概述:
Dfs是微軟在Win2000時就已經推出的一項功能,全稱是Distributed File System(分佈式文件系統),微軟推出Dfs的目的爲了統一管理網絡中的共享文件資源,避免多個共享資源雜亂無序的分佈在多個服務器中,方便維護管理和用戶統一定位,同時也提供了網絡負載平衡和容錯的功能。
本文以作者工作環境中實際案例爲基礎,詳細闡述了在Win2003 R2中如何使用Dfs建立分佈式文件服務器,結合AD細緻控制用戶權限,保證數據安全,並利用組策略將分佈式文件服務器路徑映射網絡盤,進一步方便終端用戶使用Dfs文件系統,同時利用R2的文件服務器資源管理器功能對文件服務器存儲的文件數據進行有效的管理。
本文涉及的議題有:
一:安裝與配置Dfs。
二:配置文件服務器訪問權限。
三:利用組策略將文件服務器UNC路徑映射爲網絡驅動器。
四:文件服務器資源管理器管理Dfs文件服務器。
五:關於Dfs文件服務器個人體會!
但不涉及Dfs複製相關知識!
Dfs是微軟在Win2000時就已經推出的一項功能,全稱是Distributed File System(分佈式文件系統),微軟推出Dfs的目的爲了統一管理網絡中的共享文件資源,避免多個共享資源雜亂無序的分佈在多個服務器中,方便維護管理和用戶統一定位,同時也提供了網絡負載平衡和容錯的功能。
本文以作者工作環境中實際案例爲基礎,詳細闡述了在Win2003 R2中如何使用Dfs建立分佈式文件服務器,結合AD細緻控制用戶權限,保證數據安全,並利用組策略將分佈式文件服務器路徑映射網絡盤,進一步方便終端用戶使用Dfs文件系統,同時利用R2的文件服務器資源管理器功能對文件服務器存儲的文件數據進行有效的管理。
本文涉及的議題有:
一:安裝與配置Dfs。
二:配置文件服務器訪問權限。
三:利用組策略將文件服務器UNC路徑映射爲網絡驅動器。
四:文件服務器資源管理器管理Dfs文件服務器。
五:關於Dfs文件服務器個人體會!
但不涉及Dfs複製相關知識!
爲方便大家更好理解本篇文章,首先將本次實驗的模擬場景進行一次簡單描述:
某公司有兩臺服務器(Server1,Server2)上都有共享文件夾供日常辦公使用,爲方便管理,現希望通過Dfs方式實現簡單方便的訪問,同時保證合理的用戶訪問權限,實現除了公共資料文件夾外,不同的部門員工只能訪問本部門內部的資料,公共資料夾全公司員工都有權利訪問,部門文件夾中除了部門公共文件夾外,不同用戶只能訪問個人文件夾,不允許訪問其他用戶文件夾。
企業已部署Active Directory,針對不同部門建立了各自的用戶帳號和安全組。見圖一:
某公司有兩臺服務器(Server1,Server2)上都有共享文件夾供日常辦公使用,爲方便管理,現希望通過Dfs方式實現簡單方便的訪問,同時保證合理的用戶訪問權限,實現除了公共資料文件夾外,不同的部門員工只能訪問本部門內部的資料,公共資料夾全公司員工都有權利訪問,部門文件夾中除了部門公共文件夾外,不同用戶只能訪問個人文件夾,不允許訪問其他用戶文件夾。
企業已部署Active Directory,針對不同部門建立了各自的用戶帳號和安全組。見圖一:
一:安裝與配置Dfs
1:安裝分佈式文件系統組件
安裝分佈式文件系統組件的過程非常簡單,當前提條件是需要有R2安裝盤。
一個方法是選擇控制面板中的添加或刪除程序,然後單擊添加/刪除 Windows 組件,然後勾選分佈式文件系統(在分佈式文件系統中包含有DFS複製服務、DFS複製診斷和配置工具、DFS管理三個子組件,你可以根據需要來選擇),然後點擊下一步,最後單擊完成即可。你需要在每一臺具有相應功能的服務器上安裝對應的組件。
也可以利用“管理工具”->“配置您的服務器嚮導”來選擇“文件服務器”角色來安裝分佈式文件系統組件。
推薦使用“配置您的服務器嚮導”來安裝,這樣可以將文件服務器資源管理器組件也一起安裝。如果使用第一種方式安裝了分佈式文件系統組件,之後也可以安裝文件服務器資源管理器組件,安裝文件服務器資源管理器組件方法見圖二:
1:安裝分佈式文件系統組件
安裝分佈式文件系統組件的過程非常簡單,當前提條件是需要有R2安裝盤。
一個方法是選擇控制面板中的添加或刪除程序,然後單擊添加/刪除 Windows 組件,然後勾選分佈式文件系統(在分佈式文件系統中包含有DFS複製服務、DFS複製診斷和配置工具、DFS管理三個子組件,你可以根據需要來選擇),然後點擊下一步,最後單擊完成即可。你需要在每一臺具有相應功能的服務器上安裝對應的組件。
也可以利用“管理工具”->“配置您的服務器嚮導”來選擇“文件服務器”角色來安裝分佈式文件系統組件。
推薦使用“配置您的服務器嚮導”來安裝,這樣可以將文件服務器資源管理器組件也一起安裝。如果使用第一種方式安裝了分佈式文件系統組件,之後也可以安裝文件服務器資源管理器組件,安裝文件服務器資源管理器組件方法見圖二:
安裝完分佈式文件系統組件和文件服務器資源管理器組件後,你可以在管理工具中看到相應的組件工具(圖三):
2:配置分佈式文件服務器
配置分佈式文件服務器的過程也很簡單,你可以使用"DFS管理"組件來配置,也可以使用"分佈式文件系統"組件。,
我習慣於使用“分佈式文件系統”組件,下面就以“分佈式文件系統”組件說明如何配置分佈式文件服務器。
主要分爲兩步,第一步配置Dfs根,第二步建立Dfs鏈接!
配置Dfs根:
Dfs爲共享文件夾定義了一個層次結構,類似於標準的目錄結構,只是構成該目錄結構的不是文件夾,而是多個共享點。
Dfs根就可以理解爲目錄結構的根目錄,包含Dfs根目錄的服務器也稱爲根服務器,同時根服務器會有一個分區信息表(PKI)
包含着指向Dfs目錄結構的指針以及它們所代表的共享名稱。
在Win2003中有兩種類型的Dfs根,分別是獨立根和域根。
獨立根的PKI信息存儲在根服務器的註冊表信息中,如果獨立根服務器不可用,會導致Dfs不可用。
域根的PKI信息存儲的AD中,並複製到當前域中所有DC,以實現容錯性,當根服務器不可用時,其它服務器仍可向客戶端傳送Dfs信息。
顯然,域根是更加安全的方案,但需要AD域支持。本文以域根爲例子!
配置分佈式文件服務器的過程也很簡單,你可以使用"DFS管理"組件來配置,也可以使用"分佈式文件系統"組件。,
我習慣於使用“分佈式文件系統”組件,下面就以“分佈式文件系統”組件說明如何配置分佈式文件服務器。
主要分爲兩步,第一步配置Dfs根,第二步建立Dfs鏈接!
配置Dfs根:
Dfs爲共享文件夾定義了一個層次結構,類似於標準的目錄結構,只是構成該目錄結構的不是文件夾,而是多個共享點。
Dfs根就可以理解爲目錄結構的根目錄,包含Dfs根目錄的服務器也稱爲根服務器,同時根服務器會有一個分區信息表(PKI)
包含着指向Dfs目錄結構的指針以及它們所代表的共享名稱。
在Win2003中有兩種類型的Dfs根,分別是獨立根和域根。
獨立根的PKI信息存儲在根服務器的註冊表信息中,如果獨立根服務器不可用,會導致Dfs不可用。
域根的PKI信息存儲的AD中,並複製到當前域中所有DC,以實現容錯性,當根服務器不可用時,其它服務器仍可向客戶端傳送Dfs信息。
顯然,域根是更加安全的方案,但需要AD域支持。本文以域根爲例子!
打開分佈式文件系統,在“分佈式文件系統”菜單,右鍵新建DFS根目錄(圖四)
在根目錄類型中,選擇“域根目錄”(圖五)
選擇當前的域名,在主服務器中,可以直接輸入根服務器的NetBios名稱,也可以通過瀏覽方式,選擇指定的主服務器(圖六):
在根目錄名稱界面,輸入相應的信息(圖七):
在根目錄共享中,選擇你指定的共享路徑,如果文件不存在,嚮導會自動創建對應的文件(圖八)。
根目錄建立完成後,分佈式文件系統中會相應生成Dfs根目錄(圖九)
建立Dfs鏈接
建立好Dfs根目錄後,爲了能讓Dfs正常運行,我們還需要建立Dfs鏈接才能完成整個Dfs的建立。方法就是在Dfs根上點右鍵,新建Dfs鏈接,爲鏈接起個名字並指向適當的的共享資源就可以了。
這裏我建立了兩個Dfs鏈接,分別模擬場景中對應的兩臺服務器共享文件夾,每個文件夾下面都已經建立好三個子文件夾。(圖十)
建立好Dfs根目錄後,爲了能讓Dfs正常運行,我們還需要建立Dfs鏈接才能完成整個Dfs的建立。方法就是在Dfs根上點右鍵,新建Dfs鏈接,爲鏈接起個名字並指向適當的的共享資源就可以了。
這裏我建立了兩個Dfs鏈接,分別模擬場景中對應的兩臺服務器共享文件夾,每個文件夾下面都已經建立好三個子文件夾。(圖十)
遠程文件服務器建立過程略過。
建好Dfs鏈接後,分佈式文件系統結構如下(圖十一):
二:配置文件服務器訪問權限
1:正確配置用戶工作文件夾
首先看一下場景中對應文件夾安全的實現目標,其中LocalFileServer文件夾對應着Dfs鏈接中的本地文件服務器:
1:正確配置用戶工作文件夾
首先看一下場景中對應文件夾安全的實現目標,其中LocalFileServer文件夾對應着Dfs鏈接中的本地文件服務器:
公司級別文件夾權限要求:
部門內部文件夾權限要求:
明確了安全目標,接下來以IT Depart文件夾爲例,說明如何配置安全的共享文件夾訪問權限,其它兩個文件夾配置辦法類似。
選中"IT Depart"文件夾,右鍵選擇"共享與案例",在"安全"選項卡,選"高級",在“高級安全設置”中,
取消“允許父項的繼承權限傳播到該對象和所有子對象。。。”。勾,在彈出的窗口中,選擇“刪除”
選中"IT Depart"文件夾,右鍵選擇"共享與案例",在"安全"選項卡,選"高級",在“高級安全設置”中,
取消“允許父項的繼承權限傳播到該對象和所有子對象。。。”。勾,在彈出的窗口中,選擇“刪除”
刪除繼承後,再添加”IT Depart“安全組到”安全“選項卡中。
注意:IT Depart安全組是在AD中建立,成員包括:ITTrainer,RogerWang,見圖一.
爲方便管理,建議將Domain Admins用戶組也加入到該文件夾,並賦給“安全控制”權限。
其它文件夾權限設置思路大同小異,請參考IT Depart文件夾上述步驟,過程略!
2:設置好工作文件夾權限後,接下來步驟是正確配置Dfs共享文件夾訪問權限
首先檢查一下默認的文件服務器對應的共享文件夾訪問權限。
1):根目錄共享文件夾
共享用戶是Everyone,權限是隻讀
首先檢查一下默認的文件服務器對應的共享文件夾訪問權限。
1):根目錄共享文件夾
共享用戶是Everyone,權限是隻讀
安全選項卡中,用戶和權限是直接繼承自上級目錄,對於Superlan\Users只有讀取權限
2):Dfs鏈接對應的共享文件夾,默認的訪問權限與根目錄共享文件夾訪問權限一致,在此略過!
3:通過客戶端訪問Dfs服務器,測試當前的用戶權限。
客戶端以域帳號ITTrainer登錄後,通過運行UNC訪問路徑“\\superlan.vmtest.com\文件服務器”,
可以正常訪問到Dfs文件服務器,但此時只能瀏覽,在任一級目錄沒有寫權限。
客戶端以域帳號ITTrainer登錄後,通過運行UNC訪問路徑“\\superlan.vmtest.com\文件服務器”,
可以正常訪問到Dfs文件服務器,但此時只能瀏覽,在任一級目錄沒有寫權限。
3:對共享文件夾賦給域用戶正確權限
1):根目錄共享文件夾,權限不變
2):Dfs鏈接共享文件夾
在共享選項卡中,給Everyone用戶權限添加“更改”權限
在“安全”選項卡中,給Users(Superlan\Users)添加"拒絕"寫入權限。
添加”拒絕寫入“權限的目的是防止用戶在與"IT Depart"同級目錄中新增文件夾!
添加”拒絕寫入“權限的目的是防止用戶在與"IT Depart"同級目錄中新增文件夾!
至此,文件服務器安全訪問權限已經配置完成,可以通過客戶端登錄到Dfs服務器進行相應測試!
三:利用組策略將文件服務器UNC路徑映射爲網絡驅動器
通過上面步驟,客戶機已經可以通過UNC路徑訪問Dfs文件服務器,進行正常的文件訪問,貌似已經比較完美。
但在實際工作中我們發現,在企業常常會有一些用戶,連上述UNC路徑(\\superlan.vmtest.com\文件服務器)都不懂使用,希望有更加方便簡捷的途徑使用文件服務器。沒辦法,企業內IT人員永遠是爲用戶服務,既然有此需求,只能想辦法實現。
下面給出利用組策略實現將UNC名映射成網絡盤的基本思路。
1:編寫用戶登錄腳本,實現UNC到網絡驅動器的映射。
用戶登錄腳本如下,文件名:NetDisk.VBS
通過上面步驟,客戶機已經可以通過UNC路徑訪問Dfs文件服務器,進行正常的文件訪問,貌似已經比較完美。
但在實際工作中我們發現,在企業常常會有一些用戶,連上述UNC路徑(\\superlan.vmtest.com\文件服務器)都不懂使用,希望有更加方便簡捷的途徑使用文件服務器。沒辦法,企業內IT人員永遠是爲用戶服務,既然有此需求,只能想辦法實現。
下面給出利用組策略實現將UNC名映射成網絡盤的基本思路。
1:編寫用戶登錄腳本,實現UNC到網絡驅動器的映射。
用戶登錄腳本如下,文件名:NetDisk.VBS
Set objNetwork = CreateObject("Wscript.Network")
Set colDrives = objNetwork.EnumNetworkDrives
Set colDrives = objNetwork.EnumNetworkDrives
'Wscript.Echo colDrives.Count
if colDrives.Count = 0 then
strDriveLetter="X:"
else
strDriveLetter = Chr(Asc(Left(colDrives.Item(0),1))-1) & ":"
end if
strDriveLetter="X:"
else
strDriveLetter = Chr(Asc(Left(colDrives.Item(0),1))-1) & ":"
end if
' Section to map the network drive
Set objNetwork = CreateObject("WScript.Network")
objNetwork.MapNetworkDrive strDriveLetter, strRemotePath
Set objNetwork = CreateObject("WScript.Network")
objNetwork.MapNetworkDrive strDriveLetter, strRemotePath
' Section which actually (re)names the Mapped Drive
Set objShell = CreateObject("Shell.Application")
objShell.NameSpace(strDriveLetter).Self.Name = strNewName
Set objShell = CreateObject("Shell.Application")
objShell.NameSpace(strDriveLetter).Self.Name = strNewName
2:使用老朋友GPMC,在AD中建立一個用於分發Dfs文件服務器的組策略,在用戶配置->Windows設置->腳本(登錄/註銷)->登錄,
選擇上述的NetDisk.VBS腳本。實現在用戶登錄時執行映射網絡驅動器動作!
注意,一定要將上述腳本存放到該組策略對應的Logon目錄下,該組策略才能生效!
3:鏈接該組策略到具體的OU,請注意要鏈接到用戶OU中,不要鏈接到計算機OU中。
4:啓動客戶機測試組策略結果,檢測是否可以正確映射網絡驅動器。
4:啓動客戶機測試組策略結果,檢測是否可以正確映射網絡驅動器。
四:使用文件服務器資源管理器管理Dfs文件服務器
文件服務器部署成功,在實際環境中正式使用後,如何有效的進行文件服務器,比如每個用戶文件夾大小,文件類型,以及存儲情況呢?
微軟的Win2003 R2中提供了一個強大的文件服務器資源管理器組件,可以方便網絡管理員更好地監視、控制和管理存儲在公司服務器上的數據的類型和數量。
本文只介紹一些簡單的使用方法,詳細使用請參見微軟文檔([url]http://www.microsoft.com/china/technet/itsolutions/msit/valuecard/msfsrmvc.mspx[/url])
或風間子的文件服務器資源管理使用文檔([url]http://www.winsvr.org/info/info.php?sessid=&infoid=48[/url])
1:創建配額監視文件服務器使用情況
在FSRM管理控制檯中展開配額管理,右擊配額,選擇創建配額。
在彈出的創建配額對話框上,首先選擇配額路徑,默認選項爲在路徑上創建配額。
如果你想監視該目錄下完整使用情況,可以選擇第二個。
然後選擇從此配額模板派生屬性(推薦選項)並選擇對應的模板,如果你需要創建自定義的配額則選擇定義自定義配額屬性。
文件服務器部署成功,在實際環境中正式使用後,如何有效的進行文件服務器,比如每個用戶文件夾大小,文件類型,以及存儲情況呢?
微軟的Win2003 R2中提供了一個強大的文件服務器資源管理器組件,可以方便網絡管理員更好地監視、控制和管理存儲在公司服務器上的數據的類型和數量。
本文只介紹一些簡單的使用方法,詳細使用請參見微軟文檔([url]http://www.microsoft.com/china/technet/itsolutions/msit/valuecard/msfsrmvc.mspx[/url])
或風間子的文件服務器資源管理使用文檔([url]http://www.winsvr.org/info/info.php?sessid=&infoid=48[/url])
1:創建配額監視文件服務器使用情況
在FSRM管理控制檯中展開配額管理,右擊配額,選擇創建配額。
在彈出的創建配額對話框上,首先選擇配額路徑,默認選項爲在路徑上創建配額。
如果你想監視該目錄下完整使用情況,可以選擇第二個。
然後選擇從此配額模板派生屬性(推薦選項)並選擇對應的模板,如果你需要創建自定義的配額則選擇定義自定義配額屬性。
最後點擊創建即可,完成後如下圖所示
這時就可以看到相應的文件夾以及子文件夾使用情況。
2:使用文件屏蔽管理,拒絕用戶存放某些類型文件。
在FSRM管理控制檯中展開文件屏蔽管理,右擊文件屏蔽,選擇創建文件屏蔽,然後在彈出的創建文件屏蔽對話框上輸入路徑,選擇對應的模板,如果需要則可以選擇定義自定義文件屏蔽屬性進行自定義,然後點擊創建。
在FSRM管理控制檯中展開文件屏蔽管理,右擊文件屏蔽,選擇創建文件屏蔽,然後在彈出的創建文件屏蔽對話框上輸入路徑,選擇對應的模板,如果需要則可以選擇定義自定義文件屏蔽屬性進行自定義,然後點擊創建。
3:使用存儲報告管理,實時瞭解文件服務器資源狀況
在FSRM中,提供了非常詳盡的存儲報告功能,通過此功能,可以很清楚的瞭解到服務器上所存儲的資源狀況。也可以創建計劃報告任務來定期創建報告,也可以立即生成報告。
在FSRM中,提供了非常詳盡的存儲報告功能,通過此功能,可以很清楚的瞭解到服務器上所存儲的資源狀況。也可以創建計劃報告任務來定期創建報告,也可以立即生成報告。
五:對Dfs文件服務器個人體會
1:通過Dfs文件服務器,我們可以實現將存在網絡多個不同位置的共享文件夾統一位置來訪問,但在實際環境中如有條件,強烈建議只使用一臺獨立服務器做專職的文件服務器!
2:對於Dfs來說,雖然只要求Dfs根必須在NTFS捲上,但從安全性方面考慮,強烈建議Dfs鏈接文件夾也建立在NTFS卷中。
3:理論上Dfs可以無限包含子文件夾,但實際上Dfs路徑長度不能超過260字節,建議在建立文件夾時使用簡潔的命名方案。
4:同一個Dfs根不能從現有的鏈接中再創建子鏈接,基本的Dfs命名空間只有一級深度。