунок 1 — Подтверждение выбора в мастере создания ресурсов
Убеждаемся в правильной настройки общей папки.
4. Проверка работоспособности файлового сервера.
Заходим на рабочую машину расположенную внутри локальной сеть. Подключаемся через проводник на сервер в нашем случае мы подключаемся к \\10.15.73.38\ так же можно вводить адрес сервера \\domain.site.ru\ или по имени сервера \\file-server\
После авторизации мы подключились на сервере и видим нашу общую папку:
Рисунок 2 — Созданная общая папка
Мы провели настройку файлового сервера, чтобы можно было пользоваться общими папками и распределять права на определенные файлы. В дальнейшем можно увеличивать количество папок и строить файловую структуру по нуждам компании.
Эти и другие настройки для наших клиентов мы осуществляем в рамках ИТ-аутсорсинга.
Обновлено:
Опубликовано:
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
Обновлено: 05.10.2020
Опубликовано: 2016 год или раньше
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
Настройка системы
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
Источник
Настройка файлового сервера Windows Server 2019
Часто при реализации структуры на базе Windows Server возникают задачи связанные с настройкой сервера для файлов и распределением прав на пользователейгруппы.
В нашем случае мы будем настраивать файловый сервер на Windows Server 2019.
Для того чтобы настроить файловый сервер на Windows Server 2019, требуется установить операционную систему на виртуальную или физическую машину. Активировать операционную систему и подключиться на сервер с правами администратора.
2. Установка роли файлового сервера.
Чтобы установить роль файлового сервера, требуется:
3. Настройка файлового сервера.
Убеждаемся в правильной настройки общей папки.
4. Проверка работоспособности файлового сервера.
Заходим на рабочую машину расположенную внутри локальной сеть. Подключаемся через проводник на сервер в нашем случае мы подключаемся к \10.15.73.38 так же можно вводить адрес сервера \domain.site.ru или по имени сервера \file-server После авторизации мы подключились на сервере и видим нашу общую папку:
Мы провели настройку файлового сервера, чтобы можно было пользоваться общими папками и распределять права на определенные файлы. В дальнейшем можно увеличивать количество папок и строить файловую структуру по нуждам компании.
Эти и другие настройки для наших клиентов мы осуществляем в рамках ИТ-аутсорсинга.
Источник
Развертывание кластеризованного файлового сервера с двумя узлами
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Отказоустойчивый кластер — это группа независимых компьютеров, совместная работа которых позволяет повысить доступность приложений и служб. Кластерные серверы (называемые «узлы») соединены физическими кабелями и программным обеспечением. При сбое на одном из узлов кластера его функции немедленно передаются другому узлу (этот процесс называется отработкой отказа). В службе можно столкнуться с минимальными нарушениями. сведения об использовании отказоустойчивого кластера в Azure Stack хЦи см. в статье создание кластера Azure Stack хЦи с помощью Windows центра администрирования.
В этом руководстве описаны шаги по установке и настройке отказоустойчивого кластера файлового сервера общего назначения с двумя узлами. создавая конфигурацию в этом руководство, вы можете изучить отказоустойчивые кластеры и ознакомиться с интерфейсом оснастки управления отказоустойчивыми кластерами в Windows Server 2019 или Windows Server 2016.
Общие сведения о кластере файлового сервера с двумя узлами
Серверы в отказоустойчивом кластере могут работать в различных ролях, включая роли файлового сервера, сервера Hyper-V или сервера базы данных, а также обеспечивают высокий уровень доступности для различных служб и приложений. В этом руководство описано, как настроить кластер файлового сервера с двумя узлами.
Отказоустойчивый кластер обычно включает в себя единицу хранения, которая физически подключена ко всем серверам в кластере, хотя каждый заданный том в хранилище доступен только одному серверу за раз. На следующей схеме показан отказоустойчивый кластер с двумя узлами, подключенный к единице хранения.
служба хранилища тома или номера логических устройств (lun), предоставляемые узлам в кластере, не должны предоставляться другим серверам, включая серверы в другом кластере. Это показано на схеме ниже.
Обратите внимание, что для обеспечения максимальной доступности любого сервера важно следовать рекомендациям по управлению сервером, например, тщательному управлению физической средой серверов, тестированию изменений программного обеспечения перед их полным внедрением и тщательно отслеживать обновления программного обеспечения и изменения конфигурации на всех кластеризованных серверах.
В следующем сценарии описано, как можно настроить отказоустойчивый кластер файлового сервера. Общие файлы находятся в хранилище кластера, а кластеризованный сервер может работать как файловый сервер, который их использует.
Общие папки в отказоустойчивом кластере
В следующем списке описаны функции конфигурации общих папок, интегрированные в отказоустойчивую кластеризацию.
Область отображения ограничена только кластеризованными общими папками (без смешивания с некластеризованными общими папками). когда пользователь просматривает общие папки, указывая путь к кластеризованному файловому серверу, на экран будут включены только общие папки, которые являются частью конкретной роли файлового сервера. Она будет исключать некластеризованные общие папки и использует часть отдельных ролей файлового сервера, которые находятся на узле кластера.
Перечисление на основе доступа. можно использовать перечисление на основе доступа, чтобы скрыть указанную папку от представления пользователей. Вместо того чтобы разрешить пользователям просматривать папку, но не обращаться к ней, можно запретить им просматривать папку. Перечисление на основе доступа для кластеризованной общей папки можно настроить так же, как и для некластеризованной общей папки.
Автономный доступ. можно настроить автономный доступ (кэширование) для кластеризованной общей папки таким же образом, как и для некластеризованной общей папки.
кластерные диски всегда распознаются как часть кластера: независимо от того, используется ли интерфейс отказоустойчивого кластера, обозреватель Windows Explorer или оснастка управления общими папками и служба хранилища, Windows распознает, назначен ли диск в хранилище кластера. Если такой диск уже был настроен в оснастке управления отказоустойчивыми кластерами как часть кластеризованного файлового сервера, можно использовать любой из упомянутых выше интерфейсов для создания общего ресурса на диске. Если такой диск не был настроен как часть кластеризованного файлового сервера, создать на нем общую папку по ошибке невозможно. Вместо этого для предоставления общего доступа необходимо сначала настроить диск в составе кластеризованного файлового сервера.
интеграция служб для сетевой файловой системы. роль файлового сервера в Windows Server включает в себя дополнительную службу ролей под названием службы для nfs. установив службу роли и настроив общие папки службами для NFS, можно создать кластеризованный файловый сервер, поддерживающий клиенты на основе UNIX.
Требования к отказоустойчивому кластеру с двумя узлами
для отказоустойчивого кластера в Windows Server 2016 или Windows Server 2019, который считается официально поддерживаемым решением корпорации майкрософт, решение должно удовлетворять следующим критериям.
Полностью настроенное решение (серверы, сеть и хранилище) должно пройти все тесты в мастере проверки, который является частью оснастки отказоустойчивого кластера.
Для отказоустойчивого кластера с двумя узлами необходимо следующее:
Серверы: Рекомендуется использовать совпадающие компьютеры с одинаковыми или аналогичными компонентами. серверы для отказоустойчивого кластера с двумя узлами должны работать под управлением одной и той же версии Windows Server. Они также должны иметь одинаковые обновления программного обеспечения (исправления).
Сетевые адаптеры и кабель: сетевое оборудование, как и другие компоненты в решении отказоустойчивого кластера, должно быть совместимо с Windows Server 2016 или Windows Server 2019. При использовании iSCSI сетевые адаптеры должны быть выделены для сетевого взаимодействия или iSCSI, а не для обоих. Избегайте единственных точек отказа в сетевой инфраструктуре, соединяющей узлы кластера. Это достигается несколькими способами. Вы можете подключать узлы кластера к разным сетям. Можно также соединить узлы кластера в одну сеть, основанную на сгруппированных сетевых адаптерах, дублированных коммутаторах и маршрутизаторах и аналогичном оборудовании, исключающем появление единственных точек отказа.
Если узлы кластера подключены к одной сети, сеть будет передавать требование избыточности в мастере проверки конфигурации. Однако в отчет будет включено предупреждение о том, что сеть не должна иметь единой точки отказа.
Контроллеры устройств или соответствующие адаптеры для хранилища:
служба хранилища: необходимо использовать общее хранилище, сертифицированное для Windows Server 2016 или Windows Server 2019.
Для отказоустойчивого кластера с двумя узлами хранилище должно содержать по крайней мере два отдельных тома (LUN), если для кворума используется диск-свидетель. Диск-свидетель — это диск в хранилище кластера, предназначенный для хранения копии базы данных конфигурации кластера. Для этого примера кластера с двумя узлами в качестве конфигурации кворума будет использоваться большинство узлов и дисков. Большинство узлов и дисков означает, что узлы и диск-свидетель содержат копии конфигурации кластера, и кластер имеет кворум, если большинство из них (два из трех) этих копий доступны. Другой том (LUN) будет содержать файлы, общие для пользователей.
К хранилищу предъявляются следующие требования.
Развертывание сетей хранения данных с отказоустойчивыми кластерами
При развертывании сети хранения данных (SAN) с отказоустойчивым кластером следует соблюдать следующие рекомендации.
Подтвердите сертификацию хранилища: с помощью сайта каталога Windows Server убедитесь, что хранилище поставщика, включая драйверы, встроенное по и программное обеспечение, сертифицировано для Windows Server 2016 или Windows Server 2019.
Изоляция устройств хранения данных, один кластер на устройство: Серверы из разных кластеров не должны иметь доступ к одним и тем же устройствам хранения. В большинстве случаев LUN, используемый для одного набора серверов кластера, должен быть изолирован от всех других серверов через маскирование или зонирование LUN.
Рассмотрите возможность использования программного обеспечения Multipath I/O: В структуре хранилища высокой доступности можно развертывать отказоустойчивые кластеры с несколькими адаптерами шины с помощью программного обеспечения Multipath I/O. Это обеспечивает максимальный уровень резервирования и доступности. Многопутевое решение должно основываться на Microsoft Multipath I/O (MPIO). поставщик оборудования хранилища может предоставить аппаратный модуль MPIO (DSM) для вашего оборудования, хотя Windows Server 2016 и Windows Server 2019 включают один или несколько dsm в составе операционной системы.
Требования к сетевой инфраструктуре и учетным записям домена
Вам потребуется следующая сетевая инфраструктура для отказоустойчивого кластера с двумя узлами и учетной записи администратора со следующими разрешениями домена:
Сетевые параметры и IP-адреса: при использовании одинаковых сетевых адаптеров для сети также используйте одинаковые параметры связи на этих адаптерах (например, скорость, дуплексный режим, Flow управления и тип носителя). Кроме того, сравните параметры на сетевом адаптере и коммутаторе, к которому он подключается, и убедитесь в том, что они не конфликтуют.
Если есть частные сети, которые не маршрутизируются в остальную часть сетевой инфраструктуры, убедитесь, что для каждой из этих частных сетей используется уникальная подсеть. Это необходимо даже в том случае, если каждому сетевому адаптеру присвоен уникальный IP-адрес. Например, если в центральном офисе есть узел кластера, использующий одну физическую сеть, а в филиале есть другой узел, использующий отдельную физическую сеть, не указывайте адрес 10.0.0.0/24 для обеих сетей, даже если каждому адаптеру присвоен уникальный IP-адрес.
Дополнительные сведения о сетевых адаптерах см. в разделе Требования к оборудованию для отказоустойчивого кластера с двумя узлами выше в этом разделе.
DNS: Для разрешения имен серверы в кластере должны использовать систему доменных имен (DNS). Можно использовать протокол динамического обновления DNS.
Роль домена: Все серверы в кластере должны находиться в одном домене Active Directory. Мы рекомендуем, чтобы все кластерные серверы имели одинаковую роль домена (рядовой сервер или контроллер домена). Рекомендованная роль — рядовой сервер.
Контроллер домена: Рекомендуется, чтобы кластерные серверы были рядовыми серверами. Если это так, вам потребуется дополнительный сервер, который выступает в качестве контроллера домена в домене, содержащем отказоустойчивый кластер.
Клиенты: По мере необходимости для тестирования можно подключить один или несколько сетевых клиентов к создаваемому отказоустойчивому кластеру и наблюдать за последствиями на клиенте при перемещении или отработке отказа кластеризованного файлового сервера с одного узла кластера на другой.
Учетная запись для администрирования кластера: При первом создании кластера или добавлении в него серверов необходимо войти в домен с учетной записью, обладающей правами администратора и разрешениями на всех серверах в этом кластере. Она не обязательно должна входить в группу «Администраторы домена». Например, это может быть учетная запись пользователя домена, входящая в группу «Администраторы» на каждом кластерном сервере. Кроме того, если учетная запись не является учетной записью администраторов домена, то учетной записи (или группе, в которую входит эта учетная запись) необходимо предоставить разрешения Создание объектов компьютеров и чтение всех свойств в подразделении домена, которое будет размещаться в.
Действия по установке кластера файловых серверов с двумя узлами
Чтобы установить отказоустойчивый кластер файлового сервера с двумя узлами, необходимо выполнить следующие действия.
шаг 1. Подключение серверов кластеров в сети и хранилище
Шаг 2. Установка компонента отказоустойчивого кластера
Шаг 3. Проверка конфигурации кластера
Шаг 4. Создание кластера
Если вы уже установили узлы кластера и хотите настроить отказоустойчивый кластер файлового сервера, см. раздел действия по настройке кластера файлового сервера с двумя узлами далее в этом руководстве.
шаг 1. Подключение серверов кластеров в сети и хранилище
Для сети отказоустойчивого кластера Избегайте наличия единой точки отказа. Это достигается несколькими способами. Вы можете подключать узлы кластера к разным сетям. Кроме того, можно подключить узлы кластера к одной сети, созданной с помощью групповых сетевых адаптеров, избыточных коммутаторов, избыточных маршрутизаторов или аналогичного оборудования, которое удаляет единые точки отказа (если используется сеть для iSCSI, необходимо создать эту сеть в дополнение к другим сетям).
Для кластера файловых серверов с двумя узлами при подключении серверов к хранилищу кластера необходимо предоставить по крайней мере два тома (LUN). При тщательном тестировании конфигурации можно предоставить дополнительные тома. Не предоставляйте кластеризованные тома серверам, которые не находятся в кластере.
Подключение серверов кластера к сетям и хранилищу
Ознакомьтесь с подробными сведениями о сетях в разделе Требования к оборудованию для отказоустойчивого кластера с двумя узлами, а также требований к учетной записи домена для отказоустойчивого кластера с двумя узлами, ранее в этом разделе.
Подключите и настройте сети, которые будут использовать серверы в кластере.
Если конфигурация теста включает клиенты или некластеризованный контроллер домена, убедитесь, что эти компьютеры могут подключаться к кластеризованным серверам по крайней мере с одной сетью.
Чтобы физически подключить серверы к хранилищу, следуйте инструкциям изготовителя.
Убедитесь в том, что диски (LUN), которые вы хотите использовать в кластере, доступны кластерным серверам (и только им). Для предоставления дисков или LUN можно использовать любой из следующих интерфейсов:
интерфейс, предоставленный изготовителем хранилища;
Если вы используете iSCSI, соответствующий интерфейс iSCSI.
если вы приобрели программное обеспечение, которое управляет форматом или функцией диска, следуйте инструкциям от поставщика о том, как использовать это программное обеспечение с Windows Server.
На одном из серверов, которые необходимо включить в кластер, нажмите кнопку Пуск, выберите пункт Администрирование, затем — Управление компьютером и Управление дисками. (При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.) В окне «Управление дисками» убедитесь, что диски кластера видимы.
Если требуется объем хранилища более 2 терабайт, а для управления форматом диска используется интерфейс Windows, преобразуйте тип разделов диска в таблицу разделов GPT. Для этого создайте резервную копию данных на диске, удалите все тома на диске, а затем в разделе «Управление дисками» щелкните правой кнопкой мыши диск (не раздел) и выберите команду Преобразовать в диск GPT. Если объем меньше 2 терабайт, то вместо таблицы разделов GPT можно использовать тип разделов, называемый основной загрузочной записью (MBR).
Проверьте форматы всех предоставленных томов или LUN. Рекомендуется использовать NTFS в качестве формата (для диска-свидетеля требуется NTFS).
Шаг 2. Установка роли файлового сервера и компонента отказоустойчивого кластера
На этом шаге будет установлена роль файлового сервера и компонент отказоустойчивого кластера. оба сервера должны работать под управлением Windows Server 2016 или Windows Server 2019.
Использование диспетчер сервера
Откройте Диспетчер сервера и в раскрывающемся списке Управление выберите Добавить роли и компоненты.
Для типа установкивыберите Установка на основе ролей или компонентов и Далее.
Для роли сервера в списке ролей откройте Файловые службы, выберите файловый сервери Далее.
Для функций в списке компонентов выберите отказоустойчивая кластеризация. Всплывающее диалоговое окно содержит список средств администрирования, которые также устанавливаются. Не заключайте все выбранные элементы, выберите Добавить компоненты и Далее.
На странице Подтверждение щелкните Установить.
После завершения установки перезагрузите компьютер.
Повторите эти действия на втором компьютере.
Использование PowerShell
откройте сеанс администрирования PowerShell, щелкнув правой кнопкой мыши кнопку пуск и выбрав Windows PowerShell (администратор).
Чтобы установить роль файлового сервера, выполните команду:
Чтобы установить компонент отказоустойчивой кластеризации и его средства управления, выполните команду:
После завершения установки их можно проверить с помощью команд:
Убедившись, что они установлены, перезапустите компьютер с помощью команды:
Повторите эти действия на втором сервере.
Шаг 3. Проверка конфигурации кластера
Перед созданием кластера настоятельно рекомендуется проверить конфигурацию. Проверка позволяет убедиться, что конфигурация серверов, сети и хранилища соответствует набору конкретных требований для отказоустойчивых кластеров.
Использование диспетчера отказоустойчивого кластера.
В Диспетчер серверавыберите раскрывающийся список сервис и выберите Диспетчер отказоустойчивости кластеров.
В Диспетчер отказоустойчивости кластеровперейдите к среднему столбцу в разделе Управление и выберите проверить конфигурацию.
В окне » Параметры тестирования » выберите выполнить все тесты (рекомендуется)и Далее.
На странице Подтверждение появится список всех тестов, которые будут проверяться. Нажмите кнопку Далее, после чего начнется тестирование.
На странице Сводка щелкните пункт Просмотреть отчет, чтобы просмотреть результаты тестов. Внесите необходимые изменения в конфигурацию и повторно запустите тесты.
Просмотр результатов тестов после закрытия мастера см. в разделе Системрутклустеррепортсвалидатион Report Date and time.html.
Чтобы просмотреть разделы справки о проверке кластера после закрытия мастера, в разделе Управление отказоустойчивым кластером нажмите кнопку Справка, щелкните разделы справки, перейдите на вкладку содержимое, разверните содержимое для справки по отказоустойчивому кластеру и щелкните Проверка конфигурации отказоустойчивого кластера.
Использование PowerShell
откройте сеанс администрирования PowerShell, щелкнув правой кнопкой мыши кнопку пуск и выбрав Windows PowerShell (администратор).
Чтобы проверить компьютеры (например, имена компьютеров NODE1 и NODE2) для отказоустойчивой кластеризации, выполните команду:
Чтобы просмотреть результаты тестов после закрытия мастера, ознакомьтесь с указанным файлом (в Системрутклустеррепортс), внесите необходимые изменения в конфигурацию и повторно запустите тесты.
Шаг 4. Создание кластера
Следующий пример приведет к созданию кластера из компьютеров и конфигурации.
Использование диспетчера отказоустойчивого кластера.
В Диспетчер серверавыберите раскрывающийся список сервис и выберите Диспетчер отказоустойчивости кластеров.
В Диспетчер отказоустойчивости кластеровперейдите к среднему столбцу в разделе Управление и выберите создать кластер.
В точке доступа для администрирования окна кластера введите имя кластера, который будет использоваться. Обратите внимание, что это не имя, которое будет использоваться для подключения к общим файловым ресурсам с помощью. Это предназначено для простого администрирования кластера.
Если используются статические IP-адреса, необходимо выбрать сеть для использования и ввести IP-адрес, который будет использоваться для имени кластера. Если для IP-адресов используется DHCP, IP-адрес будет настроен автоматически.
Нажмите кнопку Далее.
На странице Сводка будет предоставлена созданная конфигурация. Можно выбрать пункт Просмотреть отчет, чтобы просмотреть отчет о создании.
Использование PowerShell
откройте сеанс администрирования PowerShell, щелкнув правой кнопкой мыши кнопку пуск и выбрав Windows PowerShell (администратор).
Выполните следующую команду, чтобы создать кластер, если используются статические IP-адреса. Например, имена компьютеров — NODE1 и NODE2, имя кластера будет КЛАСТЕРом, а IP-адрес будет 1.1.1.1.
Выполните следующую команду, чтобы создать кластер, если для IP-адресов используется DHCP. Например, имена компьютеров — NODE1 и NODE2, а имя кластера будет КЛАСТЕРом.
Действия по настройке отказоустойчивого кластера файлового сервера
Чтобы настроить отказоустойчивый кластер файлового сервера, выполните следующие действия.
В Диспетчер серверавыберите раскрывающийся список сервис и выберите Диспетчер отказоустойчивости кластеров.
Когда диспетчер отказоустойчивости кластеров откроется, он автоматически отобразит имя созданного кластера. если это не так, перейдите к среднему столбцу в разделе » управление » и выберите Подключение кластеру. Введите имя созданного кластера и нажмите кнопку ОК.
В дереве консоли щелкните > знак «» рядом с созданным кластером, чтобы развернуть элементы, расположенные под ним.
Щелкните правой кнопкой мыши роли и выберите пункт настроить роль.
В списке ролей выберите файловый сервер и Далее.
Для типа файлового сервера выберите файловый сервер для общего использования и Далее.
Сведения о Scale-Out файлового сервера см. в разделе Общие сведения о Масштабируемый файловый сервер.
В окне точка доступа клиента введите имя файлового сервера, который будет использоваться. Обратите внимание, что это не имя кластера. Это для подключения к общей папке. Например, если я хочу подключиться к путь SERVER, выводимое имя будет «SERVER».
Если используются статические IP-адреса, необходимо выбрать сеть для использования и ввести IP-адрес, который будет использоваться для имени кластера. Если для IP-адресов используется DHCP, IP-адрес будет настроен автоматически.
Нажмите кнопку Далее.
в окне выбор служба хранилища выберите дополнительный диск (а не следящий сервер), в котором будут храниться общие папки, и нажмите кнопку далее.
На странице Подтверждение Проверьте конфигурацию и нажмите кнопку Далее.
На странице Сводка будет предоставлена созданная конфигурация. Можно выбрать пункт Просмотреть отчет, чтобы просмотреть отчет о создании роли файлового сервера.
Если роль не добавляется или не запускается должным образом, CNO (объект имени кластера) может не иметь разрешения на создание объектов в Active Directory. Роли файлового сервера требуется объект компьютера с таким же именем, как и точка доступа клиента, предоставленная на шаге 8.
В разделе роли в дереве консоли вы увидите созданную роль с именем, которое вы создали в списке. Выделив его, на панели действия справа выберите Добавить общую папку.
Запустите мастер общих ресурсов, выполнив следующие действия:
На странице результаты выберите Закрыть, если она создала общую папку. Если не удалось создать общую папку, будут выдаваться все возникшие ошибки.
Нажмите кнопку Закрыть.
Повторите эту процедуру для всех дополнительных общих папок.
Источник
Файловый сервер – что это? При разговоре многие IT специалисты отвечают очень просто: “шара” она и в Африке “шара”. Задаешь следующий вопрос, как ты считаешь у файлового сервера может быть логика функционирования? И в ответ получаешь, что-то подобное ответу на первый вопрос. Ну и в заключении просишь показать скриншот рабочего файлового сервера компании со стороны обычного пользователя, результат обычно такой…
И еще пару-тройку десяток папок своих и не своих, которые видит пользователь.
А как ты предоставляешь доступ пользователю?
Захожу на файловый сервер, открываю свойства конкретной папки далее вкладка Security и добавляю требуемые разрешения конкретному пользователю.
А ты слышал, что в Active Directory есть группы?
Да конечно, но я так привык делать.
А если тебе придётся администрировать файловый сервер к примеру на одну тыс. человек, как ты считаешь твоя модель будет эффективной?
Ответ зависит от креативности конкретной личности)))
Недавно мне попался такой файловый сервер который нужно было оптимизировать и продумать новую логику работы с учетом роста компании.
Какие проблемы будут решены после оптимизации файлового сервера:
1) Зайдя на файловый сервер человек будет видеть только “свои” папки.
2) Доступ к папкам будет предоставляться через ролевые группы на базе групп Active Directory.
При таком подходе предоставление доступа к ресурсу осуществляется лишь добавлением определенного пользователя в требуемую группу через оснастку Active Directory Administrative Center.
Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн.:
Ролевая группа определяет набор компьютеров или пользователей, ориентируясь на их общие черты с точки зрения бизнеса. Это помогает установить, кем является данный пользователь или компьютер
В книге очень подробно описано как грамотно организовать файловый север. Советую.
3) Файловый сервер будет работать на базе технологии Distributed File System.
4) Будет активирована технология Data Deduplication.
К примеру в моем случаи Deduplication rate (при дефолтовых настройках) составляет 43%:
Устанавливаем роли:
Создаем папку самого верхнего уровня:
Когда создаем папку или папки верхнего уровня лучше избежать русских букв в названии и пробелов. Если этим пренебречь, то к примеру некоторые Linux клиенты могу при монтирование этой папки испытывать дополнительные проблемы.
Далее заходим в свойства этой папки на вкладку Security –> Advanced и выключаем наследование прав:
Далее приводим группы в такое соответствие:
Если группе Domain Users не сделать This folder Only, то технология ABE не отработает. Плюс мы выключи наследование прав.
Далее открываем Server Manager переходим:
Выбираем нашу папку верхнего уровня:
На следующем шаге включаем технологию ABE:
Permissions мы уже указали. Management Properties и Quota мы конфигурировать так же не будем.
В конечном итоге доходим до конца мастера и нажимаем Create и получаем такие результаты:
На этом этапе стоит пояснить одну фундаментальную вещь.
Цитата из блога Vadims Podans (ссылка на статью):
Как известно, при доступе к общим ресурсам (сетевым папкам) мы различаем 2 типа прав:
Share Permissions
NTFS RightsОба типа прав влияют на результирующие (эффективные) права пользователя при доступе к сетевому ресурсу. В общем смысле эффективные права будут являть собой наиболее ограничивающее разрешение из обоих типов прав. Например, на ресурс установлено право Share Permissions = Read, а NTFS = Full Control, то исходя из наиболее ограничивающего разрешения эффективным будет Read. Если Share Permissions = FullControl, а NTFS = Modify, то эффективным правом для пользователя будет Modify. Вот такая несложная схема. Т.е. там, где прав меньше, те и будут ваши Как известно, эта проблема редко кого касается, т.к. обычно на уровне Share Permissions выдают FullControl на ресурс и дальше уже права регулируют за счёт NTFS
Теперь запускаем DFS Management и создадим New NameSpace…:
Практически всегда ваш файловый сервер должен “жить” в пространстве DFS. При таком подходе доступ к файловому серверу или серверам осуществляется через единый NameSpace в нашем случае \Contoso.comFileServer
Запускаем мастер вводим Name, далее Edit Settings и выбираем нашу первую папку в иерархии:
Далее кнопка Customize и поправим права иначе мастер нам их сбросит:
Нажимаем Next и получаем предупреждение:
Так как для папки мы уже заранее все настроили отвечаем на вопрос — Yes.
На следующем шаге оставляем все как есть:
Конечный результат:
Теперь на клиенте можно создавать такие ярлыки (удобно это делать через групповую политику):
Теперь если мы захотим добавить к нашему файловому серверу еще один сервер и начнем уже там размещать новые данные, то конечный пользователь даже не поймет, что был добавлен второй файловый сервер:
Папка “Кадровая служба” физически располагается на втором файловом сервере, но путь ко всем папкам один \Contoso.comFileServer:
Как это реализовать в этой заметке рассказано не будет.
Если на данном этапе реализации файлового сервера взять обычного пользователя и попытаться открыть наш файл сервер, то никаких файлов и папок мы не увидим, хотя они там есть:
Отрабатывает технология Access-based enumeration:
Скрин со стороны сервера:
Нашему тестовому вновь созданному пользователю не предоставлено по умолчанию никаких прав, а мы помним если задействована технология ABE и пользователь не имеет хотя бы права Read на файл или папку то ему этот файл или папка не видны.
Пришло время создать ролевые группы, вначале этой заметке я уже приводил цитату из книги, но хочу добавить еще одну:
Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн:
Ролевые группы определяют набор компьютеров или пользователей на основе сходства, которым обладают объекты в бизнесе, их территориального размещения, подразделений, функций, трудового стажа или статуса, команд, проектов или любых других связанных с бизнесом характеристик
Я создал типичную структуру отделов-подразделений компании (предыдущий скриншот).
На основании этой структуры мы создадим первые ролевые группы (отмечены стрелочками):
Так как в AD DS я никогда не использую русский язык кроме поля Description в названиях групп мы используем английские аналоги, но для удобства в поле Description можно вписать русское название.
Имя_Группы к примеру Accounting (ролевая группа) – глобальная группа в этот тип групп у нас входят пользователи.
Группа Accounting входит в состав (Member Of) группы ACL_Accounting_FC или RW или RO
Еще раз:
User –> Accounting –> ACL_Accounting_RO (Read Only) –> Папка Бухгалтерии
User –> Accounting –> ACL_Accounting_RW (Read and Write) –> Папка Бухгалтерии
User –> Accounting –> ACL_Accounting_FC (Full Control) –> Папка Бухгалтерии
ACL_Имя_Группы_FC или RW или RO — это доменно локальная группа которая регулируют уровень доступа к файлам и папкам.
Теперь раздаем разрешения:
ACL_Accounting_RO – доменно локальная группа. NTFS разрешения на папку или файл Read Only
Доменно локальная группа это:
ACL_Accounting_RW — доменно локальная группа. NTFS разрешения на папку или файл Read and Write
ACL_Accounting_FC — доменно локальная группа. NTFS разрешения на папку или файл Full Control
Кто задается вопрос о модели вложенности групп в Active Directory статья Дмитрия Буланова
Сценарий 1:
Предоставить право на чтение и запись в папку Бухгалтерия пользователю User2.
”Вложить” пользователя User2 в группу ACL_Accounting_RW — это решит поставленную задачу, но противоречит нашей логике ролевого доступа.
“Вложить” пользователя User2 в ролевую группу Accounting, в свою очередь группа Accounting должна входить в группу доступа ACL_Accounting_RW – это решит поставленную задачу, но при таком подходе встает вопрос, а если части сотрудников отдела Бухгалтерия нужно дать доступ типа Read Only или Full Control на папку Бухгалтерия? В какую ролевую группу мы должны включить этого сотрудника?
Создаем ролевую группу Accounting_RO в которую будет входить наш пользователь, а сама группа будет входит в группу доступа ACL_Accounting_RO
Можно сразу пойти по такому пути и создавать группы по такой логике:
Accounting_FC —> ACL_Accounting_FC
Accounting_RW —> ACL_Accounting_RW
Accounting_RO —> ACL_Accounting_RO
Такой подход требует больших первоначальных трудозатрат, но когда дело касается практики он себя оправдает.
Вернемся к нашему вопросу:
Предоставить права на чтение и запись в папку Бухгалтерия пользователю User2.
Решение:
Ответственный инженер добавит пользователя User2 в ролевую группу Accounting_RW.
Результат:
В итоге пользователь видит только свою папку. Так же в корневой папке он не имеет никаких прав:
Идем в папку бухгалтерия и видим, что уже в папке бухгалтерия пользователь User2 имеет права Read and Write:
Сценарий 2:
Предоставить права Read Only в папку Бухгалтерия пользователю User3.
Решение:
Ответственный инженер добавит пользователя User3 в ролевую группу Accounting_RO
Так же как и User2, User3 увидит на файловом сервере только папку Бухгалтерия, но уже записать и удалить какие либо файлы не сможет:
Сценарий 3:
Предоставить права Read and Write в папку Бухгалтерия для User7 , но при увольнении User7 захочет удалить все файлы из папки Бухгалтерия.
Решение:
Ответственный инженер добавит пользователя User7 в ролевую группу Accounting_RW.
По легенде в папку бухгалтерия складывают свою данные еще четыре бухгалтера – это User2,4,5,6, но User7 при увольнении решил удалить все бухгалтерские документы, к счастью удаление файлов у которых пользователь не является владельцем удалить нельзя.
Но если у пользователя права Full Control, то в конечной папке он может делать все что ему вздумается.
Сценарий 4:
В папке Бухгалтерия должна быть создана подпапка Документы_Клиент_Банк. Этa папка будет использовать ответственными сотрудниками для хранения документов экспортируемые из клиент банков. Эту папку должны видеть только ответственные сотрудники.
Решение:
Первым делом выключаем наследовании этой подпапки Документы_Клиент_Банк:
Удаляем все унаследованные группы кроме:
Итог, на файловом сервере папка есть, но пользователь с правами которая предоставляет ролевая группа Accounting_RW или Accounting_FC или Accounting_RO ее не видит:
Дальше создаем ролевую группу к примеру ClientBank_RW (глобальаня) –> ALC_ClientBank_RW (доменно локальная) и назначаем разрешения:
Но так как папка Документы клиент банк вложена в папку Бухгалтерия и если просто добавить пользователя в группу ClientBank_RW, то пользователь увидит такую картину:
Почему? У пользователя нет никаких прав на папку верхнего уровня Бухгалтерия.
К примеру если он взаимодействует только с папкой Документы клиент банк то ему достаточно будет дать права Accounting_RO и ClientBank_RW после этого он сможет без проблем добраться до папки Документы клиент банк.
И в заключении включаем Data Dedeuplication:
Подведем итоги:
Мы создали файл сервер с ролевым типом доступа. Каждый пользователь файлового сервера видит только свои папки. Наш файловый сервер “живет” в пространстве DFS, что позволяет в будущем при необходимости масштабировать. Задействовали технологию Data Deduplication.
Соблюли вложенность групп в AD DS.
Будет интересно узнать о ваших мыслях о правильных, на ваш взгляд, практиках развёртывания и настройки файлового сервера на базе Windows Server.
Время на прочтение
10 мин
Количество просмотров 32K
Эпоха флешек давно канула в Лету. Что, впрочем, неудивительно: незаменимый инструмент для переноса файлов в кармане утратил свою актуальность с появлением облачных сервисов — доступных везде, где есть интернет, причем практически с любого устройства. Однако в этой бочке меда не обошлось без маленькой ложки дегтя. Во-первых, бесплатные тарифы у большинства вендоров накладывают строгие ограничения на объем облачного хранилища и количество устройств, на которые можно установить приложение для синхронизации. Во-вторых, используя публичные облачные сервисы, вы доверяете свои файлы сторонней компании и никак не можете повлиять на их безопасность. В-третьих, подобные хранилища не слишком удобны для командной работы, которая весьма актуальна в период мировой короновирусной
истерии
пандемии. Выход? Можно смириться, а можно организовать сетевое файловое хранилище самостоятельно! Один из примеров решения этой задачи мы сейчас и рассмотрим.
Зачем, Холмс?
Как и большинство простых юзеров, я попробовал в действии самые популярные сетевые хранилища, чтобы на практике оценить их достоинства и недостатки. Dropbox невыразимо прекрасен всем, кроме ограничений на объем бесплатного дискового пространства, которое я довольно быстро забил рабочими материалами под завязку, и малого количества доступных для установки приложения устройств на халявном тарифе. Девайсов у меня много, потому в целях автоматической синхронизации файлов приходилось регулярно отключать и заново регистрировать их в приложении, что довольно хлопотно.
«Яндекс.Диск» может похвастаться значительным объемом дискового пространства (особенно, если хранить файлы в облаке и сохранять локально только то, что нужно в данный момент), но их клиент — это просто какой-то тормозной, неудобный и неповоротливый монстр. С клиентом «гуглодрайва» мне тоже подружиться не удалось: и неудобный, и сортировкой файлов там наблюдаются какие-то странности — такое ощущение, что софтина валит все в кучу, при этом даже выполненная вручную сортировка регулярно сбивается. В то же время, файлообменник нужен мне постоянно, на разных устройствах и желательно, чтобы на них не приходилось устанавливать какие-то сторонние приложения. В идеале было бы подключить такую шару обычным сетевым диском и пользоваться по мере необходимости на разных машинах, как виртуальной флешкой.
Безусловно, за $9.99 в месяц можно купить 2 терабайта в облаке у Dropbox, но там нет возможности многопользовательской работы. При нынешнем курсе доллара аренда виртуального сервера с дисковым объемом 40 Гб, но без ограничений на количество подключений, выйдет примерно в ту же сумму, а если выбрать конфигурацию попроще с одним ядром — то даже дешевле. Определенная часть этого дискового пространства будет занята операционной системой, но для хранения файлов останется минимум 20 Гбайт, чего для моих целей вполне достаточно.
При этом файловое хранилище на VPS имеет целый ряд других неоспоримых преимуществ:
- можно публиковать веб-сайты прямо из общей папки;
- можно организовать доступ к нему с использованием SFTP;
- можно настроить торрент-клиент для загрузки и выгрузки контента;
- в том же контейнере можно смонтировать сервер NFS или SMB для использования VPN.
В общем, немного поразмыслив, я решил настроить File Storage на виртуальном сервере от RuVDS — этот провайдер использует в своей инфраструктуре преимущественно Windows Server, что намекает на относительную простоту организации удаленного хранилища (ха-ха!). Тем более, на моих устройствах (за исключением, разумеется, мобильных) установлена винда и macOS, поэтому серьезных проблем с подключением к удаленному серверу возникнуть уж точно не должно, подумал я (ха-ха два раза).
Матчасть
Virtual Private Server (VPS) чаще всего покупают для хостинга сайтов, но в отличие от обычного хостинга, он позволяет изолированно запускать несколько приложений в одном и том же контейнере. В целом, VPS вполне можно использовать для организации личного файлового хранилища, поскольку:
- средства виртуализации VPS обеспечивают достаточный уровень безопасности, в связи с чем такое хранилище можно считать относительно надежным;
- как правило, провайдер самостоятельно организует резервное копирование собственных контейнеров, либо предоставляет средства автоматизации этого процесса, поэтому о бекапах можно особенно не беспокоиться;
- виртуальный сервер более дешев по сравнению с выделенным сервером при схожем уровне безопасности и в целом подходит для выбранной цели.
Для реализации своей задумки я выбрал виртуальный сервер в следующей конфигурации:
- Windows Server 2019
- 2 ядра (Intel Xeon);
- 2 Гб RAM;
- 40Гб HDD.
Этого вполне достаточно, чтобы использовать наш VPS в качестве удаленного файлового хранилища. После создания сервер сразу же станет доступен нам по RDP — к нему можно подключиться либо с помощью клиента удаленного Рабочего стола, либо непосредственно в браузере из Панели управления RuVDS. Необходимые для подключения данные будут дополнительно отправлены по электронной почте, так что не потеряются. Что ж, приступим к самому интересному — настройке сервера.
Настройка сервера
При первом входе на сервер с учетной записью Администратора мы увидим на экране окно Диспетчера серверов, в котором можно настроить машину, щелкнув мышью на надписи «Добавить роли и компоненты».
В окне Мастера добавления ролей и компонентов нажимаем «Далее», затем, выбрав вариант «Установка ролей и компонентов», снова жмем «Далее». Выбираем в списке наш сервер (собственно, он и будет там представлен в единственном экземпляре), и очередным нажатием на кнопку «Далее» переходим к настройке ролей.
Нас интересует раздел «Файловые службы и службы хранилища». Эта роль установлена на сервере по умолчанию. Установите флажок «Файловые службы и службы SCSI и разверните расположенный под ним список. Здесь следует дополнительно установить следующие флажки:
- Файловый сервер;
- Рабочие папки;
- Диспетчер ресурсов файлового сервера (в открывшемся окне нажмите «Добавить компоненты»).
Теперь дважды нажмем «Далее» и завершим настройку ролей сервера щелчком мыши на кнопке «Установить».
Создание нового раздела
Если мы просто создадим общую папку на диске С:, у нас не получится организовать для нее доступ на запись. Винда небезосновательно считает этот диск загрузочным томом и не позволяет писать в расположенные на нем папки по сети. Поэтому мы сможем увидеть такую папку на удаленной машине и даже открыть ее, но при попытке создать или сохранить в ней файл даже с правами администратора мы получим сообщение об ошибке «Вам необходимо разрешение на выполнение этой операции».
А при попытке раздать для этой папки дополнительные права на полный доступ получим ошибку применения параметров безопасности для загрузочного диска.
Я решил эту проблему, создав отдельный логический том, отличный от того, на котором установлена Windows — там мы сможем развлекаться, как нашей душе угодно. Для этого:
- В окне Диспетчера серверов откройте расположенное в верхней части меню «Средстива», а в нем — «Управление компьютером».
- В открывшемся окне выберите в левой панели оснастку «Управление дисками». Вы увидите единственный диск, на котором расположена операционная система.
- Щелкните на диске правой клавишей мыши и выберите «Сжать том». При общем объеме диска в 40 Гбайт в поле «Размер сжимаемого пространства, Мб» я прописал значение 25 000, посчитав, что для работы винде хватит 15 Гбайт дискового пространства.
- Щелкните мышью на кнопке «Сжать», и дожидитесь, пока Windows освободит место на диске.
После того как в Диспетчере дисков появится неразмеченное свободное пространство, необходимо проделать следующие шаги:
- Щелкните правой клавишей мыши в нераспределенной области, и в контекстном меню выберите пункт «Создать простой том»;
- В окне «Мастера создания простого тома» нажмите «Далее», убедитесь, что размер тома соответствует объему неразмеченной области, снова нажмите «Далее».
- Введите букву диска (по умолчанию «D:») и опять нажмите «Далее».
- Выберите в качестве файловой системы NTFS, размер кластера — «по умолчанию», установите флажок «Быстрое форматирование». Остальные параметры можно оставить без изменений. Нажмите «Далее». Затем щелкните мышью на кнопке «Готово».
Если теперь мы откроем Проводник, то увидим, что в системе появился новый диск D:.
Создаем шару
В Проводнике на удаленном сервере создадим новую папку на только что подготовленном нами диске и назовем ее, например, «Share». Снова откроем окно Диспетчера серверов. В левой панели расположена надпись «Файловые службы и службы хранилища». Щелкнем на ней мышью, чтобы перейти к настройкам.
Откроется одноименное окно, в котором демонстрируются следующие оснастки:
- Серверы — содержит список серверов (в нашем случае один) и журнал событий;
- Тома — данные о логических томах, общих ресурсах, сведения о диске;
- Диски — данные о зарегистрированных в системе дисковых накопителях;
- Пулы носителей — список доступных пулов хранения, по умолчанию — пустой;
- Общие ресурсы — сведения обо всех настроенных на сервере общих ресурсах (шарах);
- iSCSI — сведения о виртуальных дисках iSCSI;
- Рабочие папки — данные о настроенных на сервере синхронизируемых Рабочих папках.
Перейдем в раздел «Общие ресурсы», и в расположенном сверху меню «Задачи» выберем пункт «Новый общий ресурс».
Запустится «Мастер создания общих ресурсов». В первую очередь нужно выбрать из списка подходящий профиль общей папки. Нам подойдет вариант «Общий ресурс SMB – быстрый профиль», поскольку он позволяет предоставлять доступ к файлам на компьютерах с Windows и не требует настройки дополнительных параметров.
Нажимаем «Далее». В следующем окне нам предложат выбрать папку для создания общего ресурса. Устанавливаем переключатель в позицию «Ввести пользовательский путь», жмем «Обзор» и выбираем созданную нами ранее папку Share. Снова жмем «Далее».
В следующем окне вводим произвольное имя общего ресурса — оно будет видно «снаружи» при обращениях к папке, нажимаем «Далее». В следующем окне нам предложат указать дополнительные настройки нашей шары. В целях безопасности можно установить флажок «Зашифровать доступ к данным» — в этом случае при удаленном доступе к папке передаваемая в обе стороны информация будет подвергнута шифрованию. Если установлен флажок «Включить перечисление на основе доступа» юзеру будет видно только то содержимое общей папки, к которому он имеет доступ согласно привилегиям его учетной записи. Если папкой будете пользоваться только вы, этот флажок можно не устанавливать. Кеширование общего ресурса я рекомендую отключить, чтобы не расходовать попусту ресурсы сервера.
По нажатию «Далее» система продемонстрирует стандартный для Windows Server список разрешений на доступ к папке, согласно которому полные права на чтение и запись имеет только пользователь с правами Администратора. Нажмите в окне Мастера на кнопку «Настройка разрешений», затем «Добавить» -> «Выберите субъект», в нижнем поле введите «Все» (без кавычек), нажмите «Ок» и установите флажок «Полный доступ». Нажмите «Применить», затем «Ок».
Осталось только нажать в окне «Мастера создания общих ресурсов» кнопку «Далее» и «Создать». Выбранная нами папка появится в панели «общие ресурсы».
Траблшутинг
Теперь, казалось бы, мы можем обращаться к этой папке прямо из Проводника. Для этого набираем в адресной строке \\ip-адрес-нашего-сервера, вводим имя и пароль Администратора, и видим нашу расшаренную папку с тем именем, которое мы задали ей на этапе настройки. Можно пользоваться шарой? Хренушки. Отказано в доступе. Винда не была бы виндой, если бы все было так просто. Самый простой способ избавиться от этой ошибки — такой.
- Вновь подключаемся к серверу по RDP, щелкаем правой кнопкой мыши на значке подключения к сети в трее и выбираем в контекстном меню «Открыть Параметры сети и интернет».
- В открывшемся окне проматываем содержимое вниз и жмем на надпись «Центр управления сетями и общим доступом».
- В расположенной слева панели жмем на надпись «Изменить дополнительные параметры общего доступа».
- Устанавливаем переключатель в положение «Включить сетевое обнаружение».
- Переходим в раздел «Все сети» чуть ниже, устанавливаем переключатель в положение «Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках».
- Жмем «Сохранить изменения».
Если сетевое обнаружение никак не хочет включаться, делаем следующее: в панели поиска набираем без кавычек «Службы» или services.msc, и принудительно запускаем следующие службы (если они еще не запущены):
- DNS-клиент (DNS Client)
- Обнаружение SSDP (SSDP Discovery)
- Публикация ресурсов обнаружения функции (Function Discovery Resource Publication)
- Узел универсальных PNP-устройств (UPnP Device Host)
Для каждой из этих служб настоятельно рекомендую включить автоматический запуск. Все? Теперь-то мы можем использовать общую папку? Нет!
Запускаем на сервере Проводник, находим в нем нашу расшаренную папку. Щелкаем на ней правой клавишей мыши, в контекстном меню выбираем пункт «Свойства» и открываем вкладку «Безопасность». Выбираем щелчком мыши пользователя «Все» и нажимаем на кнопку «Изменить». Устанавливаем флажок «Полный доступ», жмем «Применить» и «Ок».
Это еще не конец наших мучений! Открываем вкладку «Доступ», нажимаем на кнопку «Расширенная настройка», затем — «Разрешения». В появившемся окне нужно установить флажок «Полный доступ», затем нажать «Применить» и «Ок».
Неужели квест закончен и мы можем пользоваться нашей шарой? Как бы ни так! Ведь это операционная система Windows Server 2019, в которой безопасность стоит на первом месте. Поэтому при попытке обратиться к серверу из Проводника на локальном компьютере мы, скорее всего, увидим ошибку «Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен».
На этом этапе кое-кто отчаивается и идет покупать платный аккаунт в Dropbox за $9.99. Но мы сильны духом, любим секс, а потому продолжаем эксперименты. Вновь открываем Удаленный рабочий стол на сервере, вводим в поисковую строку слово «Администрирование» (без кавычек) и нажимаем Enter. В окне «Администрирование» выбираем «Локальная политика безопасности» -> «Локальные политики» -> «Назначение прав пользователя» -> «Отказать в доступе этому компьютеру из сети – Гость». Дважды щелкаем на этой строке мышью и удаляем «Гостя» из списка.
Все! Аллилуйя! Вот теперь, после всех этих плясок с бубном общий доступ к папке будет наконец открыт, и мы получим возможность насладиться всеми чудесными возможностями Windows Server 2019. Как минимум, сможем сохранять в шаре файлы. Для пущего удобства можно подключить удаленную папку в качестве сетевого диска. Для этого:
- На своей рабочей машине откройте Проводник, щелкните правой клавишей мыши на значке «Этот компьютер» и выберите в контекстном меню пункт «Подключить сетевой диск».
- В открывшемся окне выберите букву сетевого диска, в поле «Папка» введите IP-адрес сервера и сетевое имя общей папки, установите флажки «Восстанавливать подключение при входе в систему» и «использовать другие учетные данные».
- Нажмите на кнопку «Готово».
При первом подключении к диску потребуется ввести логин и пароль Администратора сервера. В дальнейшем параметры учетки будут подтягиваться автоматически.
Если при попытке соединения появляется ошибка «Ресурс общего доступа доступен в сети, но не отвечает на попытки подключения» виноват, вероятно, брандмауэр на сервере. Проверить это достаточно просто: нужно отключить брандмауэр и попробовать зайти в общую папку. Если попытка увенчалась успехом, необходимо настроить в брандмауере правила для соединений.
Квотирование и Рабочие папки
При желании в «Диспетчере серверов» можно настроить квотирование, то есть, запретить пользователям создавать в общей папке файлы больше заданного объема. Еще там есть занимательный инструмент «Рабочие папки». Фактически, это та же сетевая шара, только с автоматической синхронизацией, как в Dropbox или у «Яндекс.Диска». Файлы в «Рабочей папке» хранятся на сервере и остаются там даже после удаления файлов на устройстве пользователя. Подробнее почитать о них можно вот здесь, я же не буду описывать технологию настройки Рабочих папок, поскольку она в целом схожа с настройкой обычной сетевой шары, которую мы подробно рассмотрели в этой статье.
Windows Server 2019 предоставляет мощные инструменты и возможности для создания эффективного файлового сервера. Это позволяет упорядочить хранение и обмен файлами в организации, повысить безопасность и облегчить работу с данными.
В данном руководстве мы рассмотрим пошаговый процесс настройки файлового сервера на операционной системе Windows Server 2019. Мы рассмотрим основные этапы установки, настройки доступа к данным, создания распределенных файловых систем и обеспечения безопасности информации.
Первоначально мы рассмотрим процесс установки и настройки самой операционной системы Windows Server 2019. Затем мы рассмотрим основные принципы создания и управления дисками, разделами и файловыми системами на сервере. Далее мы перейдем к настройке доступа пользователей к данным, реализации распределенных файловых систем и установке средств обеспечения безопасности информации.
Важно отметить, что правильная настройка файлового сервера в Windows Server 2019 является неотъемлемой частью общей безопасности и эффективности работы организации. Она обеспечивает надежное хранение данных, контроль доступа и обмен информацией. Следуя данному руководству, вы сможете успешно настроить файловый сервер на Windows Server 2019 и обеспечить эффективность работы вашей организации.
Содержание
- Подготовка к настройке
- Установка Windows Server 2019
- Настройка сети
- Установка роли файлового сервера
- Настройка доступа к файлам
- Обеспечение безопасности
Подготовка к настройке
Перед началом настройки файлового сервера на операционной системе Windows Server 2019 необходимо выполнить ряд предварительных шагов:
Шаг | Описание |
1 | Установите операционную систему Windows Server 2019 на компьютер, который будет выступать в роли файлового сервера. |
2 | Проверьте доступность всех необходимых дисков для хранения файлов на файловом сервере. Убедитесь, что диски отформатированы и готовы к использованию. |
3 | Задайте статический IP-адрес для файлового сервера. Это позволит предотвратить возможные проблемы с сетевым соединением в будущем. |
4 | Установите все доступные обновления операционной системы Windows Server 2019. Это поможет обеспечить безопасность и стабильность работы сервера. |
5 | Создайте учетные записи пользователей и групп, которые будут иметь доступ к файловому серверу. Определите их права доступа и разрешения на каждую папку или файл. |
6 | Разработайте структуру директорий и наименования для организации файлов на сервере, соответствующую потребностям вашей организации. |
После выполнения всех указанных предварительных шагов вы будете готовы приступить к основной настройке файлового сервера на операционной системе Windows Server 2019.
Установка Windows Server 2019
Шаг 1: Подготовка к установке
Перед установкой Windows Server 2019 убедитесь, что ваш сервер соответствует минимальным системным требованиям. Вы должны иметь компьютер с процессором с архитектурой x64, не менее 2 ГБ оперативной памяти, не менее 32 ГБ свободного места на жестком диске и подключение к сети. Также убедитесь, что у вас есть загрузочный носитель с образом Windows Server 2019.
Шаг 2: Запуск установки
Вставьте загрузочный носитель с образом Windows Server 2019 в ваш сервер и перезагрузите его. При загрузке выберите опцию загрузки с этого носителя. После этого вы увидите экран «Windows Setup», где вам будет предложено выбрать язык установки и другие параметры.
Шаг 3: Установка операционной системы
На экране «Windows Setup» нажмите кнопку «Next» (Далее). Затем прочтите и примите лицензионное соглашение, выбрав соответствующую опцию, и нажмите кнопку «Next» (Далее).
В следующем окне выберите тип установки. Вы можете выбрать «Custom: Install Windows only (advanced)» (Пользовательская установка: установить только Windows (расширенные параметры)), если хотите настроить разделы жесткого диска вручную. Если вы хотите сделать установку с рекомендуемыми параметрами, выберите «Upgrade: Install Windows and keep files, settings, and applications» (Обновление: установить Windows и сохранить файлы, настройки и приложения).
Выберите раздел жесткого диска, на который будет установлена операционная система, и нажмите кнопку «Next» (Далее). Затем дождитесь, пока процесс установки завершится. После этого ваш сервер будет перезагружен.
Шаг 4: Настройка Windows Server 2019
После перезагрузки сервера вам будет предложено настроить некоторые параметры, такие как язык, часовой пояс и пароль администратора. Добавьте необходимую информацию и продолжите процесс настройки.
После завершения настройки вы будете перенаправлены на рабочий стол Windows Server 2019, и операционная система будет готова к использованию.
Установка Windows Server 2019 — это первый шаг к настройке файлового сервера. После установки вы можете приступить к настройке сетевых служб и настройке доступа к файлам и папкам.
Настройка сети
Для начала настройки сети необходимо открыть «Панель управления» и выбрать раздел «Сеть и Интернет». Затем следует выбрать раздел «Центр управления сетями и общим доступом», где можно увидеть список доступных сетевых адаптеров.
Далее следует выбрать нужный сетевой адаптер и кликнуть правой кнопкой мыши на нем. В открывшемся контекстном меню нужно выбрать пункт «Свойства», чтобы открыть окно «Свойства сетевого подключения».
В окне «Свойства сетевого подключения» следует выбрать протокол «IPv4» и кликнуть на кнопку «Свойства». Затем нужно выбрать опцию «Использовать следующий IP-адрес» и ввести определенный IP-адрес, подсеть и шлюз по умолчанию.
IP-адрес | Подсеть | Шлюз по умолчанию |
---|---|---|
192.168.0.100 | 255.255.255.0 | 192.168.0.1 |
После ввода необходимых значений следует сохранить изменения и закрыть все окна. После этого можно проверить соединение сети путем пингования других устройств в сети или доступа к Интернету.
Также следует убедиться, что сетевые настройки сервера соответствуют требованиям организации или сети, в которой работает сервер. Например, можно настроить DNS-серверы, прокси-серверы и другие сетевые параметры.
Настройка сети является важной частью настройки файлового сервера на Windows Server 2019. Правильная настройка сети позволит обеспечить стабильное и безопасное соединение с другими устройствами и сетями.
Установка роли файлового сервера
Установка роли файлового сервера на Windows Server 2019 может быть выполнена через менеджер серверов или с помощью PowerShell.
Чтобы установить роль файлового сервера через менеджер серверов, выполните следующие действия:
- Откройте менеджер серверов и выберите «Добавить роли и функции».
- Нажмите «Далее» на странице «Перед началом».
- Выберите «Установка базовых ролей или функций» и нажмите «Далее».
- Выберите сервер, на который хотите установить роль файлового сервера, и нажмите «Далее».
- Выберите «Службы файлового сервера» и нажмите «Далее».
- Прочитайте информацию о роли файлового сервера и нажмите «Далее».
- Нажмите «Установить» для установки роли.
Если вы предпочитаете использовать PowerShell, выполните следующую команду:
Install-WindowsFeature -Name FS-FileServer
После установки роли файлового сервера необходимо будет выполнить дополнительные настройки для конфигурации сервера в соответствии с вашими требованиями.
Настройка доступа к файлам
Доступ к файлам на файловом сервере Windows Server 2019 может быть настроен с помощью механизма прав доступа. Права доступа позволяют определить, кто и как может обращаться к файлам на сервере. Настройка прав доступа позволяет обеспечить безопасность данных и гибкость в управлении доступом.
В Windows Server 2019 доступ к файлам настраивается с помощью групп и учетных записей пользователей. Группы позволяют сгруппировать пользователей с общими правами доступа и упростить управление правами доступа.
Чтобы настроить доступ к файлам, необходимо выполнить следующие шаги:
- Создайте группы пользователей с нужными правами доступа. Для этого можно воспользоваться утилитой «Управление компьютером» или выполнить команду «net group» из командной строки.
- Создайте учетные записи пользователей и добавьте их в нужные группы. Учетные записи пользователей можно создать через утилиту «Управление компьютером» или выполнить команду «net user» из командной строки.
- Установите права доступа к папкам и файлам для нужных групп и пользователей. Для этого можно воспользоваться окном свойств папки или выполнить команду «icacls» из командной строки.
Важно помнить, что при настройке доступа к файлам следует придерживаться принципа наименьших привилегий: каждый пользователь должен иметь только те права доступа, которые необходимы для выполнения его задач.
Грамотная настройка доступа к файлам позволит обеспечить безопасность данных на файловом сервере и контролировать доступ пользователей к важной информации.
Обеспечение безопасности
1. Аутентификация и авторизация
На сервере следует настроить строгую аутентификацию для всех пользователей и предоставлять доступ только тем, кому это необходимо для выполнения своих задач. Используйте сложные пароли и регулярно меняйте их. Также рекомендуется использовать многофакторную аутентификацию, чтобы обеспечить дополнительный уровень защиты.
2. Управление доступом
Для обеспечения безопасности файлового сервера рекомендуется использовать механизмы управления доступом, такие как групповая политика и разрешения файловой системы. Задайте строгое разделение прав доступа, чтобы пользователи могли получать доступ только к тем файлам и папкам, которые им необходимы для работы.
3. Шифрование данных
Для обеспечения конфиденциальности данных, хранимых на файловом сервере, рекомендуется использовать шифрование данных в покое и в движении. В Windows Server 2019 это можно реализовать с помощью функций BitLocker и SSL/TLS.
4. Резервное копирование
Регулярное резервное копирование данных является важной частью обеспечения безопасности. Убедитесь, что настройки резервного копирования на вашем файловом сервере настроены правильно, и что вы регулярно создаете резервные копии данных.
5. Мониторинг и аудит
Установите систему мониторинга и аудита, чтобы отслеживать активность пользователей и обнаруживать потенциальные угрозы. В Windows Server 2019 доступны инструменты для установки и настройки мониторинга и аудита.
Соблюдение рекомендаций по обеспечению безопасности поможет защитить файловый сервер Windows Server 2019 и ваши данные от несанкционированного доступа и утечки информации.