DFS客户端访问设置及安全策略

除了Windows Server 2003家族中基于服务器的DFS组件外,还有基于客户端的DFS组件。DFS客户端可以将对DFS根目录或DFS链接的引用缓存一段时间,该时间由管理员指定。DFS客户端组件可以在许多不同的Windows平台上运行。Windows Server 2003 家族产品支持下列平台上的目标。

  一、 从其他计算机访问DFS目标

  

  表1 支持DFS的操作系统列表

  DFS映射以及客户端计算机访问DFS服务器的过程

  DFS映射

  默认情况下,DFS映射将自动发布到活动目录中,从而提供了跨越主服务器的DFS拓扑同步。这反过来又对DFS根目录提供了容错性,并支持目标的可选复制。通过向DFS根目录中添加DFS链接,可扩展DFS映射。Windows Server 2003家族对DFS映射中分层结构的层数的惟一限制是对任何文件路径最多使用260个字符。新DFS链接可以引用具有或没有子文件夹的目标,或引用整个Windows Server 2003家族卷。如果有适当的权限,也可以访问那些存在于或被添加到目标中的任何本地子文件夹。

  客户端计算机访问DFS服务器的过程分成三个步骤,如图1 :

  

  图1 DFS客户访问实现过程

  1客户端连接到一台DFS服务器3

  2客户端接收到被推荐的DFS链接Server1

  3 DFS客户端连接到DFS链接

二、 DFS 客户端的引用设置

  您应当根据不同的DFS客户端设置不同的参数,当DFS客户端要存取命名空间内的资源(文件夹或文件等)时,域控制器或命名空间服务器会提供客户端一个“引用列表(referrals)”,此列表内包含着拥有此资源的目标服务器,客户端会试图从列表中最前面的服务器来存取所需的资源,如果这台服务器因故无法提供服务,客户端会转向列表中的下一个目标服务器。然而,如何决定列表中目标服务器的优先级呢?这可通过右击命名空间→“属性”→“引用”来设置,如图2所示。

  

  图2 DFS 客户端的引用设置

  1.缓存持续时间(cache duration)

  当客户端取得引用列表后,会将这份列表缓存到计算机内,以后客户端需要此份列表时,可以直接从客户端计算机取得,不需要再向命名空间服务器或域控制器来索取,如此可以提高运作效率,但是这份位于缓存内的列表有一定的有效期限,这个期限的设置就是通过图2中“缓存持续时间”来设置的,图中默认值为300秒。视客户端的不同,其缓存持续时间有所不同:  

  如果客户端是Windows XP SP2与Windows Server 2003 SP1 客户端每一次使用缓存内的引用数据时,其有效期限并不会重新更新,也就是说缓存后300秒(默认值),该数据自动无效,此时客户端必须重新向命名空间服务器或域控制器索取新的引用列表。

  如果客户端非WindowsXP SP2与Windows Server 2003 SP1 客户端每一次使用缓存内的引用数据时,其有效期限都会重新更新,例如客户端在有效期限只剩下50秒时使用此份缓存数据,则有效期限会自动恢复为300秒(默认值)。这可能会造成问题,例如有个文件夹的目标每天都会变更,此时如果客户端内的缓存引用数据是旧数据,而且有效期限尚未过期,因此客户端会继续使用此份尚未过期的缓存数据,不过一旦使用它,其有效期限就会自动更新,这样,有效期限可能一直不会过期(除非客户端缓存数据被清除或客户端重新开机),造成客户端无法存取到正确的资源。

  2.设置引用列表中目标服务器的优先权

  客户端所取得的引用列表中,目标服务器在列表中的优先级如下:

  如果目标服务器与客户端位于同一个Active Directory站点则服务器会被列在列表中的最前面,如果有多台服务器,这些服务器会被随机排列。

  如果目标服务器与客户端位于不同的Active Directory站点则这些服务器会被排列在与客户端同一个站点的服务器之后。这些服务器之间有以下的排列方法:

  最低成本(Lowestcost)

  如果这些服务器分别位于不同的ActiveDirectory站点,则以站点链接成本最低的优先。如果成本相同,则随机排列。

   随机顺序(Randomorder)

  不论目标服务器位于哪一个ActiveDirectory站点,以随机顺序来排列这些服务器。

  排除客户端站点以外的目标(Excludetargetsoutsideofclient’ssite)

  只要目标服务器所在的站点跟客户端不同,就不将这些服务器列于引用列表内。

  三、 设置DFS注意事项

  为了支持目标的同步,用于目标的所引用资源必须位于Windows Server 2003家族的NTFS分区上。无法在FAT或FAT32分区上作为DFS根目录宿主。

  使用Windows Server 2003 Enterprise或Windows Server 2003 Datacenter版本时,可在单独计算机上作为多个DFS根目录的宿主。

  在服务器群集上,在节点本地存储指定的非群集DFS根目录的名称决不能与在群集存储上指定的群集DFS根目录的名称相同。

  如果所指定的与根目录对应的文件夹不存在或尚未共享,则系统将提示创建新共享文件夹。然后,可以输入新文件夹的名称,或尚未共享的现有文件夹的名称。DFS将创建文件夹(如果需要),然后共享该文件夹。

  在服务器群集上,在节点本地存储指定的非群集DFS根目录的名称不能与在群集存储上指定的群集DFS根目录的名称相同。

  由于DFS活动目录Active Directory对象的大小,大型的基于域的DFS名称空间可能会显著地增加网络传输量。因此,建议为域根使用的DFS链接的个数少于5000。建议在运行WindowsServer2003的服务器上的独立的根目录的最大名称空间为50000个链接。

  分布式文件系统(DFS)链接是DFS名称空间的元素,它位于根目录下方并映射到一个或多个目标。访问DFS名称空间的用户看到的是根目录下作为文件夹而列出的链接名,而不是目标的实际名称和物理位置。由于链接名不受目标名称或位置的限制,所以,可以创建对用户具有意义的链接名。

四、 DFS的安全策略

  1 设置DFS访问权限

  可通过多种方法来控制对共享资源的访问,可以使用共享权限进行简单的应用和管理,可以使用NTFS文件系统中的访问控制更详细地控制共享资源及其内容,也可以将这些方法结合起来使用。如果将这些方法结合起来使用,则将应用更为严格的权限。例如,如果共享权限设置为“Everyone=读取”(默认值)并且NTFS权限允许用户更改共享文件,则将应用共享权限,不允许用户更改文件。

  使用语法为“driveletter$”的形式(如C$或D$),将自动共享计算机上固有的磁盘驱动器(如驱动器C或驱动器D)。这些驱动器不会显示“我的电脑”或“Windows资源管理器”中表示共享的手形图标,并且当用户远程连接到你的计算机时它们也会隐藏。

  如果计算机没有防火墙的保护,并且有人知道Administrators组、Backup Operators组成ServerOperators组的任一成员的用户名和密码,此人就能以管理员的身份访问该计算机。在设置共享资源安全时,应当注意以下几点:

   只有对所有的账户使用强密码,才能有效保证驱动器的安全。

   为获得最高的安全性,也可以重命名Administrator账户。

  如果要更改特殊共享资源的权限(例如ADMIN$),则当终止并重新启动服务器服务或重新启动计算机时,将恢复默认设置。需要注意的是,这种情况并不适用于那些由用户创建的共享名以“$”结尾的共享资源。

  2 设置和管理 DFS 复制时的安全要求

  下表说明在默认情况下可以执行基本 DFS 复制任务的组以及委派执行这些任务的能力的方法。

  

  总结:如果你的网络已经运行了一段,毫无疑问,你的服务器硬盘会装满,通常这说明是时候清除用户不再使用的文件了。你可以建立分布式文件系统(DFS)树结构。建立DFS树结构不仅可以解决硬盘填满的问题,事实上DFS还可以增强网络安全性,效率以及性能。

你可能感兴趣的:(IT系统管理)