Сервер

Файловый сервер на windows 7: Делаем домашний файл-сервер на базе Windows 7

Содержание

Делаем домашний файл-сервер на базе Windows 7

Если вы используете дома более одного компьютера, то периодически возникает необходимость совместного доступа к общим файлам. Постоянно включать все компьютеры очень неудобно. Поэтому наиболее удобным решением является выделение под роль файлового сервера отдельного компьютера. Характеристики компьютера не критичны, основные требования только к объему жестких дисков для хранения информации.

Рассмотрим это на моем примере.

Аппаратная часть:

Для сервера используем следующее устаревшее железо: Asus P4P800 i865, CPU Pentium 4 3.2ГГц, DDR-800 3Гб, винчестеров добавлять по вкусу.

Программная часть:

Устанавливаем на сервер операционную систему «MS Windows 7 Home Basic». Данная версия наиболее удачно подходит на роль сервера из недорогих. Не забудьте, что если вам будет нужен доступ к своему серверу по RDP, то берите только версию «MS Windows 7 Professional».

В процессе работы у нас может возникнуть несколько проблем. Это нормально. Идем в журнал работы Windows и смотрим что там пишется.

Устраняем их:

Ошибка 28.10.2010 16:55:57 Kernel-Processor-Power 6 (6)

Некоторые функции управления питанием процессора в состоянии производительности были отключены из-за известной проблемы с микропрограммой. Узнайте о наличии обновлений микропрограммы у изготовителя компьютера.

Решение:

Это допустимо. Биосом материнской платы поддерживаются не все функции управления питанием процессора. Попробуйте обновить BIOS.

Ошибка 25.10.2010 20:43:19 srv 2017 Отсутствует

Сервер не смог выделить память из невыгружаемого пула памяти, так как достигнут указанный в конфигурации верхний предел.

Обычно возникает со следующей ошибкой:

Предупреждение 27.10.2010 17:55:22 DNS Client Events 1014 Отсутствует

Разрешение имен для имени dns.msftncsi.com истекло после отсутствия ответа от настроенных серверов DNS.

Решение:

Сообщаем системе, что хотим использовать компьютер в качестве файлового сервера, чтоб он выделил соответствующие ресурсы. Оптимизируем память для работы в режиме сервера и позволяем одновременное открытие большего количества файлов.

Для этого изменяем всего два параметра в реестре. Если их нет, то создаем их:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\

Параметр Size (Dword) ставим 3 (вместо 1)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\

Параметр LargeSystemCache (Dword) ставим 1

На этом всё! Пользуемся. Проверено на личном опыте. Пишите комментарии и отзывы!

Файловый сервер (HFS) на ОС Windows 7 и DIR-300

Создание собственного HTTP File Server (HFS) на Windows 7 с доступом из сети Интернет через домашний роутер DIR-300
HTTP File Server (HFS) — это HTTP сервер, который позволит вам обмениваться файлами в Интернете и в локальной сети достаточно быстро и легко, таким образом любой пользователь сможет загружать файлы через свой браузер на свое устройство.

Настройка внешнего доступа на компьютер за счет использования программы HTTP File Server
Для настройки внешнего доступа на компьютер нам понадобится программа HTTP File Server, которая использует сетевой порт. Программа HTTP File Server (HFS) распространяется по лицензии GNU. Данная программа позволяет организовать HTTP (англ. Hyper Text Transfer Protocol — «протокол передачи гипертекста») веб-сервер на базе компьютера, работающего под управлением ОС Windows. HFS не требует установки.

[ссылка для скачивания]

Рисунок 1, Внешний вид программы HFS.
Для того, чтобы наш файловый сервер был виден как в локальной сети, так и в сети Интернет необходимо указать порт, через который клиенты будут подключаться к нашему серверу, а также перейти в режим «Expertmode» (см. рис. 2).

Рисунок 2, Переход в режим «Expertmode».
Номер порта может быть произвольным, однако следует указывать номера начиная с 32 000, так как ниже находящиеся порты могут использоваться различными программами (см. рис. 3).

Рисунок 3, Изменение сетевого порта HFS.
Для добавления файла/каталога в список общедоступных ресурсов жмем правой кнопкой мыши на список и выбираем «AddFiles/Addfolderfromdisk» (см. рис. 4).

Рисунок 4, Добавление файла/каталога в список общедоступных ресурсов.
Для того, чтобы наш сервер был виден из сети Интернет, мы будем использовать функцию перенаправление порта («проброс порта»).

Настройка внешнего доступа на наш файловый сервер за счет перенаправления порта
Проброс портов (сленг.) — это технология, которая позволяет обращаться из сети Интернет к компьютеру во внутренней сети за маршрутизатором (роутером), использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера в локальной сети.
Такое перенаправление нужно, если вы, к примеру, хотите развернуть на локальном компьютере сервер с доступом из сети Интернет, и чтобы при этом остальные компьютеры в локальной сети не были доступны из глобальной сети.

Настройка роутера производится через его web-интерфейс. Для этого следует открыть браузер (Internet Explorer, Mozilla Firefox или любой другой) и ввести в адресной строке 192.168.0.1 (IP адрес роутера по умолчанию). После прохождения авторизации, мы попадаем на главную страницу нашего маршрутизатора (см.рис. 5).

Рисунок 5, Главная страница маршрутизатора.
Производить настройку функции проброски порта мы будем вручную. Для этого нужно перейти в расширенные настройки (см.рис. 6).

Рисунок 6, Переход в расширенные настройки.
Так как по умолчанию у роутера включена служба раздачи динамических IP адресов (DHCP), предлагаю присвоить нашему будущему файловому серверу статический IP адрес в нашей локальной сети. Для этого в пункте «Сеть» выбираем «Lan» (см. рис. 7).

Рисунок 7, Переход в настройки локальной сети.
В появившемся окне листаем в самый низ до пункта «Статический DHCP» и из выпадающего списка выбираем компьютер с нашем MAC-адресом (см. рис. 8).

Рисунок 8, Настройка DHCP.
     Для того, чтобы узнать MAC-адрес компьютера, нажмите кнопку Win+R, после чего введите команду cmd (см. рис. 9). В появившейся командной строке наберите ipconfig /all и нажмите Enter (см. рис. 10), после чего посмотрите MAC-адрес устройства (физический адрес) (см. рис. 11).

Рисунок 9, Окно программы выполнить.

Рисунок 10, Окно командной строки.

Рисунок 11, Результат выполнения команды ipconfig /all.
После чего изменяем IP-адрес на 192.168.0.10 (см. рис. 12), вписываем произвольное имя в поле «Host» и нажимаем кнопку сохранить. После чего нужно переподлючить наш компьютер к сети WiFi.

Рисунок 12, Меняем ip-адрес нашего компьютера.
Далее возвращаемся в «Расширенные настройки» и в разделе «Межсетевой экран» выбираем «Виртуальные серверы» (на прошивках 1.4.х функция проброса портов называется «Виртуальные серверы»).

Рисунок 13
В открывшемся окне нажмите «Добавить» (см. рис. 14).

Рисунок 14
В открывшемся окне задайте необходимые параметры виртуального сервера. И нажмите кнопку «Изменить» (см. рис. 15).

Рисунок 15

Открыть спойлер

Закрыть спойлер

Шаблон — В раскрывающемся списке выберите один из шести приведенных шаблонов виртуальных серверов или выберите значение Custom (пользовательский), чтобы самостоятельно определить параметры виртуального сервера.

Имя — Название виртуального сервера для удобной идентификации. Может быть произвольным.

Интерфейс — Соединение, к которому будет привязан создаваемый виртуальный сервер (в примере используется WiFi соединение).

Протокол — Протокол, который будет использовать создаваемый виртуальный сервер. Выберите необходимое значение из раскрывающегося списка.

Внешний порт (начальный)/ Внешний порт (конечный) — Порт маршрутизатора, трафик с которого будет переадресовываться на IP-адрес, определяемый в поле Внутренний IP. Внутренний и внешний порт лучше указывать одинаковые. В нашем примере это порт 32500, тот, который мы указали при настройке HFS.

Внутренний порт (начальный)/ Внутренний порт (конечный) – Укажите порт 32500.

Внутренний IP — IP-адрес компьютера, находящегося в локальной сети (192.168.0.10). Вы можете выбрать устройство, подключенное к локальной сети маршрутизатора в данный момент. Для этого в раскрывающемся списке выберите соответствующий IP-адрес (при этом поле заполнится автоматически).

Удаленный IP — IP-адрес сервера, находящегося во внешней сети (в большинстве случаев данное поле необходимо оставить пустым).
Чтобы задать другие параметры для существующего сервера, выделите соответствующий сервер в таблице. На открывшейся странице измените необходимые параметры и нажмите кнопку «Изменить».

Чтобы удалить существующий сервер, выделите соответствующий сервер в таблице. На открывшейся странице нажмите кнопку «Удалить». В верхнем правом углу нажмите на кнопку «Система», а затем «Сохранить».

Проверка доступности файлового сервера из сети Интернет
Все основные настройки мы произвели, осталось проверить доступность нашего порта из глобальной сети. Для этого переходим на сайт по ссылке, и в появившемся окне вводим номер нашего порта (32500). Если вы видите нечто похожее (см. рис. 16), поздравляю, вы настроили все правильно. Теперь ваш файловый сервер доступен из сети Интернет по адресу http://внешний_IP:32500/ и в локальной сети по адресу http://192.168.0.10:32500/ (см. рис. 17).

Рисунок 16, Проверка доступности порта.

Рисунок 17, Веб страница нашего файлового сервера.
Внешний IP можно узнать на главной странице вашего маршрутизатора (см. рис. 5 в пункте «Статус подключения»), либо на сайте 2ip.ru. Обратите внимание, что в большинстве случаев ваш провайдер выдает вам динамический внешний IP адрес, а не статический как такого бы хотелось. Период обновления IP адреса примерно раз в сутки, либо при перезагрузке маршрутизатора.

P.S. Если после настройки роутера, вы не можете зайти на локальный сервер по внешнему IP, проверьте доступность сервера из сети Интернет (например, зайдите на свой сервер через прокси). Вполне возможно, что ваш роутер не поддерживает функцию NAT Loopback, позволяющую обращаться к локальным серверам через внешний порт.

Как организовать файловый сервер в локальной сети — Сводные таблицы Excel 2010

В общем понимании файловый сервер (File Server, файл-сервер) — компьютер, на котором хранятся файлы, а доступ к ним осуществляется по сети. В маленьких сетях зачастую эту роль возлагают на один из рабочих компьютеров. Первое достоинство выделенного файл-сервера в том, что на нем очень удобно управлять резервным копированием. Место хранения оригиналов одно, программа копирования тоже одна.

Работать она может в то время, когда к серверу по определению никто не обращается — по ночам и по выходным. Аналогично, легко и просто организуется тотальная антивирусная проверка. Вы можете возразить: ведь основную массу данных обычно составляют документы. Однако макровирусы никто пока не отменял, а вред они способны нанести весьма серьезный! Если сосредоточить все данные фирмы на одном компьютере, легче без лишних затрат уделить внимание сиюминутной надежности хранения. Например, в файловый сервер можно установить винчестеры дорогих, но особо надежных серий, либо вообще организовать RAID-массив.

Какое понадобится «железо»? Если делать исключительно файловый сервер или, допустим, совместить его с почтовым, требования к быстродействию процессора и объему оперативной памяти будут самыми скромными. Главное — достаточный объем дисковой системы и, желательно, ее хорошая производительность. На такую роль прекрасно подойдет даже устаревший компьютер. Установите в него новые винчестеры, снабдите их хорошим охлаждением (обдув отдельным вентилятором), возьмите надежный блок питания и подключите его через ИБП.

Какую операционную систему целесообразно установить на файловый сервер?

Принципиальных варианта три:

  • любые выпуски Windows: от Windows XP до Windows 7. Оптимальное решение, если в качестве сервера вы взяли компьютер (новый или не новый) с предустановленной OEM-системой;
  • различные дистрибутивы Linux. Подойдет любая сборка, в том числе самая минимальная — какая вам больше понравится;
  • специализированные дистрибутивы Linux и FreeBSD. Фактическим стандартом в этой области по праву считается проект FreeNAS. Именно это свободное ПО на базе FreeBSD используют и многие производители «фирменных» NAS, и очень серьезные компании для создания собственных корпоративных систем хранения данных. Примечательно, что FreeNAS можно как установить на один из разделов жесткого диска, так и запустить без установки прямо с компакт-диска или флеш-диска USB или карты памяти.

В ОС Linux для предоставления ресурсов в сетевой доступ служит сервер Samba. Обращаться к этим ресурсам могут компьютеры-клиенты под управлением как Windows, так и Linux. В большинстве дистрибутивов Linux пакеты Samba уже установлены по умолчанию, в противном случае их легко загрузить и установить из репозитория. Настройки касаться не будем — она проста и подробно описана в справочной системе Linux, а в большинстве сборок предусмотрен наглядный графический интерфейс.

Samba в Linux и FreeBSD работает по тому же протоколу CIFS, что и служба общего доступа к файлам и папкам (LanmanServer) в Windows. Поэтому файловый сервер под управлением Linux видится в сети точно так же, как и любой Windows-компьютер с предоставленными в общий доступ папками. Обращаться к этим ресурсам вы можете через Проводник Windows.

На файловом сервере выгодно держать основные рабочие документы и базы учета даже в маленькой компании. Туда же целесообразно поместить и резервные копии — образы системных дисков ваших рабочих компьютеров. На сервере проще обеспечить их сохранность и защиту от «зловредов».

Разумеется, в общих папках на сервере должен быть порядок. Какой — решайте по обстановке, но потом постарайтесь неукоснительно его придерживаться. Возможно, стоит отвести одну папку под текущие файлы, к которым должны обращаться все. Для более частных материалов можно выделить папки по числу пользователей. При необходимости к ним будут применяться ограничения доступа. Наконец, файлы «длительного хранения», наподобие резервных копий и дистрибутивов, лучше тоже обособить.

Базовые приёмы работы с файловым сервером на базе Windows Server

Файловый сервер – что это? При разговоре многие IT специалисты отвечают очень просто: “шара” она и в Африке “шара”. Задаешь следующий вопрос, как ты считаешь у файлового сервера может быть логика функционирования? И в ответ получаешь, что-то подобное ответу на первый вопрос. Ну и в заключении просишь показать скриншот рабочего файлового сервера компании со стороны обычного пользователя, результат обычно такой…

И еще пару-тройку десяток папок своих и не своих, которые видит пользователь.

А как ты предоставляешь доступ пользователю?

Захожу на файловый сервер, открываю свойства конкретной папки далее вкладка Security и добавляю требуемые разрешения конкретному пользователю.

А ты слышал, что в Active Directory есть группы?

Да конечно, но я так привык делать.

А если тебе придётся администрировать файловый сервер к примеру на одну тыс. человек, как ты считаешь твоя модель будет эффективной?

Ответ зависит от креативности конкретной личности)))

Недавно мне попался такой файловый сервер который нужно было оптимизировать и продумать новую логику работы с учетом роста компании.

Какие проблемы будут решены после оптимизации файлового сервера:

1) Зайдя на файловый сервер человек будет видеть только “свои” папки.

2) Доступ к папкам будет предоставляться через ролевые группы на базе групп Active Directory.

При таком подходе предоставление доступа к ресурсу осуществляется лишь добавлением определенного  пользователя в требуемую группу через оснастку Active Directory Administrative Center.

Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн.:

Ролевая группа определяет набор компьютеров или пользователей, ориентируясь на их общие черты с точки зрения бизнеса. Это помогает установить, кем является данный пользователь или компьютер

В книге очень подробно описано как грамотно организовать файловый север. Советую.

3) Файловый сервер будет работать на базе технологии Distributed File System.

4) Будет активирована технология Data Deduplication.

К примеру в моем случаи Deduplication rate (при дефолтовых настройках) составляет 43%:

 

Устанавливаем роли:

Создаем папку самого верхнего уровня:

Когда создаем папку или папки верхнего уровня лучше избежать русских букв в названии и пробелов. Если этим пренебречь, то к примеру  некоторые Linux клиенты  могу при монтирование этой папки испытывать дополнительные проблемы.

Далее заходим в свойства этой папки на вкладку Security –> Advanced и выключаем наследование прав:

Далее приводим группы в такое соответствие:

Если группе Domain Users  не сделать This folder Only, то технология ABE не отработает. Плюс мы выключи наследование прав.

Далее открываем Server Manager переходим:

Выбираем нашу папку верхнего уровня:

На следующем шаге включаем технологию ABE:

Permissions мы уже указали. Management Properties и Quota мы конфигурировать так же не будем.

В конечном итоге доходим до конца мастера и нажимаем Create и получаем такие результаты:

На этом этапе стоит пояснить одну фундаментальную вещь.

Цитата из блога Vadims Podans (ссылка на статью):

Как известно, при доступе к общим ресурсам (сетевым папкам) мы различаем 2 типа прав:

Share Permissions
NTFS Rights

Оба типа прав влияют на результирующие (эффективные) права пользователя при доступе к сетевому ресурсу. В общем смысле эффективные права будут являть собой наиболее ограничивающее разрешение из обоих типов прав. Например, на ресурс установлено право Share Permissions = Read, а NTFS = Full Control, то исходя из наиболее ограничивающего разрешения эффективным будет Read. Если Share Permissions = FullControl, а NTFS = Modify, то эффективным правом для пользователя будет Modify. Вот такая несложная схема. Т.е. там, где прав меньше, те и будут ваши 🙂 Как известно, эта проблема редко кого касается, т.к. обычно на уровне Share Permissions выдают FullControl на ресурс и дальше уже права регулируют за счёт NTFS

Теперь запускаем DFS Management и создадим New NameSpace…:

Практически всегда ваш файловый сервер должен “жить” в пространстве DFS. При таком подходе доступ к файловому серверу или серверам осуществляется через единый NameSpace в нашем случае \\Contoso.com\FileServer

Запускаем мастер вводим Name, далее Edit Settings и выбираем нашу первую папку в иерархии:

Далее кнопка Customize и поправим права иначе мастер нам их сбросит:

Нажимаем Next и получаем предупреждение:

Так как для папки мы уже заранее все настроили отвечаем на вопрос — Yes.

На следующем шаге оставляем все как есть:

Конечный результат:

Теперь на клиенте можно создавать такие ярлыки (удобно это делать через групповую политику):

Теперь если мы захотим добавить к нашему файловому серверу еще один сервер и начнем уже там размещать новые данные, то конечный пользователь даже не поймет, что был добавлен второй файловый сервер:

Папка “Кадровая служба” физически располагается на втором файловом сервере, но путь ко всем папкам один \\Contoso.com\FileServer:

Как это реализовать в этой заметке рассказано не будет.

Если на данном этапе реализации файлового сервера взять обычного пользователя и попытаться открыть наш файл сервер, то никаких файлов и папок мы не увидим, хотя они там есть:

Отрабатывает технология Access-based enumeration:

Скрин со стороны сервера:

Нашему тестовому вновь созданному пользователю не предоставлено по умолчанию никаких прав, а мы помним если задействована технология ABE и пользователь не имеет хотя бы права Read на файл или папку то ему этот файл или папка не видны.

Пришло время создать ролевые группы, вначале этой заметке я уже приводил цитату из книги, но хочу добавить еще одну:

Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн:

Ролевые группы определяют набор компьютеров или пользователей на основе сходства, которым обладают объекты в бизнесе, их территориального размещения, подразделений, функций, трудового стажа или статуса, команд, проектов или любых других связанных с бизнесом характеристик

Я создал типичную структуру отделов-подразделений компании (предыдущий скриншот).

На основании этой структуры мы создадим первые ролевые группы (отмечены стрелочками):

Так как  в AD DS я никогда не использую русский язык кроме поля Description в названиях групп мы используем английские аналоги, но для удобства в поле Description можно вписать русское название.

Имя_Группы к примеру Accounting (ролевая группа) – глобальная группа в этот тип групп у нас входят пользователи.

Группа Accounting входит в состав (Member Of) группы ACL_Accounting_FC или RW или RO

Еще раз:

User –> Accounting –> ACL_Accounting_RO (Read Only) –> Папка Бухгалтерии

User –> Accounting –> ACL_Accounting_RW  (Read and Write) –> Папка Бухгалтерии

User –> Accounting –> ACL_Accounting_FC (Full Control) –> Папка Бухгалтерии

ACL_Имя_Группы_FC или RW или RO —
это доменно локальная группа которая регулируют уровень доступа к файлам и папкам.

Теперь раздаем разрешения:

ACL_Accounting_RO – доменно локальная группа.  NTFS разрешения на папку или файл Read Only

Доменно локальная группа это:

ACL_Accounting_RW — доменно локальная группа. NTFS разрешения на папку или файл Read and Write

ACL_Accounting_FC — доменно локальная группа. NTFS разрешения на папку или файл Full Control

Кто задается вопрос о модели вложенности групп  в Active Directory статья Дмитрия Буланова


Сценарий 1:

Предоставить право на чтение и запись в папку Бухгалтерия пользователю User2.

”Вложить” пользователя User2 в группу ACL_Accounting_RW  — это решит поставленную задачу, но противоречит нашей логике ролевого доступа.

“Вложить” пользователя User2 в ролевую группу Accounting, в свою очередь группа Accounting должна входить в группу доступа ACL_Accounting_RW – это решит поставленную задачу, но при таком подходе встает вопрос, а если части сотрудников отдела Бухгалтерия нужно дать доступ типа Read Only или Full Control на папку Бухгалтерия? В какую ролевую группу мы должны включить этого сотрудника? 

Создаем ролевую группу Accounting_RO в которую будет входить наш пользователь, а сама группа будет  входит в группу доступа ACL_Accounting_RO

Можно сразу пойти по такому пути и создавать группы по такой логике:

Accounting_FC —> ACL_Accounting_FC

Accounting_RW —> ACL_Accounting_RW

Accounting_RO —> ACL_Accounting_RO

Такой подход требует больших первоначальных трудозатрат, но когда дело касается практики он себя оправдает.

Вернемся к нашему вопросу:

Предоставить права на чтение и запись в папку Бухгалтерия пользователю User2.

Решение:

Ответственный инженер добавит пользователя User2 в ролевую группу Accounting_RW.

Результат:

В итоге пользователь видит только свою папку. Так же в корневой папке он не имеет никаких прав:

Идем в папку бухгалтерия и видим, что уже в папке бухгалтерия пользователь User2 имеет права Read and Write:


Сценарий 2:

Предоставить права Read Only  в папку Бухгалтерия пользователю User3.

Решение:

Ответственный инженер добавит пользователя User3 в ролевую группу Accounting_RO

Так же как и User2, User3 увидит на файловом сервере только папку Бухгалтерия, но уже записать и удалить какие либо файлы не сможет:

Сценарий 3:

Предоставить права Read and Write  в папку Бухгалтерия для User7 , но при увольнении  User7  захочет удалить все файлы из папки Бухгалтерия.

Решение:

Ответственный инженер добавит пользователя User7 в ролевую группу Accounting_RW.

По легенде в папку бухгалтерия складывают свою данные еще четыре бухгалтера – это User2,4,5,6, но User7 при увольнении решил удалить все бухгалтерские документы, к счастью удаление файлов у которых пользователь не является владельцем удалить нельзя.

Но если у пользователя права Full Control, то в конечной папке он может делать все что ему вздумается.

Сценарий 4:

В папке Бухгалтерия должна быть создана подпапка Документы_Клиент_Банк. Этa папка будет использовать ответственными сотрудниками для хранения документов экспортируемые из клиент банков. Эту папку должны видеть только ответственные сотрудники.

Решение:

Первым делом выключаем наследовании этой подпапки Документы_Клиент_Банк:

Удаляем все унаследованные группы кроме:

Итог, на файловом сервере папка есть, но пользователь с правами которая предоставляет ролевая группа Accounting_RW или Accounting_FC или Accounting_RO ее не видит:

Дальше создаем ролевую группу к примеру  ClientBank_RW (глобальаня) –> ALC_ClientBank_RW (доменно локальная) и назначаем разрешения:

Но так как папка Документы клиент банк вложена в папку Бухгалтерия и если просто добавить пользователя в группу ClientBank_RW, то пользователь увидит такую картину:

Почему? У пользователя нет никаких прав на папку верхнего уровня Бухгалтерия.

К примеру если он взаимодействует только с папкой Документы клиент банк то ему достаточно будет дать права Accounting_RO и ClientBank_RW  после этого он сможет без проблем добраться до папки  Документы клиент банк.

И  в заключении включаем Data Dedeuplication:

Подведем итоги:

Мы создали файл сервер с ролевым типом доступа. Каждый пользователь файлового сервера видит только свои папки. Наш файловый сервер “живет” в пространстве DFS, что позволяет в будущем при необходимости масштабировать. Задействовали технологию Data Deduplication.
Соблюли вложенность групп в AD DS.

Будет интересно узнать о ваших мыслях о правильных, на ваш взгляд, практиках развёртывания и настройки файлового сервера на базе Windows Server.

Поделиться ссылкой на эту запись:

Похожее

Samba-сервер в локальной сети с Linux и Windows

В инструкции описан процесс настройки общего файлового сервера для всех пользователей локальной или виртуальной сети с операционными системами Linux и Windows.

Что это такое?

Файловый сервер работает по протоколу SMB/CIFS и позволяет предоставить доступ к общим ресурсам в локальной сети, например, текстовым файлам или сетевым принтерам. Для его развертывания на Windows используются штатные средства ОС, на Linux используется файловый сервер Samba.

В инструкции рассмотрена настройка файлового сервера на серверах с операционными системами Linux и Windows. На сервере будет находиться 2 каталога — публичный и приватный. К файловому серверу подключение будет происходить как с операционной системы Windows, так и с Linux, т.к. в виртуальной или физической локальной сети могут находиться серверы с разными ОС.

Создание и настройка частной сети

Для начала в панели управления должны быть созданы все необходимые для сети серверы.

После создания необходимо объединить все машины в единую локальную сеть через панель управления в разделе Сети. В результате серверы получат локальные IP-адреса.

После создания частной сети необходимо настроить сетевые адаптеры на каждом сервере. Об этом можно прочитать в наших инструкциях:

  1. Настройка сетевого адаптера в Ubuntu и Debian
  2. Настройка сетевого адаптера в CentOS
  3. Настройка сетевого адаптера в Windows

Настройка файлового сервера

Прежде всего, необходимо определиться, на сервере с какой операционной системой будет находиться общий каталог.

Настройка файлового сервера на Linux (Debian/Ubuntu)

Для развертывания файлового сервера на системах Linux используется инструмент SAMBA. Ниже перечислены действия по его установке и настройке.

Прежде всего следует обновить локальную базу пакетов:

apt-get update

Далее установите пакеты из главного репозитория:

apt-get install -y samba samba-client

Создайте резервную копию файла конфигурации Samba:

cp /etc/samba/smb.conf /etc/samba/smb.conf.bak

Создайте или выберете директорию, к которой все пользователи будут иметь общий доступ:

mkdir -p /samba/public

Перейдите к этому каталогу и измените режим доступа и владельца:

cd /samba

chmod -R 0755 public

Создайте или выберете каталог, к которому иметь доступ будут ограниченное число пользователей:

mkdir /samba/private

Создайте группу пользователей, которые будут иметь доступ к приватным данным:

groupadd smbgrp

Создайте нужных пользователей с помощью команды useradd:

useradd user1

Добавьте созданных пользователей в группу:

usermod -aG smbgrp user1

Измените группу, которой принадлежит приватная директория:

chgrp smbgrp /samba/private

Задайте пароль, с помощью которого пользователь будет подключаться к каталогу:

smbpasswd -a user1

Откройте файл конфигурации на редактирование с помощью текстового редактора, например nano:

nano /etc/samba/smb.conf

Замените содержимое файла на следующие строки:

[global]

workgroup = WORKGROUP

security = user

map to guest = bad user

wins support = no

dns proxy = no

[public]

path = /samba/public

guest ok = yes

force user = nobody

browsable = yes

writable = yes

[private]

path = /samba/private

valid users = @smbgrp

guest ok = no

browsable = yes

writable = yes

Сохраните внесенные изменения, нажав CTRL+X, затем Enter и Y.

Значения параметров выше:

  • global — раздел с общими настройками для Samba сервера
  • workgroup — рабочая группа Windows, WORKGROUP — значение по умолчанию для всех Windows машин, если вы не меняли самостоятельно
  • security — режим безопасности, значение user означает аутентификацию по логину и паролю
  • map to guest — задает способ обработки запросов, bad user — запросы с неправильным паролем будут отклонены, если такое имя пользователя существует
  • wins support — включить или выключить поддержку WINS
  • dns proxy — возможность запросов к DNS
  • public — название общего каталога, которое будут видеть пользователи сети, может быть произвольным и не совпадать с именем директории
  • path — полный путь до общего каталога
  • browsable — отображение каталога в сетевом окружении
  • writable — использование каталога на запись, инверсия read only
  • guest ok — авторизация без пароля
  • force user — пользователь по умолчанию
  • valid users — список пользователей, у которых есть доступ к каталогу, через @ указывается unix-группа пользователей

Проверить настройки в smb.conf можно с помощью команды:

testparm -s

Чтобы изменения вступили в силу, перезапустите сервис:

service smbd restart

Далее нужно настроить firewall, открыв порты, которые использует SAMBA. Настоятельно рекомендуем разрешить только подключения из локального диапазона IP-адресов или виртуальной частной сети. Адресное пространство вашей частной сети вы можете увидеть в панели управления 1cloud.

Замените значение параметра –s в правилах ниже для соответствия адресному пространству вашей частной сети. Как правило префикс сети /24, если вы явно не подразумеваете иного:

iptables -A INPUT -p tcp -m tcp --dport 445 –s 10.0.0.0/24 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 139 –s 10.0.0.0/24 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 137 –s 10.0.0.0/24 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 138 –s 10.0.0.0/24 -j ACCEPT

Теперь необходимо сделать так, чтобы указанные выше правила фаервола iptables были сохранены после перезагрузки машины. Для это установим пакет iptables-persistent:

apt-get install iptables-persistent

После установки откроется окно с предложением последовать запомнить текущие правила iptables для IPv4 и IPv6. Подтвердите это действие.

Проверить актуальные правила iptables можно командой:

iptables -L

В выводе команды вы должны увидеть ранее добавленные разрешающие политики (Accept).

Настройка общего публичного каталога на Windows

Для общего доступа к файлам по сети в Windows используются стандартные средства ОС.

Чтобы пользователи локальной сети могли без пароля подключаться к общему ресурсу, необходимо в панели управления снять ограничения защиты. Откройте панель управления и перейдите в раздел Сеть (Network and Internet) -> Центр управления сетями и общим доступом (Network and Sharing Center) -> Расширенные настройки общего доступа (Advanced sharing settings). В разделе Все сети (All Networks) выберете опцию Отключить доступ с парольной защитой (Turn off password protected sharing) и сохраните изменения.

Далее, чтобы настроить общий доступ к каталогу на Windows необходимо создать или выбрать нужный и открыть его свойства. В свойствах перейдите во вкладку Доступ (Sharing) и нажмите Расширенная настройка (Advanced Sharing).

В открывшемся окне отметьте галочкой Открыть общий доступ к этой папке (Share this folder), для того чтобы она стала общедоступной. В поле Имя общего ресурса (Share name) введите имя, которое будет видно всем пользователям. Далее нажмите Разрешения (Permissions) для настройки прав доступа.

Выберете нужные права доступа для всех пользователей (Everyone). Нажмите Применить (Apply), чтобы изменения вступили в силу.

Теперь в свойствах каталога нажмите Общий доступ (Share).

В поле поиска введите Все пользователи (Everyone) и нажмите Добавить (Add). Для полного доступа выберете права Read/Write и нажмите Поделиться (Share).

Теперь ваш каталог Windows доступен всем пользователям локальной сети без пароля.

Настройка общего приватного каталога на Windows

Для настройки общего каталога, который будет доступен только определенным пользователям, необходимо, чтобы данные пользователи существовали на сервере с общей папкой и на Windows машине с которой будет происходить подключение (наличие пользователя на Linux сервере не требуется), причем логин и пароль пользователей должны полностью совпадать. О том как создать нового пользователя читайте в нашей инструкции.

Чтобы пользователи локальной сети могли без пароля подключаться к общему ресурсу, необходимо в панели управления снять ограничения защиты. Откройте панель управления и перейдите в раздел Сеть (Network and Internet) -> Центр управления сетями и общим доступом (Network and Sharing Center) -> Расширенные настройки общего доступа (Advanced sharing settings). В разделе Все сети (All Networks) выберете опцию Отключить доступ с парольной защитой (Turn off password protected sharing) и сохраните изменения.

Далее, чтобы настроить общий доступ к каталогу на Windows необходимо создать или выбрать нужный и открыть его свойства. В свойствах перейдите во вкладку Доступ (Sharing) и нажмите Расширенная настройка (Advanced Sharing).

Так как каталог будет доступен только определенным пользователям, необходимо удалить группу Все пользователи (Everyone) с помощью кнопки Удалить (Remove).

Далее с помощью кнопки Добавить (Add) добавьте пользователей для управления каталогом.

Введите имя и нажмите Проверить имена (Check Names), выберете полное имя пользователя и нажмите OK.

Установите нужные права и нажмите Применить (Apply).

Теперь в свойствах каталога нажмите Поделиться (Share).

В поле поиска введите имя пользователя и нажмите Добавить (Add). Для полного доступа выберете права Чтение/Запись (Read/Write) и нажмите Поделиться (Share).

В итоге каталог стает общедоступным для определенных пользователей.

Подключение к общему каталогу с помощью Linux

Чтобы подключиться к общему каталогу, необходимо установить клиент для подключения:

sudo apt-get install smbclient

Для подключения используйте следующий формат команды:

smbclient -U <Пользователь> \\\\<IP-адрес>\\<Общий каталог>

Также можно выполнить монтирование общего каталога, для этого установите дополнительный пакет утилит:

sudo apt-get install cifs-utils

Для монтирования используйте следующий формат команды:

mount -t cifs -o username=<Пользователь>,password= //<IP-адрес>/<Общий каталог> <Точка монтирования>

Где <ip-адрес> — адрес машины, на которой расположена общая директория, а <Общий каталог> — путь до общей директории.

Например:

mount -t cifs -o username=Everyone,password= //10.0.1.2/Win /root/shares/public

Если общий каталог находится на Windows Server?

Если общий каталог находится на сервере с операционной системой Windows, то для публичного каталога используйте имя пользователя Everyone, а в качестве пароля просто нажмите Enter. Например:

smbclient -U Everyone \\\\10.0.1.2\\Win

Enter Everyone's password:
OS=[Windows Server 2016 Standard 14393] Server=[Windows Server 2016 Standard 6.3]

smb: \>

Для приватного каталога используйте имя пользователя и пароль, которому разрешен доступ.

Если общий каталог находится на Linux?

Если общий каталог находится на сервере с операционной системой Linux, то для публичного каталога используйте имя пользователя nobody, а в качестве пароля просто нажмите Enter. Например:

smbclient -U nobody \\\\10.0.1.2\\public

Enter nobody's password:
OS=[Windows Server 2016 Standard 14393] Server=[Windows Server 2016 Standard 6.3]

smb: \>

Для приватного каталога используйте имя пользователя и пароль, которому разрешен доступ.

Подключение к общему каталогу с помощью Windows

Для подключения используйте Проводник Windows, в адресную строку введите строку в следующем формате:

\\<Локальный IP-адрес>\<Название общего каталога>

Если общий каталог находится на Windows Server?

Если вы подключаетесь к приватному каталогу, то он откроется автоматически, а если подключаетесь к публичному, то перед вами вами появится окно для ввода данных для входа. Введите логин Everyone и пустой пароль, нажмите OK. В результате вы будете подключены к общему каталогу.

Если общий каталог находится на Linux?

Для подключения к публичной папке не требуется вводить логин или пароль, достаточно в адресную строку ввести нужный ip-адрес без ввода дополнительной информации. Для подключения к приватному каталогу введите логин и пароль пользователя в появившееся окно.

 

P. S. Другие инструкции:




Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже

Однонодовый файловый сервер | Yandex.Cloud

Сценарий описывает создание однонодового файлового сервера с использованием Samba и NFS.

Чтобы создать однонодовый файловый сервер:

  1. Подготовьте облако к работе
  2. Создайте виртуальную машину для файлового сервера
  3. Настройте Samba и NFS
  4. Протестируйте работу файлового сервера
  5. Удалите созданные облачные ресурсы

Подготовьте облако к работе

Перед использованием Compute Cloud нужно зарегистрироваться в Yandex.Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex.Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет находиться ваш бакет. Перейдите на страницу облака и выберите или создайте каталог, в котором вы хотите создать бакет. Подробнее об иерархии ресурсов Yandex.Cloud.

Необходимые платные ресурсы

В стоимость поддержки статического сайта входит:

Создайте облачные сети и подсети

Перед тем, как создавать виртуальную машину:

  1. Перейдите в консоль управления Yandex.Cloud и выберите каталог, в котором будете выполнять операции.
  2. Убедитесь, что в выбранном каталоге есть сеть с подсетью, к которой можно подключить виртуальную машину. Для этого на странице каталога выберите сервис Virtual Private Cloud. Если в списке есть сеть — нажмите на нее, чтобы увидеть список подсетей. Если ни одной подсети или сети нет, создайте их.

Создайте виртуальную машину для файлового сервера

Чтобы создать виртуальную машину:

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В поле Имя введите имя виртуальной машины — fileserver-tutorial.

  3. Выберите зону доступности, в которой будет находиться виртуальная машина.

  4. Выберите публичный образ Ubuntu или CentOS.

  5. В блоке Вычислительные ресурсы:

    • Выберите платформу.
    • Укажите необходимое количество vCPU и объем RAM.

    Рекомендованные значения для файлового сервера:

    • Гарантированная доля vCPU — 100%.
    • vCPU — 8 или больше.
    • RAM — 56 ГБ или больше.
  6. В блоке Диски нажмите Добавить диск. В окне Добавление диска укажите параметры диска для хранения данные:

    • Имяfileserver-tutorial-disk;
    • Размер — 100 ГБ;
    • Тип диска — SSD;
    • Наполнение — Пустой.

    Нажмите Добавить.

  7. В блоке Сетевые настройки выберите, к какой подсети необходимо подключить виртуальную машину при создании.

  8. Укажите данные для доступа на виртуальную машину:

    • В поле Логин введите имя пользователя.
    • В поле SSH ключ вставьте содержимое файла открытого ключа.
      Пару ключей для подключения по SSH необходимо создать самостоятельно. Для создания ключей используйте сторонние инструменты, например утилиты ssh-keygen в Linux и macOS или PuTTYgen в Windows.
  9. Нажмите кнопку Создать ВМ.

Создание виртуальной машины может занять несколько минут. Когда виртуальная машина перейдет в статус RUNNING, вы можете настроить NFS и Samba.

При создании виртуальной машине назначаются IP-адрес и имя хоста (FQDN). Эти данные можно использовать для доступа по SSH.

Настройте Samba и NFS

После того как виртуальная машина fileserver-tutorial перейдет в статус RUNNING, выполните:

  1. В блоке Сеть на странице виртуальной машины в консоли управления найдите публичный IP-адрес виртуальной машины.

  2. Подключитесь к виртуальной машине по протоколу SSH. Для этого можно использовать утилиту ssh в Linux и macOS и программу PuTTY для Windows.

    Рекомендуемый способ аутентификации при подключении по SSH — с помощью пары ключей. Не забудьте настроить использование созданной пары ключей: закрытый ключ должен соответствовать открытому ключу, переданному на виртуальную машину.

  3. Скачайте и установите Samba:

    $ sudo apt-get update
    $ sudo apt-get install nfs-kernel-server samba
    
    $ sudo yum check-update
    $ sudo yum -y install nfs-utils nfs-utils-lib samba nano
    $ sudo chkconfig smb on
    $ sudo chkconfig nfs on
    
  4. Подготовьте и смонтируйте файловую систему на диске для хранения данных:

    $ sudo mkfs -t ext4 -L data /dev/vdb
    $ sudo mkdir /data
    $ echo "LABEL=data /data ext4 defaults 0 0" | sudo tee -a /etc/fstab
    $ sudo mount /data
    
  5. Задайте конфигурацию NFS в файле /etc/exports. Вы можете отредактировать файл с помощью утилиты nano:

    Добавьте в файл следующие строки:

    /data <IP-адрес>(rw,no_subtree_check,fsid=100)
    /data 127.0.0.1(rw,no_subtree_check,fsid=100)
    

    Вместо <IP-адрес> укажите IP-адрес компьютера, к которому вы будете подключать по NFS сетевой диск с данными.

  6. Задайте конфигурацию Samba в файле /etc/samba/smb.conf. Вы можете отредактировать файл с помощью утилиты nano:

    $ sudo nano /etc/samba/smb.conf
    

    Приведите файл к виду:

    [global]
       workgroup = WORKGROUP
       server string = %h server (Samba)
       dns proxy = no
       log file = /var/log/samba/log.%m
       max log size = 1000
       syslog = 0
       panic action = /usr/share/samba/panic-action %d
       server role = standalone server
       passdb backend = tdbsam
       obey pam restrictions = yes
       unix password sync = yes
       passwd program = /usr/bin/passwd %u
       passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
       pam password change = yes
       map to guest = bad user
       usershare allow guests = yes
    [printers]
       comment = All Printers
       browseable = no
       path = /var/spool/samba
       printable = yes
       guest ok = no
       read only = yes
       create mask = 0700
    [print$]
       comment = Printer Drivers
       path = /var/lib/samba/printers
       browseable = yes
       read only = yes
       guest ok = no
    [data]
       comment = /data
       path = /data
       browseable = yes
       read only = no
       writable = yes
       guest ok = yes
       hosts allow = <IP-адрес> 127.0.0.1
       hosts deny = 0.0.0.0/0
    
    [global]
       workgroup = MYGROUP
       server string = Samba Server Version %v
       log file = /var/log/samba/log.%m
       max log size = 50
       security = user
       passdb backend = tdbsam
       load printers = yes
       cups options = raw
       map to guest = bad user
    [homes]
       comment = Home Directories
       browseable = no
       writable = yes
    [printers]
       comment = All Printers
       path = /var/spool/samba
       browseable = no
       guest ok = no
       writable = no
       printable = yes
    [data]
       comment = /data
       path = /data
       browseable = yes
       read only = no
       writable = yes
       guest ok = yes
       hosts allow = <IP-адрес> 127.0.0.1
       hosts deny = 0.0.0.0/0
    
    [global]
            workgroup = SAMBA
            security = user
    
            passdb backend = tdbsam
    
            printing = cups
            printcap name = cups
            load printers = yes
            cups options = raw
    
    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            browseable = No
            read only = No
            inherit acls = Yes
    
    [printers]
            comment = All Printers
            path = /var/tmp
            printable = Yes
            create mask = 0600
            browseable = No
    
    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @printadmin root
            force group = @printadmin
            create mask = 0664
            directory mask = 0775
    [data]
       comment = /data
       path = /data
       browseable = yes
       read only = no
       writable = yes
       guest ok = yes
       hosts allow = <IP-адрес> 127.0.0.1
       hosts deny = 0.0.0.0/0
    

    В блоке [data] вместо <IP-адрес> укажите IP-адрес компьютера, к которому вы будете подключать по NFS сетевой диск с данными.

  7. Перезапустите NFS и Samba, для CentOS 6 и 7 предварительно разрешите чтение файлов в директории /data:

    $ sudo service nfs-kernel-server restart
    $ sudo service smbd restart
    
    $ sudo chcon -t samba_share_t /data
    $ sudo semanage fcontext -a -t samba_share_t "/data(/.*)?"
    $ sudo restorecon -R -v /data
    $ sudo service rpcbind restart
    $ sudo service nfs restart
    $ sudo service smb restart
    
  8. Этот шаг нужно выполнять только на виртуальной машине с ОС CentOS 6.

    Разрешите сетевой доступ к виртуальной машине с помощью утилиты iptables:

    $ sudo iptables -I INPUT -p tcp -s <IP-адрес> -j ACCEPT
    $ sudo iptables -I INPUT -p udp -s <IP-адрес> -j ACCEPT
    $ sudo iptables-save | sudo tee /etc/sysconfig/iptables
    

    Вместо <IP-адрес> укажите IP-адрес компьютера, к которому вы будете подключать по NFS сетевой диск с данными.

Протестируйте работу файлового сервера

  1. Создайте на виртуальной машине fileserver-tutorial тестовую директорию и файл в ней:

    $ sudo mkdir /data/fileserver-tutorial
    $ sudo setfacl -m u:<имя вашего пользователя>:w /data/fileserver-tutorial
    $ echo "Hello world!" > /data/fileserver-tutorial/test.txt
    

Масштабируемый файловый сервер для обзора данных приложения



  • Чтение занимает 8 мин

В этой статье

Область применения: Windows Server 2012 R2, Windows Server 2012Applies to: Windows Server 2012 R2, Windows Server 2012

Масштабируемый файловый сервер — это компонент, предоставляющий масштабируемые файловые ресурсы, которые постоянно доступны для файлового хранилища серверных приложений.Scale-Out File Server is a feature that is designed to provide scale-out file shares that are continuously available for file-based server application storage. Масштабируемые файловые ресурсы обеспечивают возможность совместного использования папок различными узлами одного кластера.Scale-out file shares provides the ability to share the same folder from multiple nodes of the same cluster. Этот сценарий фокусируется на планировании и развертывании масштабируемого файлового сервера.This scenario focuses on how to plan for and deploy Scale-Out File Server.

Вы можете развернуть и настроить кластерный файловый сервер с помощью любого из следующих методов.You can deploy and configure a clustered file server by using either of the following methods:

  • Масштабируемый файловый сервер для данных приложения Этот компонент кластеризованного файлового сервера появился в Windows Server 2012 и позволяет хранить данные серверных приложений, такие как файлы виртуальных машин Hyper-V, в общих файловых ресурсах, а также иметь аналогичные уровни надежности, доступности, управляемости и высокой производительности, которые могут быть получены из сети хранения данных.Scale-Out File Server for application data This clustered file server feature was introduced in Windows Server 2012, and it lets you store server application data, such as Hyper-V virtual machine files, on file shares, and obtain a similar level of reliability, availability, manageability, and high performance that you would expect from a storage area network. Все файловые ресурсы одновременно подключены к сети на всех узлах.All file shares are simultaneously online on all nodes. Общие файловые ресурсы, связанные с кластерным файловым сервером такого типа, называются масштабируемыми файловыми ресурсами.File shares associated with this type of clustered file server are called scale-out file shares. Такая конфигурация иногда называется «активный-активный».This is sometimes referred to as active-active. Это рекомендуемый тип файлового сервера при развертывании Hyper-V через Server Message Block (SMB) или Microsoft SQL Server через SMB.This is the recommended file server type when deploying either Hyper-V over Server Message Block (SMB) or Microsoft SQL Server over SMB.
  • Файловый сервер для общего использования Это продолжение кластеризованного файлового сервера, который поддерживался в Windows Server с момента появления отказоустойчивой кластеризации.File Server for general use This is the continuation of the clustered file server that has been supported in Windows Server since the introduction of Failover Clustering. Это разновидность кластерного файлового сервера, поэтому все общие папки, связанные с кластерным файловым сервером, не могут быть подключены к сети на нескольких узлах одновременно.This type of clustered file server, and therefore all the shares associated with the clustered file server, is online on one node at a time. Такая конфигурация иногда называется «активный-пассивный» или «двойной активный».This is sometimes referred to as active-passive or dual-active. Общие файловые ресурсы, связанные с кластерным файловым сервером такого типа, называются кластерными файловыми ресурсами.File shares associated with this type of clustered file server are called clustered file shares. Это рекомендуемый тип файлового сервера при развертывании сценариев информационных работников.This is the recommended file server type when deploying information worker scenarios.

Описание сценарияScenario description

Масштабируемые файловые ресурсы обеспечивают возможность совместного использования папок несколькими узлами одного кластера.With scale-out file shares, you can share the same folder from multiple nodes of a cluster. Например, при наличии кластера файлового сервера с четырьмя узлами, использующего горизонтальное масштабирование SMB, компьютер под управлением Windows Server 2012 R2 или Windows Server 2012 может получить доступ к общим папкам с любого из четырех узлов.For instance, if you have a four-node file server cluster that is using Server Message Block (SMB) Scale-Out, a computer running Windows Server 2012 R2 or Windows Server 2012 can access file shares from any of the four nodes. Это достигается за счет использования новых компонентов отказоустойчивой кластеризации в Windows Server и возможностей протокола файловых серверов Windows — SMB 3.0.This is achieved by leveraging new Windows Server Failover Clustering features and the capabilities of the Windows file server protocol, SMB 3.0. Администраторы файловых серверов могут предоставлять масштабируемые файловые ресурсы и постоянно доступные файловые службы серверным приложениям, а также быстро реагировать на увеличение потребностей путем простого подключения к сети дополнительных серверов.File server administrators can provide scale-out file shares and continuously available file services to server applications and respond to increased demands quickly by simply bringing more servers online. Все это можно осуществлять в рабочей среде абсолютно прозрачно для серверного приложения.All of this can be done in a production environment, and it is completely transparent to the server application.

Основные преимущества масштабируемого файлового сервера включают следующее.Key benefits provided by Scale-Out File Server in include:

  • Активные общие файловые ресурсы.Active-Active file shares. Все узлы кластера могут принимать и обслуживать клиентские запросы SMB.All cluster nodes can accept and serve SMB client requests. Благодаря одновременной доступности содержимого файловых ресурсов для всех узлов кластера взаимодействие кластеров и клиентов SMB 3.0 обеспечивает прозрачную отработку отказа на альтернативные узлы кластера во время планового обслуживания или внезапных сбоев с нарушением работы служб.By making the file share content accessible through all cluster nodes simultaneously, SMB 3.0 clusters and clients cooperate to provide transparent failover to alternative cluster nodes during planned maintenance and unplanned failures with service interruption.
  • Увеличенная пропускная способность.Increased bandwidth. Максимальная пропускная способность общего доступа — это общая пропускная способность всех узлов кластера файлового сервера.The maximum share bandwidth is the total bandwidth of all file server cluster nodes. В отличие от предыдущих версий Windows Server, общая пропускная способность более не ограничивается пропускной способностью одного узла кластера, а определяется возможностями резервной системы хранения, которая задает ограничения.Unlike previous versions of Windows Server, the total bandwidth is no longer constrained to the bandwidth of a single cluster node; but rather, the capability of the backing storage system defines the constraints. Увеличить общую пропускную способность можно путем добавления узлов.You can increase the total bandwidth by adding nodes.
  • Chkdsk с нулевым временем простоя.CHKDSK with zero downtime. CHKDSK в Windows Server 2012 значительно улучшена, чтобы значительно сократить время, в течение которого файловая система находится в автономном режиме для восстановления.CHKDSK in Windows Server 2012 is significantly enhanced to dramatically shorten the time a file system is offline for repair. Общие тома кластера (CSV) позволяют вообще исключить этап отключения от сети.Clustered shared volumes (CSVs) take this one step further by eliminating the offline phase. Файловая система CSV (CSVFS) может использовать операцию CHKDSK, не затрагивая приложения с открытыми дескрипторами в файловой системе.A CSV File System (CSVFS) can use CHKDSK without impacting applications with open handles on the file system.
  • Кластеризованный кэш общего тома.Clustered Shared Volume cache. CSV в Windows Server 2012 предоставляет поддержку кэша чтения, что может значительно повысить производительность в определенных сценариях, например в инфраструктуре виртуальных рабочих столов (VDI).CSVs in Windows Server 2012 introduces support for a Read cache, which can significantly improve performance in certain scenarios, such as in Virtual Desktop Infrastructure (VDI).
  • Упрощенное управление.Simpler management. С масштабируемый файловый сервер создайте масштабируемые файловые серверы, а затем добавьте необходимые CSV и общие файловые ресурсы.With Scale-Out File Server, you create the scale-out file servers, and then add the necessary CSVs and file shares. Теперь нет необходимости создавать несколько кластерных файловых серверов с отдельными дисками кластера, а затем разрабатывать политики размещения, чтобы обеспечить работу каждого узла кластера.It is no longer necessary to create multiple clustered file servers, each with separate cluster disks, and then develop placement policies to ensure activity on each cluster node.
  • Автоматическая ребалансировка Масштабируемый файловый сервер клиентов.Automatic rebalancing of Scale-Out File Server clients. В Windows Server 2012 R2 автоматическое перераспределение улучшает масштабируемость и управляемость масштабируемых файловых серверов.In Windows Server 2012 R2, automatic rebalancing improves scalability and manageability for scale-out file servers. Клиентские подключения SMB отслеживаются для каждого общего файлового ресурса (а не для каждого сервера), после чего клиенты перенаправляются в узел кластера с оптимальным доступом к тому, используемому общим файловым ресурсом.SMB client connections are tracked per file share (instead of per server), and clients are then redirected to the cluster node with the best access to the volume used by the file share. Это повышает производительность, снижая трафик перенаправления между узлами файлового сервера.This improves efficiency by reducing redirection traffic between file server nodes. Клиенты перенаправляются после начального подключения при перенастройке системы хранения данных кластера.Clients are redirected following an initial connection and when cluster storage is reconfigured.

Содержание сценарияIn this scenario

Следующие разделы помогут вам развернуть масштабируемый файловый сервер.The following topics are available to help you deploy a Scale-Out File Server:

Когда использовать масштабируемый файловый серверWhen to use Scale-Out File Server

Масштабируемый файловый сервер не следует использовать, если рабочая нагрузка создает большое количество операций с метаданными, например открытие и закрытие файлов, создание новых файлов или переименование существующих.You should not use Scale-Out File Server if your workload generates a high number of metadata operations, such as opening files, closing files, creating new files, or renaming existing files. Типичный пользователь, работающий с информацией, создает множество операций с метаданными.A typical information worker would generate a lot of metadata operations. Масштабируемый файловый сервер рекомендуется использовать, если важны масштабируемость и простота и требуются только те технологии, которые поддерживает масштабируемый файловый сервер.You should use a Scale-Out File Server if you are interested in the scalability and simplicity that it offers and if you only require technologies that are supported with Scale-Out File Server.

В следующей таблице перечислены возможности SMB 3.0, общие файловые системы Windows, технологии управления данными файловых серверов и общие рабочие нагрузки.The following table lists the capabilities in SMB 3.0, the common Windows file systems, file server data management technologies, and common workloads. Вы можете увидеть, поддерживается ли технология масштабируемым файловым сервером, или требуется традиционный кластерный файловый сервер (также известный как файловый сервер общего назначения).You can see whether the technology is supported with Scale-Out File Server, or if it requires a traditional clustered file server (also known as a file server for general use).

Область технологийTechnology AreaФункцияFeatureКластер файлового сервера общего назначенияGeneral Use File Server ClusterМасштабируемый файловый серверScale-Out File Server
SMBSMBПостоянная доступность SMBSMB Continuous AvailabilityДаYesДаYes
SMBSMBТехнология SMB MultichannelSMB MultichannelДаYesДаYes
SMBSMBSMB DirectSMB DirectДаYesДаYes
SMBSMBШифрование SMBSMB EncryptionДаYesДаYes
SMBSMBПрозрачная отработка отказа SMBSMB Transparent failoverДа (если включена постоянная доступность)Yes (if continuous availability is enabled)ДаYes
Файловая системаFile SystemNTFSNTFSДаYesН/ДNA
Файловая системаFile SystemОтказоустойчивая файловая система (ReFS)Resilient File System (ReFS)Рекомендуется с Локальные дисковые пространстваRecommended with Storage Spaces DirectРекомендуется с Локальные дисковые пространстваRecommended with Storage Spaces Direct
Файловая системаFile SystemФайловая система общего тома кластера (CSV)Cluster Shared Volume File System (CSV)Н/ДNAДаYes
Управление файламиFile ManagementBranchCacheBranchCacheДаYesНетNo
Управление файламиFile ManagementДедупликация данных (Windows Server 2012)Data Deduplication (Windows Server 2012)ДаYesНетNo
Управление файламиFile ManagementДедупликация данных (Windows Server 2012 R2)Data Deduplication (Windows Server 2012 R2)ДаYesДа (только VDI)Yes (VDI only)
Управление файламиFile ManagementКорень корневого сервера пространства имен DFS (DFSN)DFS Namespace (DFSN) root server rootДаYesНетNo
Управление файламиFile ManagementЦелевой сервер папки пространства имен DFS (DFSN)DFS Namespace (DFSN) folder target serverДаYesДаYes
Управление файламиFile ManagementРепликация DFS (DFSR)DFS Replication (DFSR)ДаYesНетNo
Управление файламиFile ManagementДиспетчер ресурсов файлового сервера (экраны и квоты)File Server Resource Manager (Screens and Quotas)ДаYesНетNo
Управление файламиFile ManagementИнфраструктура классификации файловFile Classification InfrastructureДаYesНетNo
Управление файламиFile ManagementДинамический контроль доступа (доступ на основе утверждений, CAP)Dynamic Access Control (claim-based access, CAP)ДаYesНетNo
Управление файламиFile ManagementПеренаправление папокFolder RedirectionДаYesНе рекомендуетсяNot recommended
Управление файламиFile ManagementАвтономные файлы (кэширование на стороне клиента)Offline Files (client side caching)ДаYesНе рекомендуетсяNot recommended
Управление файламиFile ManagementПроверка перемещаемых профилей пользователейRoaming User ProfilesДаYesНе рекомендуетсяNot recommended
Управление файламиFile ManagementДомашние каталогиHome DirectoriesДаYesНе рекомендуетсяNot recommended
Управление файламиFile Managementрабочие папкиWork FoldersДаYesНетNo
NFSNFSСервер NFSNFS ServerДаYesНетNo
ПриложенияApplicationsHyper-VHyper-VНе рекомендуетсяNot recommendedДаYes
ПриложенияApplicationsMicrosoft SQL ServerMicrosoft SQL ServerНе рекомендуетсяNot recommendedДаYes

* Перенаправление папок, автономные файлы, перемещаемые профили пользователей или домашние каталоги создают большое количество операций записи, которые должны немедленно записываться на диск (без буферизации) при использовании постоянно доступных файловых ресурсов, что снижает производительность по сравнению с общими файловыми ресурсами общего назначения.* Folder Redirection, Offline Files, Roaming User Profiles, or Home Directories generate a large number of writes that must be immediately written to disk (without buffering) when using continuously available file shares, reducing performance as compared to general purpose file shares. Постоянно доступные файловые ресурсы также несовместимы с диспетчером ресурсов файлового сервера и ПК под управлением Windows XP.Continuously available file shares are also incompatible with File Server Resource Manager and PCs running Windows XP. Кроме того, автономные файлы может не переходить в режим «вне сети» на 3-6 минут после того, как пользователь теряет доступ к общей папке, что может привести к невозможности использовать режим «всегда автономный» автономные файлы.Additionally, Offline Files might not transition to offline mode for 3-6 minutes after a user loses access to a share, which could frustrate users who aren’t yet using the Always Offline mode of Offline Files.

Практическое применениеPractical applications

Масштабируемые файловые серверы идеально подходят для хранилища серверных приложений.Scale-Out File Servers are ideal for server application storage. Ниже перечислены некоторые примеры серверных приложений, которые могут хранить свои данные в масштабируемом файловом ресурсе.Some examples of server applications that can store their data on a scale-out file share are listed below:

  • Веб-сервер IIS может хранить конфигурацию и данные для веб-сайтов в масштабируемом файловом ресурсе.The Internet Information Services (IIS) Web server can store configuration and data for Web sites on a scale-out file share. Дополнительные сведения см. в разделе Общая конфигурация.For more information, see Shared Configuration.
  • Hyper-V может хранить конфигурацию и динамические виртуальные диски в масштабируемом файловом ресурсе.Hyper-V can store configuration and live virtual disks on a scale-out file share. Дополнительные сведения см. в разделе Развертывание Hyper-V через SMB.For more information, see Deploy Hyper-V over SMB.
  • SQL Server может хранить динамические файлы базы данных в масштабируемом файловом ресурсе.SQL Server can store live database files on a scale-out file share. Дополнительные сведения см. в разделе Установка SQL Server с файловым ресурсом SMB в качестве хранилища.For more information, see Install SQL Server with SMB file share as a storage option.
  • Диспетчер виртуальных машин (VMM) может хранить общую папку библиотеки (содержащую шаблоны виртуальных машин и связанные файлы) в масштабируемом файловом ресурсе.Virtual Machine Manager (VMM) can store a library share (which contains virtual machine templates and related files) on a scale-out file share. Однако сам сервер библиотеки не может быть масштабируемый файловый сервер — он должен находиться на изолированном сервере или отказоустойчивом кластере, который не использует роль кластера масштабируемый файловый сервер.However, the library server itself can’t be a Scale-Out File Server—it must be on a stand-alone server or a failover cluster that doesn’t use the Scale-Out File Server cluster role.

При использовании масштабируемого файлового ресурса в качестве общей папки библиотеки можно применять только те технологии, которые совместимы с масштабируемым файловым сервером.If you use a scale-out file share as a library share, you can use only technologies that are compatible with Scale-Out File Server. Например, репликация DFS нельзя использовать для репликации общей папки библиотеки, размещенной в масштабируемом файловом ресурсе.For example, you can’t use DFS Replication to replicate a library share hosted on a scale-out file share. Также важно наличие на масштабируемом файловом сервере установленных последних обновлений программного обеспечения.It’s also important that the scale-out file server have the latest software updates installed.

Чтобы использовать масштабируемый файловый ресурс в качестве общей папки библиотеки, сначала добавьте сервер библиотеки (скорее всего, это виртуальная машина) с локальной общей папкой или вообще без общих папок.To use a scale-out file share as a library share, first add a library server (likely a virtual machine) with a local share or no shares at all. Затем при добавлении общей папки библиотеки выберите общую папку, размещенную на масштабируемом файловом сервере.Then when you add a library share, choose a file share that’s hosted on a scale-out file server. Этот ресурс должен быть управляемым VMM и созданным исключительно для использования сервером библиотеки.This share should be VMM-managed and created exclusively for use by the library server. Также не забудьте установить последние обновления на масштабируемом файловом сервере.Also make sure to install the latest updates on the scale-out file server. Дополнительные сведения о добавлении серверов библиотек VMM и общих папок библиотек см. в статье Добавление профилей в БИБЛИОТЕКУ VMM.For more information about adding VMM library servers and library shares, see Add profiles to the VMM library. Список доступных в настоящее время исправлений для файловых служб и служб хранилища см. в статье базы знаний Майкрософт 2899011.For a list of currently available hotfixes for File and Storage Services, see Microsoft Knowledge Base article 2899011.

Примечание

Некоторые пользователи, например информационные работники, имеют рабочие нагрузки, которые значительно влияют на производительность.Some users, such as information workers, have workloads that have a greater impact on performance. Например, если такие операции, как открытие и закрытие файлов, создание новых файлов и переименование существующих файлов, выполняются несколькими пользователями, они оказывают влияние на производительность.For example, operations like opening and closing files, creating new files, and renaming existing files, when performed by multiple users, have an impact on performance. Если файловый ресурс включен с непрерывной доступностью, он обеспечивает целостность данных, но также влияет на общую производительность.If a file share is enabled with continuous availability, it provides data integrity, but it also affects the overall performance. Для постоянной доступности требуется сквозная запись данных на диск, чтобы обеспечить целостность в случае сбоя узла кластера на масштабируемом файловом сервере.Continuous availability requires that data writes through to the disk to ensure integrity in the event of a failure of a cluster node in a Scale-Out File Server. Таким образом, пользователь, который копирует несколько больших файлов на файловый сервер, может ожидать значительно более низкую производительность на постоянно доступном файловом ресурсе.Therefore, a user that copies several large files to a file server can expect significantly slower performance on continuously available file share.

Компоненты, используемые в данном сценарииFeatures included in this scenario

В следующей таблице перечислены компоненты, являющиеся частью данного сценария, и описано, как они поддерживают его.The following table lists the features that are part of this scenario and describes how they support it.

ФункцияFeatureСпособ поддержки сценарияHow it supports this scenario
Отказоустойчивая кластеризацияFailover ClusteringОтказоустойчивые кластеры добавили следующие функции в Windows Server 2012 для поддержки масштабируемого файлового сервера: имя распределенной сети, масштабируемый файловый сервер тип ресурса, общие тома кластера (CSV) 2 и роль высокой доступности масштабируемый файловый сервер.Failover clusters added the following features in Windows Server 2012 to support scale-Out file server: Distributed Network Name, the Scale-Out File Server resource type, Cluster Shared Volumes (CSV) 2, and the Scale-Out File Server High Availability role. Дополнительные сведения об этих функциях см. в разделе новые ‘в отказоустойчивой кластеризации в Windows Server 2012 [перенаправлено].For more information about these features, see What’s New in Failover Clustering in Windows Server 2012 [redirected].
Server Message Block Overview (Общие сведения об SMB)Server Message BlockSMB 3,0 добавила следующие функции в Windows Server 2012 для поддержки масштабируемого файлового сервера: прозрачная отработка отказа SMB, многоканальная и SMB Direct.SMB 3.0 added the following features in Windows Server 2012 to support scale-Out File Server: SMB Transparent Failover, SMB Multichannel, and SMB Direct.

Дополнительные сведения о новых и измененных возможностях SMB в Windows Server 2012 R2 см. в разделе новые’в SMB в Windows Server.For more information on new and changed functionality for SMB in Windows Server 2012 R2, see What’s New in SMB in Windows Server.

Дополнительные сведенияMore information

  • Руководство по вопросам проектирования программно определяемого хранилищаSoftware-Defined Storage Design Considerations Guide
  • Increasing Server, Storage, and Network AvailabilityIncreasing Server, Storage, and Network Availability
  • Deploy Hyper-V over SMB (Развертывание Hyper-V поверх SMB)Deploy Hyper-V over SMB
  • Deploying Fast and Efficient File Servers for Server Applications (Развертывание быстрых и производительных файловых серверов для серверных приложений)Deploying Fast and Efficient File Servers for Server Applications
  • Масштабировать или нет, вот в чем вопрос (запись блога)To scale out or not to scale out, that is the question (blog post)
  • Folder Redirection, Offline Files, and Roaming User Profiles (Общие сведения о перенаправлении папок, автономных файлах и перемещаемых профилях пользователей)Folder Redirection, Offline Files, and Roaming User Profiles

Лучшее программное обеспечение файлового сервера для ПК с Windows [Руководство 2020]

автор Иван Енич

Эксперт по поиску и устранению неисправностей


Файловые серверы все чаще становятся нормой, поскольку они предоставляют место для общего доступа к дискам, посредством чего различные файлы, такие как мультимедийные документы, папки и файлы баз данных. Вам нужен файловый сервер для хранения ваших файлов.

Иногда файловые серверы помогают снизить нагрузку на копирование папок или документов с одного компьютера на другой, поскольку сеть компьютеров может одновременно получать доступ к общей информации на файловом сервере.

.

Установка защищенного FTP-сервера в Windows с использованием IIS :: WinSCP

Документация »Использование WinSCP» Руководства »Прочее»

Вы можете установить безопасный FTP-сервер в Windows в качестве автономного хранилища файлов или иметь средства редактирования своего веб-сайта, размещенного на веб-сервере IIS (Internet Information Services). В обоих случаях вы можете использовать дополнительный компонент FTP Server IIS. Его можно установить отдельно или вместе с веб-сервером .1

Установка FTP-сервера

В Windows Server 2016 и Windows Server 2012

  • В Windows Server Manager перейдите на Dashboard и запустите Manage> Add Roles and Features .
  • В Мастер добавления ролей и функций :
    • Перейдите к шагу установки Тип и подтвердите Ролевую или функциональную установку .
    • Перейдите к шагу Роли сервера и проверьте роль веб-сервера (IIS) .Обратите внимание, что он уже отмечен, если у вас ранее был установлен IIS как веб-сервер. Подтвердите установку инструмента IIS Management Console .
    • Перейдите к Роль веб-сервера (IIS)> Службы ролей и проверьте службу роли FTP-сервер . Снимите флажок Web Server role service, если он вам не нужен.
    • Перейдите к концу мастера и нажмите Установить .
    • Дождитесь завершения установки.

Переходите к следующему шагу.

в Windows Server 2008 R2

Если у вас еще не установлен IIS:

  • В Windows Server Manager перейдите к узлу Roles и на панели Roles Summary щелкните Добавить роли .
  • В Мастер добавления ролей :
    • Перейдите к шагу Server Roles и проверьте роль Web Server (IIS) .
    • Перейдите к шагу Role Services и выберите FTP Server> FTP Service role service. Снимите флажок Web Server role service, если он вам не нужен. Убедитесь, что Management Service> IIS Management Console role service установлен.
    • Перейдите к концу мастера и нажмите Установить .
    • Дождитесь завершения установки.

Если у вас уже установлен IIS (т.е.е. как веб-сервер):

  • В Windows Server Manager перейдите к узлу Roles и на панели Web Server (IIS)> Role Services щелкните Add Role Services .
  • В Мастер добавления служб ролей :
    • Проверьте FTP Server> FTP Service role service.
    • Убедитесь, что Management Service> IIS Management Console установлен.
    • Подтвердите, нажав кнопку Далее .
    • Перейдите к концу мастера и нажмите Установить .
    • Дождитесь завершения установки.

Переходите к следующему шагу.

На рабочем столе Windows (Windows 10, Windows 8, Windows 7 и Windows Vista)

  • Перейдите в Панель управления > Программы> Программы и компоненты> Включение или отключение компонентов Windows .
  • В окне Windows Features :
    • Разверните Internet Information Services> FTP Server и отметьте FTP Service .
    • Разверните Internet Information Services> Инструменты веб-управления и проверьте IIS Management Console , если он еще не отмечен.
    • Подтвердите нажатием кнопки OK .
    • Дождитесь завершения установки.

Открытие диспетчера IIS

  • Перейдите в Панель управления > Система и безопасность> Инструменты администрирования и откройте Internet Information Services (IIS) Manager .
  • Перейдите к узлу сервера Windows.

Создание сертификата для сервера FTPS

Для защиты FTP-сервера вам понадобится сертификат TLS / SSL . В идеале вы должны получить сертификат в центре сертификации.

Вы также можете создать самоподписанный сертификат локально, но в этом случае пользователи вашего сервера FTPS будут предупреждены при подключении к серверу.

Чтобы создать самозаверяющий сертификат:

  • В IIS Manager откройте IIS> Server Certificates .
  • Щелкните действие Create Self-Signed Certificate .
  • Укажите имя сертификата (например, «FTP-сервер») и отправьте с OK .

Самозаверяющие сертификаты, созданные диспетчером IIS, не работают с клиентами FTPS, которые проверяют наличие нарушений при использовании ключей.2 Чтобы создать сертификат с правильным использованием ключа, используйте New-SelfSignedCertificate PowerShell в качестве администратора:

 New-SelfSignedCertificate -FriendlyName "FTP-сервер" -CertStoreLocation cert: \ localmachine \ my -DnsName ftp.example.com 

Серверы за внешним межсетевым экраном / NAT

Если ваш сервер находится за внешним межсетевым экраном / NAT , вам необходимо сообщить FTP-серверу его внешний IP-адрес, чтобы разрешить подключения в пассивном режиме.

  • В IIS Manager откройте FTP> FTP Firewall Support .
  • Укажите внешний IP-адрес вашего сервера.
    Для серверов Microsoft Azure Windows вы найдете внешний IP-адрес в разделе Общедоступный IP-адрес на странице виртуальной машины.

Находясь за внешним брандмауэром, вам необходимо открыть порты для подключений к данным (очевидно, помимо открытия FTP-порта 21 и, возможно, неявного FTP-порта TLS / SSL 990). Вероятно, вы не захотите открывать весь диапазон портов по умолчанию 1024–65535. В таком случае вам нужно указать FTP-серверу использовать только диапазон, открытый на брандмауэре. Используйте для этого поле Data Channel Port Range . Каждый раз, когда вы меняете этот диапазон, вам нужно будет перезапустить службу FTP. Узнайте, как открывать порты в Microsoft Azure.

Нажмите Применить действие , чтобы подтвердить настройки.

Некоторые внешние брандмауэры могут отслеживать управляющее FTP-соединение и автоматически открывать и закрывать порты для передачи данных по мере необходимости. Таким образом, вам не нужно постоянно открывать весь диапазон портов, даже когда они не используются. Это не будет работать с защищенным FTPS, поскольку контрольное соединение зашифровано и брандмауэр не может его контролировать.

Правила брандмауэра Windows

Внутренний брандмауэр Windows автоматически настраивается с правилами для портов 21, 990 и 1024-65535, когда установлен FTP-сервер IIS.

В некоторых версиях Windows правила изначально не включены.3 Чтобы включить или изменить правила, перейдите в Панель управления > Система и безопасность> Брандмауэр Windows 4 > Расширенные настройки> Правила для входящего трафика и найдите три правила «FTP-сервер». . Если правила не включены, щелкните Действия > Включить правило .

Перезапуск службы FTP

Хотя внутренний брандмауэр Windows автоматически настраивается на открытие портов FTP при установке FTP-сервера, это изменение, похоже, не применяется, пока служба FTP не будет перезапущена.То же самое верно и для изменения диапазона портов канала данных.

Чтобы перезапустить службу FTP, перейдите в Панель управления > Система и безопасность> Администрирование и откройте Services . Найдите Microsoft FTP Service и щелкните Restart service .5

Добавление FTP-сайта

На веб-сайт

Если вы хотите добавить FTP-сервер для удаленного управления вашим веб-сайтом, найдите узел своего веб-сайта в IIS Manager и:

  • Щелкните Добавить действие публикации FTP.
  • В Мастер добавления публикации FTP-сайта :
    • На начальном этапе Binding and SSL Settings выберите Require SSL , чтобы запретить незашифрованные соединения, и выберите свой сертификат.
    • На шаге Authentication and Authorization Information выберите Basic authentication и убедитесь, что Anonymous authentication не выбрано. Выберите, каким пользователям (учетным записям Windows) вы разрешите подключаться к серверу с какими разрешениями.Вы можете выбрать Все пользователи или выбрать только некоторых. Не выбирайте Анонимные пользователи .
    • Отправить с помощью кнопки Готово .

Ваш защищенный сервер FTPS теперь работает и может быть подключен.

Автономный FTP-сайт

Если вы хотите добавить автономный FTP-сервер для хранения / обмена файлами, найдите узел (папку) Sites вашего сервера Windows в IIS Manager и:

  • Щелкните действие Добавить FTP-сайт .
  • В Мастер добавления FTP-сайта :
    • На начальном этапе Site Information дайте имя своему FTP-сайту (если это единственный сайт, который у вас будет, достаточно простого «FTP-сайта») и укажите путь к папке на диске вашего сервера, которая будет доступен через FTP.
    • На шаге Binding and SSL Settings выберите Require SSL , чтобы запретить незашифрованные соединения, и выберите свой сертификат.
    • На шаге Authentication and Authorization Information выберите Basic authentication и убедитесь, что Anonymous authentication не выбрано. Выберите, каким пользователям (учетным записям Windows) вы разрешите подключаться к серверу с какими разрешениями. Вы можете выбрать Все пользователи или выбрать только некоторых. Не выбирайте Анонимные пользователи .
    • Отправить с помощью кнопки Готово .

Ваш защищенный сервер FTPS теперь работает и может быть подключен.

Подключение к серверу FTPS

Для подключения к экземпляру Microsoft Azure Windows см. Специальное руководство.

Запустите WinSCP. Появится диалоговое окно входа в систему. В диалоговом окне:

  • Выберите протокол FTP и TLS / SSL Явное шифрование .
  • Введите имя хоста сервера Windows в поле Имя хоста . Избегайте использования IP-адреса, позволяющего WinSCP проверять соответствие имени хоста хосту, которому был выдан сертификат сервера (не применимо к самозаверяющим сертификатам).
  • Укажите имя пользователя и пароль для учетной записи Windows, с которой вы хотите подключиться (при использовании учетных записей домена вам необходимо указать полное имя пользователя в формате домен \ имя пользователя ).
  • Вы можете сохранить данные своего сеанса на сайте, чтобы вам не приходилось вводить их каждый раз, когда вы хотите подключиться. Нажмите кнопку Сохранить и введите имя сайта.
  • Нажмите Login для подключения.
  • Если вы используете самозаверяющий сертификат, вам будет предложено принять его.

Дополнительная литература

.

Используйте общий файловый ресурс Azure с Windows

  • 8 минут на чтение

В этой статье

Azure Files — это простая в использовании облачная файловая система Microsoft. Общие файловые ресурсы Azure можно легко использовать в Windows и Windows Server. В этой статье обсуждаются особенности использования файлового ресурса Azure с Windows и Windows Server.

Чтобы использовать общий файловый ресурс Azure за пределами региона Azure, в котором он размещен, например локально или в другом регионе Azure, ОС должна поддерживать SMB 3.0.

Вы можете использовать общие файловые ресурсы Azure в установке Windows, которая выполняется либо на виртуальной машине Azure, либо локально. В следующей таблице показано, какие версии ОС в какой среде поддерживают доступ к общим файловым ресурсам:

Версия Windows Версия SMB Монтируется в виртуальной машине Azure Возможность установки в помещении
Windows Server 2019 SMB 3.0 Есть Есть
Окна 10 1 МСБ 3.0 Есть Есть
Windows Server полугодовой канал 2 МСБ 3.0 Есть Есть
Windows Server 2016 МСБ 3.0 Есть Есть
Windows 8.1 МСБ 3.0 Есть Есть
Windows Server 2012 R2 SMB 3.0 Есть Есть
Windows Server 2012 МСБ 3.0 Есть Есть
Окна 7 3 МСБ 2,1 Есть Нет
Windows Server 2008 R2 3 МСБ 2,1 Есть Нет

1 Windows 10, версии 1507, 1607, 1803, 1809, 1903, 1909 и 2004.
2 Windows Server, версии 1809, 1903, 1909, 2004.
3 Обычная поддержка Microsoft для Windows 7 и Windows Server 2008 R2 закончилась. Приобрести дополнительную поддержку обновлений безопасности можно только через программу расширенных обновлений безопасности (ESU). Мы настоятельно рекомендуем выполнить миграцию с этих операционных систем.

Примечание

Мы всегда рекомендуем брать самую последнюю версию КБ для вашей версии Windows.

Предварительные требования

Убедитесь, что порт 445 открыт: протокол SMB требует, чтобы порт TCP 445 был открыт; соединения не будут выполнены, если порт 445 заблокирован.Вы можете проверить, блокирует ли ваш брандмауэр порт 445, с помощью командлета Test-NetConnection . Чтобы узнать о способах обхода заблокированного порта 445, см. Раздел «Причина 1: порт 445 заблокирован» нашего руководства по устранению неполадок Windows.

Использование общей папки Azure с Windows

Чтобы использовать общий файловый ресурс Azure с Windows, вы должны либо подключить его, что означает присвоить ему букву диска или путь к точке подключения, либо получить к нему доступ через его UNC-путь.

В этой статье для доступа к общей папке используется ключ учетной записи хранения.Ключ учетной записи хранения — это ключ администратора для учетной записи хранения, включая разрешения администратора для всех файлов и папок в общей папке, к которой вы получаете доступ, а также для всех общих файловых ресурсов и других ресурсов хранения (больших двоичных объектов, очередей, таблиц и т. Д.), Содержащихся в нем. в вашей учетной записи хранения. Если этого недостаточно для вашей рабочей нагрузки, можно использовать службу «Синхронизация файлов» или использовать проверку подлинности на основе удостоверений через SMB.

Распространенным шаблоном для подъема и переноса бизнес-приложений, которые ожидают файлового ресурса SMB в Azure, является использование общего файлового ресурса Azure в качестве альтернативы для запуска выделенного файлового сервера Windows на виртуальной машине Azure.Одним из важных соображений для успешной миграции бизнес-приложения на использование файлового ресурса Azure является то, что многие бизнес-приложения запускаются в контексте выделенной учетной записи службы с ограниченными системными разрешениями, а не в административной учетной записи виртуальной машины. Следовательно, вы должны убедиться, что вы подключаете / сохраняете учетные данные для общей папки Azure из контекста учетной записи службы, а не из своей административной учетной записи.

Смонтируйте файловую папку Azure

Портал Azure предоставляет вам сценарий, который можно использовать для подключения общего файлового ресурса непосредственно к узлу.Мы рекомендуем использовать этот предоставленный сценарий.

Чтобы получить этот скрипт:

  1. Войдите на портал Azure.

  2. Перейдите к учетной записи хранения, которая содержит общую папку, которую вы хотите подключить.

  3. Выберите Общие файловые ресурсы .

  4. Выберите общую папку, которую вы хотите подключить.

  5. Выбрать Подключиться .

  6. Выберите букву диска, к которой нужно подключить общий ресурс.

  7. Скопируйте предоставленный сценарий.

  8. Вставьте сценарий в оболочку на хосте, к которому вы хотите подключить общую папку, и запустите его.

Вы подключили общий файловый ресурс Azure.

Подключите общую папку Azure с помощью проводника

Примечание

Обратите внимание, что следующие инструкции показаны в Windows 10 и могут немного отличаться в более старых версиях.

  1. Откройте проводник.Это можно сделать, открыв его из меню «Пуск» или нажав сочетание клавиш Win + E.

  2. Перейдите к Этот компьютер в левой части окна. Это изменит меню, доступные на ленте. В меню «Компьютер» выберите Подключить сетевой диск .

  3. Выберите букву диска и введите путь UNC, формат пути UNC: \\ .file.core.windows.net \ . Например: \ anexampleaccountname.file.core.windows.net \ example-share-name .

  4. Используйте имя учетной записи хранения с добавлением AZURE \ в качестве имени пользователя и ключа учетной записи хранения в качестве пароля.

  5. Используйте общий файловый ресурс Azure по своему усмотрению.

  6. Когда вы будете готовы отключить общий файловый ресурс Azure, вы можете сделать это, щелкнув правой кнопкой мыши запись для общего ресурса в Сетевые расположения в проводнике и выбрав Отключить .

Доступ к моментальным снимкам общего доступа из Windows

Если вы сделали моментальный снимок общего ресурса вручную или автоматически с помощью сценария или службы, такой как Azure Backup, вы можете просмотреть предыдущие версии общего ресурса, каталога или конкретного файла из общего файлового ресурса в Windows. Вы можете сделать моментальный снимок общего ресурса с помощью Azure PowerShell, Azure CLI или портала Azure.

Список предыдущих версий

Перейдите к элементу или родительскому элементу, который необходимо восстановить.Дважды щелкните, чтобы перейти в желаемый каталог. Щелкните правой кнопкой мыши и выберите в меню Properties .

Выберите Предыдущие версии , чтобы просмотреть список моментальных снимков общих ресурсов для этого каталога. Загрузка списка может занять несколько секунд, в зависимости от скорости сети и количества снимков общего ресурса в каталоге.

Вы можете выбрать Открыть , чтобы открыть конкретный снимок.

Восстановление предыдущей версии

Выберите Восстановить , чтобы рекурсивно копировать содержимое всего каталога во время создания моментального снимка общего ресурса в исходное расположение.

Защита Windows / Windows Server

Чтобы подключить общий файловый ресурс Azure в Windows, должен быть доступен порт 445. Многие организации блокируют порт 445 из-за рисков безопасности, присущих SMB 1. SMB 1, также известный как CIFS (Common Internet File System), является устаревшим протоколом файловой системы, включенным в Windows и Windows Server. SMB 1 — устаревший, неэффективный и, что самое главное, небезопасный протокол. Хорошей новостью является то, что файлы Azure не поддерживают SMB 1, и все поддерживаемые версии Windows и Windows Server позволяют удалить или отключить SMB 1.Мы всегда настоятельно рекомендуем удалить или отключить клиент и сервер SMB 1 в Windows перед использованием файловых ресурсов Azure в производственной среде.

В следующей таблице представлена ​​подробная информация о состоянии SMB 1 для каждой версии Windows:

Версия Windows SMB 1 статус по умолчанию Отключить / удалить метод
Windows Server 2019 Отключено Удалить с помощью функции Windows
Windows Server, версии 1709+ Отключено Удалить с помощью функции Windows
Windows 10, версии 1709+ Отключено Удалить с помощью функции Windows
Windows Server 2016 Включено Удалить с помощью функции Windows
Windows 10 версий 1507, 1607 и 1703 Включено Удалить с помощью функции Windows
Windows Server 2012 R2 Включено Удалить с помощью функции Windows
Windows 8.1 Включено Удалить с помощью функции Windows
Windows Server 2012 Включено Отключить с помощью реестра
Windows Server 2008 R2 Включено Отключить с помощью реестра
Окна 7 Включено Отключить с помощью реестра

Аудит использования SMB 1

Применяется к Windows Server 2019, полугодовой канал Windows Server (версии 1709 и 1803), Windows Server 2016, Windows 10 (версии 1507, 1607, 1703, 1709 и 1803), Windows Server 2012 R2 и Windows 8.1

Перед удалением SMB 1 в вашей среде вы можете проверить использование SMB 1, чтобы увидеть, не сломаются ли какие-либо клиенты из-за изменения. Если какие-либо запросы сделаны к общим ресурсам SMB с SMB 1, событие аудита будет зарегистрировано в журнале событий в разделе Журналы приложений и служб> Microsoft> Windows> SMBServer> Аудит .

Примечание

Чтобы включить поддержку аудита в Windows Server 2012 R2 и Windows 8.1, установите не менее KB4022720.

Чтобы включить аудит, выполните следующий командлет из сеанса PowerShell с повышенными привилегиями:

  Set-SmbServerConfiguration –AuditSmb1Access $ true
  

Удаление SMB 1 из Windows Server

Применимо к Windows Server 2019, полугодовой канал Windows Server (версии 1709 и 1803), Windows Server 2016, Windows Server 2012 R2

Чтобы удалить SMB 1 из экземпляра Windows Server, выполните следующий командлет из сеанса PowerShell с повышенными привилегиями:

  Remove-WindowsFeature -Name FS-SMB1
  

Чтобы завершить процесс удаления, перезагрузите сервер.

Примечание

Начиная с Windows 10 и Windows Server версии 1709, SMB 1 не устанавливается по умолчанию и имеет отдельные функции Windows для клиента SMB 1 и сервера SMB 1. Мы всегда рекомендуем не устанавливать как сервер SMB 1 ( FS-SMB1-SERVER ), так и клиент SMB 1 ( FS-SMB1-CLIENT ).

Удаление SMB 1 из клиента Windows

Применимо к Windows 10 (версии 1507, 1607, 1703, 1709 и 1803) и Windows 8.1

Чтобы удалить SMB 1 из клиента Windows, выполните следующий командлет из сеанса PowerShell с повышенными привилегиями:

  Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

Чтобы завершить процесс удаления, перезагрузите компьютер.

Отключение SMB 1 в устаревших версиях Windows / Windows Server

Применимо к Windows Server 2012, Windows Server 2008 R2 и Windows 7

SMB 1 нельзя полностью удалить в устаревших версиях Windows / Windows Server, но его можно отключить через реестр. Чтобы отключить SMB 1, создайте новый раздел реестра SMB1 типа DWORD со значением 0 в разделе HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Services> LanmanServer> Parameters .

Вы также можете легко сделать это с помощью следующего командлета PowerShell:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force
  

После создания этого раздела реестра необходимо перезагрузить сервер, чтобы отключить SMB 1.

Ресурсы SMB

Следующие шаги

См. Следующие ссылки для получения дополнительных сведений о файлах Azure:

.

Ошибка

Ой! Мы не можем найти нужную страницу.

А может вы искали одну из этих страниц?

Подготовьте инфраструктуру

Начать мониторинг

Включить полную видимость

Использование возможностей API интеграции

Ищете руководства по быстрому запуску?

Перейдите на страницу документации.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *