Вы находитесь на странице: 1из 34
Компания Netwell ‐ российский дистрибьютор высокотехнологичного

Компания Netwell ‐ российский дистрибьютор высокотехнологичного оборудования. Основные направления деятельности – сетевые технологии, системы хранения данных, сетевая и информационная безопасность. Netwell является официальным дистрибьютором компании NetApp.

NETAPP TECHNICAL REPORT

компании NetApp . NETAPP TECHNICAL REPORT Использование систем хранения

Использование систем хранения NetApp с инфраструктурой сети Microsoft Windows

Reena Gupta, NetApp Bingxue Cai, NetApp

April 2011 | TR-3367

КОРОТКО О ГЛАВНОМ:

Файловые сервисы это важная часть корпоративной системы хранения данных любого клиента. Системы хранения NetApp® обеспечивают высоконадежное хранение данных для клиентов Microsoft® Windows® с использованием файлового сетевого протокола Common Internet File System (CIFS). В данном документе рассказывается, как можно организовать удобную интеграцию системы хранения и среды Microsoft Windows, а также то, как возможности Microsoft Windows поддерживаются на стороне системы хранения NetApp. Начиная с версии Data ONTAP® 7.3.1, системы хранения NetApp также поддерживают протокол SMB 2.0.

Оглавление

1 Целевая аудитория

 

4

2 Необходимые знания

4

3 Введение

5

4 Взаимодействие между NetApp и системами под управлением MS Windows

5

5 Поддержка протокола SMB 2.0

6

6 Поддержка Active Directory

7

6.1 Разрешение имен

 

8

6.2 Обнаружение контроллера домена

9

6.3 Использование сайта Active Directory

11

6.4 Поддержка SMB Signing

11

6.5 Поддержка LDAP Signing and Sealing

11

6.6

Поддержка

атрибута Sparse File

12

7 Аутентификация

12

7.1

Аутентификация Kerberos

12

7.2

Аутентификация Windows NT LAN Manager

13

7.3

Minimum Session Security при аутентификации NTLM

14

8 Установка системы хранения в среде Active Directory

14

9 Управление «домашними папками»

15

10 Администрирование системы хранения с компьютера под MS Windows

16

10.1 Использование консоли MMC для администрирования системы хранения

16

10.2 Использование Active Directory MMC для управления пользователями

18

Перемещаемые профили (Roaming Profiles)

18

10.3

Применение объектов групповых политик

19

Управление групповыми политиками (GPO)

20

Поддерживаемые GPO

20

Установки GPO File System Security

21

Группы с ограниченным доступом (Restricted Group Security)

21

Настройка журнала событий (Event Log) и политики аудита (Audit Policy Mapping)

21

Интервал обновления групповых политик и его смещение

22

Назначение прав пользователя (User Rights Assignment)

22

10.4 Использование Windows DFS Manager для управления ссылками на ресурсы на системе

хранения

22

 

10.5 Widelink

23

11 Поддержка возможностей клиента Microsoft Windows

23

11.1

Управление CIFS Share

23

Access-Based Enumeration (ABE)

23

11.2

Использование Shadow Copies для сетевой папки (Volume Shadow Copy Service Client)

26

11.3

Поддержка IntelliMirror

26

Offline Folders (кэширование на стороне клиента)

26

Перенаправление папки My Documents

28

11.4

Аудит журнала событий

29

Live View: «Живое» отображение файла Event Log

30

Статическое отображение файла Event Log

31

12 Блокировка хранения файлов

31

13 Антивирусная защита

протокола CIFS

32

14 Выводы

33

15 История версий документа

33

16 Ссылки

33

16.1 Ссылки NetApp

33

16.2 Ссылки Microsoft

33

1

Целевая аудитория

Системы хранения NetApp обеспечивают надежный сервис файлового хранения для клиентов Microsoft Windows, предоставляя им доступ по протоколу Common Internet File System (CIFS). Этот документ описывает то, как наша система хранения интегрируется в среду Microsoft Windows, и как легко вы можете управлять ей, используя стандартные сервисы Microsoft, включая Active Directory®, IntelliMirror, Volume Shadow Copy, Access-Based Enumeration, оффлайновое кэширование, аудит, Distributed File System (DFS), блокирование определенных типов файлов (File Screening), и антивирусное сканирование.

В этом документе представлено общее видение того, как системы хранения NetApp интегрированы в среду Microsoft Windows. Рассмотрены следующие вопросы:

• Как система хранения может быть интегрирована в mixed- или native-mode Active Directory и с использованием различных видов аутентификации

• Какие административные инструменты Windows, такие как Microsoft Management Console в Active Directory Users and Computers, могут быть использованы для выполнения задач администрирования Windows с системой хранения NetApp

• Как в Data ONTAP работают различные средства обеспечения безопасности, такие как NTLMv2, Server Message Block (SMB) signing, LDAP signing, антивирусное сканирование и file screening

• Как в Data ONTAP поддерживается ряд возможностей клиента Windows, используемых в типичной инфраструктуре Windows

• Как в Data ONTAP реализована возможность хранения «домашнего каталога» пользователя

Для информации о том, как использовать эти возможности и сервисы систем хранения NetApp с серверами Windows, смотрите документ Data ONTAP File Access and Protocol Management Guide, расположенный на сайте NetApp Support (ранее NOW™) по адресу http://now.netapp.com.

Этот документ охватывает возможности, относящиеся к сетевой среде Windows, поддерживаемые в Data ONTAP 8.0 7-Mode; он не рассматривает возможности Data ONTAP GX и Data ONTAP 8.0 C- Mode. Для проверки совместимости с различными версиями OS семейства Windows смотрите Windows File Service Compatibility Matrix на сайте NetApp Support.

Для подробностей о сервисах и программных решениях Microsoft, обсуждаемых в этом документе, смотрите сайт www.microsoft.com.

2 Необходимые знания

Документ предполагает, что читающий владеет знаниями о работе и особенностях использования следующих систем:

Microsoft Windows 2000 Server, Windows Server 2003 Windows Vista®, и Windows XP®.

(R2), Windows Server 2008 (R2),

Авторы также ожидают также, что вы в достаточном объеме владеете навыками администрирования систем хранения NetApp. Для информации об администрировании системы хранения смотрите Data ONTAP administration guides на http://now.netapp.com.

3

Введение

Системы хранения NetApp это дисковые устройства, работающие под управлением внутренней OS производства NetApp Data ONTAP. OS Data ONTAP это специализированная операционная система, базирующаяся на микроядерной концепции и использующая специальную структуру размещения блоков данных на дисках – WAFL® (Write Anywhere File Layout).

Системы NetApp совместимы с сетевой средой Microsoft Windows, в которой могут работать как подключаемое к сети хранилище данных (NAS), как дисковое устройство в сети хранения (SAN), или одновременно, в обеих этих ролях. В среде файлового сервиса Windows, система хранения NetApp видится и работает как сервер-член домена Microsoft Windows и может управляться и наблюдаться средствами мониторинга с помощью собственных штатных средств управления Windows, обеспечивая надежный, высокодоступный файловый сервис.

Системы хранения NetApp используют общепринятый индустриальный стандарт - протокол Microsoft CIFS/SMB и реализуют нативную поддержку Lightweight Directory Access Protocol (LDAP) и протокола аутентификации Kerberos, не требуя установки дополнительного программного обеспечения.

4 Взаимодействие между NetApp

и системами под управлением MS Windows

Протокол CIFS непосредственно интегрирован в Data ONTAP. В результате, для компьютеров под управлением Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 2008 и Windows 7 не требуется установки какого-то дополнительного клиентского ПО для доступа к данным, хранящимся на устройствах NetApp. Системы хранения представлены в сети как обычные файловые сервера.

Рисунок 1 показывает путь данных между компьютером Windows и системой хранения.

Рис . 1) Путь передачи данных между клиентом Windows и системой

Рис. 1) Путь передачи данных между клиентом Windows и системой хранения NetApp.

Подобно тому, как база данных использует при работе свой журнал транзакций, WAFL использует специальное аппаратное устройство nonvolatile random access memory (NVRAM). Такой подход позволяет увеличить надежность и обеспечить постоянную целостность файловой системы хранилища. Технология NetApp Snapshot® использует так называемые WAFL consistency points для создания почти мгновенных онлайн-копий содержимого тома. Это позволяет конечным пользователям легко восстанавливать свои удаленные или измененные данные, используя механизмы Microsoft Shadow Copy для папок, или простым копированием в Windows Explorer. Технология NetApp SnapRestore® позволяет восстановить очень большие разделы, например базы данных, из таких онлайн-копий за минуты, вместо часов. Снэпшоты легко создаются, занимают минимальный объем дискового пространства и их легко использовать.

5 Поддержка протокола SMB 2.0

Начиная с версии Data ONTAP 7.3.1, системы хранения NetApp поддерживают протокол SMB 2.0, следующее поколение протокола CIFS, который может работать параллельно существующему CIFS/SMB. Это полностью переработанный протокол, в сравнении с CIFS/SMB. SMB 2.0 имеет следующие возможности:

• «Составные» операции (Compounded Operations)

Durable Handles

• Систему «кредитов» (credits)

• Буфера ввода-вывода увеличенного размера, до 64K

SMB Signing

• Улучшенную масштабируемость

Все новые, по сравнению с CIFS/SMB, возможности SMB 2.0 перечислены ниже:

Преимущества

Новые возможности

Чем хорошо для пользователя

Улучшенная

• Составные операции

Больше объем чтения и записи на

производительность

• Больший размер буфера

операцию (64KB)

• Механизм кредитов (QoS)

Улучшенная производительность в WAN • Сервер может осуществлять балансировку нагрузки с помощью

механизма выделения кредитов

Улучшенная

серверная

• Расширенные поля Session ID и TreeID

До 128K пользовательских сессий и

масштабируемость

• Расширенное пространство UID и FID

tree connections на TCP-соединение

Улучшенная надежность и устойчивость

• Asynchronous Messages

• Меньше таймауты на сессию CIFS

• Durable Handles

Предотвращение потерь данных на клиентской стороне

Улучшенная

SMB Signing с помощью SHA256

Более

надежный

механизм

безопасность

цифровой подписи

Таблица 1) Преимущества SMB2.0

Использование SMB 2.0 можно включить на версии Data ONTAP 7.3.1 и новее, с помощью опции cifs.smb2.enable; по умолчанию она выключена.

Для подробностей об использовании SMB 2.0 в Data ONTAP, смотрите документ TR-3740 SMB 2.0-Next-Generation CIFS Protocol in Data ONTAP.

6 Поддержка Active Directory

Сервисы Microsoft Active Directory позволяют организациям эффективно управлять ресурсами сети. Active Directory реализована как распределенная, масштабируемая база данных, управляемая серверами семейства Windows, с установленной ролью доменного контроллера.

Функциональные уровни определяют доступные возможности домена или леса Active Directory (AD DS). Они также определяют, какие версии операционных систем Windows Server, можно использовать в роли контроллера домена в отдельном домене или во всем лесу.

Однако функциональный уровень не накладывает ограничения на версии операционных систем, которые используются на рабочих станциях или рядовых серверах, членах этого домена или леса. (Однако функциональный уровни не регулируют, какие операционные системы вы можете запустить на рабочих станциях и членов серверов, присоединенных к домену или лесу). В Active Directory существует два типа функциональных уровней: уровень домена и уровень леса.

Функциональный уровень домена Функциональный уровень домена содержит возможности, которые влияют только на один конкретный домен.

Эти уровни отличаются версией операционной системы Windows Server, которая может быть использована на контроллерах домена. Каждый последующий уровень обычно содержит в себе функциональные возможности предыдущих.

Функциональный уровень леса Функциональные возможности леса включают в себя возможности во всех доменах этого леса

Системы хранения NetApp могут работать при следующих функциональных уровнях домена/леса службы каталогов Active Directory:

Функциональный уровень домена/леса доменов

Поддерживаемые контроллеры доменов

Windows 2000 mixed

Windows NT® 4.0 Windows 2000

Windows 2000 native

Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008R2

Windows Server 2003

Windows Server 2003 Windows Server 2008 Windows Server 2008R2

Windows Server 2008

Windows Server 2008 Windows Server 2008R2

Windows Server 2008R2

Windows Server 2008R2

Внимание: Для более подробной информации о возможностях для каждого функционального уровня обратитесь к сайту справки Microsoft.

Системы хранения NetApp могут также использоваться в многодоменной инфраструктуре, при которой система хранения является членом одного домена, а другие домены находятся в доверительных отношениях с первым.

6.1 Разрешение имен

Подобно тому, как поступают компьютеры Windows в среде Active Directory, системы хранения NetApp запрашивают сервера Domain Name Service (DNS) для того, чтобы обнаружить контроллер домена. Работа сервисов Active Directory тесно связана с работой DNS, которые разрешают имена и сервисы в IP-адреса, поэтому сервера DNS, используемые системой хранения в среде Active Directory должны поддерживать записи типа service location resource (SRV, в соответствии с RFC 2782). Если DNS не работает или сконфигурирован неверно, Data ONTAP не сможет найти запись SRV, которая необходима для обнаружения серверов DC, KDC, LDAP, и KPASSWD, и, следовательно, не сможет подключиться в домен AD.

Внимание: Сервера DNS, как рекомендовано Microsoft, должны поддерживать возможность dynamic updates (согласно RFC 2136), чтобы важные изменения в записях SRV автоматически обновлялись и немедленно становились доступны клиентам. Начиная с версии Data ONTAP 7.1.x, мы поддерживаем опцию dns.update.enable для работы Dynamic DNS.

Когда вы используете сервера DNS иные, чем DNS в серверах Windows, такие как, например сервер Berkeley Internet Name Domain (BIND), проверьте, чтобы используемая вами версия поддерживала записи типа SRV, в противном случае обновите версию сервера DNS.

6.2 Обнаружение контроллера домена

При использовании в среде Microsoft Windows Active Directory, система хранения NetApp должна иметь возможность находить, приоритезировать, и выбирать сервисы, запущенные на серверах Windows. OS Data ONTAP делает это путем выполнения процесса, который устанавливает соединение с контроллерами домена (DC), и сервисами LDAP, KDC, и KPASSWD. Система хранения пытается найти контроллер домена или сервера LDAP в следующих случаях:

• Система хранения запущена или перезагружена.

• Отдана команда CIFS resetdc.

• Прошло 4 часа с момента предыдущего поиска.

Для среды Active Directory, принадлежность сайту (site membership) есть один из критериев, руководствуясь которым система хранения выбирает контроллер домена (когда не задан предпочтительный контроллер домена). Поэтому важно правильно сконфигурировать сайт и его сервисы.

Data ONTAP проводит поиск контроллера домена и сервер LDAP руководствуясь следующим алгоритмом. Рисунок 2 показывает его в виде блок-схемы:

1. Проверяет закэшированный адрес сервера (кэш «last connection»).

2. Проверяет принадлежность контроллера домена группе:

Preferred: Контроллер домена определен в списке cifs prefdc.

Favored: Контроллер домена является членом того же сайта Active Directory, или находится в той же подсети, что и система хранения, группа сортируется по наилучшему времени ответа или случайным порядком

Other: Контролер домена не является членом того же сайта Active Directory, в котором находится система хранения, группа сортируется по наилучшему времени ответа или случайным порядком

3. Запрашивается запись directory SRV в DNS.

Внимание: Членство в сайте (Site membership) задается в домене Active Directory; по этой причине категория Favored отсутствует для домена типа Windows NT 4 domain или домена в mixed-mode, где ваша система хранения NetApp сконфигурирована как сервер типа Windows NT 4. В этом случае, все найденные в результате процедуры поиска контроллеры домена попадают в категорию Other.

Если система хранения NetApp не может обнаружить контроллера домена Active Directory, она переключается в Windows NT 4 mode и ищет контроллер домена типа Windows NT 4.0, используя Windows Internet Naming Service(WINS) и протокол NetBIOS, или используя широковещательные запросы b-node broadcasts. Если система хранения сконфигурирована на использование Windows NT 4 mode, или вынужденно переключилась в него, то выполняется следующее:

• Система хранения регистрирует каждый свой интерфейс в Windows Internet Naming Service. (Регистрация в Windows Internet Naming Service может быть включена или выключена для каждого интерфейса отдельно.)

• Система хранения аутентифицирует входящие сессии с помощью контроллера домена, используя Windows NT LAN Manager authentication protocol.

Если система хранения NetApp обнаруживает контроллер домена Active Directory, то происходят следующие действия:

• Клиент получает свои полномочия, связавшись с контроллером домена и Kerberos key distribution center (DC/KDC).

• Для CIFS/SMB используется TCP порт 445.

• Опциональная регистрация в Windows Internet Naming Service может быть включена или выключена для каждого сетевого интерфейса.

быть включена или выключена для каждого сетевого интерфейса . 10

Рис. 2) Блок-схема алгоритма обнаружение контроллера домена.

6.3 Использование сайта Active Directory

Понятие сайта Active Directory используется для того, чтобы логически описать нижележащую физическую сеть. Сайт это группа сетей, соединенных на скоростях LAN. Сравнительно медленные и менее надежные сети WAN используются для связи между сайтами, которые расположены слишком далеко, чтобы быть соединенными в LAN.

Системы хранения NetApp умеют использовать возможности сайтов Active Directory. Поэтому они будут пытаться связываться с контроллером домена в своем сайте, вместо того, чтобы искать контроллер в другом сайте. Важно разместить систему хранения NetApp в правильном сайте Active Directory, чтобы использовать ресурсы физически расположенные рядом с ней. Для просмотра информации о сайте, в котором находится система NetApp, используйте команду

cifs domaininfo.

6.4 Поддержка SMB Signing

Data ONTAP поддерживает возможность под названием Server Message Block (SMB) signing, когда ее запрашивает клиент. SMB signing помогает удостовериться, что сетевой трафик между системой хранения и клиентом не был скомпрометирован, устраняя возможность так называемой «атаки 'man in the middle. Когда на стороне системы хранения включен SMB signing, это эквивалентно использованию политики сетевого сервера Microsoft «Digitally sign communications (if client agrees).» Невозможно сконфигурировать систему хранения на затребование соединения с SMB signing с клиента, что эквивалентно политике сетевого сервера Microsoft «Digitally sign communications (always).» Опция SMB signing выключена по умолчанию на системе хранения по соображениям сетевой производительности. Для того, чтобы ее включить, установите опцию

cifs.signing.enable в значение on.

Большинство клиентов Windows распознают SMB signing по умолчанию, когда она включается на стороне сервера. Когда включается SMB signing, все коммуникации CIFS клиентов Windows вызывают значительное влияние на общую производительность, влияние, которое проявляется как на стороне клиента, так и на стороне сервера (в данном случае – системы хранения с OS Data ONTAP). Падение производительности проявляется в увеличении нагрузки на CPU на стороне клиента и сервера, хотя общий объем сетевого трафика и не увеличивается.

В зависимости от вашей сети и системы хранения, влияние SMB signing на производительность может широко варьироваться и оценить его можно только практическим путем при тестировании. Если вам необходимо использование защиты SMB ля некоторых ваших клиентов Windows, и если SMB signing вызывает значительное ухудшение производительности, вы можете запретить использование SMB signing на тех клиентах Windows, которым не требуется защита от replay attack.

Внимание: Для включения SMB

signing для

протокола SMB 2.0 установите значение опции

cifs.smb2.signing.required в состояние on.

6.5 Поддержка LDAP Signing and Sealing

Подписывание (signing) трафика Lightweight Directory Access Protocol (LDAP) удостоверяет, что трафик приходит из известного источника, и что он не был подменен. Sealing это шифрование всего трафика LDAP.

Начиная

хранения NetApp.

с версии

Data ONTAP 7.0.1,

LDAP

signing

and

sealing поддерживается на системах

6.6 Поддержка атрибута Sparse File

«Разреженные» (Sparse) файлы позволяют создавать программам очень большие файлы, но занимать место на диске только по мере необходимости. Так называемые «разреженные» или sparse file это файлы, с установленным атрибутом, который требует о подсистемы ввода-вывода размещать в файле только «ненулевые» данные.

Все «ненулевые» данные помещаются на диск, а все «незначащие» данные, например длинные последовательности нулей, на диске не размещаются. Когда такой sparse file читается, то фактически записанные в него данные прочитываются в том виде, как они были записаны, а незаписанные фактически данные возвращаются как нули, в соответствии с требованиями C2 security requirement specification. Начиная с версии Data ONTAP 7.3, атрибут файла NTFS Sparse File поддерживается в NetApp.

7 Аутентификация

Систем хранения NetApp может работать как в режиме Windows workgroup mode так и в режиме Windows domain mode. Процесс аутентификации типа Workgroup разрешает доступ локальным клиентам Windows и не передается на контроллер домена. В случае доменной аутентификации, клиент согласовывает максимально возможный уровень безопасности, когда подключается к системе хранения. Выбор происходит из двух уровней:

Basic security использует Windows NT LAN Manager (NTLM) или NTLMv2

Extended security использует Windows 2000 Kerberos

Во время последовательности установки сессии компьютер с Windows согласовывает доступный метод аутентификации. Компьютеры Windows 2000 и новее, не являющиеся членами домена Active Directory, используют только аутентификацию NTLM. По умолчанию, компьютеры Windows 2000 и новее, являющиеся членами домена Active Directory попробуют использовать аутентификацию Kerberos, а затем NTLM-based. Компьютеры с Windows NT 4.0, Windows NT 3.x, и Windows 95/98 всегда аутентифицируются с использованием NTLM-based authentication.

В Data ONTAP включены нативные реализации протоколов NTLM и Kerberos, что позволяет ему обеспечивать полноценную поддержку для Active Directory и более ранних методов аутентификации.

7.1 Аутентификация Kerberos

Сервер Kerberos, или Kerberos Key Distribution Center (KDC) service, хранит и извлекает информацию о принципах безопасности в Active Directory. В отличие от модели NTLM, клиенты Active Directory, которые хотят установить сессию с другим компьютером, например с системой хранения, связываются с KDC напрямую, для получения удостоверения на данную сессию (session credentials).

При использовании Kerberos, клиент подключается к сервису KDC, работающему на контроллере домена Windows 2000 и новее. Клиент запрашивает «билет» TGT (Ticket Granting Ticket) для данного домена. Это процесс обмена между службами проверки подлинности Kerberos SSP и KDC домена пользователя (KRB_AS_REQ и KRB_AS_REP). Результатом является TGT, который клиент

может использовать для запроса сессионного ключа к сервису. Затем клиент передает аутентификатор и зашифрованный сессионный «билет» системе хранения, как показано на Рисунке 3.

Для подробностей о работе аутентификации Kerberos смотрите TR-3457: Unified Windows and UNIX Authentication Using Microsoft Active Directory Kerberos.

Authentication Using Microsoft Active Directory Kerberos . Рис . 3) Аутентификация Kerberos. 7.2

Рис. 3) Аутентификация Kerberos.

7.2 Аутентификация Windows NT LAN Manager

При использовании аутентификации NTLM, система хранения NetApp связывается с контроллером домена Windows NT 4.0, Windows 2000, Windows 2003, Windows 2008, или Windows 2008R2 для проверки предоставленных пользователем реквизитов доступа, таких как имя пользователя, запрос (challenge), посланный клиенту и его отзыв (response), принятый от клиента. Контроллер домена извлекает пароль пользователя из базы Security Account Manager и использует его для шифрования запроса (challenge). Затем контроллер домена сравнивает зашифрованный запрос с отзывом, вычисленным клиентом. Если они совпадают, аутентификация NTLM считается успешной. Тогда контроллер домена посылает отзыв назад на систему хранения, подтверждая успешную аутентификацию, и система хранения разрешает пользователю доступ к файлам, согласно его правам доступа, как показано на рис. 4.

Рис . 4) Аутентификация NT LAN Manager (NTLM). 7.3 Minimum Session Security при

Рис. 4) Аутентификация NT LAN Manager (NTLM).

7.3 Minimum Session Security при аутентификации NTLM

Уровень безопасности сессии при аутентификации NTLM определяется тем, какой протокол аутентификации использовался для входа в сеть. Существует пять уровней согласования challenge/response, задаваемых в опции:

option cifs.LMCompatibilityLevel <level>:

Level 1: допускает LM, NTLM, NTLMv2 session security, NTLMv2, Kerberos (по умолчанию)

Level 2: допускает NTLM, NTLMv2 session security, NTLMv2, Kerberos

Level 3: допускает NTLMv2 session security, NTLMv2, Kerberos

Level 4: допускает NTLMv2, Kerberos

Level 5: допускает только Kerberos

8 Установка системы хранения в среде Active Directory

При установке системы хранения NetApp в сетевую инфраструктуру Microsoft Active Directory, следует соблюсти следующие требования:

• Проверить, что система хранения сконфигурирована на использование сервера DNS, удовлетворяющего требования Microsoft Active Directory. Адресом обычно является IP-

адрес сервера DNS, являющегося authoritative для домена Windows, в который вводится система хранения NetApp.

• Вручную создать запись хоста (или адрес типа «A») системы хранения в DNS.

• Обеспечить соответствие времени и настроек временной зоны с таковыми у контроллера домена. Обычно наилучшим решением является использовать один или более сервера NTP, и сконфигурировать опции timed в системе хранения NetApp. NetApp также рекомендует использовать в качестве адреса либо полное имя (fully qualified hostname) либо IP-адрес сервера NTP.

ПРЕДУПРЕЖДЕНИЕ

Если сдвиг между временем, установленном на системе хранения и контроллере домена, превышает пять минут, установка завершится неудачей. Протокол Kerberos требует, чтобы установки времени на системе хранения и контроллере домена были идентичными.

• Иметь у учетной записи права, достаточные для добавления компьютера в домен.

• Выбрать контейнер Active Directory или organizational unit (OU) в котором будет размещаться учетная запись системы хранения.

9 Управление «домашними папками»

Системы хранения NetApp часто используются организациями для хранения «домашних папок» (home directories) пользователей организации. Одно из важных преимуществ хранения «домашних папок» CIFS на системе хранения NetApp это простота администрирования, когда создается только одна директория общего доступа, используемая для размещения многочисленных домашних директорий для всех пользователей. С точки зрения CIFS, «домашняя папка» пользователя работает также, как любая другая папка общего пользования, к которой может подключиться пользователь, но каждый пользователь может увидеть и подключиться только к своей «домашней папке».

Недостаток от использования тысяч домашних директорий отдельных пользователей на системе в том, что это может влиять на время кластерного переключения при отказе, в случае использования отказоустойчивого кластера. Процесс инициализации CIFS может занять до пяти минут и более, в зависимости от количества сетевых папок. В сравнении с традиционным методом, когда администраторы создают отдельную сетевую папку (share) на каждого пользователя, «домашние папки» NetApp используют меньше системных ресурсов и тем улучшают общую производительность системы.

Вы также можете задать несколько путей для home directory (до 1000) для пользователей в очень больших сетевых средах. Data ONTAP просматривает все эти пути последовательно в поисках соответствующей имени пользователя домашней папки, и останавливает поиск найдя соответствующую.

Более подробно тема конфигурирования и управления домашними папками в системе хранения NetApp рассмотрена в документе Managing Home Directories который можно найти на сайте NetApp Support (NOW).

10

Администрирование системы хранения

с компьютера под MS Windows

По умолчанию система хранения устанавливается в домене Active Directory в organizational unit (OU) типа Computers. Рисунок 5 показывает, как использовать оснастку Active Directory Users and Computers для указания описания, управления разрешениями и просмотра других объектов системы хранения при помощи Microsoft Management Console (MMC).

при помощи Microsoft Management Console (MMC). Рис . 5) Использование оснастки

Рис. 5) Использование оснастки администрирования Active Directory.

10.1

хранения

Для администрирования системы хранения администраторы могут использовать оснастку MMC Computer Management с любого компьютера Windows в домене. С ее помощью можно выполнять следующие действия на системе хранения NetApp:

системы

Использование

консоли

MMC

для

администрирования

• Создавать папки совместного доступа на системе хранения

• Создавать локальные группы на системе хранения

• Добавлять и удалять пользователей из локальной группы

• Управлять сессиями CIFS на системе хранения

Рисунки 6, 7, и 8 показывают, как создается папка совместного доступа, управляется локальная группа и сессия CIFS с помощью Computer Management MMC.

Рис . 6) Создание совместно используемой папки CIFS на системе

Рис. 6) Создание совместно используемой папки CIFS на системе хранения.

папки CIFS на системе хранения . Рис . 7) Управление сессией CIFS на

Рис. 7) Управление сессией CIFS на системе хранения.

Рис . 8) Управление локальными группами на системе хранения . 10.2

Рис. 8) Управление локальными группами на системе хранения.

10.2 Использование Active Directory MMC для управления пользователями

Системы хранения NetApp полностью поддерживают базу пользователей и групп пользователей, хранимую в Active Directory, включая возможность перемещаемых профилей (roaming profiles) и «домашних папок» Windows (home directories) для пользователей.

Перемещаемые профили (Roaming Profiles) Если на компьютере в сети работает Windows Server 2008R2, Windows Server 2008, Windows Server 2003 (R2), или Windows Server 2000, пользователи могут сохранять свои профили на сервере. Такие профили называются «перемещаемыми» или roaming user profiles.

Перемещаемые профили имеют следующие преимущества:

Автоматическая доступность ресурсов: Профиль пользователя остается ему доступен, даже когда он входит в сеть на любом другом компьютере под управлением Windows7, Windows Vista, Windows 2000, или Windows XP. Пользователям не нужно создавать профиль на каждом компьютере, который они используют для доступа к сети.

Упрощение замены и резервного копирования компьютера: Компьютер пользователя может быть легко заменен, так как все данные пользовательского профиля хранятся отдельно от физического компьютера, в сети. Когда пользователь входит в сеть на новом компьютере в первый раз, его профиль копируется с сервера на этот новый компьютер.

Для более подробного рассмотрения темы читайте Configuring Roaming User Profiles для Windows 2003 и the Managing Roaming User Data Deployment Guide для Windows Vista.

Администраторы могут использовать Active Directory для создания пользователей и определения их пользовательских профилей и домашних папок, располагающихся на системе хранения. Рисунок 9 показывает, как создается перемещаемый профиль на системе хранения с использованием Active Directory Users and Computers MMC.

Active Directory Users and Computers MMC . Рис . 9) Использованием Active Directory

Рис. 9) Использованием Active Directory MMC для управления пользователями.

10.3 Применение объектов групповых политик

Для использования дополнительных методов управления в домене Active Directory, к пользователям, их компьютерам и серверам могут применяться так называемые «объекты групповых политик» (Group Policy Objects, GPO). GPO это набор правил, применяемых к пользователям и компьютерам в среде Active Directory. Эти правила централизованно определяются администраторами домена для упрощения процедур администрирования и повышения безопасности. Установки и настройки, которые задаются при помощи GPO, включают в себя установки среды, прав пользователя, политики учетной записи, перенаправление папок, назначение скриптов, установки безопасности, и развертывания ПО.

Начиная с версии Data ONTAP 6.4, системы хранения NetApp полностью поддерживают GPO, применяемые на пользователей и их компьютеры. Хотя только несколько GPO применимы непосредственно к системе хранения NetApp, они могут работать с целым рядом GPO.

В настоящий момент поддерживаются следующие типы и возможности GPO:

• Скрипты начала и завершения работы (Startup and shutdown scripts)

• Интервал обновления GPO для компьютеров

• Настройки безопасности файловой системы (File system security settings)

• Настройки безопасности групп ограниченного доступа (Restricted group security)

• Поддержка Журнала событий

• Поддержка Аудита

• Назначение прав пользователя

• Произвольный интервал обновления GPO

Поддержка GPO может быть легко включена на системе хранения NetApp установкой опции в Data ONTAP через графический интерфейс (GUI) или через командную строку (CLI):

options cifs.gpo.enable on | off

Убедитесь предварительно, что лицензия на CIFS установлена, и система хранения правильно сконфигурирована, а также включена в правильный Organizational Unit (OU).

Управление групповыми политиками (GPO) Для отображения действующих в данный момент на системе хранения групповых политик (GPO), и результата их действия, используйте команду cifs gpresult [ -r | -v | -d], которая эмулирует вывод команды gpresult.exe /force из Windows 2000/XP.

Настройки групповых политик на системе хранения могут быть обновлены тремя путями:

• Все GPO проверяются каждые 90 минут. По умолчанию, Data ONTAP запрашивает Active Directory об изменениях в GPO. Если номер версии GPO, записанный в Active Directory, выше, чем номер в системе хранения, Data ONTAP извлекает и применяет новые GPO. Если номер версии не изменен, GPO на системе хранения не изменяются.

• GPO для настроек безопасности обновляются каждые 16 часов. Data ONTAP извлекает и применяет GPO для настроек безопасности каждые 16 часов, даже если эти GPO и не изменялись.

Внимание: Значение в 16 часов не может быть изменено в текущей версии Data ONTAP. Это значение Windows по умолчанию.

• Все GPO могут быть обновлены принудительно, командой Data ONTAP. Для обновления GPO на системе хранения на наиболее новые их версии из домена Active Directory, используйте команду cifs gpupdate, которая эмулирует команду Windows 2000/XP

gpupdate.exe /force.

Поддерживаемые GPO Как используются на системе хранения скрипты начала и завершения работы.

После того, как GPO разрешены на системе хранения и определены домене Active Directory, скрипты начала и завершения работы применяются на системе хранения следующим путем:

1. Когда система хранения запускается, она получает GPO с контроллера домена, куда входят и скрипты начала и завершения работы. Получив их, система хранения запускает скрипт начала работы.

2.

Система хранения считывает скрипты из директории sysvol на контроллере домена, и сохраняет их локально в директории /etc/ad.

Периодически система хранения извлекает обновления для скриптов начала и завершения работы. Во время завершения работы или перезагрузки система хранения выполняет наиболее новый полученный скрипт завершения работы.

Установки GPO File System Security Вы можете определить установки GPO File System security непосредственно для объектов файловой системы в Data ONTAP (директорий или файлов). Эти установки распространяются вниз по иерархии директорий; таким образом, что когда вы устанавливаете в GPO File System security установки на директорию, эти установки применяются и к объектам в этой директории. Установки безопасности GPO можно использовать для задания унаследованных разрешений или замены разрешений у дочерних объектов.

Внимание: Установки File System security могут быть применимы только в случае установки security type для тома или qtree вида mixed или NTFS. Они не применимы к security type тома или qtree вида UNIX®. ACL File System security распространяются максимум на 280 уровней иерархии вложенности директорий.

Группы с ограниченным доступом (Restricted Group Security) Группы с ограниченным доступом (Restricted Group) обеспечивает новую важную возможность безопасности – управление группами пользователей.

Группы с ограниченным доступом позволяют автоматически задавать членство в группах на сервере Windows 2000 (и новее), таких как: Администраторы, Опытные пользователи, Операторы печати, Операторы Сервера и Администраторы домена (Administrators, Power Users, Print Operators, Server Operators, Domain Admins). В дальнейшем вы можете добавить в список безопасности Restricted Groups любую группу, которую вы считаете привилегированной.

Настройка групп с ограниченным доступом позволяет указать членство в группе так, как оно задано. Группы и пользователи, не перечисленные в настройке группы с ограниченным доступом, будут автоматически исключаться из заданной группы. Кроме того, возможно указать членом каких именно групп должна быть группа с ограниченным доступом. По этим причинам группы с ограниченным доступом главным образом должны использоваться для настройки членства в локальных группах на локальных рабочих станциях и серверах.

Настройка журнала событий (Event Log) и политики аудита (Audit Policy Mapping) Из-за различия в механизмах записи событий и технологиях аудита, параметры журнала событий и политики аудита по-разному применяются к системам хранения Net App и системам Windows. Раздел групповой политики задающий параметры журнала событий и аудита применяются к системам хранения путем сопоставления соответствующих параметров в Data ONTAP. Такое сопоставление параметров журнала событий и политики аудита дает похожий, но не идентичный, эффект. Для подробностей смотрите документ Event Log and Audit Policy Mapping на сайте NetApp Support (NOW).

Интервал обновления групповых политик и его смещение Этот интервал определяет, как часто обновляются групповые политики на компьютере, когда компьютер используется. Эта политика определят частоту фоновых обновлений групповых политик в папке Computer Configuration.

По умолчанию, групповые политики для компьютера обновляются в фоне каждые 90 минут, со случайным смещением от 0 до 30 минут. Кроме этого фонового обновления, групповые политики для компьютера всегда обновляются при его запуске его OS. Если вы задали значение параметра обновления в 0 минут, то компьютер будет пытаться обновить групповые политики каждые 7 секунд. Однако процессы обновления политик могут мешать работе пользователя и увеличивают сетевой трафик, поэтому в большинстве случаев слишком короткие интервалы обновлении не используются.

Случайное смещение для момента запроса обновления групповых политик ведено для того, чтобы клиенты не запрашивали обновление одновременно. Величина этого смещения может быть задана от 0 до 1440 минут (24 часа). Случайное смещение для момента запроса устраняет опасность одновременного обращения множества клиентов к контроллеру домена с запросом обновления политик.

Назначение прав пользователя (User Rights Assignment) Этот раздел групповой политики используется для определения настроек безопасности локальной групповой политики, которая касается назначения отдельных пользовательских привилегий. Начиная с Data ONTAP 7.2.1, привилегии Take Ownership of Files или Other Objects под User Rights Assignment, задаваемые с помощью назначения прав пользователя, были добавлены в GPO; например, получение прав владения (take ownership) для файлов или других объектов, доступ к компьютеру по сети, резервное копирование файлов и директорий, и так далее.

Для более подробного рассмотрения темы объектов групповых политик смотрите документ Applying Group Policy Objects.

10.4 Использование Windows DFS Manager для управления ссылками на

ресурсы на системе хранения

Технология DFS Namespace появившаяся в Microsoft Distributed File System (DFS) позволят вам группировать совместно используемые папки, физически размещенные на разных серверах, в одно (или более) логически структурированное «пространство имен» (namespace). Каждое такое «пространство имен» представляется как одна папка совместного доступа, с несколькими подпапками в ней. Для создания и управления ссылками на сетевые папки (shares) на NetApp, вы можете использовать оснастку DFS Management на сервере Windows, как показано на Рисунке 10. Система хранения NetApp может входить в DFS как leaf node в доменном или отдельностоящем (standalone) DFS root. Для более подробного рассмотрения темы DFS, обратитесь к документу Distributed File System на вебсайте Microsoft.

Внимание: VFM® (Virtual File Manager™) это решение для управления распределенным файловым хранилищем в среде Windows. Построенный поверх DFS, Virtual File Manager это интегрированное средство управления логическими и физическими хранилищами, что делает его наиболее полным решением управления хранилищем Windows. Подробно о VFM, читайте в VFM Documentation на NOW.

Рис . 10) Управление ссылками на ресурсы совместного доступа на

Рис. 10) Управление ссылками на ресурсы совместного доступа на системе хранения.

10.5 Widelink

Widelink это возможность NetApp Data ONTAP, эмулирующая функциональность Microsoft Distributed File System; она реализована через файл symlink.translations.

Widelink это символьная ссылка (symbolic link) которая не только позволяет указать в качестве цели объект вне данной сетевой папки (share), но также указать на объект вне текущего контроллера. При доступе к объекту через widelink, контроллер системы хранения ищет определение для данного widelink в файле symlink.translations и возвращает ссылку DFS, отвечая ей клиенту. Клиент, понимающий DFS, перенаправляет доступ на целевой объект.

11 Поддержка возможностей клиента Microsoft Windows

Data ONTAP поддерживает множество возможностей клиента Microsoft Windows, использующихся в сетевой среде Microsoft Windows. Эти возможности реализованы и управляются образом сходным с обычным управлением, знакомым пользователям по работе с традиционной сетевой инфраструктурой Microsoft Windows.

11.1 Управление CIFS Share

Администратор Microsoft Windows может создавать и управлять папками совместного доступа на системе хранения, используя оснастку Microsoft Computer and Users (MMC snap-in) или же с помощью следующих команд в командной строке Data ONTAP:

cifs shares -add shareName path [-comment description] [-userlimit] [-browse | - nobrowse] [-forcegroup groupname] [-widelink] [-nosymlink_strict_security] [-novscan] [-novscanread] [-umask mask] [-no_caching | -auto_document_caching | - auto_program_caching]

Подробно о всех опциях CIFS share смотрите Sharing Directories.

Рисунок 6 показывает, как организовать и управлять совместным доступом с помощью Computer Management MMC.

Access-Based Enumeration (ABE) В версии Data ONTAP 7.2 и новее появилась возможность так называемой access-based enumeration, особой возможности отображения для ресурсов совместного доступа, появившейся

в Microsoft Windows Server 2003 Service Pack 1. Эта возможность позволяет администраторам управлять отображением папок и файлов пользователю, в соответствии с его правами доступа. Обычные права доступа позволяют вам определить, какие пользователи (индивидуальные или их группы) имеют доступ к чтению и изменению совместно используемых ресурсов. Однако, они не позволяют вам управлять тем, какие совместно используемые файлы или папки будут видимы или скрыты от пользователя, если, например, пользователь не имеет прав доступа к ним. Это может вызывать проблемы, если само имя совместно используемой папки или файла содержит закрытую от этого пользователя информацию, например имя клиента или название нового, еще не объявленного продукта.

Access-based enumeration расширяет свойства ресурса совместного доступа, включая в него возможности ограничивать отображение содержимого. Когда ABE включен на ресурсе CIFS, пользователь, который не имеет прав на доступ к папке, или файлам внутри нее (согласно ограничениям прав пользователя или группы) не видит ее в своем клиенте. Таким образом, ABE позволяет вам фильтровать отображение сетевых ресурсов согласно правам пользователя.

Дополнительно ABE позволяет вам упростить отображение больших структур директорий для пользователей, которым не нужно видеть все их содержимое Конечный пользователь видит только те папки и файлы, которые имеют отношение к его работе, и для которых у него есть необходимые права доступа, вместо того, чтобы просматривать огромный список папок и файлов, не относящихся к нему и к которым у него нет доступа. ABE в реализации NetApp мало влияет на производительность.

ABE для ресурса CIFS на системе хранения NetApp может быть включен с помощью опций CIFS share:

[-accessbasedenum | -noaccessbasedenum].

ABE может также быть установлен из Windows, для CIFS-ресурса на NetApp, с помощью программы командной строки abecmd.exe:

abecmd [/enable | /disable] [/server <servername>] {/all | <sharename>}

Рисунок 11 и Рисунок 12 иллюстрируют, как ABE работает при выводе содержимого директорий. На Рисунке 11, все подпапки в папке общего доступа видимы пользователю, даже если пользователь и не имеет доступа в некоторые из них. На Рисунке 12, после включения access- based enumeration для этой папки общего доступа, пользователь видит только те подпапки, куда у него есть права доступа.

Рис . 11) До включения ABE для папки « customer data » . Рис .

Рис. 11) До включения ABE для папки «customer data».

ABE для папки « customer data » . Рис . 12) После включения ABE для

Рис. 12) После включения ABE для папки «customer data»”

11.2

Использование Shadow Copies для сетевой папки

(Volume Shadow Copy Service Client)

Технология снэпшотов это интегральная часть систем хранения NetApp с 1992. Пользователи могут видеть снэпшоты на системе хранения с помощью механизма Microsoft Volume Shadow Copy Service (VSS) на клиентской OS. Рисунок 13 показывает, как можно использовать shadow copies для сетевой папки.

shadow copies для сетевой папки . Рис. 13) Использование shadow copies

Рис. 13) Использование shadow copies для сетевой папки.

11.3 Поддержка IntelliMirror

Offline Folders (кэширование на стороне клиента) Системы хранения NetApp поддерживают Microsoft Offline Folders, или кэширование на стороне клиента, которое позволяет кэшировать файлы для offline-использования в клиенте Windows Vista, Windows XP, Windows 2000, Windows 2003 и Windows 2008.

Вы также можете указать, какие пользовательские документы и программы будут автоматически кэшированы для папки совместного использования, или потребуется ручной выбор. Ручной выбор объектов кэширования включен по умолчанию для всех новых папок совместного доступа.

Используйте следующие опции CIFS shares для управления кэшированием на клиентской стороне:

Рис . 14) Интерпретация в Windows 2008 для опций кэширования NetApp. Для

Рис. 14) Интерпретация в Windows 2008 для опций кэширования NetApp.

Для папок, которые обозначены как доступные offline, производится синхронизация с локальным диском клиента Windows.

происходит,

папкой на системе хранения.

Синхронизация

когда

восстанавливается

сетевое соединение

с

данной

сетевой

Для включения опции Offline Folders на клиенте Windows Vista, в Windows Explorer, правым щелчком мыши выберите папку и перейдите в Свойства, затем щелкните закладку Offline Files, как показано на рисунке 15.

Рис . 15) Включение опции offline folders в Windows Vista. Для принудительного

Рис. 15) Включение опции offline folders в Windows Vista.

Для принудительного включения этой возможности для конкретного файла или папки, щелкните правой клавишей на выбранном сетевом диске или подпапке, и выберите Always Available Offline. Для подробностей смотрите документ Offline files for Windows Vista.

Эта опция полезна для кэширования больших исполняемых файлов на клиенте (например, приложений CATIA V5 CAD) и позволяет мобильным пользователям иметь доступ к их данным, даже если они не подключены к сети.

Перенаправление папки My Documents Системы хранения NetApp поддерживают перенаправление папок в Windows, один из ключевых компонентов технологии Microsoft IntelliMirror. Эта опция обычно используется для организаций, которые уже используют пользовательские «домашние папки» и хотят обеспечить совместимость с их уже существующей средой «домашних папок». Эта опция также может использоваться для перенаправления папок пользовательского профиля в другое место хранения. Это могут быть, например, такие папки, как My Documents, Desktop, и Start Menu. Перенаправление папок обеспечивает администратору возможность разделить пользовательские данные и данные профиля.

Рисунок 16 показывает, как определить целевое расположение для перенаправления папок Windows Vista в сетевую папку на системе хранения.

Рис . 16) Определение целевой папки при переназначении папки My

Рис. 16) Определение целевой папки при переназначении папки My Documents в Windows Vista.

Перенаправление папок может быть также задано с помощью групповых политик (GPO) на сервере Windows. Для подробностей использования и настройки смотрите Managing Roaming User Data Deployment Guide.

11.4 Аудит журнала событий

Системы хранения NetApp имеют возможность вести аудит доступа к файлам и папкам, позволяя определить пользователя, получавшего доступ к этим объектам. События записываются в формате Microsoft Event View security log. Механизмы, используемые для использования этой возможности идентичны таковым в файловых серверах Windows.

Рисунок 17 показывает, как установить аудит для директории. Для подробного рассмотрения темы конфигурирования аудита CIFS на системах хранения NetApp, смотрите документ TR-3595:

Рис . 17) Установка аудита для директории . Записываются и

Рис. 17) Установка аудита для директории.

Записываются и отображаются следующие события доступа:

• Вход в сеть (Network logon)

• Неудачный вход в сеть (Unsuccessful network logon)

• Выход из сети (Network logoff)

• Доступ к файлу Windows

• Доступ к файлу UNIX

• Неудачный доступ к файлу (Unsuccessful file access)

• Неудача записи в журнал (Lost record event)

• Удаление записи в журнал (Clear audit log event)

Live View: «Живое» отображение файла Event Log Начиная с версии Data ONTAP 7.2, появилась новая возможность для аудита CIFS, под названием Live View. Эта возможность позволяет пользователям использовать Microsoft Event Viewer (MMC snap-in) и подключаться к системе хранения для получения записей в журнал аудита безопасности в реальном времени. Когда Live View включен, журнал EVT автоматически записывается и обновляется ежеминутно, обеспечивая непрерывный своевременный просмотр событий в Event Viewer для 5000 наиболее новых по времени создания записей. Live View также управляет журналом событий, обеспечивая его резервное копирование, предотвращая потерю в нем более старых событий, перезаписываемых более новыми. Для подробностей о конфигурировании Live View, смотрите Configuring Live View.

Внимание: Для

использования

Windows 2000 или новее.

возможности

Live

View,

ваш

клиент

Windows

должен

быть

Рисунок 18 показывает Live View для журнала аудита в Event Viewer, подключенного к системе хранения. Также отображается и real-time audit logs.

отображается и real-time audit logs . Рис . 18) Отображение журнала

Рис. 18) Отображение журнала аудита доступа системы хранения через Live View.

Статическое отображение файла Event Log Если вы не включили Live View, вы должны управлять журналом событий EVT самостоятельно, либо вручную, либо установкой опции автоматического сохранения. Поэтому Event Viewer может отображать только наиболее свежую сохраненную версию журнала, в зависимости от того как именно вы создаете этот файл.

12 Блокировка хранения файлов

Возможности блокировки хранения позволяют вам создавать политики блокировки хранения файлов определенных типов на системе хранения NetApp. Например, вы можете запретить сохранение на системе определенных типов файлов, например .mpg и .mp3. Политика определяет то, как система хранения будет обрабатывать запросы от клиентов на операции с файлами, такими, как открытие, переименование, создание или удаление.

Существует два пути реализовать процесс блокировки хранения определенных файлов (file screening) в Data ONTAP:

Использовать собственные механизмы блокировки: механизм блокировки хранения работает непосредственно на системе хранения NetApp. Такой механизм обеспечивает простые политики для определенных запрещенных типов файлов по их расширению.

Использовать сторонние продукты блокировки: ПО блокировки хранения работает на стороннем клиенте, который работает как сервер блокирования хранения определенных файлов. Сообщение между системой хранения NetApp и сервером блокировки хранения использует механизмы NetApp FPolicy. Сторонние продукты блокировки хранения определенных файлов предлагают гибкое управление и фильтрацию содержимого файлов. В настоящий момент поддерживаются следующие производители северов файлового контроля: Kazeon, NuView, NTP Software, SymantecEnterprise VaultFSA, и Arkivio. Существует много возможных способов использования технологии FPolicy, таких как, например различные продукты записи доступа к файлам, управления квотами, иерархического хранения, шифрования/дешифрования, сжатия данных, и так далее.

Внимание: Для

оптимальной

производительности,

NetApp

настоятельно

рекомендует

располагать сервер FPolicy в той же подсети, что и систему хранения.

Для подробностей о конфигурировании и применении FPolicy, смотрите документ File Screening Using FPolicy.

13 Антивирусная защита протокола CIFS

Антивирусная защита CIFS это возможность Data ONTAP, которая позволяет антивирусному сканеру на отдельном компьютере выполнять контроль файлов на вирусы во время доступа к ним на системе хранения. Антивирусный контроль «на лету» означает, что сканирование происходит в момент доступа CIFS-клиента к файлу для его открытия.

NetApp является партнером таких компаний как Symantec, Trend Micro, McAfee, Sophos, и Computer Associates, для предоставления на своих системах услуг интегрированного антивирусного контроля.

Антивирусное сканирование трафика CIFS осуществляется на выделенном компьютере, на котором запущено антивирусное приложение по вашему выбору, совместимое с Data ONTAP. Когда вы включаете процесс антивирусного сканирования в Data ONTAP, приложение вирусного сканирования говорит системе присылать запросы на сканирование файлов.

Приложение вирусного сканирования следит за запросами, направляемыми на систему хранения. Когда файл любого из контролируемых типов открывается или изменяется на системе хранения, Data ONTAP посылает на компьютер вирусного сканирования запрос с просьбой просканировать этот файл.

Процесс антивирусного сканирования на Data ONTAP может работать с несколькими системами хранения на один компьютер-сканер, если ваш антивирусный инструмент поддерживает такое использование. Для более детального рассмотрения вопросов, связанных с антивирусным сканированием, обратитесь к производителю антивирусного ПО.

Для подробностей смотрите документ: TR-3107: Antivirus Scanning Best Practices Guide.

14

Выводы

Системы хранения NetApp построены на принципах простоты использования, масштабируемости, высокой доступности данных и простоты интеграции в существующую среду. Системы хранения поддерживают широкий диапазон типов клиентов Windows и клиентских возможностей, полностью используют возможности управления и средств аутентификации, предоставляемые Active Directory, и позволяют администраторам продолжать использовать привычные нативные средства администрирования, предоставляемые Microsoft. Как результат, система хранения обеспечивает лучшую защиту информации, резко упрощает среду файлового хранения, и увеличивает общую производительность компании.

15 История версий документа

Дата

Имя

Описание

April 2011

Bingxue Cai

Исправлен для соответствия Data ONTAP 8.0 7-Mode

January 2009

Reena Gupta

Исправлен для соответствия Data ONTAP 7.3.1

May 2008

Reena Gupta

Исправлен для соответствия ONTAP 7.3

November 2006

Reena Gupta

Обновлен

December 2004

Jeff Feierfeil

Создан

16 Ссылки

16.1 Ссылки NetApp

The NetApp Support site (ранее NOW)

16.2 Ссылки Microsoft