Сетевой протокол SMB (Server Message Block) используется для предоставления совместного удаленного доступа к файлам, принтерам и другим устройствам через порт TCP 445. В этой статье мы рассмотрим: какие версии (диалекты) протокола SMB доступны в различных версиях Windows (и как они соотносятся с версиями samba в Linux); как определить версию SMB на вашем компьютере; и как включить/отключить клиент и сервер SMBv1, SMBv2 и SMBv3.
Содержание:
- Версии протокола SMB в Windows
- Как проверить поддерживаемые версии SMB в Windows?
- Вывести используемые версии SMB с помощью Get-SMBConnection
- Об опасности использования SMBv1
- Включение и отключение SMBv1, SMBv2 и SMBv3 в Windows
Версии протокола SMB в Windows
Есть несколько версии протокола SMB (диалектов), которые последовательно появлялись в новых версиях Windows:
Для реализации протокола SMB в Linux/Unix системах используется samba. В скобках мы указали в каких версиях samba поддерживается каждый диалект SMB.
- CIFS — Windows NT 4.0;
- SMB 1.0 — Windows 2000;
- SMB 2.0 — Windows Server 2008 и Windows Vista SP1 (поддерживается в Samba 3.6);
- SMB 2.1 — Windows Server 2008 R2 и Windows 7 (поддерживается в Samba 4.0);
- SMB 3.0 — Windows Server 2012 и Windows 8 (поддерживается в Samba 4.2);
- SMB 3.02 — Windows Server 2012 R2 и Windows 8. 1 (не поддерживается в Samba);
- SMB 3.1.1 – Windows Server 2016 и Windows 10 (не поддерживается в Samba).
Начиная с версии Samba 4.14, по умолчанию используется SMB2.1.
При сетевом взаимодействии по протоколу SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно и клиентом, и сервером.
Ниже представлена сводная таблица, по которой можно определить версию протокола SMB, которая выбирается при взаимодействии разных версий Windows:
Операционная система | Win 10, Server 2016 | Windows 8.1, Server 2012 R2 |
Windows 8, Server 2012 |
Windows 7, Server 2008 R2 |
Windows Vista, Server 2008 |
Windows XP, Server 2003 и ниже |
Windows 10 ,
Windows Server 2016 |
SMB 3.1.1 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8.1 , Server 2012 R2 |
SMB 3.02 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8 , Server 2012 |
SMB 3.0 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 7, Server 2008 R2 |
SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows Vista, Server 2008 |
SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
Windows XP, 2003 и ниже | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
К примеру, при подключении клиентского компьютера с Windows 8.1 к файловому серверу с Windows Server 2016 будет использоваться протокол SMB 3.0.2.
Согласно таблице Windows XP, Windows Server 2003 для доступа к общим файлам и папкам на сервере могут использовать только SMB 1.0, который в новых версиях Windows Server (2012 R2 / 2016) может быть отключен. Таким образом, если в вашей инфраструктуре одновременно используются компьютеры с Windows XP (снятой с поддержки), Windows Server 2003/R2 и сервера с Windows Server 2012 R2/2016/2019, устаревшие клиенты не смогут получить доступ к файлам и папкам на файловом сервере с новой ОС.
Если Windows Server 2016/2012 R2 с отключенным SMB v1.0 используется в качестве контроллера домена, значить клиенты на Windows XP/Server 2003 не смогут получить доступ к каталогам SYSVOL и NETLOGON на контроллерах домена и авторизоваться в AD.
На старых клиентах при попытке подключиться к ресурсу на файловом сервере с отключенным SMB v1 появляется ошибка:
The specified network name is no longer available
Как проверить поддерживаемые версии SMB в Windows?
Рассмотрим, как определить, какие версии протокола SMB поддерживаются на вашем компьютере Windows.
В Windows 10, 8.1 и Windows Server 2019/2016/2012R2 вы можете проверить состояние различных диалектов SMB протокола с помощью PowerShell:
Get-SmbServerConfiguration | select EnableSMB1Protocol,EnableSMB2Protocol
Данная команда вернула, что протокол SMB1 отключен (
EnableSMB1Protocol=False
), а протоколы SMB2 и SMB3 включены (
EnableSMB1Protocol=True
).
Обратите внимание, что протоколы SMBv3 и SMBv2 тесно связаны между собой. Нельзя отключить или включить отдельно SMBv3 или SMBv2. Они всегда включаются/отключаются только совместно, т.к. используют один стек.
В Windows 7, Vista, Windows Server 2008 R2/2008:
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Если в данной ветке реестра нет параметров с именами SMB1 или SMB2, значить протоколы SMB1 и SMB2 по умолчанию включены.
Также в этих версиях Windows вы можете проверить, какие диалекты SMB разрешено использовать в качестве клиентов с помощью команд:
sc.exe query mrxsmb10
SERVICE_NAME: mrxsmb10 TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
sc.exe query mrxsmb20
SERVICE_NAME: mrxsmb20 TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
В обоих случаях службы запущены (
STATE=4 Running
). Значит Windows может подключаться как к SMBv1, так и к SMBv2 серверам.
Вывести используемые версии SMB с помощью Get-SMBConnection
Как мы говорили раньше, компьютеры при взаимодействии по протоколу SMB используют максимальную версию, поддерживаемую как клиентом, так и сервером. Для определения версии SMB, используемой для доступа к удаленному компьютеру можно использовать командлет PowerShell
Get-SMBConnection
:
Версия SMB, используемая для подключения к удаленному серверу (ServerName) указана в столбце Dialect.
Можно вывести информацию о версиях SMB, используемых для доступа к конкретному серверу:
Get-SmbConnection -ServerName servername
Если нужно отобразить, используется ли SMB шифрование (появилось в SMB 3.0), выполните:
Get-SmbConnection | ft ServerName,ShareName,Dialect,Encrypted,UserName
В Linux вывести список SMB подключения и используемые диалекты в samba можно командой:
$ sudo smbstatus
Чтобы на стороне сервера вывести список используемых клиентами версий протокола SMB и количество клиентов, используемых ту или иную версию протокола SMB, выполните команду:
Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique
В нашем примере имеется 825 клиентов, подключенных к серверу с помощью SMB 2.1 (Windows 7/Windows Server 2008 R2) и 12 клиентов SMB 3.02.
С помощью PowerShell можно включить аудит версий SMB, используемых для подключения:
Set-SmbServerConfiguration –AuditSmb1Access $true
События подключения затем можно извлечь из журналов Event Viewer с помощью PowerShell:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
Об опасности использования SMBv1
Последние несколько лет Microsoft из соображений безопасности планомерно отключает устаревший протокол SMB 1.0. Связано это с большим количеством критических уязвимостей в этом протоколе (вспомните историю с эпидемиями вирусов-шифровальщиков wannacrypt и petya, которые использовали уязвимость именно в протоколе SMBv1). Microsoft и другие IT компании настоятельно рекомендуют отказаться от его использования.
Однако отключение SMBv1 может вызвать проблемы с доступом к общий файлам и папкам на новых версиях Windows 10 (Windows Server 2016/2019) с устаревших версий клиентов (Windows XP, Server 2003), сторонних ОС (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, старые версии Linux), различных старых NAS устройствах.
Если в вашей сети не осталось legacy устройств с поддержкой только SMBv1, обязательно отключайте эту версию диалекта в Windows.
В том случае, если в вашей сети остались клиенты с Windows XP, Windows Server 2003 или другие устройства, которые поддерживают только SMBv1, их нужно как можно скорее обновить или тщательно изолировать.
Включение и отключение SMBv1, SMBv2 и SMBv3 в Windows
Рассмотрим способы включения, отключения различных версий SMB в Windows. Мы рассматриваем отдельно включение клиента и сервера SMB (это разные компоненты).
Windows 10, 8.1, Windows Server 2019/2016/2012R2:
Отключить клиент и сервер SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Отключить только SMBv1 сервер:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Включить клиент и сервер SMBv1:
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Включить только SMBv1 сервер:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
Отключить сервер SMBv2 и SMBv3:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Включить сервер SMBv2 и SMBv3:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Windows 7, Vista, Windows Server 2008 R2/2008:
Отключить SMBv1 сервер:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Включить SMBv1 сервер:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force
Отключить SMBv1 клиент:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Включить SMBv1 клиент:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
Отключить SMBv2 сервер:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
Включить SMBv2 сервер
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force
Отключить SMBv2 клиент:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Включить SMBv2 клиент:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
Для отключения сервера SMBv1 на всех компьютерах независимо от версии Windows можно распространить параметр реестра типа REG_DWORD с именем SMB1 и значением 0 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters)на через GPO.
Для отключения SMBv2 нужно в этой же ветке установить параметр SMB2=0.
Для отключения SMBv1 клиента нужно распространить такой параметр реестра:
- Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
- Name: Start
- Type: REG_DWORD
- Value: 4
При отключении SMB 1.0/CIFS File Sharing Support в Windows вы можете столкнуться с ошибкой “0x80070035, не найден сетевой путь”, ошибкой при доступе к общим папкам, и проблемами обнаружения компьютеров в сетевом окружении. В этом случае вместо служба обозревателя компьютеров (Computer Browser) нужно использовать службы обнаружения (линк).
Время на прочтение
5 мин
Количество просмотров 29K
SMB Multichannel – одна из возможностей протокола SMB 3.0, призванная повысить производительность и отказоустойчивость на уровне сетевого соединения при работе с файловыми серверами. Для использования этой возможности SMB-клиент и SMB-сервер должны поддерживать SMB 3.0, который, в свою очередь, реализован в Windows Server 2012 и Windows 8.
Какие преимущества дает SMB Multichannel?
SMB Multichannel позволяет одновременно использовать несколько сетевых соединений с файловым сервером, тем самым обеспечивая:
- Увеличенную пропускную способность. Клиент и сервер SMB могут передавать больший объем данных, одновременно задействуя несколько сетевых соединений, установленных с помощью одного высокоскоростного сетевого адаптера, например 10GbE, или нескольких сетевых адаптеров. В случае нескольких сетевых адаптеров SMB Multichannel фактически агрегирует их полосы пропускания
- Отказоустойчивость. Выполняемые сетевые операции, например копирование файла, не прерываются в случае потери одного или нескольких соединений до тех пор, пока хотя бы одно соединение продолжает существовать. Потеря соединения может происходить как из-за проблем в сетевой среде (обрыв кабеля, поломка коммутатора и пр.), так и из-за проблем с сетевым адаптером. Таким образом, при использовании нескольких сетевых адаптеров SMB Multichannel обеспечивает отказоустойчивость на уровне физической сетевой карты. Но еще раз отмечу, только для операций по протоколу SMB
Каковы требования для работы SMB Multichannel?
Для работы SMB Multichannel необходимо выполнение двух требований:
- SMB 3.0 на клиенте и на сервере. На текущий момент эта версия протокола реализована в Windows Server 2012 и Windows 8
- Одна из поддерживаемых конфигураций, рассматриваемых ниже
Поддерживаемые конфигурации
Для работы SMB Multichannel клиент и сервер должны поддерживать как минимум одну из перечисленных ниже конфигураций:
- Несколько сетевых адаптеров с одинаковой скоростью
- Один и более сетевых адаптеров с поддержкой RSS (Receive Side Scaling)
- Два и более сетевых адаптеров, объединенных в группу с помощью NIC Teaming
- Один и более сетевых адаптеров с поддержкой RDMA (Remote Direct Memory Access)
Как следствие, SMB Multichannel не будет работать, если на компьютере один сетевой адаптер, не поддерживающий RSS, либо если адаптеров несколько, но они работают с разной скоростью. В последнем случае трафик будет передаваться по наиболее быстрому адаптеру.
Некоторые пояснения касательно отдельных конфигураций.
Сетевой адаптер с поддержкой RSS
В отсутствие SMB Multichannel при обращении SMB-клиента к SMB-серверу открывается SMB-сессия, в рамках которой устанавливается одно TCP/IP-соединение. Обработка трафика по этому соединению осуществляется одним из доступных процессорных ядер. Если сетевой адаптер не поддерживает RSS, то в принципе весь сетевой трафик обрабатывается одним ядром, как правило, CPU0. Если сетевой адаптер поддерживает RSS, то обработка сетевого трафика распределяется по доступным процессорным ядрам. Однако без SMB Multichannel в рамках одной сессии устанавливается только одно соединение, и RSS ничем не может помочь этой конкретной сессии.
В случае же SMB Multichannel, если сетевой адаптер поддерживает RSS, то протокол SMB в рамках одной сессии устанавливает несколько соединений (по умолчанию 4 на RSS-интерфейс), а RSS, в свою очередь, распределяет обработку трафика через эти соединения по доступным ядрам.
Соответственно, даже при использовании одного RSS-адаптера SMB Multichannel позволяет ускорить сетевые операции и более эффективно задействовать имеющуюся полосу пропускания. И прежде всего это актуально для адаптеров 10GbE.
Что нам не может обеспечить SMB Multichannel в конфигурации с одним физическим адаптером, так это отказоустойчивость, поскольку понятно, что если единственный адаптер выходит из строя, то мы теряем все соединения.
В Windows Server 2012 и Windows 8 проще всего определить, какие адаптеры и с какими текущими параметрами поддерживают RSS, можно с помощью командлета PowerShell
Get-NetAdapterRss
Два и более адаптеров, объединенных с помощью NIC Teaming
Использование NIC Teaming не является требованием для SMB Multichannel. Если в системе, например, два гигабитных адаптера, то SMB Multichannel может использовать их безо всякого тиминга. Однако объединение адаптеров в тиминговую группу даст дополнительное преимущество с точки зрения отказоустойчивости. Без тиминга SMB Multichannel обеспечит отказоустойчивость только SMB-трафика, вместе с NIC Teaming вы получите отказоустойчивость любого сетевого трафика. При этом и с тимингом, и без оного SMB Multichannel агрегирует доступные полосы пропускания имеющихся адаптеров.
Один и более сетевых адаптеров с поддержкой RDMA (Remote Direct Memory Access)
Технология RDMA обеспечивает низкие задержки при передачи данных по сети и снижение нагрузки на процессор. SMB Multichannel устанавливает для каждой SMB-сессии два соединения на каждый RDMA-интерфейс. Если RDMA-адаптеров несколько, дополнительно обеспечивается и отказоустойчивость. Надо отметить, что если вы объединяете RDMA-интерфейсы в группу средствами NIC Teaming в Windows Server 2012, то ОС рассматривает эти интерфейсы как non-RDMA. То есть в тиминге возможности RDMA вам не доступны. По аналогии с RSS получить информацию об адаптерах с поддержкой RDMA и их конфигурации можно с помощью командлета
Get-NetAdapterRdma
Несколько сетевых адаптеров с одинаковой скоростью
Это самый простой вариант конфигурации, при котором SMB Multichannel просто работает. Если адаптеры не поддерживают RSS, то устанавливается по одному соединению на интерфейс.
И теперь самое время обсудить настройку SMB Multichannel.
Настройка SMB Multichannel
Прелесть технологии в том, что она настраивается автоматически. Если ОС обнаруживает одну из поддерживаемых конфигураций (см. выше), то автоматически применяется SMB Multichannel. Тем не менее, вы можете убедиться в том, что технология включена с помощью
Get-SmbClientConfiguration
или
Get-SmbServerConfiguration
Дополнительно,
Get-SmbClientNetworkInterface
покажет вам, задействованы ли RSS и RDMA для доступных интерфейсов.
Я уже упомянул количество устанавливаемых соединений для различных типов сетевых интерфейсов (4 на RSS-адаптер, 2 на RDMA-адаптер, 1 на обычный NIC). По умолчанию SMB Multichannel использует максимум 8 соединений для каждой пары клиент/сервер. И это число может ограничивать количество соединение на один сетевой интерфейс. Например, если у вас три RSS-адаптера, то будет установлено три соединения через первый, три через второй и два через третий.
Рекомендуется использовать настройки SMB Multichannel по умолчанию. Тем не менее, эти настройки могут быть изменены. Например, максимально количество соединений на пару клиент/сервер устанавливается следующим образом:
Ну и наконец если по каким-то причинам необходимо отключить SMB Multichannel, например для тестирования или диагностики, это можно сделать следующими двумя командами на сервере и клиенте соответственно:
Set-SmbServerConfiguration -EnableMultiChannel $false
Set-SmbClientConfiguration -EnableMultiChannel $false
Эти же команды со значением $true снова включат технологию.
SMB Multichannel в действии
Если в вашей системе одна из поддерживаемых конфигураций, то при открытии общей папки на сервере SMB Multichannel установит несколько соединений. Убедиться в этом можно с помощью
Get-SmbMultichannelConnection
В моей среде с двумя гигабитными карточками это выглядит так:
Далее, запустив копирование файла с сетевого ресурса, в Performance Monitor можно наблюдать, что копирование осуществляется с помощью обоих сетевых адаптеров.
Выключив один из адаптеров, вы увидите, что операция копирования не прервется, а вся нагрузка будет перекинута на оставшийся адаптер.
Посмотреть работу SMB Multichannel в динамике, а также сравнить, как ведет себя ОС при отключенной технологии, вы можете в моем веб-касте (проскроллируйте до демонстрации SMB Multichannel).
Таким образом, благодаря SMB Multichannel можно повысить эффективность и надежность сетевых операций. В сочетании же с другими технологиями Windows Server 2012, такими как SMB Scale Out, SMB Transparent Failover и ряд других (о них речь пойдет в других постах), вы можете штатными средствами ОС обеспечить высокий уровень доступности запущенных сервисов на разных уровнях: дисковая подсистема, узел кластера, сетевой интерфейс.
В статье показано, как можно использовать ресурсы CAFS для повышения уровня доступности и гибкости элементов существующей инфраструктуры. Технология CAFS обеспечивает более высокую доступность файловых ресурсов общего назначения, а также позволяет серверным приложениям, таким как SQL Server и Hyper-V, хранить свои данные на файловых ресурсах с высоким уровнем доступности, предоставляя новые возможности для хранения данных критически важных приложений
Постоянно доступные общие файловые ресурсы, Continuously Available File Shares (CAFS), – это новая технология, появившаяся в системе Windows Server 2012. На базовом уровне технология CAFS в системе Server 2012 расширяет возможности Windows по совместной работе с файлами с помощью кластерной технологии Server 2012. Механизмы CAFS используют преимущества новых функций протокола Server Message Block (SMB) 3.0, повышающих доступность общих ресурсов системы Windows Server, используемых для хранения документов и поддержки приложений. В число новых возможностей технологии SMB 3.0, позволяющих задействовать ресурсы CAFS, входят механизмы SMB Scale-Out, SMB Direct и SMB Multichannel.
Технология CAFS призвана решить проблемы, возникающие в ранних версиях файловых серверов высокой доступности, построенных на основе отказоустойчивых кластеров Windows Server. Предыдущие версии обеспечивали высокую доступность общих ресурсов, но были подвержены перерывам в работе и кратковременным потерям подключений в случаях отказа узла. Такие кратковременные сбои, как правило, допустимы в работе офисных приложений (например, Microsoft Office), часто выполняющих операции открытия и закрытия файлов, так как эти приложения могут повторно подключиться к ресурсу и сохранить изменения после отработки отказа. Однако подобные сбои недопустимы в работе таких приложений, как Hyper-V или SQL Server, которые держат файлы открытыми на протяжении длительного времени. В таких схемах сбой может привести к потере данных. До появления системы Server 2012 компания Microsoft не поддерживала установку серверов Hyper-V или SQL Server на общие ресурсы. Обеспечение поддержки приложений было одной из основных задач Microsoft при разработке технологии CAFS. Хотя вы можете использовать механизмы CAFS просто для предоставления клиентского доступа к общим ресурсам, реальной задачей данной технологии является поддержка серверных приложений. Технология CAFS дает возможность использовать преимущества недорогих механизмов хранения системы Windows Server применительно к критически важным приложениям. Технология CAFS обеспечивает непрерывный доступ к общим ресурсам, снижая время простоя практически до нуля.
Выберите решение
Существует два подхода к созданию ресурса CAFS.
- Файловый сервер общего назначения. Это очень похожая на поддержку файлового сервера с высокой доступностью в системе Windows Server 2008 R2, наиболее распространенная реализация технологии CAFS на файловом сервере, которая обеспечивает поддержку размещения общих ресурсов на отказоустойчивом кластере. Технология CAFS повышает доступность и производительность данной схемы, благодаря новому высокопроизводительному механизму клиентского доступа SMB 3.0.
- Масштабируемый файловый сервер. Реализация масштабируемого файлового сервера – это новая возможность технологии CAFS, предназначенная для обеспечения поддержки таких приложений как Hyper-V и SQL Server без простоя в работе. Данная реализация ограничена четырьмя серверами.
Обзор архитектуры CAFS приведен на рисунке.
Рисунок. Архитектура CAFS |
Одной из ключевых технологий, сделавшей возможным использование ресурсов CAFS, является поддержка механизмов SMB Transparent Failover системой Server 2012. Механизмы SMB Transparent Failover позволяют службам файлового сервера выполнять аварийное переключение на резервный узел кластера, благодаря чему приложения, имеющие открытые файлы на файловом сервере, не заметят обрывов в подключениях. Технология CAFS обеспечивает нулевой простой в работе приложений как при плановом обслуживании, так и при незапланированных отказах.
Соответствие требованиям
Поскольку технология CAFS использует механизмы SMB 3.0 системы Server 2012, наличие операционной системы Server 2012 является обязательным требованием. Технология поддерживается в обеих редакциях, Server 2012 Standard и Server 2012 Datacenter. В редакциях Essentials или Foundation технология CAFS не поддерживается.
Кроме того, для использования технологии CAFS необходимо наличие отказоустойчивого кластера Server 2012. Это означает, что у вас должен быть настроен кластер Server 2012 как минимум из двух узлов. Отказоустойчивые серверы Server 2012 поддерживают до 64 узлов. Вы можете найти пошаговые инструкции по настройке отказоустойчивого кластера в моей статье «Windows Server 2012: Building a Two-Node Failover Cluster» (опубликованной в Windows IT Pro/RE № за 2012 год).
Помимо собственно наличия кластера, на каждый его узел должна быть установлена роль файлового сервера. На кластерном файловом сервере должна быть настроена одна или несколько общих папок с активным новым параметром, отвечающим за постоянную доступность ресурса. Далее я подробно расскажу о создании и настройке постоянно доступных общих папок.
В отказоустойчивом кластере из двух узлов на кластерном хранилище должны быть настроены как минимум два различных тома LUN. На одном томе хранятся общие файлы. Этот том должен быть настроен в качестве общего тома кластера cluster shared volume (CSV). Другой том будет работать в качестве диска-свидетеля. В большинстве решений используется большее количество томов.
Также рекомендуется настроить сеть таким образом, чтобы между узлами было несколько путей. Благодаря такой топологии сеть перестает быть единственной точкой отказа. Использование объединения сетевых адаптеров и/или дублирующих маршрутизаторов позволяет повысить уровень отказоустойчивости вашей сети.
Наконец, для использования преимуществ нового механизма SMB Transparent Failover на компьютерах с клиентом SMB должны быть установлены операционные системы Windows 8 или Server 2012. Когда клиент SMB 3.0 подключается к ресурсу CAFS, он уведомляет службу-свидетеля кластера. Кластер назначает узел, который будет свидетелем для данного подключения. Узел-свидетель отвечает за переключение клиента на новый хост-сервер в случае остановки в работе службы, не вынуждая клиента дожидаться, пока пройдет время отклика протокола TCP.
Создание ресурсов CAFS общего назначения
Для настройки ресурса CAFS откройте мастер Failover Cluster Manager на любом из узлов кластера. Затем щелкните мышью на узле Roles в панели навигации. Как показано на экране 1, в окне Roles отображаются установленные роли.
Экран 1. Мастер Failover Cluster Manager |
Кластер может поддерживать несколько ролей и обеспечивает высокий уровень доступности для каждой из них. На экране 1 мы видим настроенную виртуальную машину с высоким уровнем доступности. Для создания нового ресурса CAFS общего назначения щелкните мышью по ссылке Configure Role…, отмеченной в окне Actions. Будет запущен мастер High Availability Wizard, показанный на экране 2.
Экран 2. Мастер High Availability Wizard |
Прокручивайте список ролей до тех пор, пока не увидите роль файлового сервера. Роль файлового сервера поддерживает ресурсы CAFS обоих типов: общего назначения и масштабируемых приложений. Выберите роль File Server и щелкните мышью на кнопке Next, чтобы перейти к экрану выбора типа ресурса CAFS, см. экран 3.
Экран 3. Окно выбора типа ресурса CAFS |
Диалоговое окно File Server Type позволяет выбрать, какой сервер необходимо создать: файловый сервер общего назначения (File Server for general use) или масштабируемый файловый сервер для данных приложений (Scale-Out File Server for application data). Роль «общего назначения» может быть использована для настройки как общих папок на основе механизма Windows SMB, так и общих папок на основе NFS. Ресурсы CAFS общего назначения также поддерживают устранение дублирования данных, репликацию DFS и шифрование данных. Щелкните мышью на кнопке Next, чтобы продолжить создание ресурса CAFS общего назначения. На экране появится диалоговое окно Client Access Point, показанное на экране 4.
Экран 4. Окно Client Access Point |
Для создания нового ресурса CAFS общего назначения необходимо указать имя сервера, которое клиенты будут использовать при обращении к ресурсу CAFS. Это имя будет зарегистрировано в DNS, и клиенты будут указывать его по аналогии с именем сервера. Кроме того, ресурсу CAFS общего назначения также необходим IP-адрес. На экране 4 я присвоил службе имя CAFS-Gen (для ресурса CFAS общего назначения) и статический IP-адрес 192.168.100.177. Щелкнув кнопку Next, вы сможете выбрать кластерное хранилище для ресурса CAFS.
Диалоговое окно Select Storage, показанное на экране 5, позволяет выбрать хранилище для ресурса CAFS общего назначения.
Экран 5. Окно Select Storage |
Хранилище должно быть доступно для служб кластера. Другими словами, оно должно быть в списке узлов хранения кластера и должно быть отмечено как доступное хранилище. Вы не можете использовать предварительно назначенные общие тома кластера CSV для создания ресурса CAFS общего назначения. В данном примере я мог задействовать три различных диска, и выбрал Cluster Disk 5, потому что изначально готовил это хранилище под размещение ресурса CAFS (экран 5). Однако вы можете выбрать любой из доступных дисков кластера. Щелкнув мышью на кнопке Next, вы перейдете к экрану Confirmation. На нем можно подтвердить выбранные настройки или вернуться к диалоговым окнам мастера High Availability Wizard и внести изменения. Если все параметры вас устраивают, щелкните мышью на кнопке Next экрана Confirmation и перейдите к окну Configure High Availability, которое отображает прогресс настройки ресурса CAFS. По окончании настройки вы увидите экран Summary. Щелчок мышью на кнопке Finish экрана Summary закроет мастер High Availability Wizard и вернет вас в окно Failover Cluster Manager, показанное на экране 6.
Экран 6. Создание постоянно доступной общей файловой папки |
Следующим шагом после создания роли CAFS будет создание постоянно доступной общей файловой папки, использующей данную роль. На экране 6 видно, что роль CAFS-Gen активно работает и использует роль файлового сервера. Для добавления новой постоянно доступной общей файловой папки выберите ссылку Add File Share в окне, которое вы видите в правой части экрана 6. Вы увидите диалоговое окно Task Progress, которое отображает процесс получения информации с сервера. Сразу по завершении на экране появится диалоговое окно New Share Wizard, которое вы видите на экране 7.
Экран 7. Окно New Share Wizard |
Первым делом мастер New Share Wizard спросит, какой тип ресурса CAFS вы хотите создать. Вы можете выбрать ресурс CAFS одного из двух типов: SMB или NFS. Режим SMB Share—Quick активирует создание ресурса CAFS общего назначения. Режим SMB Share—Applications отвечает за создание высоконадежного общего ресурса приложений для таких систем как Hyper-V или SQL Server. Создание масштабируемых ресурсов CAFS для приложений я рассматриваю ниже. Для создания ресурса CAFS общего назначения выберите режим SMB Share—Quick и щелкните кнопку Next. Мастер New Share Wizard отобразит диалоговое окно Share Location, показанное на экране 8.
Экран 8. Окно Share Location |
Имя роли CAFS отображается в поле Server Name. На экране 8 мы видим имя роли CAFS-Gen, которую я создал ранее, и ее состояние – online. Вы может выбрать размещение общего ресурса с помощью полей в нижней части экрана. В данном примере по умолчанию был выбран диск G (экран 8). Если вы хотите использовать другой диск, то можете ввести альтернативный путь в поле Type a custom path, расположенном внизу экрана. В этом примере я оставляю предложенный по умолчанию диск G и нажимаю кнопку Next для перехода к диалоговому окну Share Name, показанному на экране 9.
Экран 9. Имя общего ресурса |
Диалоговое окно Share Name позволяет вам ввести имя общего файлового ресурса. Для простоты я использовал для ресурса CAFS то же имя, что и для службы, CAFS-Gen (экран 9), но это не обязательно. Вы можете дать общей папке любое корректное имя SMB. В центре экрана мы видим локальный и удаленный пути к ресурсу CAFS. Локальный путь в данном примере — G:\Shares\CAFS-Gen. Сетевые системы будут обращаться к общей папке по пути \\CAFS-gen\CAFS-Gen. Щелкнув мышью по кнопке Next, вы откроете диалоговое окно настройки общего ресурса Configure, показанное на экране 10.
Экран 10. Окно настройки общего ресурса |
Диалоговое окно настройки общего ресурса Configure позволяет контролировать процесс обработки ресурса сервером. Чтобы сделать файловый ресурс постоянно доступным, требуется установить флаг Enable continuous availability. Этот параметр активируется по умолчанию. Параметр Enable access-based enumeration управляет возможностью просмотра файлов и папок пользователями без привилегий. Этот параметр выключен по умолчанию. Параметр Allow caching of share разрешает доступ к ресурсу для пользователей, работающих автономно, посредством технологии BranchCache. И наконец, параметр Encrypt data access позволяет обезопасить удаленный доступ к файлам путем шифрования данных, передаваемых ресурсу и извлекаемых из него. Этот параметр по умолчанию отключен. Щелкнув мышью по кнопке Next, вы откроете диалоговое окно Permissions, показанное на экране 11.
Экран 11. Назначение общему ресурсу разрешений |
По умолчанию ресурс CAFS создается с привилегиями Full Control, предоставленными группе Everyone. В большинстве решений вы, скорее всего, захотите изменить настройку прав доступа. В данном примере я соглашаюсь с правами доступа, заданными по умолчанию. Щелкнув мышью на кнопке Next, вы перейдете к диалоговому окну Confirmation, где сможете просмотреть сводку действий, выполненных на предыдущих экранах мастера New Share Wizard. Вы можете щелкнуть мышью по кнопке Previous, чтобы вернуться к этим экранам и изменить любые параметры. Нажатие мышью кнопки Create в диалоговом окне Confirmations приведет к созданию ресурса CAFS и настройке прав доступа для общей папки. После того, как ресурс CAFS будет создан, мы сможете обратиться к нему, как к любой общей файловой папке. На экране 12 показано, как подключиться к общему ресурсу, введя в проводнике Windows Explorer имена сервера и общей папки – \\cafs-gen\CAFS-Gen.
Экран 12. Подключение к общему ресурсу |
Теперь вы можете наполнить общую папку документами и файлами других типов, использование которых станет более эффективным благодаря высокой доступности ресурсов CAFS.
Создание масштабируемых ресурсов CAFS
Основная задача ресурсов CAFS — обеспечить высокий уровень доступности приложений, хранящих данные в общих файловых папках. В прошлом компания Microsoft не предоставляла поддержку такого типа для приложений, подобных системе SQL Server, хранящих свои базы данных на общих файловых ресурсах. Ситуация изменилась с выпуском платформы Server 2012, поддерживающей технологию CAFS. Настройка масштабируемых ресурсов CAFS отличается от настройки ресурсов CAFS общего назначения. Однако для создания масштабируемого решения используется тот же мастер High Availability Wizard. Чтобы создать новый ресурс CAFS для поддержки масштабируемых приложений, выберите ссылку Configure Role… в окне Actions оснастки Failover Cluster Manager (см. экран 1). Далее в диалоговом окне Select Role выберите роль File Server (см. экран 2). Эти два шага такие же, как при создании ресурса CAFS общего назначения. Однако, как показано на экране 13, в диалоговом окне File Server Type необходимо выбрать режим Scale-Out File Server for application data.
Экран 13. Выбор режима масштабирования ресурсов |
Механизм масштабируемого файлового сервера разработан для приложений, которые оставляют свои файлы открытыми на продолжительное время. Щелкнув мышью кнопку Next, вы перейдете к диалоговому окну Client Access Point, показанному на экране 14.
Экран 14. Окно Client Access Point |
Диалоговое окно Client Access Point позволяет вам задать имя для роли CAFS. Я назвал масштабируемый ресурс CAFS именем CAFS-Apps (экран 14). Это серверное имя, которое клиентские приложения используют при обращении к общему ресурсу. Щелкнув мышью кнопку Next, вы перейдете на экран Confirmation, где можно подтвердить выбранные решения или вернуться назад к окнам High Availability Wizard и внести изменения. Если все верно, щелкните мышью на кнопке Next экрана Confirmation, чтобы перейти к диалоговому окну Configure High Availability, который отображает прогресс настройки ресурса CAFS. По завершении процесса настройки вы увидите экран Summary. Щелчок мышью на кнопке Finish на экране Summary приведет к закрытию мастера High Availability Wizard и вернет вас к оснастке Failover Cluster Manager.
Следующий шаг — добавление общей файловой папки к CAFS-серверу масштабируемых приложений. Чтобы создать новый файловый ресурс для роли CAFS, выберите ссылку Add File Share из окна Actions, по аналогии с созданием файловой папки общего назначения на экране 6. Щелкните мышью по ссылке Add File Share для масштабируемого ресурса CAFS, чтобы запустить мастер New Share Wizard, показанный на экране 15.
Экран 15. Выбор профиля для общего ресурса |
Для создания масштабируемого ресурса CAFS из диалогового окна Select Profile выделите профиль SMB Share—Applications в списке File share profile, после чего щелкните мышью кнопку Next, чтобы перейти к диалоговому окну Share Location, показанному на экране 16.
Экран 16. Выбор файлового сервера масштабируемых приложений |
В поле Server в верхней части диалогового окна отображаются два файловых сервера CAFS, созданных ранее. Для добавления ресурса CAFS к файловому серверу масштабируемых приложений выберите файловый сервер CAFS-APPS с описанием Scale-Out File Server в столбце Cluster Role. После этого выберите том CSV, на котором вы хотите создать общий ресурс CAFS. В этом примере доступно два созданных общих ресурса кластера. В качестве места размещения нового ресурса CAFS я выбрал том C:\ClusterStorage\Volume1. При желании вы можете вручную ввести путь и к другому тому CSV. После выбора тома CSV нажмите кнопку Next для перехода к экрану Share Name, показанному на экране 17.
Экран 17. Указание имени для файлового ресурса |
Диалоговое окно Share Name позволяет назначить имя для файлового ресурса. Ресурсу CAFS для масштабируемых приложений я присвоил имя HyperV-CAFS (экран 17). В центре экрана мы видим локальный и удаленные пути к ресурсу CAFS. Локальный путь в данном примере — C:\ClusterStorage\Volume1\Shares\HyperV-CAFS. Удаленные обращения к общей папке будут выполняться с использованием сетевого имени \\cafs-apps\HyperV-CAFS. Щелкните мышью на кнопке Next, чтобы перейти к диалоговому окну Configure, см. экран 18.
Экран 18. Диалоговое окно Configure |
При создании масштабируемого ресурса CAFS флаг Enable continuous availability устанавливается по умолчанию.
Параметры Enable access-based enumeration и Allow caching of share отключены, вы не можете выбрать их. Единственный дополнительный параметр, который вы можете выбрать — Encrypt data access. Я оставил без изменений настройки, предложенные по умолчанию (экран 18). Щелкните кнопку Next, чтобы перейти к диалоговому окну Specify permissions to control access, показанному на экране 19.
Экран 19. Разрешения для масштабируемого ресурса CAFS |
Как и ресурс CAFS общего назначения, масштабируемый ресурс CAFS создается с привилегиями Full Control, предоставленными группе Everyone, — и эти права доступа вы, скорее всего, захотите изменить. Я согласился с привилегиями, предложенными по умолчанию, нажал кнопку Next, открывающую диалоговое окно Confirmation, в котором вы можете просмотреть сводку по действиям, выполненным в предыдущих диалоговых окнах мастера New Share Wizard. Вы можете щелкнуть мышью кнопку Previous, чтобы вернуться назад и изменить любой из параметров. Нажатие кнопки Create в окне Confirmations приведет к созданию масштабируемого ресурса CAFS и настройке заданных прав доступа. После того, как ресурс создан, к нему можно подключиться локально, используя путь C:\ClusterStorage\Volume1\Shares\HyperV-CAFS, или удаленно, используя путь \\cafs-apps\HyperV-CAFS. Новый ресурс CAFS теперь виден в точке подключения тома CSV (экран 20).
Экран 20. Новый ресурс CAFS |
Теперь вы можете наполнить ресурс виртуальными машинами Hyper-V, данными SQL Server, а также файлами журналов и данными приложений других типов.
Повышение доступности файлов
В данной статье я показал, как можно использовать ресурсы CAFS для повышения уровня доступности и гибкости элементов существующей инфраструктуры. Технология CAFS обеспечивает более высокую доступность файловых ресурсов общего назначения, а также позволяет серверным приложениям, таким как SQL Server и Hyper-V, хранить свои данные на файловых ресурсах с высоким уровнем доступности, предоставляя новые возможности для хранения данных критически важных приложений.
SMB Multichannel
The SMB protocol follows the client-server model; the protocol level is negotiated by the client request and server response when establishing a new SMB connection. Windows Server 2012 introduces a feature called SMB 3.0 Multichannel. Multichannel provides link aggregation and fault tolerance.
SMB 3.0 introduces multipath I/O (MPIO) where multiple TCP connections can be established with given SMB session. Benefits include increase bandwidth, enable transparent network interface failover and load balancing per session.
SMB Encryption
Open following registry key
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
- If value of EncryptData DWORD is set to 0 then communication between SMB client and server is encrypted
- If value of RejectUnencryptedAccess DWORD is set to 1 then communication between SMB client and server is rejected.
SMB Multichannel Requirement:
- At least two computers that run on Windows Server 2012 R2, Windows Server 2012, or Windows 8 operating systems. No additional features have to be installed—SMB Multichannel is enabled by default.
- Multiple network adapters in all hosts
- One or more network adapters that support Receive Side Scaling (RSS)
- One of more network adapters that are configured by using NIC Teaming
- One or more network adapters that support remote direct memory access (RDMA)
- Both NICs must be in different subnets
- Enable NICs for client access
- Dedicated subnets SMB storage
- Dedicated Storage VLAN depending on if/how you do converged fabrics
- VNX File OE version 7.1.65 and later or SMB 3.0 compliant storage
- Port Channel Group configured in Cisco switch
TCP/IP session without Multichannel Session
- No Automatic failover or Automatic failover if NICs are teamed
- No Automatic failover if RDMA capability is not used
- Only one NIC engaged
- Only one CPU engaged
- Can not use combined NIC bandwidth
TCP/IP session without Multichannel Session
- Automatic failover or faster automatic failover if NICs are teamed
- Automatic failover if RDMA capability is used. Multiple RDMA connection
- All NICs engaged
- CPU work load shared across all CPU cores
- Combine NIC bandwidth
Which one to use, RDMA or RSS?
If you are looking fault tolerance and throughput then obvious choice is NIC teaming with RSS.
Adding a SMB Share in VNX Storage
- Create a network. Go to Settings -> Network -> Settings for File, Setup your network information
- Go to Storage -> Storage Configuration -> File Systems to create storage. Setup your storage configuration
- Go to CIFS Servers tab and create your Server configuration.
- Go back to your CIFS Share configuration and assign your CIFS Server as allowed and allow SMB protocol.
- Connect your CIFS Share with \\CIFSServer\CIFSShare and your new administrator password.
Adding a port channel group in Switch
Configuration of Cisco Switch with 2 network ports (If you have Cisco)
Switch#conf t
Switch(config)#Int PORT (a.e. Gi3/1)
Switch(config)#switchport mode access
Switch(config)#spanning-tree portfast
Switch(config)#channel-group <40> mode active
Switch(config)#Int port (a.e. Gi3/1)
Switch(config)#switchport mode access
Switch(config)#spanning-tree portfast
Switch(config)#channel-group <40> mode active
Configuration of HP Procurve with 2 network ports (If you have HP)
PROCURVE#conf ter
PROCURVE# trunk PORT1-PORT2 (a.e. C1/C2) Trk<ID> (a.e. Trk99) LACP
PROCURVE# vlan <VLANID>
PROCURVE# untagged Trk<ID> (a.e. Trk99)
PROCURVE# show lacp
PROCURVE# show log lacp
Adding SMB 3.0 Share in Hyper-v
- From Server Manager, click Tools and then click Hyper-V Manager
- Click Hyper-v Settings, Click Virtual Hard Disk, Type UNC path of SMB 3.0. Click Virtual Machine, Type UNC path of SMB 3.0
- Click Ok.
- Open PowerShell Prompt, Enable Multichannel using the following cmdlets.
- Configure SMB Multichannel using Windows PowerShell
Get-SmbClientConfiguration | Select EnableMultichannel
Get-SmbServerConfiguration | Select EnableMultichannel
6. Enable Multichannel
Set-SmbServerConfiguration -EnableMultiChannel $true
Set-SmbClientConfiguration -EnableMultiChannel $true
7. Verify Multichannel
Get-SmbConnection
Get-SmbMultichannelConnection
Содержание
Роль File and Storage Services
Дополнительные службы и компоненты роли
Добавление ролей к роли File and Storage Services
Создание общих ресурсов
Создание общих ресурсов с помощью диспетчера серверов
Создание общих ресурсов на удаленных компьютерах с помощью
диспетчера серверов
Публикация общих ресурсов в Active Directory
Управление разрешениями
Разрешения NTFS
Разрешения общего доступа
Сходные черты разрешений общего доступа и разрешений NTFS
Модификация разрешений общего доступа и NTFS
Объединение разрешений общего доступа и NTFS
Подключение к общим ресурсам
Конфликт между наборами учетных данных
Использование команды net use в сети WAN
Распространенные общие ресурсы
Диспетчер ресурсов файлового сервера
Создание политик квот
Создание политик блокировки файлов
Генерация отчетов
Параметры File Server Resource Manager
Протокол SMB 3.0
Совместимость с версиями SMВ 2.0 и SMB 1.0
Безопасность SMB
Внедрение Bitlocker
Что нового в BitLocker
Требования к оборудованию
Включение BitLocker
Использование автономных файлов / кеширования на стороне клиента
Как работает Offiine Files
BranchCache
Включение средств а Offiine Files на сервере
Одной из основных функций любого сервера является обслуживание ресурсов,
таких как файлы и папки. В Windows Server 2012 R2 роли File Services (Службы
файлов) и Storage Services (Службы хранилища) были объединены в одну роль под названием File and Storage Services (Службы файлов и хранилища). Эта роль устанавливается по умолчанию; однако любые дополнительные роли, которые обслуживают File and Storage Services, понадобится добавить посредством мастера в диспетчере серверов.
Роль File Services включает службы роли наподобие диспетчера ресурсов
файлового сервера (File Server Resource Manager — FSRM), службы для сетевой файловой системы (Network File System — NFS), обеспечивающие поддержку клиентов Unix, службу поиска в Windows (Windows Search) и службу BranchCache для удаленных офисов.
Теперь, когда роль Storage Services доступна в сочетании с ролью FileServices, в Windows Server 201 2 R2 предлагается несколько новых и усовершенствованных ролей и компонентов, в том числе дедупликация (Dedup1ication), пространства хранения (Storage Spaces) и пулы хранения (Storage Pools), которые еще более
улучшают эту версию Windows Server.
Когда вы планируете совместное использование файлов и папок, важно пони
мать не только то, как открыть общий доступ к данным, но также и то, как защитить их с помощью разрешений, включая разрешения файловой системы New Technology File System (NTFS) и общего доступа. Хотя оба набора разрешений применяются независимо, они обеспечивают накопительный эффект, предоставляя множество уровней расширенных параметров безопасности. Вы должны быть в состоянии быстро определить, какие окончательные разрешения имеет пользователь, который обращается к общему ресурсу через сеть. И если вы хотите защитить целые жесткие диски, то по-прежнему можете применять компонент BitLocker Drive Encryption
(Шифрование диска BitLocker), чтобы шифровать их содержимое, как это дела
лось в Windows Server 2008 R2. Одной из наиболее заметных новых возможностей
в шифровании дисков Windows Server 2012 R2 являются новые опции BitLocker
Dгive Encryption. Теперь можно использовать опцию Encrypt used disk space only
(Шифровать только использованное пространство диска). Больше не нужно ждать
часами, пока завершится шифрование целого тома, в то время как занята только не большая часть общего пространства на диске. Новые возможности BitLockeг более подробно рассматриваются ближе к концу этой главы.
Лежащим в основе протоколом, который обрабатывает передачи файлов, явля
ется SMB (Serveг Message Block — блок сообщений сервера), который в Windows
Serveг 201 2 был модернизирован до версии 3.0. Протокол SMB 3.0 поддерживает
много новых функций, которые превращают файловые обшие ресурсы в фундамент
для небольших и средних компаний. Этот стек протоколов обеспечивает ряд зна
чительных преимушеств при передаче файлов по сети — при условии подключения
к правильным видам клиентов. При подключении к унаследованным машинам по
прежнему будут применяться версии SMB 1 .0 и SMB 2.0, со всеми присущими им
проблемами. В настоя шее время только Windows 8 и семейство Windows Serveг 2012 могут извлечь полную выгоду от новых функций SMB 3.0, которые будут обсуждаться в этой главе.
В этой главе вы изучите следуюшие темы:
• установка на сервере дополнительных ролей File and Stoгage Services;
• объединение разрешений обшего доступа и NTFS;
• внедрение BitLockeг Drive Encryption.
Роль File and Storage Services
Роль File and Storage Services комбинирует множество файловых технологий и
технологий хранения, которые оказывают администраторам содействие в настройке
файловых серверов для их организации. Стандартная установка сделает возможным базовое администрирование функционаJ1ьности хранилища с применением диспетчера серверов или PoweгShell, но для построения подходяшего файлового сервера желательно установить роль File Server (Файловый сервер) наряду с другими важными ролями вроде File Serveг Resouгce Manageг (Диспетчер ресурсов файлового сервера) и DFS Replication (Репликация DFS). Дело вовсе не в том, что файловая система DFS требуется все время — но она определенно может быть великолепным дополнением, когда необходима репликация для обеспечения доступности или репликация между географически разбросанными местоположениями. Важно иметь план и конечную цель для серверных ролей. Постарайтесь получить максимальную отдачу от первого прохода мастера за счет соответствующего планирования. Мы будем добавлять роли в следующем разделе.
Основной компонент любого сервера — его способность к совместному исполь
зованию файлов. На самом деле служба Server (Сервер) во всем семействе операционных систем Windows Serveг (включая Windows Server 201 2 R2) обрабатывает базовые возможности сервера по обшему доступу к файлам и печати. Но что именно это значит и почему оно настолько важно’? По умолчанию одно лишь наличие функционируюшего сервера вовсе не означает доступность любых ресурсов лля пользователей. Прежде чем они смогут действительно работать с ресурсами, к этим ресурсам
должен быть открыт обший доступ.
Когда вы открываете общий доступ к этой папке через сеть под именем Apps,
вы разрешаете клиентам отображать новую букву диска на своих машинах на вашу
папку F: \Apps. За счет такого отображения вы помещаете виртуальный указатель
прямо на удаленный диск. Если вы отображаете диск м клиента на общий ресурс
Apps сервера, то диск м будет выглядеть идентичным папке F: \Apps сервера, как показано на рис. 1 3.2.
Не беспокойтесь; позже в этой главе м ы объясним, как создавать такой об
щий ресурс и подключаться к нему. Это все, что действительно нужно сделать.
Совместное использование ресурсов означает, что вы позволяете пользователям обращаться к этим ресурсам из сети. Никакой реальной обработки со стороны сервера не производится; он просто раздает файлы и папки в том виде, как они есть.
дополнительные службы и компоненты роли
Диспетчер серверов (Server Manager) — это одиночная консоль, включающая
множество разделов, которые могут применяться для управления различными сер
верными ролями, в том числе ролью File and Storage Services. Роль Fi\e and Storage Services в Windows Server 201 2 R2 позволяет делать намного больше, чем просто открьшать общий доступ к папкам. Роль File and Storage Services включает несколько дополнительных служб роли.
• File Server (Файловый сервер). Это главная служба роли, требуемая для поддержки роли File and Storage Services. Данная роль предоставляет возможность создания и управления общими ресурсами наряду с разрешением пользователям открывать совместный доступ и обращаться к файлам, доступным в сети.
Хорошей характеристикой службы роли File Server является то, что она авто
матически добавляется при открытии общего доступа к какой-либо папке. Эта
служба роли использует новый протокол SMB 3.0, который более подробно
обсуждается ближе к концу главы.
• Distrlbuted File System (Распределенная файловая система). Служба роли
Distributed File System (DFS) включает роли DFS Replication (Репликация
DFS) и DFS Namespaces (Пространства имен DFS) и более подробно раскры
вается в главе 14.
• Data Deduplication (Дедупликация данных). Служба роли Data Deduplication
(Dedup) позволяет сохранять больше дискового пространства за счет обнару
жения и устранения дублирования внутри файлов данных. Вместо хранения
множества копий идентичных файлов место занимает только одна копия, а все
дубликаты ссылаются на нее. Основная идея Data Deduplication — сохранить
больше данных внутри меньшего пространства, разделяя файлы на небольшие
блоки, идентифицируя дубликаты и затем поддерживая единственную копию
этих дубликатов. Дедупликация в Windows Server 201 2 R2 теперь является основанной на блоках на уровне самой операционной системы; во многих решениях от поставщиков хранилищ применяется дедупликация, основанная на файлах, на уровне хранилища. Многие люди задаются вопросом, какую экономию дискового пространства они могут ожидать мя разных типов файлов. В табл. 13. 1 приведены некоторые впечатляющие показатели, полученные в результате тес
тирования в испытательной среде. Эти тесты могут быть до некоторой степени
оптимизированы для достижения лучшей производительности.
• File Server Resource Manager (Диспетчер ресурсов файлового сервера). Служба
роли File Server Resource Manager (FSRM) предоставляет развитый набор до
полнительных инструментов, которые можно использовать для управления
хранилищем данных на сервере, включая конфигурирование квот, определе
ние политик блокировки файлов и генерация отчетов по хранилищу.
Таблица 13.1. Экономия хранилища, обеспечиваемая дедупликациеи
в испытательном среде
Общие файлы
Документы
Библиотека приложения
Библиотека VHD
ЭКОНОМКА
Экономия 56 пространства при включенной дедупликации
Экономия 35 пространства при включенной дедупликации
Экономия 780 пространства при включенной дедупликации
Экономия 80-95% пространства при включенной дедупликации
В разделе «Диспетчер ресурсов файлового сервера» далее в главе рассматрива
ются нововведения, привнесенные в FSRM версией Windows Server 2012 R2.
• Network File System (Сетевая файловая система). Эта служба позволяет предоставлять доступ к файлам из клиентских компьютеров Unix и других машин, которые могут взаимодействовать с применением Network File System (NFS).
Операционная система Windows Server 2012 R2 проделала действительно дол
гий путь со времен Windows Server 2008, предложив в этой серверной редак
ции впечатляющее решение с кластеризированной реализацией. В Windows
Server 2012 обеспечивается гладкий обход отказа для клиентов смешанного
режима в кластеризированной среде. Признавая потребность в росте виртуа
лизированного мира, в Microsoft спроектировали службу NFS специально для
кластеризироDанных виртуальных сред, где непрерывность ввода-вывода под
держивается независимо от операции, выполняемой во время отказа. Теперь
используется NFS версии 4.1 , делая реализацию NFS самой надежной и простой для развертывания в рамках семейства Windows Server.
В Windows Server 2012 R2 также появилось несколько новых командлетов
PowerShell, предназначенных для NFS. Чтобы получить полный их список, запустите командлет Get-Coпunand -Module NFS. Как вы увидите, доступны ко
мандлеты практически для любого действия, которое нужно выполнять с NFS.
Для получения информации о синтаксисе или об отдельной команде приме
няйте любой из следующих командлетов:
• Get-Help <имя командлета> -Detailed
• Get-Help <имя команд.лета> -Examples
• Get-Help <имя команд.лета> -Full
• Storage Senices (Службы хранилища). В Windows Server 2012 R2 добавлены
замечательные компоненты, входящие в состав Storage Services. Они теперь
включают пространства хранения и пулы хранения. За счет объединения
Storage Services с Data Deduplication в Windows Server 2012 R2 теперь можно не только предоставлять, но также и составлять конкуренцию службам, которые обычно требуют отдельной сети хранения данных.
• File Server VSS Agent Senice (Служба агента VSS файлового сервера). Когда включена, эта служба роли позволяет выполнять теневое копирование приложений, которые хранят данные на вашем файловом сервере. Новый в Windows Server 2012 компонент VSS for SMB File Shares (VSS для файловых общих ресурсов SMB) позволяет строить резервные копии во время записи актуальных данных на общие ресурсы SMB. Предшествующие версии VSS разрешали работу теневого копирования только на локальных томах.
• iSCSI Target Server (Целевой сервер iSCSI). Эта служба роли представляет собой серверный компонент, который предлагает блочное хранилище другим
серверам и приложениям в сети. Она содержит все инструменты управления,
необходимые для целей iSCSI.
Целевой сервер запускает цель iSCSI через сеть Ethernet без необходимости в развертывании какого-то дополнительного оборудования. Эта служба роли поддерживает неоднородное хранилище, что позволяет Windows Server совместно использовать его в смешанной программной среде, утилизируя разнообразные типы инициаторов iSCSI.
Данной службой роли можно управлять с применением нового графического пользовательского интерфейса, интегрированного в диспетчер серверов, или новых командлетов Windows PowerShell, включенных в Windows Server 2012 R2.
• BranchCache for Network Files (BranchCache для сетевых файлов).
Средство BranchCache может использоваться в среде с несколькими сайтами, чтобы позволить компьютерам в офисах филиалов кешировать общие загружаемые
файлы. Компонент BranchCache должен быть включен на общей папке. Вы
увидите, как это делается, в разделе «Использование автономных файлов / ке
ширования на стороне клиента» далее в главе.
ДОБАВЛЕНИЕ РОЛИ FILE SERVER ПРИ ОТКРЫТИИ ОБЩЕГО ДОСТУПА К ПАПКЕ
Если вы просто применяете проводник Windows для открытия общего доступа к папке, то роль F i l e Server добавляется автоматически. Вы не обязаны добавлять эту роль с использованием диспетчера серверов.
Тем не менее, когда вы планируете задействовать любые дополнительные роли, то должны добавлять их с помощью мастера добавления ролей и компонентов (Add Roles and Features Wizard), доступного в диспетчере серверов.
добавление ролей к роли File and Storage services
Для добавления ролей к роли File and Storage Services выполните следующие
шаги.
1 . Запустите диспетчер серверов, щелкнув на значке Server Manager (Диспетчер
серверов) в панели задач или на плитке Server Manager на экране Start (Пуск),
как показано на рис. 13.3.
2. На вкладке Dashboard (Управляющая панель) щелкните на ссылке Add Roles
and Features (Добавить роли и компоненты), как показано на рис. 13.4.
3. Мастер добавления ролей и компонентов (Add Roles and Features Wizard) прове
дет вас по остальным действиям процесса. Просмотрите информацию на экра
не Before you begin (Прежде чем начать) и щелкните на кнопке Next (Далее).
4. На экране lnstallation Туре (Тип установки) по умолчанию выбран переключа
тель Role-Based ог Feature-Based installation (Установка на основе ролей или
на основе компонентов). Второй переключатель, Remote Desktop Services
installation (Установка служб удаленного стола), касается служб роли для развертывания VDI (Yirtual Desktop Infrastructure — инфраструктура виртуальных рабочих столов). Оставьте выбор по умолчанию и щелкните на кнопке Next.
5. На экране Server Selection (Выбор сервера) выберите сервер, к которому необходимо добавить службы роли, и щелкните на кнопке Next.
6. На экране Server Roles (Серверные роли) выберите следующие службы роли
(рис. 13.5): File Server, File Server Resource Manager и BranchCache for Network Files. Щелкните на кнопке Next.
Теперь, когда службы роли выбраны, наступило время установить любые до
полнительные компоненты, которые помогают в поддержке этих служб ролей.
На выбор доступны многие полезные компоненты.
Ролью считается крупная функция сервера, тогда как компонент — это пакет дополнения меньшего размера, который обычно предоставляет добавочную поддержку
для основной роли. Основные роли могут включать Active Directory, DNS и DHCP.
Компоненты, подобные PowerSheП, Windows Server Backup (Резервное копирование
Wmdows Server) и Remote Ass istance (Дистанционный помощник), обеспечивают допол
нительную функuиональность, помогая эфф ективнее управлять серверными ролями.
7. Для примера давайте установим компоненты BitLocker Drive Encryption,
BranchCache и Enhanced Storage (Расширенное хранилище). Вы заметите, что вы
бор BitLocker Drive Encryption приводит к автоматическому выбору для установки также и компонента Enhanced Storage (рис. 13.6). Щелкните на кнопке Next.
8. Просмотрите информацию на экране Confirmation (Подтверждение), удостове
рившись в том, что ничего не упустили из виду.
Мастер аккуратно отображает все выбранные роли, компоненты и поддерживающие их инструменты. На этом экране присутствует несколько дополнительных опций, которые вы можете счесть полезными: Restart the destination server automatically if required (При необходимости автоматически перезапускать целевой сервер), Export configuration settings (Экспортировать настройки конфигурации) и Specify an alternate source path (Указать альтернативный исходный путь).
Рис. 1 3.6. Выбор дополнительных компонентов для служб роли
9. Щелкните на кнопке lnstall (Установить).
Финальным экраном мастера является Results (Результаты). Здесь отобразит
ся индикатор хода работ по установке. Если вы хотите закрыть этот экран и
выйти, задача будет выполняться в фоновом режиме. Вы всегда можете про
смотреть детальные сведения о задаче в панели задач, щелкнув на значке
Notifications (Уведомления).
10. После успешной установки перезагрузите сервер вручную, или если вы отме
тили флажок Restart the destination server automatically if required на экране Confirmation, то сервер перезагрузится по завершении процесса установки.
Теперь диспетчер серверов включает все роли и компоненты, которые были установлены во время выполнения упражнения. Открыв диспетчер серверов и перейдя на вкладку Dashboard, вы можете просмотреть и воспользоваться установленными ролями и компонентами, щелкая на инструментах и выбирая желаемые ресурсы.
Компоненты File SeNer Resource Manager показаны на рис. 1 3.7.
создание общих ресурсов
Проuесс создания общих ресурсов в этой редакции сервера претерпел ряд интересных изменений. Похоже, что практически все имеет мастер, проводящий нас по задачам и действиям. Существует множество разных способов создания общих ресурсов, которые обсуждаются в данной книге повсеместно. В этом разделе мы сосредоточим внимание на создании обших ресурсов с помошью диспетчера серверов.
Независимо от применяемого метода, на компьютере, где создаются обшие ресурсы, вы должны иметь права пользователя Administrator (Администратор) или Power User (Опытный пользователь).
После создания общий ресурс можно опубликовать в Active Directory, чтобы
упростить пользователям его нахождение. В этом разделе вы научитесь создавать общие ресурсы с использованием диспетчера серверов и публиковать их в Active Directory.
Создание общих ресурсов с помощью диспетчера серверов
Добавлять общие ресурсы в диспетчере серверов относительно просто. На вклад
ке Shares (Общие ресурсы) для роли File and Storage Services доступен мастер созда
ния общеrо ресурса (New Share Wizard), который помогает выполнить эту задачу.
1. Запустите диспетчер серверов, если это еще не сделано, щелкнув на значке
Server Manager (Диспетчер серверов) в панели задач или на плитке Server
Manager на экране Start (Пуск).
2. Выберите роль File and Storage Services и затем вкладку Shares (Общие ресурсы).
3. Щелкните правой кнопкой мыши на области местоположения общей пап
ки и выберите в контекстном меню пункт New Share (Создать общий ре
сурс). Можно также выбрать пункт New Share в раскрывающемся меню Tasks
(Задачи). В любом случае запустится мастер создания общего ресурса, как по
казано на рис. 13.8.
На первом экране мастера, Select Profile (Выбор профиля), предоставляется
возможность выбрать профиль протокола для применения при создании об
щего ресурса. Доступны два крупных варианта и несколько подвариантов. Вы
можете создать либо общий ресурс SMB, либо общий ресурс NFS. В целом
можно отметить следующее:
• общие ресурсы SMB используются для операционных систем Windows;
• общие ресурсы NFS применяются для взаимодействия с машинами на ос
нове Unix.
Протоколы SMB и NFS имеют варианты профиля общего ресурса Quick (Быстрый) и Advanced (Расщиренный). Профиль Advanced имеет несколько дополнительных опций конфигурации, среди которых включение квот. Позже всегда можно добавить дополнительные компоненты, используя диспетчер серверов. Если вы решите включить квоты, то вам сначала потребуется построить новый шаблон квот или отредактировать существующий такой шаблон.
Для SMB предусмотрен еще один шаблон профиля под названием SMB Share —
Applications (Общий ресурс SMB — Приложения). Этот профиль создает общий файловый ресурс SMB с дополнительными настройками, применяемыми
в виртуальной среде.
Рис. 13.8. Создание общего ресурса с использованием диспетчера серверов
4. Для целей этого упражнения выберите профиль SMB Share — Quick (Общий
ресурс SMB — Быстрый), как показано на рис. 1 3.9, и щелкните на кнопке
Next (Далее).
NFS для КЛИЕНТОВ UNIX
Вариант N FS не пригоден к употреблению, если на сервер не была добавлена роль Services for Network File System (Службы для сетевой файловой системы). Если позже вырешите добавить поддержку для клиентов Unix, то всегда сможете добавить упомянутую службу.
После этого варианты NFS стануr доступными в мастере New Share Wizard.
5. На экране Share Location (Местоположение общего ресурса) выберите сервер,
на котором будет размещен общий ресурс, и укажите том на сервере, который
будет служить местоположением общего ресурса.
Обратите внимание, что общий ресурс можно создавать только на сервере с
установленной ролью File Services Resource Manager.
6. Щелкните на кнопке Next.
На экране Share Name (Имя общего ресурса) можно определить имя общего
ресурса и предоставить его описание. При этом отображаются локальный и
удаленный сетевые пути, необходимые для достижения ресурса.
7. Примите эту информацию к сведению, т.к. вам понадобится сообщить ука
занные сетевые пути своим пользователям для доступа к общему ресурсу. На
рис. 13. 1 О приведен пример именования общего ресурса. Щелкните на кнопке
Next. На экране Other Settings (Другие настройки) предлагаются четыре допол
нительных настройки, помогающие сделать общий ресурс более надежным.
• Опция ЕnаЫе access-based enumeration (Включить перечисление на основе
доступа) будет автоматически скрывать папку от пользователя, который не
имеет разрешения читать папку.
• Опция Allow caching (Разрешить кеширование) предоставляет автономным
пользователям доступ к общим данным, когда они работают в автономном
режиме.
• Поскольку вы установили компонент BranchCache в предыдущем упражне
нии, то теперь можете выбрать опцию ЕnаЫе BranchCache on the file share
(Включить BranchCache на этом общем ресурсе).
• Последняя опция на этом экране, Encrypt data access (Шифровать доступ к
данным), защищает удаленный доступ к файлам из общего ресурса.
Если вы еще не включили шифрование на сервере, сделайте это прямо сейчас,
отметив этот флажок. В случае если он недоступен или уже отмечен, значит,
на данном сервере шифрование включено.
8. Сделайте нужный выбор и щелкните на кнопке Next.
9. Экран Permissions (Разрешения) предостамяет возможность при желании изме
нить разрешения NTFS. Разрешения NTFS будут раскрыты позже в этой главе, а
пока щелкните на кнопке Next, чтобы принять стандартные разрешения NTFS.
10. На экране Confirmation (Подтверждение) предстамена сводка по всем выбранным настройкам для создания нового общего ресурса. Внимательно просмотрите их, внесите любые необходимые изменения и щелкните на кнопке Create (Создать). Экран Confirmation показан на рис. 1 3. 1 1 .
Последним экраном этого мастера является Results (Результаты). Отобразят
ся два индикатора хода работ: один для задачи Create SMB Share (Создание
общего ресурса SMB) и еще один для задачи Set SMB Permissions (Установка
разрешений SMB). После того как состоянием обеих задач станет Completed
(Завершена), общий ресурс построен и готов к использованию.
1 1. Щелкните на кнопке Close (Закрыть), чтобы завершить работу мастера.
Создание общих ресурсов на удаленных компьютерах с помощью диспетчера серверов
Предыдущую процедуру можно также выполнить для создания общих ресурсов
на удаленных компьютерах с применением диспетчера серверов. Подобно пред
шествующим редакциям сервера, диспетчер серверов способен выполнять задачи
управления на удаленных компьютерах. На компьютерах, функционирующих под
управлением Windows Server 201 2, компонент Remote Management по умолчанию
установлен и включен. На рис. 13.12 видны различные опции, которые диспетчер
серверов предлагает, когда был добавлен другой сервер.
Управление сервером Windows Server 2008 из Windows Server 2012 R2
Для того чтобы полностью управлять серверами, на которых выполняется
Windows Server 2008 или Windows Server 2008 R2, потребуется провести несколько обновлений. Для начала установите .NET Framework 4.0 и затем Windows Management Framework 3.0. После этого необходимо удостовериться в корректной конфигурации удаленного компьютера, что можно сделать путем ввода трех команд.
1. Введите показанную ниже команду в окне командной строки на компьютере,
который вы желаете администрировать дистанционным образом. Эта команда
включит прослушиватель WinRM:
2. После выдачи запроса введите У и нажмите .
3. Удостоверьтесь, что на удаленном компьютере функционирует служба вирту
альных дисков (Virtual Disk Service). Это можно сделать с помощью следующих
команд:
sc config vds start= auto
net start vds
Вы можете сконфигурировать количество пользователей, которые могут одновре
менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит пользователей) в диалоговом окне свойств общего ресурса. Чтобы установить лимит пользователей, откройте папку Administrative Tools (Администрирование), дважды щелкните на значке Computer Management (Управление компьютером), разверните узел Shared Folders (Общие палки), выберите папку Shares (Общие ресурсы), щелкните правой кнопкой мыши на общем ресурсе, для которого хотите установить лимит пользователей, и выберите в контекстном меню пункт Properties (Свойства).
Ниже показан экранный снимок с настройкой лимита пользователей для общего
ресурса.
В качестве примера, если приложение лицензировано для 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей. Просто выберите переключатель Allow this number of users ( Разрешить это количество пользователей) и укажите в поле рядом соответствующее число (по умолчанию оно равно 1 ).
По мере того, как пользователи подключаются к общему ресурсу, их число приближается к лимиту пользователей. При отключении от общего ресурса их количествоуменьшается. Такой тип принудительного применения лицензий может быть удобен для снижения затрат на лицензирование.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.
В режиме клиентских лицензий производитель не заботится о том, сколько пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение.
В таких случаях лимит пользователей никак вас не защитит.
Необходимо также помнить о том, что этот лимит параллельно подключаемых пользователей основан на целом общем ресурсе.
Он не может быть определен для каждой папки внутри общего ресурса.
Например, у вас может быть два приложения на одном общем ресурсе.
Приложение 1 имеет лимит в 100 пользователей, а для приложения 2 лимит не предусмотрен. По невнимательности вы можете ограничить доступ к приложению 2, когда для общего ресурса устанавливается лимит подключений в 100 пользователей.
Наконец, вы должны принять во внимание, каким образом пользователи подключаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограничивать их на базе параллелизма.
Если все пользователи подключаются к общему ресурсу при входе в систему (как с отображенным диском), и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему пользователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей.
Если подключения осуществляются только при использовании приложения,
то лимит пользователей будет работать довольно хорошо.
Следите ЗА ПРОБЕЛАМИ в КОМАНДЕ sc
Команда sc config применяется для изменения конфигурации службы. По умолчанию служба виртуальных дисков (Virtual Disk Service — VDS) не запускается, поэтому вы будете использовать эту команду для автоматического запуска VDS на сервере.
Служба VDS необходима для получения доступа к возможностям дистанционного
управления. Чтобы получить дополнительные сведения об опциях и функциях команды sc, откройте окно командной строки и введите sc config?. Команда конфигурирования сервера (server config — sc) очень приверепдива в отношении пробелов.
Показанная ниже команда содержит пробел после символа =, и она будет работать:
sc config vds s tart= auto
С другой стороны, следующая команда работать откажется из-за пропущенного пробела:
sc config vds start=auto
4. Создайте исключение брандмауэра для группы Remote Volume Management
(Управление удаленными томами) с помощью приведенной далее команды.
В книге команда разнесена на две строки, но на самом деле она должна вводиться в одной строке.
netsh advfirewall firewall set rule-CA
group=»Remote Volume Management» new enaЬle=yes
Если команда была введена корректно, в выводе отобразится строка Updated
3 rules (Обновлены 3 правила).
После того как удаленный компьютер сконфигурирован, вы можете открыть
диспетчер серверов на своем локальном компьютере и выбрать в меню Manage
(Управление) пункт Add Servers (Добавить серверы). Существуют три способа нахождения и добавления новых машин в локальном диспетчере серверов. Сервер
можно добавить методом поиска в Active Directory и выбора компьютера, присоединенного к домену. Кроме того, сервер можно добавить, введя на вкладке DNS имя компьютера или его I Р-адрес.
И, наконец, вкладка lmport (Импорт) позволяет на прямую запросить сетевой путь к желаемой машине или просмотреть местоположения в сети для обнаружения нужного ресурса. Воспользовавшись одним из перечисленных методов, найдите машину для управления и щелкните на кнопке ОК.
Через короткое время диспетчер серверов подключится к удаленному компьютеру.
После этого вы сможете просматривать и управлять удаленным компьютером на вкладке All Servers (Все серверы) в диспетчере серверов. Просто щелкните правой кнопкой мыши на подключенном удаленном компьютере, и в контекстном меню отобразится список функций управления (рис. 13.13).
Публикация общих ресурсов в Active Directorv
Одной из великолепных особенностей среды Active Directory является возмож
ность объединения всех ресурсов предприятия в единый каталог, будь то принтеры, группы, пользователи, организационные единицы или что угодно из области ваших
фантазий — точнее, возможность их обслуживания. Это касается и общих ресурсов.
Главная причина публикации общего ресурса в Active Directory связана с тем, чтобы упростить пользователям его нахождение.
Публикация общего ресурса осуществляется в консоли управления Active
Directory Users and Computers (Пользователи и компьютеры Active Directory).
Щелкните правой кнопкой мыши на необходимой организаuионной единиuе и вы
берите в контекстном меню пункт New�Shared Folder (СоздатьqQбщая папка). Вам
будет предложено указать имя для этой публикаuии общего ресурса и, конечно же, имя самого общего ресурса. Это все, что нужно было сделать — общий ресурс теперь опубликован в Active Directory. После публикаuии общего ресурса можете также добавить ключевые слова, чтобы упростить пользователям его нахождение.
1 . Щелкните правой кнопкой мыши на объекте общей папки в консоли Active
Directory Users and Computers.
2. Выберите в контекстном меню пункт Properties (Свойства) и открывшемся
диалоговом окне щелкните на кнопке Keywords (Ключевые слова).
3. Добавьте любые желаемые ключевые слова, которые пользователи могут при
менять при поиске этого общего ресурса.
На рис. 1 3 .14 демонстрируется добавление ключевых слов к опубликованному
общему ресурсу Colorado Springs.
Рис. 1 3.14. Добавление ключевых слов к опубликованному общему ресурсу
После этого пользователи могут с помощью инструмента поиска в Active
Directory искать по ключевым словам. На рис. 13.15 показан инструмент поиска в
Active Directory с выбранным элементом Shared Folders (Общие папки) в раскрывающемся списке Find (Искать). Мы добавили ключевое слово Colorado и щелкнули на кнопке Find Now (Найти сейчас), что привело к нахождению нужного общего ресурса. Для доступа к общему ресурсу достаточно просто дважды щелкнуть на нем.
Рис. 1 3.15. Применение инструмента поиска в Active Directory
для нахождения опубликованного общего ресурса
Управление разрешениями
Одним из крупных достоинств дисков, сформатированных с файловой системой
NTFS, и общих ресурсов является возможность назначения разрешений и управления тем, кто может иметь доступ к различным файлам и папкам. В то время как в
главе 14 будет подробно раскрыта внутренняя работа этих разрешений, в настоящей главе мы дадим базовое введение в разрешения NTFS и общего доступа. Вы заметите, что в этой редакции сервера в отношении разрешений изменилось не очень многое. По большей части просто появился новый способ для навигации и работы с теми же самыми функuиями и инструментами, которые вы хорошо знаете по версии Windows Server 2008 R2.
Между разрешениями NTFS и разрешениями обшего доступа есть много сходства, о чем пойдет речь в этом разделе.
Сходство включает то, как каждому разрешению может быть назначено действие Allow (Разрешить) или Deny (Запретить), каким образом разрешения накапливаются, как Deny получает приоритет и каким образом используется принuип неявного запрета.
Когда пользователь обращается к общему ресурсу, к которому применены раз
решения NTFS и общего доступа, результирующее разрешение в общем случае называется наименее ограничивающим разрешением.
Поскольку вас могут попросить решить проблему с невозможностью доступа к какому-то файлу или папке, вы должны знать, как вычислить результирующее разрешение, чему и посвящен материал данного раздела.
Разрешения NTFS
Разрешения NTFS применяются к любому файлу или папке на диске, который
был сформатирован с файловой системой NTFS.
• Read (Чтение). Когда пользователю назначено разрешение Read, ему позволе
но просматривать содержимое, разрешения и атрибуты, ассоциированные с
файлом или папкой.
• Read & Execute (Чтение и выполнение). Разрешение Read & Execute используется для предоставления пользователю возможности запуска файлов. Любые исполняемые файлы (такие как . ехе, .bat и . сот) — это файлы, которые можно запускать. Если пользователь имеет только разрешение Read, но не Read & Execute, файлы не могут быть запущены.
• List Folder Contents (Список содержимого папки).
Разрешение List Folder Contents позволяет пользователю просматривать содержимое папки.
Оно дает пользователю возможность увидеть, какие файлы существуют внутри папки, но без применения разрешений Read к этим файлам.
• Write (Запись). Если пользователю назначено разрешение Write дпя файла или
папки, он может модифицировать содержимое этого файла или папки. Под
этим понимается добавление в папку новых файлов или папок либо внесение
изменений в существующие файлы или папки. Тем не менее, удалять файлы
из папки не допускается.
• Modify (Изменение). Разрешение Modify включает все разрешения Read, Read
& Execute и Change, а также возможность удаления файлов и папок.
• FuU Cootrol (Полный доступ). Разрешение Full Control представляет собой объединение всех доступных разрешений с дополнительной возможностью изме
нения разрешений и смены владельца файлов или папок.
Разрешения общего доступа
Разрешения общего доступа применяются к общим ресурсам, только когда к ним
производится доступ через сеть. Разрешений общего доступа всего лишь три.
• Read (Чтение). Пользователи, которым выдано разрешение Read, могут читать
файлы и папки внутри общего ресурса.
• Change (Изменение). Пользователи, которым выдано разрешение Change, могут
читать, запускать, модифицировать и удалять файлы и папки внутри общего
ресурса.
• Full Control (Полный доступ). Пользователи, которым выдано разрешение
Full Control, могут делать все то же самое, что и пользователи с разрешением
Change, а также вдобавок изменять разрешения для общего ресурса.
сходные черты разрешений общего доступа и разрешений NTFS
Теперь, когда вы имеете базовое понимание в целом разрешений NTFS и обшего
доступа, легче выявить сходные черты между ними. Все они перечислены ниже.
• Обоим типам разрешений может быть назначено действие Allow (Разрешить)
или Deny (Запретить).
• Оба типа разрешений являются накопительными.
• В обоих типах разрешений приоритет имеет действие Deny.
• Оба типа разрешений поддерживают принцип неявного запрета.
Назначение действия Allow или Deny
Приступив к работе с разрешениями, вы заметите, что для каждого из перечис
ленных разрешений предусмотрены флажки Allow (Разрешить) или Deny (Запретить).
Н иже приведен обзор того, как они работают.
• Если для разрешения отмечен флажок Allow в отношении пользователя или
группы, то этот пользователь или группа имеют данное разрешение.
• Если для разрешения отмечен флажок Deny в отношении пользователя или
группы, то этот пользователь или группа не имеют данного разрешения.
• Разрешения являются накопительными. Если пользователю назначено не
сколько разрешений Allow (таких как Allow Read и Allow Change), пользова
тель получает объединение назначенных разрешений.
• Если пользователю назначены разрешения и A\Jow, и Deny, то разрешения
Deny имеют преимущество.
Если пользователю вообще не назначены какие-либо разрешения, он не имеет
доступа к объекту. Это называется неявным запретом. Разрешения общего доступа
и разрешения NTFS используют модель избирательного управления доступом (dis
cretionary access control — DAC). Каждый объект имеет список избирательного управления доступом (discretionary access control list — DACL), состоящий из записей управления доступом (access control entry — АСЕ).
Каждая запись АСЕ идентифицирует пользователя или группу с ассоциированным
идентификатором защиты (security identifier — SID) и разрешением Allow или Deny.
Любой объект может иметь несколько записей АСЕ в своем списке DACL; другими
словами, любой объект может иметь множество назначенных ему разрешений.
ИДЕНТИФИКАТОРЫ ЗАЩИТЫ
Каждый пользователь и каждая группа уникально идентифицируются с помощью
S ID. Когда пользователь входит в систему, создается маркер, включающий STD пользователя и идентификаторы SID всех групп, членами которых пользователь является. Этот маркер применяется операционной системой для определения, должен ли пользователь иметь доступ. Идентифи:каторы SI D в маркере сравниваются с идентификаторами SI D из записей управления доступом в списке DACL, чтобы выяснить,возможен ли доступ.
Когда пользователь обращается к файлу, папке или общему ресурсу, операционная система сравнивает список DACL с учетной записью пользователя и его членством в группах. Если обнаруживается соответствие, пользователю предоставляется соответствующее разрешение.
Накопленные разрешения
Объектам могут назначаться множество разрешений. В качестве примера предположим, что имеется общий ресурс по имени Proj ectData. Группе Administrators может быть предоставлено разрешение Full Control, какой-то группе — разрешение Change, а еще какой-то группе — разрешение Read. При назначении нескольких разрешений они накапливаются. Другими словами, если к пользователю применяется множество разрешений, то пользователь получает объединение всех этих разрешений.
Представим, что Салли состоит в группах G_Sales и G_SalesAdmins, и этим
группам выданы следующие разрешения для общего ресурса Sales:
G Sales Разрешение Allow Change
G SalesAdmins Разрешение Allow Full Control
Поскольку Салли является членом обеих групп, ей предоставляются разрешения
Change и Full Control; говоря по-другому, она получает объединение разрешений
Change и Full Control.
Действие Deny имеет приоритет
Если к любому разрешению, назначенному пользователю, применены действия
Allow и Deny, то Deny получает приоритет. В качестве примера предположим, что группе G Sales выдано разрешение Full Control для общего ресурса, который содержит патентованную информацию. По ряду причин пользователь Billy Joe ВоЬ (являющийся членом группы G _ Sales) впал в немилость в компании. Вас попросили оставить его в группе G_Sales, чтобы он имел доступ к другим обшим ресурсам, но запретить ему доступ к общему ресурсу с патентованной информацией.
На рис. 13.16 показано, как вы можете пос
тупить. Для начала разрешения общею доступа
выданы персоналу из группы G_Sales, имею
шей разрешение Full Control для этого общего
ресурса. Чтобы полностью запретить пользо
вателю B i l l y Joe ВоЬ доступ к данным, его
учетная запись была добавлена и ей назначено
разрешение Deny Full Control. Другими слова
ми, его учетная запись была явно запрещена.
Обратите внимание на возникший конф
ликт. Пользователю предоставляется доступ как
члену группы G_Sales и запрещается доступ
для его учетной записи. Конфликт разрешает
ся в пользу Deny. Если подумать, то это имеет
смысл. Когда вы предпринимаете дополнитель
ные действия, необходимые для запрещения
доступа, то не хотите, чтобы что-то его перео
пределило. Действие Deny имеет приоритет.
Неявный запрет
Существует также характеристика, известная
как неявный запрет. Если разрешение не выда
но явно, оно неявно запрещается.
Предположим, что есть общий ресурс по имени Proj ectData, доступ к кото
рому разрешен только группе G_Sales. Мария состоит в группе G_HR и не явля
ется членом группы G_Sales, так что она не имеет доступа к этому общему ре
сурсу. Поскольку доступ Марии не был предоставлен явно, для нее неявно доступ запрещен.
Сравните это со своей квартирой. Если вы никому не давали ключи от нее, то
никто не сможет в нее попасть. Конечно, вам по-прежнему придется беспокоиться о бандитах и взломщиках, но с основной точки зрения отсутствие факта предостав ления разрешений означает отсутствие доступа.
модификация разрешений общего доступа и NTFS
Разрешения общего доступа и NТFS можно модифицировать с использованием
диспетчера серверов, значка Computer Management (Управление компьютером) или
проводника Windows.
Шаги для каждого метода немного отличаются, но, в конеч
ном счете, мы получим те же самые вкладки разрешений.
Мы ограничимся обсуждением процедуры, предусматривающей применение диспетчера серверов.
Предположим, что вы создали общий ресурс и выдали разрешение Read группе
Everyone (Все).
Однако теперь вы хотите изменить разрешения так, чтобы пользователи в группе G_Sales имели разрешение Change, и никто из пользователей
кроме администраторов не мог просматривать или использовать этот набор папок и файлов.
Чтобы внести такие изменения, выполните следующие шаги.
1. Запустите диспетчер серверов и откройте узел File and Storage ServicesqShares(Службы файлов и хранилищаqОбщие ресурсы).
2. Щелкните правой кнопкой мыши на общем ресурсе Apps и выберите в кон
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Permissioпs (Разрешения) и затем на кнопке Customize
Permissions (Изменить разрешения). Окно должно выглядеть примерно так,
как показано на рис. 1 3.17.
4. На вкладке Share (Общий доступ) щелкните на кнопке Add (Добавить).
Затем выберите переключатель Select а principal (Выбрать уч а стника) и введите имя группы, которой необходимо предоставить доступ к общему ресурсу
(например, G_Sales}, после чего щелкните на кнопке ОК.
5. Поскольку вы не хотите, чтобы доступ получили абсолютно все, выбери
те группу Everyone и щелкните на кнопке Remove (Удалить). Щелкните на
кнопке ОК.
6. Щелкните на кнопке Apply (Применить) и перейдите с вкладки Share на
вкладку Permissions (Разрешения).
Обратите внимание, что на вкладке Permissions делегированы разрешения
NTFS, а на вкладке Share делегированы разрешения Share. Смешивание этих
разрешений будет рассматриваться в следующем разделе.
7. Находясь на вкладке Permissions, щелкните на кнопке Add и введите имя
группы, которую нужно добавить (такое как G_Sales). Щелкните на кнопке
ОК, чтобы добавить группу.
По умолчанию любому добавляемому пользователю или группе автоматически
предоставляются разрешения Read, Read & Execute и List Folder Contents.
8. Выберите разрешение Allow Write для добавленной группы, удостоверьтесь, что
также внесли изменения в файлы, и щелкните на кнопке ОК.
9. Не забудьте также удалить группу Everyone из этого набора разрешений:
выберите группу Everyone и щелкните на кнопке Remove.
Разрешения общего доступа и разрешения NTFS управляются раздельно, но
работают вместе для предоставления надлежащих разрешений. Окно будет выглядеть примерно так, как показано на рис. 13.18.
10. Щелкните на кнопках Apply и ОК в диалоговом окне Advanced Security
(Расширенная безопасность) для завершения установки разрешений.
Объединение разрешений общего доступа и NTFS
Люди иногда находят сложным идентификацию разрешений, которые пользова
тель будет иметь, когда он обращается к файлу или папке через общий ресурс. Нам
нравится сохранять процесс простым благодаря следующим трем шагам.
\ . Определите накопленное разрешение NТFS.
2. Определите накогшенное разрешение общего доступа.
3. Определите, какое из этих двух разрешений обеспечивает наименьший до
ступ (обычно оно называется наиболее ограничивающим разрешением).
Представим, что Салли состоит в группах G S a l e s и G_I T S a l e sAdmi n s .
Разрешения, назначенные для папки SalesData (совместно используемой как об
щий ресурс SalesData), описаны в табл. 13.2.
Таблица 13.2. Пример объединения разрешений общего доступа и NTFS
Группа
G Sales
G IТSalesAdrnins
Разрешения NTFS
Read, Read & Execute, List Folder Contents
Full Control
Разрешения общего доступа
Read
Change
На шаге 1 вам необходимо определить накопленное разрешение NТFS. Салли
имеет разрешения Read, Read & Execute и List Folder Contents как член груп
пы G_Sales. Вдобавок она имеет разрешение Full Control, будучи членом группы
G_ITSalesAdmins. Поскольку разрешение Full Control включает все другие разрешения, накопленным разрешением NTFS будет Full Contro\.
На шаге 2 вы должны определить накопленное разрешение общего доступа.
Салли имеет разрешение Read как член группы G_S a l e s . Кроме того, у нее есть разрешение Change, поскольку она является членом группы G _ ITSalesAdmins. Так как разрешение Change включает разрешения Read и Write, накопленным разрешением общего доступа оказывается Change.
Последний шаг предусматривает ответ на простой вопрос. Какое разрешение
предоставляет наименьший доступ, т.е. является наиболее ограничивающим: Full
Control или Change? Ответ — Change.
Разрешение Change Салли и получит, когда
обратится к общему ресурсу через сеть.
А как насчет сложного вопроса? Какое разрешение будет у Салли, когда она об
ратится к лапке SalesData локально?
Ответ — Full Control. Вспомните, что разрешения общего доступа применяются
только в случае, если пользователь обращается к общему ресурсу через сеть. При локальном доступе к папке применяются только разрешения NТFS.
подключение к общим ресурсам
Теперь, когда у вас есть общие ресурсы, каким образом люди могут пользоваться ими? Предполагая наличие общего ресурса по имени Apps на сервере BFl, как кто то, подключенный к сети, мог бы получить к нему доступ?
В основном вы подключаетесь к общему ресурсу, используя имя UNC (uni
versal naming convention — универсальное соглашение по именованию) вида
\ \ИмяСервера \ИмяОбщегоРесурса. В качестве альтернативы можете нажать ком
бинацию клавиш <Windows+R> на рабочем столе, чтобы открыть диалоговое окно
Run (Выполнить), и ввести в нем \ \ИмяСервера (здесь указывается имя любого сер
вера, подключенного к сети) и следом обратную косую черту (рис. 13.19). Еще один
способ открытия диалогового окна Run в Windows Server 2012 предусматривает переход на экран Start (Пуск}, ввод Run и нажатие .
После подключения операционная система извлекает список доступных общих
ресурсов. На этом сервере в текущий момент существуют четыре общих ресурса,
причем все они не являются скрытыми. В главе 14 будет показано, как сделать доступными дополнительные скрытые общие ресурсы. Вы могли бы ввести Apps в
конце \ \BFl \, получив запись вида \ \BFl \Apps, или просто выбрать общий ресурс
Apps в раскрывающемся списке на рис. 13.19 и щелкнуть на кнопке ОК, чтобы подключиться к нему.
Помимо меню поиска, для подключения к общему ресурсу доступны и другие
методы.
• Отображение диска. Вы можете отобразить букву диска на общий ресурс в сети.
Например, пользователям может быть необходим доступ к общему ресурсу
при каждой загрузке системы. Щелкните правой кнопкой мыши либо на узле
Computer (Компьютер), либо на узле Network (Сеть) в проводнике Windows и
выберите в контекстном меню пункт Мар Network Drive (Подключить сетевой
диск). Уделите время на то, чтобы оценить новый внешний вид пользователь
ского интерфейса Windows Server 201 2 R2.
При открытом окне проводника Windows выберите узел Computer и затем опцию Computer в верхней панели действий.
Отобразится новая лента, похожая на те, которые вы знаете по программам вроде Microsoft Word. В этой ленте доступно много новых опций, в
числе которых Мар а Network Drive (Подключить сетевой диск). На рис. 13.20
показано диалоговое окно Мар Network Drive (Подключение сетевого диска).
При отмеченном флажке Reconnect at sign-in (Восстанавливать при входе в
систему) пользователь всегда будет иметь диск z, отображенный на общий ресурс, после загрузки системы.
• Поиск в Active Directory. Если клиент является членом домена, то в окне
Network (Сеть) появится опuия Search Active Directory (Поиск в Active
Directory). Чтобы открыть окно Network в Windows Server 201 2 R2, выберите на
экране Start (Пуск) плитку Network (Сеть).
+ Испол ьз ование net use. Вы можете применять команду net use в командной
строке. Базовый синтаксис выглядит следующим образом:
net use буква _ диска \\имя сервера\имя общего_ресурса
Например, чтобы присоединить общий ресурс Apps на сервере BFl и затем
иметь возможность ссылаться на этот общий ресурс как на диск z, можно вос
пользоваться такой командой:
net use Z : \\BFl\apps
Если позже вы захотите удалить это отображение, понадобится ввести следу
ющую команду:
net use Z : /delete
конфликт между наборами учетных данных
Иногда при попытке подключения к общему ресурсу возникает ошибка с сообщением следующего вида: «набор учетных данных конфликтует с существующим
набором учетных данных для этого общего ресурса».
Вот что происходит.
Вы уже пытались получить доступ к этому общему ресурсу
и по какой-то причине потерпели неудачу — возможно, неправильно ввели пароль.
Сервер, на котором находится общий ресурс, подготовил информаuию о том, что
вы — недобросовестный клиент, и он больше ничего не желает слышать о вас. Вам
нужно заставить сервер забыть о вас, чтобы вы могли начать все сначала. Это делается с помощью опции / d.
Предположим, что вы уже пробовали обратиться к общему ресурсу \ \BFl \Apps,
и попытка завершилась неудачей. Может быть, вы действительно подключились к обшему ресурсу, но без разрешений. (Мы знаем, что это не имеет смысла, но так случается.) Чтобы выяснить, к каким обшим ресурсам вы подключены, необходимо ввести просто net use. Скорее всего, вы увидите \ \BFl \Apps в списке. Вы должны отключиться от сервера BFl, чтобы впоследствии начать заново. Для этого введите следующую команду:
net use \ \BFl \apps /d
Затем введите еще раз команду net use, удостоверившись, что все эти подклю
чения очищены; может оказаться, что у вас есть множество соединений с определенным сервером. В редких случаях требуется отключиться от всех общих файловых ресурсов, для чего используется такая команда:
net use * /d
После закрытия всех подключений попробуйте подключиться к общему ресурсу
с помощью команды net use еще раз, и все заработает.
Использование команды net use в сети WAN
Мы подошли к одной из наиболее сложных областей сетевой работы: подключению к ресурсам через большие расстояния со многими неизвестными. Если вам
приходилось когда-либо иметь дело с удаленными на большие расстояния вычислениями, то вы знаете, что полагаться на них нельзя. Однако в арсенале команды
:-iet use появился новый небольшой набор функций, который позволяет прояснить множество «неизвестных» в общей картине.
Вместо того чтобы рассчитывать на выяснение подходящего сервера распознава
ниs1 имен, обращения к этому серверу и получения точного и надежного преобразования по неточному и ненадежному сетевому каналу, вы теперь можете отобразить нужный ресурс прямо на диск своего сервера через IР-адрес ресурса.
Конечно, выдолжны знать этот 1 Р-адрес, но такой подход довольно безопасен в плане отказов.
В нашем случае мы работаем из нескольких местоположений, соединенных посредством каналов WAN с ретрансляцией кадров. Сеть не всегда способна хорошо преобразовывать имена серверов в IР-адреса, поэтому команда net use \ \BFl обычно сообщает о невозможности найти \ \BFl. Но даже если она работает, распознавание имен — преобразование имени вроде BFl в сетевой адрес — занимает время.
Если вам известен 1 Р-адрес сервера, с которым вы пытаетесь взаимодействовать,
то указывайте его вместо имени этого сервера. Зная, что IР-адресом сервера BFl является 134.81.12.4, вы можете ввести такую команду:
net use \ \ 1 34 . 8 1 . 1 2 . 4 \apps
И поскольку потенциально вы можете подключаться из другой сети, понадобит
ся добавить информацию /user : . Неплохо также указать /persistent : no, чтобы ваша система не тратила до пяти минут на попытки восстановления этого подключения при следующей загрузке. Таким образом, например, если сервер BFl является членом домена под названием BigFirm. com, и вы располагаете учетной записью в домене BigFirm . com по имени boss, то вы можете удостовериться в том, что BFl знает, кто вы такой, и позволит войти в систему:
net use \\134 . 8 1 . 1 2 . 4\apps /user : bigfirm . corn\boss /persistent : no
Хотя существует много удобных методов подключения к общим ресурсам с при
менением различных графических пользовательских интерфейсов, не упускайте из
виду команду net use. Вы наверняка сочтете ее полезной.
Распространенные общие ресурсы
В Windows Server имеется несколько заранее созданных и распространенных об
щих ресурсов. Большинство из них являются скрытыми. Если вы знаете эти общие
ресурсы, то сможете подключиться к любому из них, используя путь UNC.
• С$, D$ и т.д. Все устройства, включая устройство для чтения CD-ROM, имеют скрытые общие ресурсы для своего корня. Общие ресурсы такого рода называются административными общими ресурсами. Вы не можете изменять разрешения или свойства этих общих ресурсов, разве что конфигурировать их для средства автономных файлов (Offiine Files), о котором пойдет речь в конце главы.
Подключаться к административным общим ресурсам могут только членыгрупп Administrators (Администраторы) и Backup Operators (Операторы
резервного копирования), и вы не можете отменить совместный доступ для административных общих ресурсов, не модифицировав реестр или не остановив
службу Server (что прекратит совместный доступ для всех обших ресурсов).
Такие общие ресурсы пригодятся администраторам сервера, которые решают
много задач управления дистанционно. Отображение диска на общий ресурс
С$ эквивалентно нахождению в каталоге с : \ на сервере.
• ADMIN$. Общий ресурс ADMIN$ — это еще один административный общий
ресурс, который отображается на местоположение операционной системы.
Например, если операционная система устаномена в о : \Windows, то общий
ресурс АШ-ПN$ будет отображен на о : \Windows.
• PRINТ$. Всякий раз, когда вы создаете совместно используемый принтер, система помещает его драйверы в этот общий ресурс.
В результате при подключении клиентов к общему принтеру драйверы легко загружаются.
• IPC$. Общий ресурс IPC$ является, пожалуй, одним из наиболее широко применяемых общих ресурсов в межсерверных коммуникациях, хотя вы редко будете взаимодействовать с ним напрямую.
Когда вы пытаетесь получить доступ к общим ресурсам на других компьютерах (для чтения журналов событий, например), система использует именованные каналы. Именованный канал — это фрагмент памяти, служащий коммуникационным каналом между двумя процессами, будь они локальными или удаленными, и общий ресурс IPC$ применяется этими именованными каналами.
• NEТLOGON. Общий ресурс NETLOGON используется в сочетании с обработкой запросов входа со стороны пользователей.
После успешного входа пользователи получают любую информацию профиля или сценарий, который должен для них выполниться. Таким сценарием часто является пакетный файл.
Например, у нас имеется общий пакетный файл, который мы хотим запускать мя всех пользователей каждый раз, когда они входят в систему. Это позволяет обеспечить выполнение всеми клиентами стандартного набора команд, подобных
копированию обновленной информации о сети, отображению стандартных
сетевых дисков и т.п.
Такие пакетные файлы, сценарии и профи.ш находятся
внутри общего ресурса NETLOGON. Общий ресурс NETLOGON требуется на всех
контроллерах домена.
• SYSVOL. Общий ресурс SYSVOL применяется для хранения информации груп
повой политики и сценариев, к которым обращаются клиенты по сети. Вы
всегда будете видеть общие ресурсы SYSVOL на контроллерах домена, но они
могут реплицироваться на серверы-члены.
диспетчер ресурсов файлового сервера
Диспетчер ресурсов файлового сервера (File Server Resource Manager — FSRM)
является важным дополнением, которое может конфигурироваться с помощью роли
File and Storage Services (Службы файлов и хранилища). Он включает несколько дополнительных возможностей, упрощающих управление файловым сервером:
• создание и управление политиками квот;
• создание и управление политиками блокировки файлов;
• просмотр отчетов.
Эти приемы рассматриваются в последующих разделах.
Создание политик квот
Файловая система NTFS давно включала средства управления квотами, но бла
годаря FSRM, они были значительно усовершенствованы. Выражаясь кратко, квоты
позволяют отслеживать и ограничивать пространство, которое пользователи могут потреблять на томе или в папке.
СРАВНЕНИЕ МОНИТОРИНГА ИСПОЛЬЗОВАНИЯ ХРАНИЛИЩА И ПОЛИТИК КВОТ
Хотя для мониторинга использования хранилища применяется та же самая техно
логия, что и в политиках квот, доступных в файловой системе NТFS, в ней имеется тонкое отличие от политик квот.
Мониторинг хранилища отслеживает том целиком и по умолчанию сконфигурирован на уведомление о ситуации, когда на диске заполняется 85% его емкости. Политики квот можно конфитурировать на отдельных папках, что дает возможность точной настройки того, что именно отслеживается.
При создании квот есть возможность установки лимитов, при которых выдается
предупреждение, установки лимитов принудительного применения, предоставле
ния уведомлений о достижении лимитов по электронной почте или через записи в
журнале событий и даже выполнения команд в ответ на достижение любого лимита.
Квоты могут быть установлены мя любого общего ресурса на сервере или мя любого заданного пути.
Квоты могут оказаться очень удобными мя мониторинга хранилища на файловых серверах. Например, в вашем распоряжении может находиться файловый
сервер с хранилищем в 2 Тбайт.
Вы можете считать, что имеете более чем достаточно пространства, но если какие-то пользователи создают и редактируют аудио и видео-файлы, то 2 Тбайт свободного пространства могут очень скоро сойти на нет.
Политика квоты может помочь в ограничении пользователей определенным
объемом. С другой стороны, эти аудио- и видео-файлы могут быть неотъемлемой
частью вашей бизнес-деятельности, поэтому ограничивать пространство хранения
нежелательно. В таком случае лучше обеспечить информирование о том, что занятое пространство хранилища достигло определенного порога.
Вместо действительного ограничения хранилища вы можете просто отслеживать его использование с помощью политики квоты.
На первый взгляд, политики квот очень просты для понимания и реализации.
Тем не менее, они могут стать довольно сложными при практическом применении.
Шаблоны квот
В состав диспетчера FSRM включено несколько шаблонов квот, которые мож
но легко применять в том виде, как они есть, или же модифицировать для удов
летворения существующих нужд. Можно даже создавать собственные шаблоны. На
рис.
Так как вы уже уловили идею о том, как работают квоты, по информации в этом
диалоговом окне вы сможете понять, что будет делать та или иная квота. Важной частью информации является тип квоты: жесткая или мягкая. Жесткая квота будет принудительно применять лимит и предотвращать его превышение пользователями.
Мягкая квота используется только для мониторинга; она выдаст уведомление, но не будет принудительно применять лимит.
Шаблон 200 МВ Limit with 50 МВ Extension (Лимит 200 Мбайт с расширением 50 Мбайт) представляет собой великолепный пример реагирования на достижение лимита квоты. Чтобы просмотреть или отредактировать свойства шаблона, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Edit Template Properties (Редактировать свойства шаблона).
На рис. 13.22 показаны свойства шаблона во время редактирования. Слева можно видеть базовый шаблон. Обратите внимание на нижнюю часть диалогового окна, где сконфигурированы три порога для уведомлений: 85%, 95% и 100%. Предупреждение о достижении порога в 85% только отправляется по электронной почте, предупреждение о пороге в 95% отправляется по электронной почте и фиксируется как событие в журнале, а предупреждение о пороге в 100% дополнительно инициирует выполнение команды.
Диалоговое окно справа на рис. 1 3.22 открывается в результате выбора элемента Warning (100%) (Предупреждение ( 100%)) в списке Notification thresholds (Пороги для уведомлений) и щелчка на кнопке Edit (Редактировать). Для модификации квоты применяется инструмент командной строки dirquota ехе. В частности, он изменяет лимит квоты с 200 Мбайт на 250 Мбайт. Команды, которые вы здесь помещаете, ограничиваются разве что вашей фантазией. При необходимости вы также устанавливаете контекст безопасности команды в зависимости от разрешений, которые требуются команде для выполнения.
Помимо выполнения команды, доступны другие реакции на достижение порога:
отправка сообщения электронной почты, регистрация события в журнале и созда
ние отчета.
Вкладка E-mail Message
Вкладка E-mail Message (Сообщение электронной почты) позволяет конфигу
рировать почтовый ответ, отправляемый при достижении порога. Если вы хотите
отправить сообщение администратору, просто добавьте на этой вкладке адрес электронной почты администратора (или группу рассылки администратора) в формате учетная _ запись@домен, например, ITAdmins@Ьigfirm. com. Можете также сконфигурировать отправку сообщения пользователю, который превысил порог, отметив для этого флажок Send e-mail to the user who exceeded the threshold (Отправить сообщение электронной почты пользователю, превысившему порог). Для поиска адреса электронной почты пользователя диспетчер FSRM использует Active Directory.
Шаблоны включают заранее настроенную строку темы и тело сообщения, nри
чем и там, и там присутствуют переменные. На рис. 13.23 видно, что тело сообщения содержит множество переменных: Source Io Owner (Исходный владелец оnе
раций ввода-вывода), Quota Path (Путь для квоты), Server (Сервер) и т.д. Если выщелкнете внутри строки темы или тела сообщения, раскрывающийся список nеременных сразу же станет доступным. При выборе любой nеременной ниже сnиска отображается краткое объяснение того, что она собой представляет. Наnример, увидев поначалу [ Source Io Owner] , не вполне ясно, что такое Io, но после выбора этой переменной в раскрывающемся списке становится nонятно, что I о означает
1/0, т.е. ввод-вывод.
Щелкнув на кнопке Additional E-mail Headers (Доnолнительные почтовые за
головки), вы можете добавить в сообщение электронной почты дополнительные
заголовки, которые показаны справа на рис. 13.23. Они также включают nеременные, которые можно выбирать в раскрывающемся списке Select variaЫe to insert (Выберите переменную для вставки) и щелкать на кнопке lnsert VariaЫe (Вставить переменную).
СЕРВЕР SMTP ДОЛЖЕН БЫТЬ СКОНФИГУРИРОВАН
Для отправки сообщений электронной почты диспетчером FSRM его потребуется
сконфигурировать с именем или IР-адресом сервера SMTP, который буде nринимать эти сообщения. Это делается в диалоговом окне параметров дисnетчера FSRM, которое рассматривается далее в главе.
Вкладка Event Log
При желании вы можете сконфигурировать регистрацию событий в журнале со
бытий приложений. Для этого достаточно перейти на вкладку Event Log (Журнал
событий) и отметить флажок Send warning to event log (Отправить предупреждение
в журнал событий), как показано на рис. 13.24. Любые отправляемые события попадут в журнал событий приложений.
Точно так же, как вы могли добавлять переменные в сообщения электронной
почты, вы можете добавлять их в журнальные записи. На рис. 13.24 раскрыт список переменных, чтобы продемонстрировать доступные для добавления переменные.
Переменных намного больше, чем удалось показать на этом рисунке.
Вкладка Report
Вкладка Report (Отчет) позволяет манипулировать порогами мя уведомлений.
Здесь вы можете настроить отчеты, которые генерируются в ответ на достижение
порога и автоматически отправляются по электронной почте администраторам
и/или пользователю. Отчеты могут также создаваться по запросу, как вы увидите
позже в этой главе.
Создание квоты
Теперь, когда вы понимаете основы, создать и применить квоту довольно прос
то. В Windows Server 2012 R2 доступно несколько способов конфигурирования квот на разных уровнях общих ресурсов и папок. Если вы уже создали общий ресурс и шаблоны квот, то можете легко сконфигурировать квоту, щелкнув правой кнопкой мыши на общем ресурсе на вкладке Shares (Общие ресурсы) в окне диспетчера серверов дпя роли File and Storage Services и выбрав в контекстном меню пункт Configure Quota (Сконфигурировать квоту). Корректировка свойств и создание шаблонов квот делается прямо в диспетчере FSRM, доступном через меню Tools (Сервис) диспетчера серверов.
Предположим, что вы хотите отслеживать объем данных, которые хранятся в
папке по имени Graphics в системе. В частности, вам нужно знать, приблизился
ли объем используемого хранилища к 500 Мбайт. Если этот лимит достигнут, вы хотите отправить пользователю отчет, который позволит ему выяснить, какие файлы дублируются, какие файлы являются самыми крупными, а какие файлы давно не использовались.
Для создания такой квоты понадобится выполнить следующие шаги.
1. Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт File
Server Resource Manager (Диспетчер ресурсон файлового сервера).
2. Разверните узел Quota Management (Управление квотами), щелкните правой
кнопкой мыши на папке Quotas (Квоты) и выберите в контекстном меню
Create Quota (Создать квоту).
3. Введите в текстовом поле Quota Path (Путь дпя квоты) путь к папке, которую
вы хотите отслеживать.
Например, вы могли бы ввести I : \Finance. В качестве альтернативы можете
щелкнуть на кнопке Browse (Обзор) и проследовать на нужный путь. Здесь на
выбор доступна возможность применить эту новую квоту только к выбранной
папке или распространить действие шаблона квоты на все существующие и
новые подпапки внутри папки Graphics.
Следующий выбор в этом окне позволяет определить свойства квоты.
4. Для целей данного упражнения выберите шаблон 200 МВ Limit Reports to User
(Лимит 200 Мбайт с выдачей отчета пользователю). Позже мы отредактируем
свойства этой квоты.
5. Просмотрите сводку по свойствам квоты и щелкните на кнопке Create
(Создать).
Новая квота отобразится, позволив дальнейшую модификацию ее свойств.
6. Щелкните правой кнопкой мыши на новой квоте и выберите в контекстном
меню пункт Edit Quota Properties (Редактировать свойства квоты).
В диалоговом окне Quota Properties (Свойства квоты) предоставьте описание
НОВОЙ КВОТЫ.
7. Затем вручную скорректируйте значение в поле Space limit (Лимит пространства) на 500 Мбайт и оставьте без изменений выбранный по умолчанию переключатель Hard quota (Жесткая квота). Теперь можете отредактировать порогидпя уведомлений (в списке Notification thresholds (Пороги для уведомлений)),
как показано в левой части рис. 13.25.
8. Выберите в списке Notification thresholds элемент Warning (100%) (Предупреж
дение (100%)) и щелкните на кнопке Edit (Редактировать).
9. Просмотрите информацию на ВЮiадках E-mail Message (Сообщение электрон
ной почты), Event Log (Журнал сообщений) и Command (Команда).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да); вы
можете сконфигурировать сервер SMTP позже. Обратите внимание на воз
можность изменения данных на любой из этих ВЮiадок.
10. Перейдите на ВЮiадку Report, которая должна выглядеть примерно так, как
показано справа на рис. 13.25.
Обратите внимание, что отчеты уже сконфигурированы. Флажок Generate
reports (Генерировать отчеты) отмечен, и для генерации указаны три отчета:
Duplicate Files (Дублированные файлы), Large Files (Большие файлы) и Least
Recently Accessed Files (Файлы с наиболее давним доступом). Вдобавок кво
та сконфигурирована на отправку отчетов пользователю, который превысил
порог (отмечен флажок Send reports to the user, who exceeded the threshold
(Отправлять отчеты пользователю, превысившему порог)).
1 1. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно 100% Threshold
Properties (Свойства порога 100%).
12. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно Quota Properties.
Создание политик блокировки файлов
Фильтры блокировки файлов используется для фильтрации файлов, чтобы гаран
тировать, что файлы определенных типов не сохраняются на сервере. Предположим,
после внедрения политики квоты и ознакомления с рядом отчетов вы обнаруживаете, что диск F почти полон, т.к. один из пользователей сохранил на сервере несколько гигабайтов резервных копий файлов МРЗ.
Хотя замечательно, что пользователь создает резервные копии своих файлов, вас может не устраивать тот факт, что он задействует мя этого ваш сервер. Кроме того,вы можете решить, что на вашем сервере вообще никто не должен хранить файлы МРЗ или любые другие аудио- либо видео-файлы.
Вы можете создать фильтр блокировки файлов, которая будет блокировать со
хранение пользователями определенных типов файлов и генерировать уведомления, когда кто-то попытается записать блокируемые файлы на сервер. Фильтры блокировки файлов могут быть созданы на целых томах или конкретных папках, и точно так же, как квоты имеют шаблоны, фильтры блокировки файлов также могут иметь шаблоны. На рис. 1 3.26 показано окно диспе1Чера серверов с отображаемыми шаб лонами блокировки файлов.
Обратите внимание, что в шаблонах идентифицировано несколько хорошо известных типов групп файлов, таких как аудио- и видео-файлы и файлы изображений. Конкретные расширения этих типов файлов идентифицированы в узле File Groups (Группы файлов). Например, аудио- и видео-файлы включают расширения . mpl, .mp2, .mрЗ, . mp4 и .mpeg — причем это далеко не полный перечень.
Когда вы создаете фильтр блокировки файлов, то просто выбираете одну из групп файлов. Это будет удовлетворять вашим потребностям большую часть времени, но если вы хотите добавить типы файлов либо исключить определенные типы файлов из политики, то можете соответствующим образом модифицировать содержимое. Представьте, что в вашей компании недавно узнали, что многие пользовате ли хранят на сервере файлы Outlook с расширением . pst, которые имеют размеры свыше l Гбайт и поглощают пространство хранилища. В компании заявили, что пользователи не могут хранить файлы электронной почты на файловом сервере.
Чтобы обеспечить применение этого правила, выполните описанные ниже шаги.
l . Запустите диспетчер серверов и перейдите к узлу File Screen Templates
(Шаблоны блокировки файлов).
2. Щелкните правой кнопкой мыши на шаблоне Block E-mail Files (Блокировать
файлы электронной почты) и выберите в контекстном меню пункт Create File
Screen from Template (Создать фильтр блокировки файлов из шаблона).
3. В текстовом поле File Screen Path (Путь Д1IЯ фильтра блокировки) введите имя тома, на котором необходимо организовать блокировку файлов (такое как F:
Поскольку был выбран шаблон Block E-mail Files, свойства фильтра блокиров
ки файлов уже установлены. Это свойства можно было бы изменить или при
желании даже определить специальные свойства. Оставьте выбор по умолча
нию и просмотрите сводку в нижней части окна.
4. Щелкните на кнопке Create (Создать).
5. Выберите узел File Screens (Фильтры блокировки файлов), находящийся
выше узла File Screen Templates (Шаблоны блокировки файлов) в дереве дис
петчера FS RM.
6. Щелкните правой кнопкой мыши на только что созданном фильтре блоки
ровки файлов и выберите в контекстном меню пункт Edit File Screen Properties
(Редактировать свойства фильтра блокировки файлов). Диалоговое окно долж
но выглядеть подобным показанному на рис. 13.27.
Обратите внимание, что вы можете выбрать либо переключатель Active
screening (Активная блокировка), либо переключатель Passive screening (Пас
сивная блокировка). Поскольку вы хотите конкретно блокировать сохранение
пользователями файлов на сервере, оставьте выбранным переключатель Active
screening. Пассивная блокировка используется для мониторинга.
7. Просмотрите информацию на вкладках E-mail Message (Сообщение элект
ронной почты), Event Log (Журнал сообшений), Command (Команда) и Report
(Отчет).
Если появляется предупреждение о том, что сервер SMTP не сконфигуриро
ван, ознакомьтесь с ним и для продолжения щелкните на кнопке Yes (Да). Вы
заметите, что эти вкладки очень похожи на те, что применялись при настрой
ке квот. Изменилось только содержимое уведомления.
8. После просмотра вкладок шелкните на кнопке ОК.
Генерация отчетов
Доступно несколько разных отчетов. Отчеты можно генерировать как часть лю
бой политики квоты или политики блокировки файлов. Можно также настроить ге
нерацию отчетов по графику или генерировать их по требованию.
К счастью, отчеты удобно именованы, поэтому основное их содержимое легко
определить по одному лишь имени. Доступны следующие отчеты: Duplicate Files
(Дублированные файлы), File Screening Audit (Аудит блокировки файлов), Files
File Group (Файлы по файловым группам), Files Ьу Owner (Файлы по владельцам), Files Ьу Property (Файлы по свойствам), Large Files (Большие файлы), Least Recently Accessed Files (Файлы с наиболее давним доступом), Most Recently Accessed Files (Файлы с наименее давним доступом) и Quota Usage (Показатели использования квоты). Кроме того, отчеты можно сохранять в разных форматах, таких как DHTML, HTML, XML, CSV и текстовый. Для доступа к отчетам выполните следующие шаги.
1. Запустите диспетчер серверов. Щелкните правой кнопкой мыши на узле Storage
Reports Management (Управление отчетами по хранилищу) в окне диспетчера
ресурсов файлового сервера (File Server Resource Manager) и выберите в контекс тном меню пункт Generate Reports Now (Сгенерировать отчеты сейчас).
На вкладке Settings (Настройки) вы можете выбрать столько отчетов, сколько
нужно, но в случае выбора их всех запаситесь терпением;
для крупных томов генерация всех отчетов займет довольно ощутимое время. Некоторые отче ты имеют дополнительные параметры, допускающие модификацию. Например, если вы выбрали отчет Quota Usage, то можете щелкнуть на кнопке Edit Parameters (Редактировать параметры) и изменить минимальный показатель
использования квоты, который будет включен в отчет.
2. Выберите отчеты, подлежащие генерации, и отметьте флажки возле форматов,
в которых хотите получить эти отчеты. Диалоговое окно будет выглядеть при
мерно так, как показано на рис. 13.28.
3. Перейдите на вкладку Scope (Область действия).
На этой вкладке необходимо выбрать тип данных, которые будуr накапливать
ся в отчетах.
4. Сделайте выбор типов файлов и щелкните на кнопке Add (Добавить).
Откроется диалоговое окно, в котором можно перейти к нужным папкам и добавить их дЛЯ формирования отчетов.
5. Выберите папки и щелкните на кнопке ОК.
Последней вкладкой диалогового окна Storage Reports Task Properties (Свойства задачи генерации отчетов по хранилищу) является Delivery (Доставка). Отчеты можно отправить по электронной почте администратору.
6. Просто отметьте флажок и укажите адрес электронной почты лица, которому
должны быть отправлены отчеты.
Это особенно удобно дЛЯ отчетов, генерируемых по графику. Например, мож
но генерировать все отчеты в воскресенье и обеспечить их отправку по элект
ронной почте в понедельник уrром мя просмотра.
7. В диалоговом окне Generate Storage Reports (Генерация отчетов по хранилищу) выберите переключатель Generate Reports in the Background (Генерировать отчеты в фоновом режиме) и щелкните на кнопке ОК.
В результате будет создана задача генерации отчетов, которая удалится после
своего завершения. По умолчанию в диалоговом окне выбран переключатель
Wait for the reports to generate and then display them (Ожидать генерации отчетов и затем отобразить их).
Вы можете отслеживать выполнение задачи, а
после ее завершения отчеты отобразятся. Стандартным местоположением дnя
локального сохранения отчетов на сервере является \\с$ \StorageReports \
Interactive. В зависимости от объема данных в отчетах выполнение может
потребовать нескольких минуr.
8. Пока задача генерации отчетов выполняется, щелкните правой кнопкой мыши
на узле Storage Reports Management и выберите в контекстном меню пункт
Schedule а New Report Task (Запланировать новую задачу генерации отчетов).
9. На вкладке Settings назначьте новой запланированной задаче генерации отчетов подходящее имя, укажите виды отчетов, подлежащие генерации, и выберите форматы этих отчетов.
1 О. Перейдите на вкладку Scope.
Здесь необходимо выбрать тип данных и папки, дnя которых будуr формиро
ваться отчеты.
1 1 . На вкладке Delivery отметьте флажок и укажите адрес электронной почты дnя еженедельной отправки отчетов.
Для любых уведомлений по электронной почте, предоставляемых FSRM, потребуется соответствующим образом сконфигурированный сервер SMTP.
12. По умолчанию на вкладке Schedule (График) выбран переключатель Weekly
(Еженедельно), отмечен флажок Sunday (Воскресенье), а в поле Run at
(Запускать в) указано 5:00:00 утра (рис. 1 3.29).
Новый график теперь отображается в окне FSRM с раскрытым узлом Storage
Reports Management. При наличии сконфигурированного сервера SMTP, щелкните правой кнопкой мыши на задаче и запустите ее, чтобы протестировать
выполненную работу.
ОТСЛЕЖИВАЙТЕ ПОТРЕБЛЕНИЕ ДИСКОВОГО ПРОСТРАНСТВА ОТЧЕТАМИ
Если вы создаете график генераuии отчетов, который будет создавать файлы от
четов в вашей системе, то должны отслеживать объем пространства, занимаемо
го отчетами. При наихудшем сценарии график генерации отчетов сформирован, и
отчеты регулярно создаются, постоянно потребляя дисковое пространство. Чтобы
снизить это влияние на функционирование сервера, можно изменить стандартное
местоположение отчетов, модифицировав настройки на вкладке Report Locations
(Местоположения для отчетов) в окне параметров File Server Resoшce Manager.
К этому моменту созданная ранее задача генерации отчетов должна завер
шиться.
14. Перейдите к отчетам, расположенным в папке %systemdrive%\StorageReports\
Interacti ve, используя для этого проводник Windows.
15. Дважды щелкните на сгенерированных НТМL-файлах, чтобы просмотреть до
ступную в них информацию. Дважды щелкните на текстовых файлах, чтобы
взглянуть, как отображается информация внутри них.
Как видите, диспетчер FSRM предлагает развитые возможности построения
отчетов.
Параметры File server Resource мanager
Дтя модификации доступно множество параметров FSRM. Параметры на вкладке Email Notifications (Уведомления по электронной почте) должны быть сконфигурированы, прежде чем вы сможете пользоваться любыми почтовыми возможностями сервера. Чтобы открыть диалоговое окно настройки параметров, щелкните правой кнопкой мыши на элементе File Server Resource Manager (Диспетчер ресурсов файлового сервера) внутри диспетчера серверов и выберите в контекстном менюпункт Configure Options (Конфигурировать параметры). Откроется диалоговое окно свойств с семью вкладками.
• Email Notifications (Уведомления по электронной почте).
Если вы хотите использовать уведомления по электронной почте, то должны ввести имя или 1Р-адрес сервера SMTP, который будет принимать почтовые отправления отвашего сервера.
На этой вкладке вы также вводите стандартный адрес электронной почты для получателя-администратора и стандартный адрес From (От).
Чтобы удостовериться о корректности сконфигурированных настроек, можно
отправить тестовое сообщение электронной почты.
• Notification Limits (Лимиты для уведомлений). После того, как порог (такой как потребление 85% пространства на диске) достигнут, он остается актуальным до тех пор, пока не будет предпринято какое-то действие.
Вместо того чтобы досаждать пользователю уведомлениями каждые 30 секунд, вы можете установить лимиты времени в минутах для таких уведомлений. По умолчанию для каждой реакции на достижение порога — уведомлению по электронной почте, записи в журнал событий и генерации отчетов — отводится 60 минут.
• Storage Reports (Отчеты по хранилищу). Многие отчеты имеют параметры,
которые можно модифицировать. Каждый параметр, допускающий измене
ние, имеет стандартное начальное значение, которое может быть установлено
на этой вкладке.
• Report Locations (Местоположе1П1я для отчетов). Отчеты сохраняются в стандартных местоположениях на системном диске
Внутри папки % systerndri ve% \StorageReports создаются три подпапки:
Incident (.!UIЯ уведомлений), Scheduled (для запланированных задач генерации отчетов) и Interact ive (для отчетов, генерируемых по требованию).
На этой вкладке можно изменить стандартные местоположения мя любых отчетов.
• File Screen Audit (Аудит блокировки файлов). На этой вкладке присутствует единственный флажок Record file screening activity in an auditing database
(Записывать действия по блокировке файлов в базу данных аудита). Если он
отмечен, действия блокировки будут фиксироваться в базе данных с целью
дальнейшего изучения с помощью отчета по аудиту блокировки файлов.
• Automatic Classification (Автоматическая классификация). Файлами можно управлять на основе свойств классификации и создаваемых вами правил, а не на
базе того, где эти файлы находятся в дереве каталогов. Если вы используете управление классификацией (это делают немногие), можете на данной вкладке создать расписание для применения правил классификации и генерации отчетов.
Дополнительные сведения о классификации файлов приведены в следующей
статье TechNet: http: / /technet . rnicrosoft . corn/library /dd7 587 65 . aspx.
• Access-Denied Assistance (Помощь при запрете доступа). Пояоиошаяся в вер
сии Windows Se!V’er 2012 вкладка Access-Denied Assistance позволяет настраиоать собственное сообщение об ошибке запрета доступа, которое отображается пользователю, не имеющему подходящих разрешений дпя доступа к определенной папке или файлу.
Кроме того, можно предоставить пользователям возможность запрашивать помощь прямо из сообщения об ошибке, щелкая на
гиперссылке. Это очень удобная функция.
Хотя NTFS — великолепная файловая система, включающая такие дополнитель
ные средства, как квоты NTFS, вы можете получить намного больше возможностей
за счет использования диспетчера FSRM. Если вы управляете файловым сервером,
полезно ознакомиться с этими дополнительными средствами.
Протокол sмв 3.0
Блок сообщений сервера (Se!V’er Message Block — SMB) — это сетевой прото
кол уровня приложений, который применяется в основном для предоставления
общего доступа к файлам, принтерам, портам и коммуникациям между машинами
в сети. На протокол SMB обычно ссылаются как на общую файловую систему для
Интернета (Common fntemet File System — CfFS).
Этот протокол используется главным образом с операционными системами Windows и служит основой для реализации распределенной файловой системы (Distгibuted File System) от Microsoft.
В текущей редакции сервера протокол SMB 3.0 несколько изменился. Многие
новые функuии делают этот протокол надежной и высокопроизводительной альтер
нативой применению устройств Fibre Channel и iSCSI. Давайте рассмотрим некоторые новые возможности.
• Обход О1ЮL3З транспорта SMB. Эта возможность позволяет администраторам проводить обслуживание на кластеризированных компьютерах без необходимости в каком-либо простое. В случае обхода отказа в кластере клиенты SMB 3.0 будут автоматически подключены к другой кластеризированной машине, не теряя доступ к общим файловым ресурсам, которые они использовали. Кластеризированные машины файловых серверов устраняют единую точку отказа, когда имеется только один файловый сервер или некластеризированная среда.
• Масштабирование SMB. Клиенты SMB больше не ограничены полосой про
пускания одиночного узла кластера.
Кластеризированные машины балансируют нагрузку между собой с применением своих собранных вместе ресурсов.
Не каждый сервер в кластере файловых серверов является активным узлом,
обслуживающим содержимое для клиентов. Масштабируемые общие файло
вые ресурсы SMB всегда сконфигурированы с набором свойств Continuously
AvailaЬ\e (Постоянная готовность).
• Многоканальность SMB. Данная возможность позволяет файловым серверам
использовать несколько сетевых подключений одновременно, что значительно
увеличивает полосу пропускания, т.к. можно передавать больше данных через
множество высокоскоростных сетевых адаптеров в одно и то же время. Это
также означает наличие нового уровня отказоустойчивости в сети. Применяя
несколько подключений одновременно, клиенты продолжат бесперебойную
работу в случае утери какого-то одного подключения.
Еще одним преимуществом многоканальности SMB является автоматическое обнаружение.
Это средство будет обнаруживать наличие доступных сетевых путей и динамически добавлять подключения по мере надобности.
• Протокол SMB Direct. Протокол SMB Direct — это новый транспортный про
токол для SMB 3.0, который разрешает прямую передачу данных между серве
рами с минимальным участием центрального процессора и низкой задержкой,
когда имеются сетевые адаптеры с поддержкой RDMA (remote direct memory
access — удаленный прямой доступ в память). Сетевой файловый сервер ста
новится способным к размещению локального хранилища для приложений,
подобных Microsoft SQL Server 201 2 и Microsoft Hyper-V.
+ Командлеты Windows PowerShell и объекты WМI для SMB. Крупным преиму
ществом в Windows Server 201 2 является то, что все управляющие командлеты
PowerShel\ теперь включены в состав операционной системы. Новые коман
длеты SMB позволяют администраторам управлять и отслеживать файловые
серверы и общие файловые ресурсы. Вы можете также написать сценарии для
автоматизации общих задач администрирования файлового сервера. Благодаря
новым объектам WMI, разработчики извлекают выгоду из возможности со
здания автоматизированных решений для конфигурирования и мониторинга
файлового сервера.
• Шифрование SMB. Эта новая функция позволяет шифровать данные на ходу
на основе файлов или общих ресурсов. Она защитит передаваемые данные
от перехвата или подделки без протокола 1 Psec или любого дополнительно
го выделенного оборудования. Шифрование SMB также очень удобно, когда
удаленные пользователи пытаются получить доступ к данным из незащищен
ных сетей.
Оно обеспечит защиту данных при их передаче из ресурсов корпо
ративной сети в незащищенную удаленную сеть пользователя. Ранее в главе
мы включали шифрование SMB путем отметки соответствующего флажка на
экране Other Settings (Другие настройки) мастера создания общего ресурса
(New Share Wizard) при выполнении упражнения по созданию новых общих
ресурсов.
Эту функцию можно также включить прямо в диспетчере серверов,
не прибегая к помощи мастера.
+ Аренда каталогов SMB. Данная функция использует BranchCache для предо
ставления более быстрого доступа к документам через сети WAN, которым
присуща высокая задержка.
Аренда каталогов сокращает количество полных
циклов коммуникации между клиентом и сервером через WAN. Клиент кеширует метаданные каталогов и файлов в согласованной манере на более дли
тельные периоды времени.
Когда информация изменяется, сервер уведомляет клиента и инициирует синхронизацию, которая обновит кеш клиента.
Эта функция спроектирована для работы с домашними папками пользователей и
опубликованными общими ресурсами.
Хотя здесь бьmи подчеркнуты некоторые важные возможности SMB 3.0, мы определенно не раскрыли абсолютно все. Если вы желаете ознакомиться с полной спецификацией протокола, проследуйте по ссьшке http : //support .microsoft . com/kЬ/2709568.
Совместимость с версиями sмв 2.0 и sмв 1 .0
Для обеспечения обратной совместимости новейшие операuионные системы
поддерживают версии протокола SMB 2.0 и SM В 1 .0. Чтобы получить полную от
дачу от функuий, доступных в SMB 3.0, и на сервере, и на клиенте должна быть
возможность применения SMB 3.0.
В табл. 13.3 показаны версии операuионных систем и поддерживаемые ими версии протокола SMB. Сопоставив серверную ОС в верхней строке с клиентской ОС в левом столбuе таблиuы, вы получите версию SMB, которая будет использоваться во время взаимодействия.
Например, если вы выберете Windows Server 2008 R2 в верхней строке и Windows 7 в левом столбuе, то на пересечении будет указано.
что самой высокой поддерживаемой версией протокола яnляется SM В 2.1 .
Таблица 13.3. Версии операционных систем и поддержка протокола SMB
Кnиентская/ серверная Windows & Windows 7 Windows Vista Предшествую-
операционная система Windows Server Windows Windows щие версии
2012 R2 Server 2008 R2 Server 2008 Windows
Windows 8 SMB 3.0 SMB 2. 1 SMB 2.0 SMB 1 .0
Windows Server 2012 R2
Windows 7 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
Windows Server 2008 R2
Windows Vista SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Windows Server 2008
Предшествующие версии Windows SMB 1 .0 SMB 1.0 SMB 1.0 SMB 1 .0
Версия SMB 3.0 применяется всякий раз, когда это возможно мя клиентов, которые ее поддерживают. Поскольку SMB 3.0 не поддерживается другими операuионными системами (такими как Windows 7 или Windows Server 2008), более новые клиенты могут использовать старые версии протокола при взаимодействии с унаследованными машинами.
Хорошая новость в том, что все это делается автоматически.
Вам не придется предпринимать какие-то действия по конфигурированию, чтобы
задействовать SMB 3.0 либо переключиться обратно на SMB 2.0 или SMB 1.0 для
унаследованных клиентов. Вот что автоматически происходит в отношении SMB:
• если оба клиента поддерживают SMB 3.0, то SMB 3.0 будет применяться автоматически;
• если один из клиентов не поддерживает SMB 3.0 (например, Windows 7), то
для этого сеанса будет использоваться версия SM В, поддерживаемая этой ОС
(SMB 2.1 в данном примере).
Вероятно, вы уже слышали о маркетинговых кампаниях «Вместе лучше» («Better
Togetl1er»), про в одимых Microsoft. Это не просто маркетинг ради маркетинга.
Протокол SMB является одним из примеров, где вы по-настоящему получите более
высокую производительность, сочетая вместе новые технологии. В сети с серверами Windows Server 2012 R2, но с рабочими столами Windows 7 версия протокола SMB 3.0 применяться не сможет. Если это занятая сеть, то разница окажется заметной.
Безопасность sмв
В этой редакции сервера в реализацию SMB 3.0 было внесено несколько улучшений, касающихся безопасности. Протокол SMB 3.0 получил новый алгоритм ДllЯ подписи SMB под названием AES-CMAC.
Алгоритм СМАС (Cipher-based Message Authentication Code — код аутентификации сообщений, основанный на шифре) базируется на блочном шифре с симметричным ключом (AES (Advanced Encryption Staпdard — расширенный стандарт шифрования)), тогда как алгоритм НМАС, используемый в SM В 2.0, основан на хеш-функции (SHA (Secure Hash Algorithm -алгоритм безопасного хеширования)).
Стандарт AES был спецификацией, официально принятой правительством США в 2002 году, и одобрен Агентством национальной безопасности ДllЯ шифрования совершенно секретной информации.
Алгоритм AES-CMAC обеспечивает более строгую гарантию целостности дан
ных, чем контрольная сумма или код обнаружения ошибок. Алгоритм СМАС пред
назначен для обнаружения преднамеренных, неавторизованных изменений данных, а также случайных изменений. Верификация с помощью кода обнаружения ошибок или контрольной суммы позволяет выявить только случайные изменения данных.
Алгоритм НМАС SHA-256, применяемый в SMB 2.0, поддерживает целостность
данных — гарантию того, что данные не были модифицированы. Хотя SMB 1 .0 также обеспечивает целостность данных, безопасность в Н МАС SHA-256 выше, а в AES-CMAC — еще выше.
Хеш — это просто число, созданное путем выполнения алгоритма хеширования
над пакетом, сообщением или файлом. До тех пор пока пакет остается тем же самым (не изменяется), алгоритм хеширования будет всегда давать один и тот же хеш (одинаковое число).
В общем, хеш обеспечивает целостность данных для пакетов,
сообщений или файлов, следуя описанным ниже шагам.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Отправка пакета и хеша получателю.
4. Получатель вычисляет хеш полученного пакета и сравнивает его с полученным хешем.
• Если хеши совпадают, целостность данных соблюдена.
• Если хеши отличаются, целостность данных утеряна. Это может произойти
из-за того, что атакующий изменил данные, или просто потому, что биты FIO
время транспортировки потерялись.
Тем не менее, если атакующий может модифицировать данные в пути, то почему
бы ему не изменить также и хеш во время передачи? Чтобы воспрепятствовать этому, хеш шифруется с помощью ключа сеанса, известного только клиенту и серверу.
Такой процесс называется цифровы.t1 подписанием пакета в SMB 1 .0 и SMB 2.0. Он выглядит следующим образом.
1. Создание пакета.
2. Вычисление хеша для пакета.
3. Шифрование хеша помощью ключа сеанса (или общего ключа).
4. Отправка пакета с зашифрованным хешем.
5. Получатель расшифровывает зашифрованный хеш.
6. Получатель вычисляет хеш полученного пакета.
7. Получатель сравнивает два хеша, чтобы выяснить, не утеряна ли целостность данных.
Включение цифрового подписания для пакетов SMB 1 .0 может снизить производительность на 10-1 5%. Хотя вы по-прежнему столкнетесь с падением производительности в SMB 2.0, она не настолько значительна. Одна из основных причин связана с упрощением SMB 2.0, в результате чего меньше пакетов отправляется и меньше пакетов нуждается в подписании.
внедрение BitLocker
Шифрование дисков BitLocker (BitLocker Drive Encryption) — это технология,
предназначенная для обеспечения защиты целых дисковых накопителей. Более но
вой технологией является BitLocker То Go, которая появилась в Windows 7 и позволяет шифровать флэш-накопители USB.
Здесь мы сосредоточим внимание на использовании BitLocker Drive Encryption для защиты дисков в Windows Server 2012.
Основное предназначение BitLocker заключается в шифровании данных на жес
тких дисках, чтобы в случае их похищения или утери данные были недоступными.
Это часто применяется на ноутбуках и серверах, расположенных в местах со слабой физической защитой. Ноутбуки легко украсть — люди часто оставляют их в конфе ренц-залах на время обеда или забывают их на стульях, откуда они быстро исчезают.
Подобным же образом серверы, находящиеся в удаленных офисах, часто слабо
защищены физически — во всяком случае, слабее, чем в головном офисе. Возможно, главная серверная комната очень хорошо физически защищена, но сервер в удаленном офисе может скрываться за дверцами шкафа, которые легко открыть ломиком или даже кредитной карточкой.
BпLoCKER УСИЛИВАЕТ ФИЗИЧЕСКУЮ ЗАЩИТУ
BitLocker усиливает физическую защиту, но не может противостоять всем возможным атакам. Вредоносное программное обеспечение, такое как руткиты, может организовать в системе слабые места, которые сделают возможным доступ к данным, если компьютер впоследствии будет похищен.
Кроме того, если дисковые устройства на выведенном из эксплуатации сервере не очищены, они могут содержать данные, делиться которыми нежелательно.
BitLocker защитит эти данные от несанкционированного использования.
На первый взгляд, может показаться, что данные на этих дисках защищены пос
редством разрешений.
Однако атакующий может настроить домен и поместить свою
учетную запись в группу Enterprise Admins (Администраторы предприятия).
Имея физический доступ к серверу, он затем может изъять дисковое устройство из сервера, установить его на свой сервер и легко получить права владения над всеми файлами.
После этого он будет владеть всеми вашими данными. Тем не менее, если файлы зашифрованы, атакующему будет намного труднее получить доступ к данным — мы не решаемся утверждать о полной невозможности доступа, но сам факт шифрования вполне может отпугнуть большинство атакующих.
что нового в BitLocker
В Microsoft добавили к BitLocker несколько впечатляющих новых функций в версиях Windows 8 и Windows Server 2012. Теперь средство BitLocker может быть настроено перед установкой, и тогда шифрование понадобится только для используемого
дискового пространства. Это сэкономит массу времени на обеих сторонах установки.
Одним из недостатков первоначального выпуска BitLocker было длительное
время, затрачиваемое на шифрование диска. Очень приятно видеть значительный
рост производительности в данной редакции BitLocker. Ниже перечислены новые
возможности и функции последнего выпуска.
• Настройка BitLocker. За счет применения среды предустановки Windows
(Windows Preinstallation Environment — WinPE) администраторы теперь могут
включить BitLocker перед развертыванием операционной системы.
• Шифрование только используемого дискового пространства. Эта функция позволяет выполнять шифрование гораздо быстрее за счет того, что ему подвергается только используемое дисковое пространство. Доступны два метода шифрования: Full Volume Encryption (Шифрование полного тома) и Used Disk Space Only (Только используемое дисковое пространство).
• Возможность изменения РIN-кода и пароля стандартными пользователями. Для
конфигурирования BitLocker по-прежнему требуются административные при
вилегии, но теперь стандартным пользователям предоставлена возможность
изменять РIN-код или пароль для тома операционной системы либо тома
фиксированных данных по умолчанию.
• Защита Network Unlock. В Windows Server 201 2 R2 появилась новая опция защиты BitLocker для томов операционной системы — Network Unlock. Машины
домена, присоединенные к доверенной проводной сети, могут иметь разбло
кированный системный том сразу после загрузки системы. Это очень удобно в
случае утери РlN-кода.
• Поддержка зашифрованных жестких дисков для Windows. Версии Windows 8 и
Windows Server 2012 теперь содержат поддержку BitLocker для зашифрованных
жестких дисков. BitLocker будет поддерживать заранее зашифрованные жест
кие диски Windows от производителя.
• Шифрование для кластеризированных общих томов. Шифрование томов
Bitlocker поддерживается для кластеров с обходом отказа, которые функци
онируют под управлением Windows Server 201 2 R2. В среде Active Directory,
работающей на функциональном уровне домена Windows Server 201 2, тради
ционные кластеризированные диски и кластеризированные общие тома могут
применять шифрование на уровне томов, предоставляемое BitLocker.
Каждыйузел выполняет расшифровку, используя учетную запись компьютера, которая называется объектом имени кластера (c\uster name object — CNO). Это делает возможной физическую защиту развертывания за пределами защищенного
центра данных и помогает удовлетворять требованиям соответствия мя шиф
рования на уровне томов.
Требования к оборудованию
Для обеспечения наилучшей защиты оборудование должно включать криптопро
цессор Trusted Platform Module (ТРМ) версии 1 .2, представляющий собой встроенный в компьютер аппаратный компонент, который обычно находится на материнской плате.
Если в системе имеется ТРМ 1 .2 и средство BitLocker включено, система будет
выполнять проверку целостности во время заrрузки. Если она обнаруживает изменения в оборудовании, указывающие на то, что жесткий диск находится на друrом
компьютере, устройство блокируется и пребывает в таком состоянии до тех пор,
пока не будет вручную разблокировано с применением ключа восстановления.
Тем не менее, на многих компьютерах ТРМ 1 .2 отсутствует.
Существуют альтернативы, которыми можно воспользоваться дпя шифрования дисков с помощью ВitLocker.
• Пароль. Средство BitLocker может шифровать диск, а дпя его разблокирования
применяется пароль.
• Смарт-карта. Средство BitLocker может шифровать диск, а дпя его разблоки
рования используется смарт-карта с РIN-кодом.
Вариант ТРМ, пароля или смарт-карты выбирается при включении BitLocker на
конкретном диске. На рис. 1 3.30 система не имеет ТРМ, так что присутствуют только опции пароля и смарт-карты.
Также возможно выбрать опцию автоматического разблокирования диска при
доступе из того же самого компьютера. Это требует, чтобы диск, на котором находится Windows, был также защищен посредством ВitLocker. При таком использовании шифрование будет видимым только при переносе диска на другой компьютер
(или в случае изменения оборудования на текущем компьютере, достаточного дпя
того, чтобы средство BitLocker посчитало, что диск был перемещен).
Средство BitLocker может быть внедрено в разделах без шифрования всего диска.
Например, если система имеет единственный физический жесткий диск, разбитый
на два раздела (с и D), вы можете заблокировать диск о с помощью BitLocker, не
блокируя диск с.
Ключ восстановления
Ключ восстановления BitLocker может применяться, если ТРМ обнаруживает,
что диск был перемещен на другой компьютер. Как только криптопроцессор ТРМ
определяет факт переноса (либо изменения оборудования), он блокирует диск до тех пор, пока он не будет разблокирован с использованием ключа восстановления.
BitLocker поддерживает механизм восстановления на случай, если пароль забыл
или смарт-карты утеряна. В Microsoft рекомендуют сохранить ключ восстановления
в Active Directory Domain Services, записать его в файл, распечатать его или хранить
в надежном месте. Мастер BitLocker предоставляет три опции:
• сохранить ключ восстановления на флэш-накопитель USB;
• сохранить ключ восстановления в файл;
• распечатать ключ восстановления.
Этот ключ должен быть защищен на уровне, сопоставимом с данными, хранящимися на диске. Другими словами, если на вашем диске имеются секретные патентованные данные, то защищайте ключ восстановления подобно тому, как защищаете эти данные.
включение BitLocker
По умолчанию средство BitLocker не включено. Перед тем как BitLocker мож
но будет включить, вы должны добавить компонент BitLocker Drive Encryption
(Шифрование диска BitLocker). Вспомните упражнение по добавлению ролей в на
чале этой главы: мы уже включили роль BitLocker. При желании освежить память
можете возвратиться и просмотреть упражнение еще раз. В перечисленных ниже
шагах предполагается, что в системе отсутствует ТРМ 1.2, а роль BitLocker уже установлена на сервере.
1 . Откройте панель управления и щелкните на значке System and Security
(Система и безопасность).
В центре системы и безопасности (System and Security Center) вы должны уви
деть компонент BitLocker Drive Encryption. Если он отсутствует, значит, этот
компонент не был добавлен.
Поиск в ПАНЕЛИ УПРАВЛЕНИЯ
В панели управления имеется одна изящная функция, которая очень полезна, но на
нее часто не обращают внимания. В правом верхнем углу окна расположено поле
поиска. В нем можно вводить любой поисковый термин (такой как BitLocker или
User), и в окне будут отображаться только подходящие значки. Поиск в панели управления доступен также в Windows Vista, Windows 7, Windows 8 и Windows Server
2008. Аналогичная функция поиска не помешала бы и в групповой политике.
2. Щелкните на значке BitLocker Drive Encryption (Шифрование диска BitLocker).
3. Щелкните на ссылке Turn оп Bitlocker (Включить BitLocker).
Откроется начальный экран Bitlocker Drive Encryption (Шифрование диска Bit
Locker), который позволяет выбрать способ разблокирования этого диска. При
отсутствии ТРМ доступны две опции: Use а password to unlock the drive (Ис
пользовать пароль для снятия блокировки диска) и Use а smart card to unlock
the drive (Использовать смарт-карту для снятия блокировки диска).
4. Отметьте флажок Use а password to unlock the drive и введите пароль в двух полях. В качестве альтернативы, если у вас есть смарт-карта и система поддерживает работу со смарт-картами, можете отметить флажок Use а smart card to unlock the drive.
5. Щелкните на кнопке Next (Далее).
6. Выберите Save the гесоvегу key to а file (Сохранить ключ восстановления в файле). Укажите местоположение мя файла на своем компьютере и щелкните
на кнопке Save (Сохранить).
В идеальном случае этот файл должен быть сохранен на отдельном устройс
тве (таком как флэш-накопитель USB). При попытке сохранить файл на том
же физическом диске отобразится диалоговое окно с предупреждением, но вы
можете щелкнуть в нем на кнопке Yes (Да), чтобы продолжить.
7. Щелкните на кнопке Next.
На следующем экране можно указать объем дискового пространства, подлежа
щего шифрованию. Здесь можно выбрать новую опцию Encrypt disk space опlу
(Шифровать только используемое пространство на диске).
Если вы выберете Encrypt entire drive (Шифровать весь диск), то в зависимости
от размера диска процесс может занять продолжительное время. Мы заметили,
что шифрование 1 Гбайт требует около 30 секунд, так что при объеме диска
500 Гбайт у вас появится возможность сделать перерыв.
8. Оставьте все без изменений и щелкните на кнопке Next.
На следующем экране понадобится подтвердить свои намерения зашифровать
ЭТОТ ДИСК.
9. По готовности щелкните на кнопке Start encrypting (Начать шифрование).
Отобразится индикатор хода работ.
10. Дождитесь завершения процесса и щелкните на кнопке Close (Закрыть).
После перезагрузки системы диск оказывается помеченным как зашифрован
ный и не будет доступен.
1 1 . Вы можете разблокировать этот диск, щелкнув на его значке правой кнопкой мыши и выбрав в контекстном меню пункт Unlock Drive (Снять блокировку с диска), как показано на рис. 13.32. Введите указанный ранее пароль и разблокируйте диск.
После разблокирования диска вы можете обращаться к данным обычным об
разом.
12. Щелкните правой кнопкой мыши на значке диска и выберите в контекстном
меню пункт Manage Bitlocker (Управлять BitLockeг).
Это предоставит возможность изменить пароль и манипулировать другими опциями для диска.
В1тLоскЕR То Оо
BitLocker То Go — великолепная возможность, которой легко пользоваться после
того, как на сервер добавлен соответствующий компонент.
1. Откройте окно BitLocker Drive Encryption через панель управления.
2. Вставьте флэш-накопитель USB и щелкните для него на ссылке Turn Оп Bitlocker
(Включить ВitLocker).
3. Введите пароль, сохраните ключ восстановления и затем щелкните на кнопке Start encrypting (Начать шифрование).
Если флэш-накопитель переносится на другой компьютер, он перестает читаться.
Однако вы можете вставить флэш-накопитель в другой компьютер и ввести пароль, когда он будет запрошен, после чего вы получите доступ ко всем своим данным.
Хотя это лучше всего работает в Windows 8 или Windows Server 2012 R2, вы можете
получить доступ к своим данным и на других системах, таких как Windows 7, запустив программу Bi tLockerToGo . ехе для расшифровки и копирования данных.
Многие организации предпринимают дополнительные меры, чтобы защитить «данные в состоянии покоя», и BitLocker То Go вполне удовлетворяет таким потребностям. Мы ожидаем широкого применения этого средства в ближайшем будущем.
Использование автономных файлов / кеширования на стороне клиента
При наличии в вашей сетевой среде пользователей с ноуrбуками вам наверня
ка понравится средство Offiine Files (Автономные файлы) или C\ient-Side Caching
(Кеширование на стороне клиента); в Microsoft применяют эти названия взаимозаменяемо.
На самом деле оно будет привлекательным практически ддя всех, кто использует сеть. Средство Offiine Files предоставляет три основных преимущества:
оно позволяет сети выглядеть более быстрой ддя своих пользователей, сглаживает «затормаживания» сети и упрощает задачу синхронизации файлов на ноутбуках с
файлами на сервере.
как работает Offline Files
Средство Offiine Files включено на общих ресурсах, расположенных на сервере.
Оно автоматически кеширует файлы, к которым производится доступ, сохраняя кешированные копии в папке на локальном жестком диске (папка вполне ожидаемо
называется Offline Files). Эти кешированные копии затем применяются ддя ускорения доступа в сеть (или кажущегося доступа в сеть), поскольку последующий доступ к файлу может быть обработан с использованием кешированной копии, а не путем передачи его содержимого через сеть.
Это очень удобно дЛЯ пользователей, находящихся в пути.
Средство Offiine Filesпозволяет кешированным копиям файлов действовать в качестве временной замены сети, если та отсутствует (что нередко бывает у мобильных пользователей) или работает крайне неустойчиво.
В Offiine Files применяется механизм кеширования со сквозной записью; когда вы записываете файл, он передается в целевое местоположение внутри сети ддя сохранения, а также кешируется на локальном жестком диске. И когда вы хотите обратиться к файлу, кешированному в Offline Files, средство Offiine Files предпочтет предоставить вам кешированную копию (что быстрее), но сначала проверит, не изменился ли этот файл на сервере, сравнивая даты, время и размеры его копий на сервере и в кеше. Если они остались одинаковыми, средство Offiine Files без проблем выдаст файл из кеша; в противном случае Offline Files извлечет копию файла из сети, обеспечив актуальность данных.
Средство Offiine Files увеличивает шансы наличия в кеше новейших копий файлов, выполняя фоновую синхронизацию несколькими способами, которые определяются пользователем. Эта синхронизация поч:ти незаметна для пользователя, который просто работает с общим ресурсом по сети.
Нам нравится средство Offiine Files по следующим причинам.
• Средство Always Offline Mode (Всегда автономный режим). Это новое настраиваемое средство в Windows 8 и Windows Server 201 2 предоставляет пользователям возможность более быстрого доступа к файлам и меньшего расходования полосы пропускания за счет работы всегда в автономном режиме.
В отличие от предшествующих редакций, в которых осуществлялось переключение из онлайнового режима в автономный в зависимости от наличия соединения с
сетью, средство Always Offiine Mode обеспечивает пребывание в автономном
режиме даже при высокоскоростном подключении к сети.
Операционная система Windows будет автоматически обновлять файлы путем их синхронизации с кешем Offline Files. Это новое средство способствует более высокой производительности дисков. Средство Always Offiine Mode требует, чтобы компьютер был присоединен к домену и установленного компонента Group Policy Management (Управление групповой политикой).
• Более быстрый доступ. Из-за того, что часто используемые кешированные файлы будут располагаться на локальном жестком диске в лапке Offline Files,
вы немедленно заметите увеличение скорости реакции сети.
Открытие файла,который выглядит как находящийся в сети, но в действительности хранится в папке на локальном диске, дает очевидные и значительные улучшения времени отклика. поскольку требуется лишь небольшая активность со стороны сети либо она вовсе отсутствует.
• Сокращенный сетевой трафик. Так как кешированные файлы не нуждаются в
повторной переда’Jе по локальной сети, сетевой трафик сокращается. Наличие
часто используемых файлов в локальной папке кеша также решает проблему,
когда необходим файл из сервера, а доступ в сеть отсутствует.
Если вы пытаетесь обратиться к файлу на сервере, который не отвечает (или вы физически не подключены к сети), средство Offiine Files перейдет в «автономный» режим.
В этом режиме Offiine Files просматривает кеш Offiine Files и если находит в нем копию требуемого файла, то предоставляет ее вам, как будто бы сервер
функционирует и соединен с рабочей станцией.
• Автоматическая синхронизация. Если вам когда-либо приходилось находиться
в командировке, то вы знаете две наихудших вещи, которые могут произойти при поездке с ноутбуком: когда внезапно обнаруживается, что вы забыли
один или два важных файла, или досаждают переживания по поводу того, что
по возврашении нужно не забыть скопировать измененные вами файлы.
Средство OПline Files значительно уменьшает шанс возникновении первой из двух проблем, потому что можно сконфигурировать аrпоматическое копирование часто используемых файлов в локальную папку кеша сети.
Автоматизаuия проuесса синхронизаuии ноутбука с серверами существенно снижает объем работ при выполнении второй задачи.
вranchCache
Технология BranchCache предназначена пля оптимизании доступности данных в
офисах филиалов, которые подключаются через мепленные каналы WAN. Средство
BranchCache, когда оно включено, позволяет данным кешироваться на компьютерах в офисе филиала и применяться другими компьютерами в этом офисе.
Предположим, что компания имеет головной офис, находящийся в Колорадо Спрингс, и офис филиала, расположенный в Тампе и соединенный мепленным каналом связи.
Когда пользователям из Тампы необходим доступ к данным, открытым на сервере в Колорадо-Спрингс, им приходится подключапся через канал WAN,
даже если они просто открыли и сразу же закрыли файл.
Благодаря BranchCache, файлы могут кешироваться на каком-то компьютере в
удаленном офисе после первого обращения к ним.
Пользователи, которым нужен файл, впоследствии могут получать доступ к его локально кешированной копии.
BranchCache по-прежнему проверяет актуальность кешированной версии файла, но
короткая проверка метки времени по каналу связи происходит намного быстрее,
чем повторная загрузка всего содержимого файла.
Средство BranchCache поддерживает два режима.
• Режим размещенного кеша (Hosted СасЬе). Данные размещаются на одном или
большем числе серверов в удаленном офисе с установленной операuионной
системой Windows Server 2008 R2 или более новой версии, такой как Windows
Server 2012 R2.
• Режим распределенного кеша (Distributed Cache). Данные размешаются на компьютерах в офисе филиала. Необходимость в сервере отсутствует, но данные могут кешироваться только на компьютерах с Windows 7 и Windows 8. Более старыеверсии клиентских операционных систем для размещения кеша непригодны.
Средство BranchCache поддерживается на серверах Windows Server 2008 R2,
Windows Server 2012 и Windows Server 2012 R2, а также на клиентах Windows Yista, Windows 7 и Windows 8. Включить BranchCache на серверах, предшествующих Windows Server 2008 R2, или на клиентах с версией ОС, более ранней, чем Windows Vista, не удастся. В режиме Distributed Cache данные будут кешироваться только накомпьютерах Windows 7 и Windows 8, но компьютеры с Windows Vista по-прежнему будут иметь доступ к данным, кешированным с помощью BranchCache, несмотря на то, что машины с Windows Vista не могут выступать в качестве хостов.
Прежде чем средство BranchCache может быть включено, оно должно быть добавлено как служба роли внутри роли File and Storage Services.
В групповой политике (Group Policy) предусмотрено несколько настроек, кото
рые можно использовать пля включения и управления BranchCache. Эти настройки
находятся в узле Computer Configuration\Policies\Administrative Templates\Network\ BranchCache (Конфигурация компьютера \ Политики \ Административные шаблоны \ Сеть \ BranchCache) групповой политики.
включение средства Offline Files на сервере
Средство Offiine Files включается на сервере относительно легко. Доступны
два способа включения кеширования общего ресурса. Это можно сделать на экра
не Other Settings (Друтие настройки) мастера создания общего ресурса (New Share Wizard) при создании нового общего ресурса, а если общий ресурс уже создан, то можно изменить его свойства.
1 . Запустите диспетчер серверов и перейдите на вкладку Shares (Общие ресурсы)
для роли File and Storage Services, где вы увидите все общие ресурсы, которые в настоящее время открыты в сети.
2. Щелкните правой кнопкой мыши на любом общем ресурсе и выберите в кон
текстном меню пункт Properties (Свойства).
3. Щелкните на кнопке Settings ( Настройки) и в открывшемся диалоговом
окне перейдите на вкладку Caching (Кеширование).
Диалоговое окно будет выглядеть подобно показанному на рис. 1 3.33. Здесь вы можете включить кеширование общего ресурса и средство BranchCache, если оно еще не было включено.
Хотя в этом разделе объяснялось средство Offiine Files, и было показано, каким
образом его конфигурировать на сервере, его необходимо сконфигурировать так
же на стороне клиента. В разных клиентских операционных системах (Windows ХР,
Windows Vista, Windows 7 и Windows это делается по-разному.
Ниже приведены ссылки, по которым доступны описания для различных клиентов.
Windows ХР:
http : //support . microsoft . com/kЬ/307853
Windows Vista:
http : //windows . microsoft . com/en-US/windows-vista /Wo�king-with-net�orkfiles-when-you-are-offline
Windows 7:
http : //www . windows7update . com/Windows7-0ffline-Files . html
Window 8:
http : / /technet . microsoft . com/en-us /l ibrary/ht8 4 8 2 67