Administración de EMC Celerra para el entorno

Transcripción

Administración de EMC® Celerra®
para el entorno Windows
P/N 300-008-090
Rev A02
Versión 5.6.42
Diciembre de 2008
Contenido
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Requisitos del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Opciones de la interfaz de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
Información relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Snap-ins y programas de MMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7
Administración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Comprobación de la configuración CIFS actual . . . . . . . . . . . . . . . .10
Administración de interfaces de red. . . . . . . . . . . . . . . . . . . . . . . . . .11
Administración de DNS en un Data Mover . . . . . . . . . . . . . . . . . . . . .11
Modificación de la configuración de CIFS . . . . . . . . . . . . . . . . . . . . .11
Unión de servidores CIFS a dominios de Windows . . . . . . . . . . . . .21
Administración de file systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
Re-exportación de todos los file systems de Celerra . . . . . . . . . . . .39
Desactivación del acceso a todos los file systems
en un Data Mover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Eliminación de un servidor CIFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Activación de directorios principales . . . . . . . . . . . . . . . . . . . . . . . . .43
Objetos de política de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49
Soporte de flujos de datos alternativos . . . . . . . . . . . . . . . . . . . . . . .61
Soporte de SMB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
Cambio automático de la contraseña del equipo . . . . . . . . . . . . . . .70
Creación de un file system como log de seguridad . . . . . . . . . . . . .70
Administración de dominios de Windows . . . . . . . . . . . . . . . . . . . . .72
Resolución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74
Dónde obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74
EMC E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . .74
Problemas y limitaciones conocidos . . . . . . . . . . . . . . . . . . . . . . . . .75
Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79
Programas de capacitación para clientes . . . . . . . . . . . . . . . . . . . . .81
Apéndice A: Información adicional del directorio principal . . . . . . . . . .82
Formato de base de datos del directorio principal . . . . . . . . . . . . . .82
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
1 de 88
2 de 88 Versión 5.6.42
Administración de EMC® Celerra® para el entorno Windows
Introducción
EMC® Celerra® Network Server soporta el protocolo Common Internet File
Systems (CIFS), que permite a los clientes Microsoft Windows acceder a archivos
almacenados en Celerra Network Server. Después de haber configurado Celerra
para soportar clientes Windows en la red, es posible que necesite realizar algunos
de los procedimientos de configuración y administración adicionales descritos en
este documento para mantener los servidores Celerra CIFS.
Este documento forma parte de la documentación de Celerra Network Server y
está dirigido a los administradores de sistemas responsables de la administración
de Celerra Network Server en su red de Windows.
Requisitos del sistema
En la Tabla 1 en la página 3, se describen las configuraciones de software,
hardware, red y almacenamiento de Celerra Network Server.
Tabla 1
Requisitos del sistema para CIFS
Software
Celerra Network Server versión 5.6.42
Hardware
Celerra Network Server
Red
Dominio de Windows 2000, Windows Server 2003 o Windows NT.
Se deben configurar los dominios con lo siguiente:
• Dominios de Windows 2000 o Windows Server 2003:
Active Directory (AD)
DNS
Servidor NTP (Protocolo de Hora en Red)
• Dominios de Windows NT:
Servidor WINS
Almacenamiento
No tiene requisitos de almacenamiento específicos.
Opciones de la interfaz de usuario
Celerra Network Server ofrece flexibilidad para administración de networked
storage en función de su entorno de servicio y sus preferencias de interfaz. Este
documento describe cómo configurar CIFS en un Data Mover mediante la interfaz
de línea de comandos (CLI). También podrá realizar varias de estas tareas con una
de las aplicaciones de administración Celerra:
u
Celerra Manager: Basic Edition
u
Celerra Manager: Advanced Edition
u
u
Snap-ins de Microsoft Management Console (MMC) (Windows 2000 y Windows
Server 2003 únicamente)
Extensiones de usuarios y computadoras de Active Directory (Windows 2000
y Windows Server 2003 únicamente)
Para obtener información adicional acerca de la administración de Celerra:
Versión 5.6.42
3 de 88
u
Learning about EMC Celerra
u
Celerra Manager Online Help
u
El sistema de ayuda en línea de la aplicación incluido en el EMC Celerra
Network Server Documentation CD
Installing Celerra Management Applications incluye instrucciones para iniciar
Celerra Manager y para instalar los snap-ins de MMC y las extensiones de ADUC.
Terminología
El EMC Celerra Glossary proporciona una lista completa de terminología de Celerra.
Active Directory: un servicio de directorios avanzado incluido con los servidores
Windows 2000. Almacena información de los objetos en una red y permite que
dicha información esté disponible para los usuarios y los administradores de la red
mediante un protocolo como LDAP.
Autenticación: proceso para verificar la identidad de un usuario que intenta acceder
a un recurso u objeto, por ejemplo, un archivo o un directorio.
Common Internet File System (CIFS): protocolo de uso compartido de archivos
basado en Microsoft Server Message Block (SMB). Permite a los usuarios compartir
file systems mediante Internet e intranets.
Data Mover: en un Celerra Network Server, un componente del gabinete que
ejecuta su propio sistema operativo que recupera archivos desde un dispositivo
de almacenamiento y permite que estén disponibles para un cliente de la red.
Data Mover virtual (VDM): función del software Celerra que permite a los usuarios la
separación administrativa de servidores CIFS, la replicación de entornos CIFS y la
transferencia de servidores CIFS de un Data Mover a otro con facilidad.
Dominio: agrupación lógica de servidores de Microsoft Windows y de otras
computadoras que comparten seguridad común e información de cuentas de
usuarios. Todos los recursos como las computadoras y los usuarios son miembros
del dominio y poseen una cuenta en el dominio que los identifica como exclusivos.
El administrador de dominio crea una cuenta de usuario para cada usuario del
dominio y los usuarios inician sesión en el dominio una vez. Los usuarios no inician
sesión en cada servidor individual.
Dominio de Windows 2000 o Windows Server 2003: dominio de Microsoft Windows
controlado y administrado por Microsoft Windows 2000 o por Windows Server 2003
mediante Active Directory para administrar todos los recursos del sistema. Emplea
DNS para resolución de nombres.
Dominio de Windows NT: dominio de Microsoft Windows controlado y administrado
por un servidor Microsoft Windows NT que utiliza una base de datos SAM (Storage
Area Management) para administrar cuentas de usuarios y grupos y un espacio de
nombres NetBIOS. En un dominio de Windows NT, existen un controlador de dominio
primario (PDC) con una copia de lectura/escritura de SAM y, posiblemente, varios
controladores de dominio de backup (BDCs) con copias de solo lectura de SAM.
Domain Name System (DNS): software de resolución de nombres que permite a los
usuarios ubicar equipos y servicios en una red TCP/IP por su nombre. El servidor
DNS mantiene una base de datos de los nombres de dominio, los nombre de host
y sus direcciones de IP correspondientes, y los servicios que prestan estos hosts.
File system: método para catalogar y administrar los archivos y los directorios en
un sistema de almacenamiento.
Lista de control de acceso (ACL): lista de entradas de control de acceso (ACEs)
que proporciona información sobre los usuarios y los grupos que pueden acceder a
un objeto.
NetBIOS: sistema de entrada/salida básica de red. Interfaz y protocolo de
programación de red desarrollado para equipos personales IBM.
Nombre de recurso compartido: nombre otorgado a un file system o a un recurso
de un file system disponible desde un servidor CIFS específico para usuarios
CIFS. Es posible contar con múltiples recursos compartidos con el mismo
nombre, compartidos desde servidores CIFS diferentes.
Nombre NetBIOS: nombre reconocido por Windows Internet Name Service (WINS),
que asigna el nombre a una dirección IP.
Objetos de política de grupo (GPO): en Windows 2000 o Windows Server 2003, los
administradores pueden utilizar la política de grupo para definir las opciones de
configuración para los grupos de usuarios y computadoras. Los objetos de políticas
de grupo de Windows pueden controlar elementos como la configuración local, de
dominio y de seguridad de red.
Server Message Block (SMB): protocolo subyacente utilizado por el protocolo
Common Internet File System (CIFS), mejorado para uso en Internet para solicitud
de servicios de comunicación, archivos e impresiones desde un servidor por medio
de la red. El protocolo CIFS emplea SMB para brindar acceso y transferencia de
archivos para varios tipos de hosts de red, como LANs, intranets e Internet.
Servicio de CIFS: Proceso del servidor CIFS que se ejecuta en el Data Mover y
presenta recursos compartidos en una red y en computadoras basadas en Windows.
Servidor CIFS predeterminado: el servidor CIFS que se crea al agregar un servidor
CIFS sin especificar ninguna interfaz (con la opción interfaces= del comando
server_cifs -add). El servidor CIFS predeterminado utiliza todas las interfaces no
asignadas a otros servidores CIFS en el Data Mover.
Información relacionada
Para obtener información específica relacionada con las características y
funcionalidades que se describen en este documento, consulte:
u
EMC Celerra Glossary
u
Manual de referencia de comandos de EMC Celerra Network Server
u
EMC Celerra Network Server Error Messages Guide
u
EMC Celerra Network Server Parameters Guide
u
Configuring EMC Celerra Naming Services
u
Configuring EMC Celerra Time Services
u
Configuring and Managing CIFS on EMC Celerra
u
Configuración de Data Movers virtuales para EMC Celerra
u
Installing Celerra Management Applications
u
Administración de EMC Celerra para un entorno de múltiples protocolos
Versión 5.6.42
5 de 88
u
Managing EMC Celerra Volumes and File Systems Manually
u
Replicating EMC Celerra CIFS Environments (V1)
u
Using EMC Utilities for the CIFS Environment
u
Using International Character Sets with EMC Celerra
u
Uso de herramientas administrativas de Windows con EMC Celerra
El EMC Celerra Network Server Documentation CD, suministrado con Celerra y
también disponible en Powerlink, proporciona el conjunto completo de publicaciones
de clientes de EMC Celerra. Después de iniciar sesión en Powerlink®, vaya a
Soporte > Documentación Técnica y Asesorías > Documentación de Hardware
y Plataformas > Celerra Network Server. En esta página, haga clic en Agregar a
Favoritos. La sección Favoritos de la página principal de Powerlink contiene un
enlace que lo lleva directamente a esta página.
Documentación de múltiples protocolos y Windows
Los siguientes documentos de Celerra Network Server explican cómo configurar y
administrar Celerra en un entorno Windows y en un entorno de múltiples protocolos:
u
u
u
Configuring and Managing CIFS on EMC Celerra explica cómo establecer una
configuración básica CIFS en Celerra Network Server mediante la interfaz de
línea de comandos (CLI). También puede configurar este entorno inicial utilizando
Celerra Manager.
Configuring and Managing CIFS on EMC Celerra incluye procedimientos
avanzados que quizás necesite realizar después de la configuración inicial de
CIFS en Celerra Network Server. El módulo también proporciona instrucciones
para modificar y administrar Celerra en un entorno Windows.
Administración de EMC Celerra para un entorno de múltiples protocolos incluye
procedimientos para configurar y administrar Celerra en un entorno mixto de
clientes UNIX y Windows.
Conceptos
La siguiente sección menciona los snap-ins y programas de MMC para la administración
de Celerra en un entorno Windows.
Snap-ins y programas de MMC
Celerra Network Server soporta un conjunto de snap-ins y programas de Microsoft
Management Console (MMC) para la administración de usuarios de Celerra y de la
configuración de seguridad de data Movers desde un equipo Windows 2000, Windows
Server 2003 o Windows XP. La ayuda en línea de un snap-in o programa
proporciona más información.
Celerra UNIX Attributes Migration tool
Celerra UNIX Attributes Migration es una herramienta que puede utilizar para
migrar usuarios UNIX existentes de Celerra Network Server a Windows Active
Directory. Puede seleccionar los atributos de UNIX (UIDs y GIDs) para agregar al
Active Directory. El Snap-in de Celerra UNIX User Management y las Extensiones
de la página de propiedades Celerra UNIX en Active Directory Users and
Computers (ADUC) proporcionan más información sobre cómo agregar nuevos
usuarios o grupos, o modificar los atributos UNIX existentes.
Snap-in de Celerra UNIX User Management
Celerra UNIX User Management es un snap-in de MMC en Celerra Management
Console que puede utilizar para asignar, quitar o modificar atributos UNIX para un
único usuario o grupo de Windows en el dominio local y en dominios remotos.
Asimismo, este snap-in se puede utilizar para seleccionar la ubicación de la base
de datos de atributos. Esta ubicación puede ser un dominio local o remoto.
Puede seleccionar almacenar la base de datos de atributos en Active Directory
de un dominio local si:
u
Tiene un dominio.
u
No se permiten trusts.
u
No se necesita centralizar la información de administración de usuarios de UNIX.
Puede seleccionar un dominio remoto si:
u
u
u
Hay múltiples dominios.
Ya existen trusts bidireccionales entre los dominios que necesiten acceder a la
base de datos de atributos.
Desea centralizar la administración de usuarios de UNIX.
Extensiones de página de propiedades de Celerra UNIX en ADUC
Las páginas de propiedades de usuarios y grupos de Celerra UNIX son extensiones
en ADUC. Puede utilizar estas páginas de propiedades para asignar, quitar o modificar
atributos de UNIX para un único usuario o grupo en el dominio local. No puede
utilizar esta función para administrar usuarios o grupos en un dominio remoto.
Versión 5.6.42
7 de 88
Snap-in de Celerra Data Mover Management
La administración de Data Movers de Celerra comprende varios snap-ins de MMC.
Puede utilizar estos snap-ins para administrar la comprobación de virus, los
directorios principales y la configuración de seguridad en los Data Movers de un
equipo Windows 2000, Windows Server 2003 o Windows XP.
Celerra AntiVirus Management
Puede utilizar el snap-in de Celerra AntiVirus Management para administrar los
parámetros de comprobación de virus (viruschecker.conf file) utilizados con Celerra
AntiVirus Agent (CAVA) y programas antivirus de terceros. Se debe instalar Celerra
AntiVirus Agent y un programa antivirus de terceros en los servidores Windows NT,
Windows 2000 o Windows Server 2003. En Uso de EMC Celerra AntiVirus Agent,
se proporcionan más detalles sobre CAVA.
Snap-in de Celerra Home Directory Management
Puede utilizar el snap-in de Celerra Home Directory Management para asociar un
nombre de usuario con un directorio que luego actúa como el directorio principal
del usuario. La función de directorio principal simplifica la administración de
recursos compartidos personales y el proceso de conexión a ellos.
Snap-in de Data Mover Security Settings
Celerra Data Mover Security Settings comprende el nodo Audit Policy y el nodo
User Rights Assignment.
Celerra Audit Policy
Puede utilizar el nodo Celerra Audit Policy para determinar los eventos de
seguridad del Data Mover que se registran en el log Security. A continuación,
puede ver el log Security utilizando el Visor de sucesos de Windows. Puede
registrar intentos exitosos, intentos fallidos, ambos o ninguno. Las políticas de
auditoría que aparecen en el nodo Audit Policy son un subconjunto de las políticas
disponibles como GPOs en ADUC. Las políticas de auditoría son políticas locales y
se aplican al Data Mover seleccionado. No puede usar el nodo Audit Policy para
administrar las políticas de auditoría de GPO.
Celerra User Rights Assignment
Puede utilizar el nodo Celerra User Rights Assignment para administrar los
usuarios y grupos que tienen privilegios de tareas e inicio de sesión en un Data
Mover. Las asignaciones de derechos de usuarios que aparecen en el nodo User
Rights Assignment son un subconjunto de las asignaciones de derechos de
usuarios disponibles como GPOs en ADUC. Las asignaciones de derechos de
usuarios son políticas locales que se aplican al Data Mover seleccionado. No
puede utilizar el nodo User Rights Assignment para administrar políticas GPO.
La ayuda en línea de un snap-in o programa proporciona más información.
Administración
Las tareas para administrar Celerra para el entorno Windows son:
u
"Comprobación de la configuración CIFS actual" en la página 10
u
"Administración de interfaces de red" en la página 11
u
"Administración de DNS en un Data Mover" en la página 11
u
"Modificación de la configuración de CIFS" en la página 11
u
"Unión de servidores CIFS a dominios de Windows" en la página 21
u
"Administración de file systems" en la página 35
u
"Re-exportación de todos los file systems de Celerra" en la página 39
u
"Desactivación del acceso a todos los file systems en un Data Mover"
en la página 41
u
"Eliminación de un servidor CIFS" en la página 42
u
"Activación de directorios principales" en la página 43
u
"Objetos de política de grupo" en la página 49
u
"Soporte de flujos de datos alternativos" en la página 61
u
"Firma de SMB" en la página 65
u
"Cambio automático de la contraseña del equipo" en la página 70
u
"Creación de un file system como log de seguridad" en la página 70
u
"Administración de dominios de Windows" en la página 72
Versión 5.6.42
9 de 88
Comprobación de la configuración CIFS actual
Acción
Para mostrar la configuración de CIFS para un Data Mover, utilice la siguiente sintaxis de
comandos:
$ server_cifs <movername>
donde:
<movername> = nombre del Data Mover
Ejemplo:
Para mostrar la configuración de CIFS para server_2, escriba:
$ server_cifs server_2
Salida
Si se inicia el servicio CIFS
server_2 :
256 Cifs threads started
Security mode = NT
Max protocol = NT1
I18N mode = ASCII
Home Directory Shares DISABLED
Usermapper auto broadcast enabled
Usermapper[0] = [127.0.0.1] state:active (auto discovered)
Enabled interfaces: (All interfaces are enabled)
Disabled interfaces: (No interface disabled)
Si no se inicia el servicio CIFS
server_2 :
Cifs NOT started
Security mode = NT
Max protocol = NT1
I18N mode = ASCII
Usermapper auto broadcast enabled
Usermapper[0] = [127.0.0.1] state:active (auto discovered)
Si no se inicia el servicio CIFS
server_2 :
Cifs NOT started
Security mode = NT
Max protocol = NT1
I18N mode = UNICODE
Usermapper[0] = [172.24.100.121] last access 0
CIFS Server DPDOVDM1[CIFS] RC=4
Full computer name=dpdovdm1.cifs.eng.fr realm=CIFS.ENG.FR
Active directory usermapper's domain: "not yet located"
Comment='EMC-SNAS:T5.4.2.9'
if=dpdo:1 l=10.64.220.83 b=10.64.223.255 mac=0:0:92:a7:b0:24
FQDN=dpdovdm1.cifs.eng.fr (Updated to DNS)
10 de 88 Versión 5.6.42
Administración de interfaces de red
En Configuración y administración de EMC Celerra Networking, se proporciona
información sobre la administración de interfaces de red.
Administración de DNS en un Data Mover
Dentro de un entorno Windows 2000 y Windows Server 2003, se requiere una
configuración DNS en un Data Mover para agregar un nombre de equipo y unirlo
a un dominio de Windows. Puede configurar un número ilimitado de dominios
DNS por Data Mover, y cada dominio puede tener hasta tres servidores DNS.
En Configuring EMC Celerra Naming Services, se proporcionan procedimientos
para configurar, iniciar, detener y administrar los servidores DNS.
Modificación de la configuración de CIFS
Después de crear la configuración CIFS inicial e iniciar el servicio CIFS, posiblemente
necesite agregar o modificar varios elementos en la configuración de CIFS de un Data
Mover.
Realice las siguientes tareas para agregar o modificar una configuración de CIFS:
u
"Adición de un servidor WINS" en la página 11
u
"Cambio de un nombre NetBIOS" en la página 12
u
"Cambio de un nombre de equipo" en la página 13
u
"Asignación de alias a nombres NetBIOS y nombres de equipos"
en la página 14
u
"Asociación de comentarios con servidores CIFS" en la página 17
u
"Cambio de la contraseña del servidor CIFS" en la página 20
Nota: En Configuring and Managing CIFS on EMC Celerra, se explica cómo configurar
servidores CIFS adicionales en un Data Mover.
Adición de un servidor WINS
Celerra Network Server registra su nombre NetBIOS con el servidor Windows Internet
Name Service (WINS) automáticamente. El servidor WINS distribuye el nombre
NetBIOS a usuarios y proporciona la resolución de nombres NetBIOS de los usuarios y
los equipos a las direcciones IP y al Data Mover. El servidor WINS no es obligatorio si
la resolución de nombres se realiza por medio de DNS. No hay límite en relación con el
número de servidores WINS que puede configurar para un Data Mover.
Si hay múltiples configuraciones CIFS (NetBIOS o nombre de equipo) en un Data
Mover, tenga en cuenta la posibilidad de usar un servidor WINS por interfaz en
lugar de por Data Mover. De esta forma, se elimina la posibilidad de que los
clientes CIFS intenten resolver nombres NetBIOS del Data Mover no deseados
sobre el servidor WINS.
Nota: Si solo hay un subconjunto alcanzado por cada interfaz IP, y el performance no es un
problema, el servidor WINS no es obligatorio. Si hay más de un subconjunto, debe especificar
un servidor WINS. No obstante, puede especificar más de un servidor WINS para proporcionar
capacidades de networking más sólidas.
Versión 5.6.42
11 de 88
Acción
Para agregar un servidor WINS a la configuración CIFS a fin de que sea utilizada por todos los
servidores CIFS de un Data Mover, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -add wins=<ip_addr>[,wins=<ip_addr>,...]
donde:
<ip_addr> = dirección IP del servidor WINS
Nota: El sistema procesa una lista de servidores WINS en el orden en el que los agrega en la
opción wins=, la primera es el servidor WINS de preferencia. Por ejemplo, si el tiempo de espera del
servidor WINS finaliza después de 1.500 milisegundos, el sistema utiliza el siguiente servidor WINS
de la lista. Utilice el parámetro wins.TimeOutMS para configurar el tiempo de espera de WINS.
Ejemplo:
Para agregar dos servidores WINS a server_2, escriba:
$ server_cifs server_2 -add wins=172.31.255.255,wins=172.168.255.255
Salida
server_2: done
Prerrequisito
Antes de cambiar un nombre NetBIOS, agregue el nuevo nombre al dominio
utilizando Windows NT Server Manager o el snap-in de MMC de Windows 2000
y Windows Server 2003 Users and Computers MMC.
Cambio de un nombre NetBIOS
Cuando cambia un nombre NetBIOS, el sistema hace lo siguiente:
u
u
u
u
u
Suspende temporalmente la disponibilidad de NetBIOS y desconecta todos los
clientes conectados a él.
Actualiza los grupos locales relacionados con el nuevo nombre NetBIOS.
Actualiza todos los recursos compartidos correspondientes al nuevo nombre
NetBIOS.
Mantiene la contraseña de la cuenta entre el servidor y el controlador de dominio.
Anula el registro del nombre NetBIOS original y, a continuación, registra el
nuevo nombre en todos los servidores WINS.
u
Retiene todos los alias asociados con el nombre NetBIOS original.
u
Reanuda la disponibilidad de NetBIOS con nombre cambiado.
En "Cambio de un nombre de equipo" en la página 13, se proporciona información
sobre cómo cambiar el nombre de un equipo Windows 2000 o Windows 2003.
12 de 88 Versión 5.6.42
!
PRECAUCIÓN
!
Los procedimientos server_cifs -Join y -Unjoin generan una nueva cuenta de
equipo para el nombre de equipo, que ocasiona que el nombre del equipo pierda su
cuenta original.
Acción
Para cambiar un nombre NetBIOS, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -rename -netbios <old_name> <new_name>
donde:
<old_name> = nombre del NetBIOS actual.
<new_name> = nombre del nuevo NetBIOS. Los nombres NetBIOS deben ser exclusivos y con
un límite de 15 caracteres y no pueden comenzar con @ (arroba) ni - (guión). El nombre tampoco
puede incluir espacios en blanco, caracteres de tabulación y los siguientes símbolos:
/ \ : ; , = * + | [ ] ? < > "
Ejemplo:
Para cambiar el nombre NetBIOS de dm102-cge0 a dm112-cge0 en server_2, escriba:
$ server_cifs server_2 -rename -netbios dm102-cge0 dm112-cge0
Nota: El comando de cambio de nombre cambia el nombre NetBIOS del servidor, pero no el
nombre de equipo de ese servidor.
Salida
server_2 : done
Cambio de un nombre de equipo
Este procedimiento cambia el nombre de un Data Mover de Windows 2000 o
Windows 2003 y preserva grupos locales, recursos compartidos y permisos de file
systems para el nuevo nombre.
Paso
Acción
1.
Desuna el nombre de equipo original del dominio. Para ello, escriba:
$ server_cifs server_2 -Unjoin
compname=W2kTemp,domain=abc.com,admin=Administrator
2.
Elimine el nombre de equipo de la configuración de CIFS del Data Mover. Para ello,
escriba:
$ server_cifs server_2 -delete compname=W2kTemp
3.
Agregue el nombre de equipo nuevamente a la configuración de CIFS del Data Mover
como un nombre NetBIOS. Para ello, escriba:
$ server_cifs server_2 add
NetBIOS=W2kTemp,domain=abc,interface=fsn01
Versión 5.6.42
13 de 88
Paso
Acción
4.
Cambie el nombre del servidor NetBIOS al nuevo nombre. Para ello, escriba:
$ server_cifs server_2 rename -NetBIOS W2kTemp W2kProd
5.
Elimine el nombre NetBIOS que cambió en el paso 4 de la configuración de CIFS del Data
Mover. Para ello, escriba:
$ server_cifs server_2 delete NetBIOS=W2kProd
6.
Agregue el nuevo nombre de equipo a la configuración de CIFS y al dominio AD. Para
ello, escriba:
$ server_cifs server_2 add
compname=W2kProd,domain=abc.com,interface=fsn01
7.
Una el nuevo nombre de equipo a la configuración de CIFS y al dominio AD. Para ello,
escriba:
$ server_cifs server_2 Join
compname=W2kProd,domain=abc.com,admin=Administrator
Asignación de alias a nombres NetBIOS y nombres de equipos
Puede asignar alias a nombres NetBIOS y nombres de equipos. Los alias
proporcionan múltiples identidades alternativas para un determinado recurso.
Los alias comparten el mismo conjunto de grupos locales y el nombre NetBIOS o
nombre de equipo principal, dado que los alias actúan como nombres secundarios.
Un alias NetBIOS registra el nombre alternativo en WINS, no en DNS. Si desea
que el alias NetBIOS aparezca en DNS, debe agregarlo a DNS.
El cliente se puede conectar con un alias a través de Network Neighborhood,
Windows Explorer o mediante el uso de la ventana Map Network Drive.
Puede agregar alias a un servidor existente o al crear un nuevo servidor.
En función de los requisitos de Microsoft, los alias deben ser exclusivos en un
dominio para el registro de WINS y la difusión de anuncios. Los alias también deben
ser exclusivos en el mismo Data Mover para evitar conflictos de nombres de WINS.
Por motivos de performance, se recomienda que limite el número de alias a 10 por
servidor CIFS.
Realice estas tareas para asignar alias:
14 de 88 Versión 5.6.42
u
"Adición de un alias a un servidor CIFS" en la página 15
u
"Adición de un alias NetBIOS al nombre NetBIOS" en la página 15
u
"Eliminación de un alias de servidor CIFS" en la página 16
u
"Eliminación de un alias NetBIOS" en la página 16
u
"Visualización de alias" en la página 17
Adición de un alias a un servidor CIFS
Acción
Para agregar un alias a un servidor CIFS, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -add compname=<comp_name>,
domain=<full_domain_name>,alias=<alias_name>[,alias=<alias_name2>...]
donde:
<comp_name> = nombre del servidor CIFS en el dominio designado
<full_domain_name> = nombre de dominio completo para el entorno Windows, debe contener
un punto (ejemplo: dominio.com)
<alias_name> = alias para el nombre de equipo. El nombre de alias tiene un límite de 15
caracteres. No puede comenzar con el símbolo arroba (@) ni un guión (-) y tampoco puede incluir
espacios, tabulaciones y los siguientes caracteres:
/\:;,=*+|[]?<>"
Ejemplo:
Para declarar tres alias para el nombre de equipo big_comp, escriba:
$ server_cifs server_2 -a
compname=winserver1,domain=NASDOCS,alias=winserver1-a1,
alias=winserver1-a2,alias=winserver-a3
Salida
server_2 : done
Adición de un alias NetBIOS al nombre NetBIOS
Acción
Para agregar un alias NetBIOS al nombre NetBIOS, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -add netbios=<netbios_name>,
domain=<domain_name>,alias=<alias_name>[,alias=<alias_name2>...]
donde:
<netbios_name> = nombre NetBIOS para el servidor CIFS
<domain_name> = nombre de dominio para el entorno Windows
<alias_name> = alias para el nombre NetBIOS. El nombre de alias tiene un límite de 15
/\:;,=*+|[]?<>"
Ejemplo:
Para declarar tres alias para NetBIOS dm102-cge0, escriba:
$ server_cifs server_2 -a netbios=dm102-cge0,domain=NASDOCS,alias=dm102cge0-a1,dm102-cge0-a2,dm102-cge0-a3
Salida
server_2: done
Versión 5.6.42
15 de 88
Eliminación de un alias de servidor CIFS
Acción
Para eliminar un alias de nombre de equipo, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -delete compname=<comp_name>,
alias=<alias_name>[,alias=<alias_name2>,...]
donde:
<comp_name> = nombre del servidor CIFS
<alias_name> = alias para el nombre de equipo. El nombre de alias tiene un límite de 15
/\:;,=*+|[]?<>"
!
PRECAUCIÓN
Si no especifica el nombre de alias en este comando, se eliminará toda la configuración de
CIFS, según se identifica en su nombre de equipo.
Ejemplo:
Para eliminar el alias dm102-cge0-a1 asignado a winserver1, escriba:
$ server_cifs server_2 -delete compname=winserver1,alias=winserver-a1
Salida
server_2: done
Eliminación de un alias NetBIOS
Acción
Para eliminar uno o más alias NetBIOS de un servidor CIFS, utilice la siguiente sintaxis de
comandos:
$ server_cifs <movername> -delete netbios=<netbios_name>,
alias=<alias_name>[,alias=<alias_name2>,...]
donde:
<alias_name> = alias para el nombre NetBIOS. El nombre de alias tiene un límite de 15
/\:;,=*+|[]?<>"
!
PRECAUCIÓN
Si no especifica el nombre de alias en este comando, se eliminará toda la configuración de
CIFS, según se identifica en su nombre NetBIOS.
Ejemplo:
Para eliminar el alias dm102-cge0-a2 asignado a dm102-cge0, escriba:
$ server_cifs server_2 -delete netbios=dm102-cge0,alias= dm102-cge0-a2
Salida
server_2: done
16 de 88 Versión 5.6.42
Visualización de alias
Acción
Para enumerar los alias de un servidor, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername>
donde:
Ejemplo:
Para ver los alias de server_2, escriba:
Salida
CIFS Server (Default) dm102-cge0 [C1T1]
Alias(es): dm102-cge0-a1,dm102-cge0-a2,dm102-cge0-a3
Full computer name=dm2-cge0.c1t1.pt1.c3lab.nasdocs.emc.com
realm=C1T1.PT1.C3LAB.NASDOCS.EMC.COM
Comment='EMC-SNAS:T5.2.7.2'
if=cge0 l=172.24.100.55 b=172.24.100.255 mac=0:6:2b:4:0:7f
FQDN=dm102-cge0.c1t1.pt1.c3lab.nasdocs.emc.com (Updated to DNS)
Asociación de comentarios con servidores CIFS
Puede asociar un comentario, encerrado entre comillas, con un servidor CIFS, utilizando
el comando server_cifs -add. Los comentarios le permiten agregar información
descriptiva a un servidor CIFS.
Realice estas tareas para asociar comentarios:
u
"Adición de comentarios en Windows" en la página 18
u
"Cambio de comentarios" en la página 19
u
"Eliminación de comentarios" en la página 19
u
"Visualización de comandos de CLI" en la página 19
u
"Restricciones de comentarios para clientes Windows XP" en la página 20
Versión 5.6.42
17 de 88
Adición de comentarios en Windows
Puede agregar comentarios al crear inicialmente el servidor CIFS o después de crearlo.
Acción
Para agregar comentarios en un entorno Windows NT, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -add netbios=<netbios_name>,
domain=<domain_name> -comment “<comment>”
Para agregar comentarios en un entorno Windows 2000, utilice la siguiente sintaxis de comandos:
domain=<full_domain_name> -comment “<comment>”
Para agregar comentarios en un entorno Windows Server 2003, utilice la siguiente sintaxis de
comandos:
domain=<full_domain_name> -comment “<comment>”
donde:
<movername> = nombre del Data Mover.
<netbios_name> = nombre NetBIOS para el servidor CIFS. El nombre NetBIOS debe ser
exclusivo y con un límite de 15 caracteres. No puede comenzar con @ (arroba) ni - (guión) ni
puede incluir espacios, tabulaciones y los siguientes símbolos: / \ : ; , = * + | [ ] ? < > ".
<comp_name> = servidor CIFS compatible con Windows 2000 o Windows Server 2003, puede
tener hasta 63 caracteres UTF-8.
<domain_name> = nombre de dominio para el entorno Windows
un punto (ejemplo: domain.com).
<comment> = su comentario. Limite la longitud de los comentarios a 48 caracteres ASCII y
enciérrelos entre comillas dobles. Actualmente, no se soportan caracteres internacionales para
los comentarios.
• Caracteres restringidos: No se puede utilizar comillas dobles ("), puntos y coma (;), acentos
(`) ni comas (,) dentro del cuerpo de un comentario. Si intenta utilizar estos caracteres
especiales, aparecerá un mensaje de error. Además, solo se puede utilizar un signo de
exclamación (!) si usa una comilla simple (’) como prefijo.
• Comentarios predeterminados: Si no agrega explícitamente un comentario, el sistema
agrega un comentario predeterminado del tipo EMC-SNAS:T<x.x.x.x> donde <x.x.x.x>
es la versión del software NAS.
Ejemplo:
Para agregar el comentario “EMC_Celerra_Network_Server” a server_2 en un entorno de
Windows NT, escriba:
$ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals -comment
"EMC_Celerra_Network_Server"
Soporte Unicode
Si está activado el soporte Unicode, -name y -comment aceptan cualquier carácter
multibyte definido por el estándar Unicode 3.0. De lo contrario, estas opciones
aceptan solo caracteres ASCII. La longitud del nombre del recurso compartido
puede ser de hasta 12 caracteres, a menos que esté activo el soporte Unicode, en
cuyo caso podrá ser de hasta 80 caracteres. Los nombres no pueden incluir los
siguientes caracteres: /, \, %, ", NUL (carácter nulo), STX (inicio de encabezado),
SOT (inicio de texto) y LF (salto de línea). Los nombres pueden incluir espacios y
otros caracteres alfanuméricos, pero deben ir entre comillas si se utilizan espacios.
No pueden comenzar con un - (guión). Distinguen entre mayúsculas y minúsculas.
El límite de la longitud del comentario es de 256 caracteres. Un comentario no
puede incluir los siguientes caracteres: NUL (carácter nulo), STX (inicio de
encabezado) y SOT (inicio de texto). Los comentarios pueden incluir espacios y
otros caracteres alfanuméricos, pero deben ir entre comillas si se utilizan espacios.
18 de 88 Versión 5.6.42
Cambio de comentarios
Para cambiar un comentario, repita el comando server_cifs –add con el nuevo
comentario. Puede advertir una demora en el cambio de comentario al explorar los
equipos del dominio. Esta demora sucede cuando el Data Mover difunde su
nombre y comentario aproximadamente cada 12 minutos (excepto al iniciarse,
cuando los difunde cinco veces en el primer minuto).
Actualmente, no puede agregar ni cambiar comentarios mediante Server Manager
o Computer Management MMC. Puede modificar comentarios solo mediante el
comando server_cifs -add.
Eliminación de comentarios
Para borrar un comentario, ejecute el comando server_cifs -add con un comentario
de un espacio, al igual que en el siguiente ejemplo:
$ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals
-comment " "
Visualización de comandos de CLI
Puede ver un comentario de un servidor desde la CLI de Celerra Network Server.
Además, los comentarios aparecen en determinadas partes de las distintas
interfaces de Windows.
Acción
Para ver la información de configuración de server_2, escriba:
Salida
server_2 :
32 Cifs threads started
Security mode = NT
.
(material eliminado)
.
DOMAIN CAPITALS
SID=S-1-5-15-c6ab149b-92d87510-a3e900fb-ffffffff
>DC=BOSTON(172.16.20.10) ref=2 time=0 ms
DC=NEWYORK(172.16.20.50) ref=1 time=0 ms
CIFS Server (Default) DM32-ANA0[CAPITALS] (Hidden)
Alias(es): CFS32
Comment=’EMCCelerraNetworkServer’
if=ana0 l=172.16.21.202 b=172.16.21.255 mac=0:0:d1:1d:b7:25
if=ana1 l=172.16.21.207 b=172.16.21.255 mac=0:0:d1:1d:b7:26
Nota: Cuando ve una configuración de servidor CIFS con el comando server_cifs de la CLI de
Celerra Network Server, el comentario aparece con otra información sobre el servidor CIFS.
Visualización de comentarios desde Windows
Windows 2000, Windows Server 2003, Windows NT y Windows XP algunas veces
usan comentarios en partes de la interfaz de Windows. Los comentarios pueden
aparecer en las siguientes instancias:
u
Como el nombre de las unidades de red asignadas en la ventana My Computer
(Mi PC) o en el Explorador de Windows (solo Windows XP)
Versión 5.6.42
19 de 88
u
Como el nombre de equipo en una ventana de dominio
Restricciones de comentarios para clientes Windows XP
Cuando cambia un comentario, el cambio se refleja solo en determinadas partes de
la interfaz de Windows XP. Como el nombre de equipo en una ventana de dominio, el
cambio se refleja inmediatamente en el cliente Windows XP. No obstante, en el
Explorador de Windows XP, los nombres de las unidades de red asignadas no
reflejan el cambio.
Cuando asigna por primera vez una unidad de red en un cliente Windows XP, el
cliente almacena el comentario en el Registro local y muestra el comentario como
el nombre de la unidad asignada. El cliente continúa utilizando el comentario
almacenado como el nombre de unidad asignada hasta que cambia manualmente
el Registro. Si cambia manualmente el nombre de la unidad de red asignada desde
el Explorador de Windows o My Computer (Mi PC), el nombre cambiado se
almacena en otra entrada del Registro, y el cliente utiliza este nombre hasta que se
cambie nuevamente desde el Explorador o en el Registro.
Dadas las restricciones del cliente Windows XP anterior, se recomienda que
configure el comentario como parte de la configuración inicial del servidor CIFS.
Cambio de la contraseña del servidor CIFS
Por lo común, los equipos miembros de un Active Directory de Windows cambian
la contraseña para su cuenta de dominio periódicamente (por ejemplo, cada 12
horas o 7 días).
Acción
Para restablecer la contraseña CIFS y las claves de encriptación, utilice la siguiente sintaxis de
comandos:
$ server_cifs <movername> -Join compname=<comp_name>,
domain=<full_domain_name>,admin=<admin_name> -o resetserverpasswd
donde:
<movername> = nombre del Data Mover.
<comp_name> = nombre del servidor CIFS.
un punto (ejemplo: domain.com).
<admin_name> = nombre de inicio de sesión del usuario con derechos administrativos en el
dominio. El usuario debe escribir una contraseña para la cuenta de administrador.
Ejemplo:
Para restablecer la contraseña CIFS y las claves de encriptación para server_2, escriba:
$ server_cifs server_2 -Join compname=winserver1,
domain=nasdocs.emc.com,admin=compadmin -o resetserverpasswd
Salida
server_2: Enter Password: ******
done
Nota
En "Cambio automático de la contraseña del equipo" en la página 70, se explica cómo configurar
el intervalo de tiempo en el que el Data Mover cambia contraseñas con el controlador de dominio.
20 de 88 Versión 5.6.42
Nota: Al crear un servidor CIFS de modo Windows NT, se asigna una contraseña
predeterminada. El Data Mover intenta cambiar la contraseña cuando se comunica con el
controlador de dominio. Si el cambio de contraseña falla, el servidor CIFS continúa utilizando la
contraseña predeterminada. Dado que la contraseña predeterminada es el nombre del servidor,
debe restablecer la contraseña como se explica en "Cambio de la contraseña del servidor
CIFS" en la página 20. Reinicie el servicio CIFS para forzar el Data Mover a que actualice la
contraseña en su controlador de dominio. En "Detención del servicio de CIFS" en la
página 41 y "Inicio del servicio CIFS" en la página 42, se explica el procedimiento.
Unión de servidores CIFS a dominios de Windows
En esta sección, se describen los procedimientos para unir servidores CIFS
a dominios de Windows en diferentes configuraciones.
Realice estas tareas para unir servidores CIFS a dominios de Windows:
u
"Prerrequisitos" en la página 22
u
"Unión de cuentas de equipo existentes" en la página 24
u
"Delegación de unión" en la página 25
u
u
u
u
"Creación y unión del servidor CIFS para el mismo namespace sin una unión
delegada" en la página 27
"Creación y unión del servidor CIFS para el mismo namespace y una unión
"Creación y unión del servidor CIFS para namespace desligado sin una unión
"Creación y unión de un servidor CIFS para un namespace desligado y una
unión delegada" en la página 33
Al intentar resolver nombres NetBIOS del equipo en entornos con Windows 2000 o
Windows Server 2003, es posible que Celerra Network Server intente resolver el
nombre por medio de una difusión o mediante una consulta al servidor Windows
Internet Name Service (WINS). Dado que los sistemas operativos de Windows limitan
los nombres NetBIOS a 15 caracteres, la resolución de nombres por medio de difusión
y consultas de WINS es posible solo para nombres de equipos con 15 caracteres o
menos. Si especifica un nombre NetBIOS de más de 15 caracteres, se trunca. Los
servidores de Windows NT se unen automáticamente a un dominio al crearse.
El método de autenticación del usuario para servidores CIFS en entornos Windows
2000 o Windows Server 2003 debe ser el modo Windows NT. El modo Windows
NT es el método de autenticación de usuarios predeterminado.
Nota: Solo puede asignar un nombre de equipo y un nombre NetBIOS a un servidor CIFS.
Si necesita asignar múltiples nombres de equipo o nombres NetBIOS a un servidor CIFS,
debe crear alias. En "Asignación de alias a nombres NetBIOS y nombres de equipos" en la
página 14, se proporciona más información.
Nota: Los nombres NetBIOS tienen un límite de 15 caracteres y no pueden comenzar con
@ (arroba) ni - (guión). El nombre tampoco puede incluir espacios en blanco, caracteres de
tabulación y los siguientes símbolos:
/\:;,=*+|[]?<>"
Versión 5.6.42
21 de 88
Prerrequisitos
Los prerrequisitos de configuración están relacionados con los siguientes
procedimientos:
u
u
u
"Creación y unión del servidor CIFS para namespace desligado sin una unión
delegada" en la página 31 (pasos 1 a 11)
"Creación y unión de un servidor CIFS para un namespace desligado y una
unión delegada" en la página 33 (pasos 1 a 14)
"Creación y unión del servidor CIFS para el mismo namespace y una unión
delegada" en la página 29 (pasos 12 a 14)
Los prerrequisitos de configuración incluyen los siguientes pasos:
u
u
22 de 88 Versión 5.6.42
Los pasos 1 a 11 explican cómo configurar los permisos del nivel de dominio,
que están basados en el artículo 258503 de Microsoft Knowledge Base: "DNS
Registration Errors 5788 and 5789 when DNS Domain and Active Directory
Domain Name Differ".
Los pasos 11 a 14 muestran cómo crear una cuenta de equipo en el dominio AD.
Configuración de permisos de nivel de dominio
Paso
Acción
1.
Inicie el snap-in de Active Directory Users and Computers (Usuarios y equipos de
Active Directory).
2.
En el árbol de la consola, haga clic con el botón secundario en Active Directory Users
and Computers (Usuarios y equipos de Active Directory) y seleccione Connect To
Domain (Conectar a dominio).
3.
En Domain (Dominio), escriba el nombre de dominio o haga clic en Browse (Examinar)
para buscar el dominio en el cual permitir que el equipo utilice nombres DNS diferentes y
haga clic en OK (Aceptar).
4.
Haga clic con el botón secundario en Active Directory Users and Computers (Usuarios
y equipos de Active Directory) y seleccione View (Ver) > Advanced Features (Funciones
avanzadas).
5.
Haga clic con el botón secundario en el nombre del dominio y seleccione Properties
(Propiedades).
6.
Haga clic en la ficha Security (Seguridad) y en Advanced (Avanzado).
7.
Haga clic en Add (Agregar) y seleccione Self group (Auto grupo).
8.
En la ficha Object (Objeto), en Apply onto (Aplicar en), seleccione Computer Objects
(Objetos de equipo). En Permissions (Permisos), seleccione Validated write to DNS host
name (Escritura validada para nombre de host de DNS) y Validated write to service
principal name (Escritura validada para nombre de servicio principal).
9.
En la ficha Properties (Propiedades), en Apply onto (Aplicar en), seleccione Computer
Objects (Objetos de equipo).
10.
En Permissions (Permisos), seleccione Write SPN (SPN de escritura) y Write
dNSHostName (Nombre de host de DNS de escritura).
Nota: Al seleccionar o borrar Write dNSHostName (Nombre de host de DNS de
escritura), el sistema selecciona o borra automáticamente Write dNSHostName
Attributes (Atributos de nombre de host de DNS de escritura).
11.
Haga clic en OK (Aceptar).
Nota: Los pasos 1 a 11 están basados en la interfaz de servidor Windows 2000 AD.
12.
Para crear una cuenta de equipo en Active Directory, haga clic con el botón secundario en
el contenedor en el que reside la cuenta y seleccione New (Nuevo) >Computer (Equipo).
a. En Computer Name (Nombre de equipo), escriba el nuevo nombre de la cuenta de equipo.
Nota: Puede configurar la operación de unión delegada aquí. En Figura 1 en la página 26,
se proporcionan más detalles.
b. Haga clic en OK (Aceptar).
Versión 5.6.42
23 de 88
Unión de cuentas de equipo existentes
Cuando une un servidor CIFS a un dominio, Celerra Network Server:
u
u
Busca una cuenta existente o crea una cuenta para el servidor CIFS en Active
Directory y completa su configuración.
Configura varios atributos en la cuenta de equipo, incluidos los atributos
dnsHostName y servicePrincipalName.
Para unir cuentas de equipo existentes:
Paso
Acción
1.
Si la cuenta del equipo Windows ya existe, Celerra Network Server comprueba el atributo
servicePrincipalName para ver si el equipo ya está unido a la cuenta del equipo.
2.
Si el atributo no está configurado, el Data Mover une el nuevo servidor CIFS a la cuenta
existente. Si el atributo servicePrincipalName ya está configurado, el Data Mover emite un
error y registra un mensaje que indica que la cuenta ya existe.
3.
Si el atributo servicePrincipalName ya está configurado, aparece el siguiente mensaje de
error durante la unión del dominio:
La cuenta ya existe.
Este error indica que la cuenta del equipo ya se unió a un dominio a través de un Data
Mover u otro servidor.
4.
Si aún desea unir el servidor CIFS a esta cuenta del equipo, puede volver a utilizar la
cuenta escribiendo:
$ server_cifs server_2 -Join compname=dm32-ana0,
domain=nsgprod.xyzcompany.com,admin=administrator -option reuse
Creación y unión del servidor CIFS
Si está utilizando cuentas de equipo existentes al configurar servidores CIFS
basados en Celerra, utilice este procedimiento para crear y unir el servidor CIFS.
Paso
1.
Acción
En Windows, vaya a Active Directory Users and Computers (Usuarios y equipos de
Active Directory) y cree un nuevo equipo con el mismo nombre de equipo que utilizará
para crear el servidor CIFS en el paso 2.
(Opcional) Si ya está delegando autoridad de unión, en User or Group, escriba o busque
el usuario o grupo a quien desee delegar la autoridad de unión. En "Delegación de unión"
en la página 25, se proporciona más información.
Nota: La cuenta del usuario debe pertenecer a un dominio en el mismo bosque de AD
que el dominio al que se unirá el servidor CIFS.
24 de 88 Versión 5.6.42
2.
Agregue el servidor CIFS al Data Mover con el comando server_cifs -add. En Tabla 11 en
la página 73, se detalla la sintaxis que se usará para la relación de dominio aproximada.
3.
Una el servidor CIFS al dominio con el comando server_cifs -Join. En Tabla 11 en la
página 73, se detalla la sintaxis que se utilizará para la relación de dominio adecuada.
Delegación de unión
Como una alternativa a , la unión de un servidor CIFS por parte de un usuario
predeterminado (miembro del grupo Domain Admins), donde el comando server_cifs
-Join crea automáticamente una cuenta del equipo en Active Directory (AD), realice
lo siguiente:
u
u
Cree cuentas de equipo para servidores CIFS en Windows Active Directory.
Delegue la autoridad para realizar la operación de unión a un usuario o grupo
individual de otro dominio dentro del mismo bosque de AD.
Con estas opciones, la creación de cuentas de AD se puede separar de la acción
de unión. Por lo tanto, una persona distinta de la que creó la cuenta en AD puede
unir el servidor CIFS al dominio.
Adición del usuario que realiza la unión al grupo del administrador local
Cada servidor CIFS incluye un conjunto de grupos de usuarios incorporado:
Administradores, Usuarios, Invitados, Nombres de energía, Operadores de cuentas,
Operaciones de backup y Replicator. El grupo Administradores incluye los usuarios
y grupos autorizados para administrar el servidor CIFS. De manera predeterminada,
el grupo Administradores incluye una entrada para el grupo Administradores de
dominio, que proporciona a cada miembro del grupo la autoridad para administrar
el servidor CIFS.
Para agregar el usuario al grupo administrativo local a fin de que el usuario pueda
administrar el servidor CIFS; configure el siguiente parámetro en 1:
cifs djAddAdminToLg=1
Puede hacerlo manualmente mediante MMC o automáticamente durante el
proceso de unión del dominio.
Delegación de la autoridad de unión
Cuando delega autoridad de unión, cualquier usuario al que se proporcione autoridad
puede unir el servidor CIFS a su dominio. El usuario no necesita permisos específicos
de Windows, pero debe estar en el mismo bosque de AD que el servidor CIFS.
El EMC Celerra Network Server Parameters Guide proporciona información
adicional sobre los parámetros de unión de dominio:
u
djUseKpassword
u
djAddAdminToLg
u
djEnforceDhn.
Nota: Use djEnforceDhn como una medida temporal para los derechos de acceso, dado
que el Data Mover autentica clientes Windows utilizando el modo NTLMSSP en lugar de
Kerberos.
Versión 5.6.42
25 de 88
Tabla 2 en la página 26 muestra los valores del parámetro de unión de dominio que
debe usar para realizar una unión delegada en el mismo dominio de AD de namespace
o en uno desligado.
Tabla 2
Combinaciones de parámetros de unión de dominio
djUseKpassword
djAddAdminToLg
djEnforceDhn
1 (predeterminado)
0 (predeterminado)
1 (predeterminado)
Unión delegada a
Miembro del grupo de
administradores de
dominio (predeterminado
de Microsoft)
Cuenta de usuario de
dominio
Grupo global de dominio
Grupo local de dominio
0
Los dominios del bosque que no tienen el mismo nombre de dominio jerárquico
están en un árbol de dominio diferente. Cuando hay árboles de dominio diferentes
en un bosque, los dominios de la raíz del árbol no son contiguos. El namespace
desligado es la frase utilizada para describir la relación entre diferentes árboles de
dominio del bosque.
Delegue la autoridad de unión al crear la cuenta del equipo en Active Directory,
como se muestra en Figura 1 en la página 26.
Figura 1 Delegación de la autoridad de unión
26 de 88 Versión 5.6.42
Creación y unión del servidor CIFS para el mismo namespace
sin una unión delegada
Realice los siguientes procedimientos de adición y unión cuando:
u
u
Los nombres de dominio de Active Directory y DNS sean iguales.
Esté utilizando la cuenta de usuario predeterminada (miembro del grupo
de administradores de dominio).
Realice estas tareas para los procedimientos de adición y unión:
u
u
"Creación de un servidor CIFS para el mismo namespace sin una unión
"Unión de un servidor CIFS a un dominio de Windows para el mismo
namespace sin una unión delegada" en la página 29
Versión 5.6.42
27 de 88
Creación de un servidor CIFS para el mismo namespace sin una unión delegada
Acción
Para crear el servidor CIFS para un entorno de Windows 2000 o Windows Server 2003 en el Data
Mover, utilice la siguiente sintaxis de comandos:
domain=<full_domain_name>[,hidden={y|n}][,netbios=<netbios_name>]
[,interface=<if_name>][,dns=<if_suffix>]
donde:
<movername> = nombre del Data Mover o VDM.
<comp_name> = servidor CIFS compatible con Windows 2000 o Windows Server 2003.
<comp_name> puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que
se registrará en DNS.
Nota: Cada <comp_name> dentro de Celerra Network Server debe ser exclusivo. Un servidor
CIFS predeterminado y servidores CIFS dentro de un VDM no pueden coexistir en el mismo Data
Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las
interfaces. Los servidores CIFS de un VDM requieren interfaces especificadas. Si existe un VDM
en un Data Mover, no se puede crear un servidor CIFS predeterminado.
<full_domain_name> = nombre completo del dominio para el entorno Windows.
<full_domain_name> debe incluir un punto (ejemplo: domain.com o mydomain.).
hidden={y|n}= de manera predeterminada, el nombre del equipo se muestra el Explorador de
Windows. Si se especifica hidden=y, el nombre del equipo no aparece.
<netbios_name> = (opcional) un nombre NetBIOS utilizado en lugar del nombre NetBIOS
predeterminado. El nombre predeterminado se asigna automáticamente y se deriva de los
primeros 15 caracteres del <comp_name>. Escriba un nombre NetBIOS opcional si los primeros
15 caracteres del <comp_name> no cumplen con las convenciones de asignación de nombres
NetBIOS o si desea un nombre distinto del predeterminado.
<if_name> = interfaz que utilizará el servidor CIFS que se está configurando. Si agrega un
servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte
en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores
CIFS en el Data Mover. Solo puede haber un servidor CIFS predeterminado por Data Mover.
<if_suffix>= sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De
manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta a la
configuración DNS del Data Mover.
Ejemplo:
Para crear el servidor CIFS dm32-ana0 en server_2, escriba:
$ server_cifs server_2 -add compname=dm32cge0,domain=universe.com,netbios=eng23b,interface=cge0
Salida
server_2 : done
28 de 88 Versión 5.6.42
Unión de un servidor CIFS a un dominio de Windows para el mismo
namespace sin una unión delegada
Acción
Para unir el servidor CIFS al dominio de Windows, utilice la siguiente sintaxis de comandos:
domain=<full_domain_name>,admin=<admin_name@domain_name>
donde:
<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name>
puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará
en DNS.
Si el sufijo DNS primario del servidor CIFS es diferente del dominio de Windows, <comp_name>
debe ser un nombre completamente calificado. Por ejemplo, si el dominio de Windows es
win.com, el sufijo DNS primario es abc.net y el servidor CIFS es server1, el comando sería
server_cifs <movername> -Join compname=server1.abc.net, domain=win.com.
<full_domain_name> = nombre DNS para el dominio Windows. <full_domain_name> debe
incluir un punto (ejemplo: domain.com).
<admin_name@<domain_name> = nombre de inicio de sesión y nombre de dominio completo de
un usuario con suficientes derechos para unir un servidor al dominio. Si omite @<domain_name>,
el Data Mover supone que el usuario pertenece al dominio al que se unirá el servidor CIFS. El
usuario debe ser de un dominio en el mismo bosque de AD.
Ejemplo:
Para unir el servidor CIFS dm32-ana0 al dominio universe.com, escriba:
$ server_cifs server_2 -Join compname=dm32-cge0,
domain=universe.com,admin=administrator
Salida
Nota
server_2 : Enter Password: *******
done
La cuenta y la contraseña de usuario se utilizan
para crear la cuenta en Active Directory, y no se
almacenan después de agregar la cuenta del
equipo.
Creación y unión del servidor CIFS para el mismo namespace
y una unión delegada
u
Los nombres de dominio de Active Directory y DNS sean iguales.
u
Esté utilizando una cuenta de usuario delegada.
u
u
"Creación de un servidor CIFS para el mismo namespace y una unión
"Unión de un servidor CIFS a un dominio de Windows para el mismo
namespace y una unión delegada" en la página 31
Nota: Antes de realizar estas tareas, debe completar los pasos descritos en
"Prerrequisitos" en la página 22 y "Delegación de unión" en la página 25.
Versión 5.6.42
29 de 88
Creación de un servidor CIFS para el mismo namespace y una unión delegada
Acción
donde:
Nota: Cada <comp_name> dentro de Celerra Network Server debe ser único.
Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM no pueden coexistir en el
mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a
todas las interfaces. Los servidores CIFS de un VDM requieren interfaces especificadas. Si existe
un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado.
hidden={y|n} = de manera predeterminada, el nombre del equipo se muestra en Windows
Explorer. Si se especifica hidden=y, el nombre del equipo no aparece.
servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en
el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores
<if_suffix>= sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera
predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta a la
Ejemplo:
$ server_cifs server_2 -add compname=dm32cge0,domain=universe.com,netbios=eng23b,interface=cge0
Salida
server_2 : done
30 de 88 Versión 5.6.42
Unión de un servidor CIFS a un dominio de Windows para el mismo namespace
y una unión delegada
Acción
domain=<full_domain_name>,admin=<user_name@AD_name>
donde:
<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name> puede
tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS.
Nota: Si el sufijo DNS primario del servidor CIFS es diferente del dominio de Windows,
<comp_name> debe ser un nombre completamente calificado. Por ejemplo, si el dominio de
Windows es win.com, el sufijo DNS primario es abc.net, y el servidor CIFS es server1, el comando
sería server_cifs <movername> -Join compname=server1.abc.net,domain=win.com.
<user_name@<domain_name> = <user_name>[@AD_name>]= nombre de inicio de sesión del
usuario delegado y el nombre del dominio de Active Directory.
Ejemplo:
$ server_cifs server_2 -Join compname=dm32-cge0,
domain=universe.com,[email protected]
Salida
Nota
done
equipo.
Creación y unión del servidor CIFS para namespace desligado
sin una unión delegada
u
u
Los nombres de dominio de Active Directory y DNS sean diferentes.
Esté utilizando la cuenta de usuario predeterminada (miembro del grupo de
administradores de dominio).
u
u
"Creación de un servidor CIFS para un namespace desligado sin una unión
"Unión de un servidor CIFS a un dominio de Windows para un namespace
desligado sin una unión delegada" en la página 33
Versión 5.6.42
31 de 88
Creación de un servidor CIFS para un namespace desligado sin una unión
delegada
Acción
donde:
todas las interfaces. Los servidores CIFS de un VDM requieren interfaces especificadas. Si existe
servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en
el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores
<if_suffix> = sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De
Ejemplo:
$ server_cifs server_2 -add compname=dm32-cge0,
domain=universe.com,netbios=eng23b,interface=cge0,
dns=nasdocs.emc.com
Salida
server_2 : done
32 de 88 Versión 5.6.42
Unión de un servidor CIFS a un dominio de Windows para un namespace
desligado sin una unión delegada
Acción
$ server_cifs <movername> -Join compname=<comp_name.FQDN>,
domain=<full_domain_name>,admin=<admin_name@<domain_name>
donde:
<comp_name.FQDN> = nombre de la cuenta del servidor CIFS en Active Directory.
se registrará en DNS. Para namespaces desligados, debe escribir compname.FQDN. De lo
contrario, no se actualizarán los atributos AD. Por ejemplo:
compname=dm32-cge0.nasdocs.emc.com.
<admin_name@<domain_name> = nombre de inicio de sesión y nombre de dominio completo de
un usuario con suficientes derechos para unir un servidor al dominio. Si omite @<domain_name>,
el Data Mover supone que el usuario pertenece al dominio al que se unirá el servidor CIFS. El
usuario debe ser de un dominio en el mismo bosque de AD.
Ejemplo:
$ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com,
domain=universe.com,admin=administrator
Salida
Nota
done
equipo.
Creación y unión de un servidor CIFS para un namespace
desligado y una unión delegada
u
Los nombres de dominio de Active Directory y DNS sean diferentes.
u
Esté utilizando una cuenta de usuario delegada.
u
u
"Creación de un servidor CIFS para un namespace desligado y una unión
"Unión de un servidor CIFS a un dominio de Windows para un namespace
desligado y una unión delegada" en la página 35
Versión 5.6.42
33 de 88
Nota: Puede unir un servidor CIFS a un dominio en un entorno de Windows en el que el
namespace de Active Directory recibe el nombre independientemente del namespace DNS.
Creación de un servidor CIFS para un namespace desligado y una unión
delegada
Acción
donde:
todas las interfaces, y los servidores CIFS de un VDM requieren interfaces específicas. Si existe
<full_domain_name> debe incluir un punto (ejemplo: domain.com o mydomain).
servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte
en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores
<if_suffix> = sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De
Ejemplo:
$ server_cifs server_2 -add compname=dm32-cge0,
domain=universe.com,netbios=eng23b,interface=cge0,
dns=nasdocs.emc.com
Salida
server_2 : done
34 de 88 Versión 5.6.42
Unión de un servidor CIFS a un dominio de Windows para un namespace
desligado y una unión delegada
Acción
$ server_cifs <movername> -Join compname=<comp_name.FQDN>,
domain=<full_domain_name>,admin=<user_name@AD_name>
[,dns=<if_suffix>]
donde:
<movername> = nombre del Data Mover o VDM
<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name>
puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en
DNS. Para namespaces desligados, debe escribir compname.FQDN. De lo contrario, no se
actualizarán los atributos AD. Por ejemplo:
compname=dm32-cge0.nasdocs.emc.com.
<user_name@AD_name> = nombre de inicio de sesión del usuario delegado y el nombre del
dominio de Active Directory.
Ejemplo:
$ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com,
domain=universe.com,[email protected]
Salida
Nota
done
equipo.
Administración de file systems
En esta sección se describen conceptos y tareas asociados con la administración
de file systems en un entorno de Windows de Celerra.
Realice estas tareas para administrar file systems:
u
"Garantizar escrituras sincrónicas" en la página 35
u
"Bloqueo oportunista de archivos" en la página 36
u
"Notificación de cambio de archivos" en la página 37
Garantizar escrituras sincrónicas
Esta opción de montaje especial garantiza que cualquier escritura en el file server
se realice de manera sincrónica. Para Windows, es importante garantizar que esta
opción esté especificada si se utilizará Celerra para almacenar determinados
archivos de base de datos. Esta recomendación pretende evitar las posibilidades
de pérdida de datos o corrupción de archivos en diversos escenarios de fallas, por
ejemplo, la pérdida de energía.
Versión 5.6.42
35 de 88
Acción
Para montar un file system y garantizar escrituras sincrónicas, utilice la siguiente sintaxis de comandos:
$ server_mount <movername> -o cifssyncwrite <fs_name> <mount_point>
donde:
<fs_name> = nombre del file system que se monta
<mount_point> = nombre del punto de montaje
Ejemplo:
Para montar el file system ufs1 con escrituras sincrónicas garantizadas, escriba:
$ server_mount server_2 -o cifssyncwrite ufs1 /ufs1
Nota: No se recomienda utilizar la opción cifssyncwrite a menos que requiera acceso a la
base de datos a través de Celerra Network Server.
Nota: Un <mount_point> debe comenzar con una barra diagonal (/).
Salida
server_2 : done
Bloqueo oportunista de archivos
Los bloqueos oportunistas de archivos (oplocks) mejoran el performance de la red
y permiten a los clientes CIFS almacenar en buffer localmente datos de archivos
antes de enviarlos al servidor. Estos bloqueos se configuran por file system y están
activados de manera predeterminada. A menos que utilice una aplicación de base
de datos que recomiende la desactivación de oplocks, o si está administrando
datos críticos y necesita evitar la pérdida de datos, deje oplocks activado.
Celerra Network Server soporta oplocks por batches, exclusivos y de nivel II y (el filtro
de oplocks no se puede aplicar a un file server remoto) de las siguientes maneras:
u
u
u
36 de 88 Versión 5.6.42
Oplocks de nivel II: Cuando se sostiene, un oplock de nivel II informa a un
cliente que hay múltiples clientes actualmente accediendo a un archivo pero
ninguno de ellos lo ha modificado aún. Un oplock de nivel II permite al cliente
realizar una operación de lectura y búsquedas de atributos del archivo
utilizando información local en caché o de lectura anticipada. Todas las otras
solicitudes de acceso al archivo se deben enviar al servidor.
Oplocks exclusivos: Cuando se sostiene, un oplock exclusivo informa a un
cliente que es el único cliente que está abriendo el archivo. Un oplock exclusivo
permite a un cliente realizar todas las operaciones de archivos mediante el uso
de información en caché o de lectura anticipada hasta que cierra el archivo,
momento en el que el servidor se debe actualizar con los cambios realizados al
estado del archivo (contenido y atributos).
Oplocks por batches Cuando se sostiene, un oplock por batches informa a un
cliente que es el único cliente que está abriendo el archivo. Un oplock por
batches permite a un cliente realizar todas las operaciones de archivos
mediante el uso de información en caché o de lectura anticipada (incluidos
apertura y cierre). El servidor puede conservar un archivo abierto para un
cliente incluso a pesar de que el proceso local en la máquina del cliente haya
cerrado el archivo. Este mecanismo reduce la cantidad de tráfico de red
ahorrando a los clientes las molestas solicitudes de cierre y apertura.
Desactivación de oplocks
Acción
Para desactivar oplocks para un file system específico, utilice la siguiente sintaxis de comandos:
$ server_mount <movername> -o nooplock <fs_name> <mount_point>
donde:
Ejemplo:
Para montar el file system ufs1 con oplocks desactivados, escriba:
$ server_mount server_2 -o nooplock ufs1 /ufs1
Nota: El performance puede llegar a disminuir mucho si se desactivan los oplocks.
!
PRECAUCIÓN
En una red de Microsoft, los bloqueos oportunistas pueden generar pérdida de datos si un
cliente Windows o servidor Windows falla o si se presenta un problema en la red.
Salida
server_2 : done
Notificación de cambio de archivos
Las aplicaciones que ejecutan plataformas Windows y utilizan la API Win32 se
pueden registrar en el servidor CIFS (o SO local) para recibir una notificación si y
cuando se tomen determinadas acciones contra el archivo o contenido del directorio
(como creación de un archivo, cambio de nombre de un archivo, eliminación y
demás). Por ejemplo, esta función puede indicar cuando se necesite actualizar una
pantalla (Windows Explorer) o cuando se necesite actualizar la memoria caché
(Microsoft Internet Information Server), sin tener que sondear constantemente el
servidor CIFS (o SO local).
La API Win32 y, por lo tanto, el protocolo CIFS, soporta la posibilidad de especificar
la raíz del árbol de directorios que requiere monitoreo. Si se especifica un
subdirectorio, los cambios que sucedan por encima del directorio especificado no
notificarán a la aplicación.
Para monitorear los cambios que sucedan en los directorios por debajo del directorio
especificado, la aplicación también puede configurar el bit WatchSubTree. De manera
predeterminada, se soporta el monitoreo de cambios que suceden en hasta 512
niveles de directorio por debajo de la raíz. Después de recibir una respuesta a la
notificación de cambios, la aplicación debe volver a ejecutar o restablecer el proceso
de monitoreo para recibir notificaciones sobre otras modificaciones.
Nota: Los cambios también se pueden almacenar en buffer y la notificación se puede llevar
a cabo a través de una única respuesta al cliente que solicita el monitoreo.
Versión 5.6.42
37 de 88
Realice estas tareas para configurar la notificación de cambios de archivos:
u
u
"Configuración de la notificación de cambios de archivos" en la página 38
"Configuración de otras opciones de notificación de cambios de archivos" en la
página 39
Limitaciones
A continuación se incluyen las limitaciones para el uso de la notificación de
cambios de archivos:
u
u
La notificación de cambios de archivos solo se puede utilizar en un entorno
CIFS puro. Por lo tanto, los cambios en los archivos o directorios no se
notificarán si se realizan desde clientes NFS, FTP o MPFS.
Esta funcionalidad solo se soporta cuando se configura el método de
autenticación de usuario en el Data Mover en NT.
Configuración de la notificación de cambios de archivos
La opción de notificación está automáticamente activada de manera
predeterminada. Se recomienda desactivar la opción de notificación si tiene
problemas de performance.
Acción
Para desactivar la función de notificación de un file system, utilice la siguiente sintaxis de
comandos:
$ server_mount <movername> -o nonotify <fs_name> <mount_point>
donde:
Nota: Se debe abrir un archivo de directorio antes de utilizar este comando.
Ejemplo:
Para desactivar la función de notificación para el file system ufs1 en server_2, escriba:
$ server_mount server_2 -o nonotify ufs1 /ufs1
Salida
server_2 : done
38 de 88 Versión 5.6.42
Configuración de otras opciones de notificación de cambios de archivos
Además, puede configurar opciones de notificación según se explica en Tabla 3 en
la página 39.
Tabla 3
Opciones de notificación de cambio de archivos
Opción
Descripción
Ejemplo
triggerlevel=<value>
Especifica la cantidad de
niveles de directorio debajo del
directorio monitoreado que se
monitorean en busca de
cambios.
El siguiente ejemplo muestra
una configuración de hasta 15
niveles de directorio:
$ server_mount server_2
-o
“triggerlevel=0x0000000
f” ufs1 /ufs1
<value> debe estar en formato
hexadecimal.
Valor predeterminado: 512
niveles (0x00000200)
notifyonwrite
Proporciona una notificación
del acceso de escritura a un file
system.
Valor predeterminado:
desactivado
El siguiente ejemplo activa
notifyonwrite:
-o notifyonwrite ufs1
/ufs1
Esta opción resulta útil cuando
se deba notificar una aplicación
acerca de las escrituras de
archivos antes de cerrar el
archivo.
notifyonaccess
Proporciona una notificación
del tiempo de acceso de una
modificación.
Valor predeterminado:
desactivado
El siguiente ejemplo activa
notifyonaccess y notifyonwrite:
-o
notifyonaccess,notifyon
write ufs1
/ufs1
Nota: Las opciones notifyonwrite y notifyonaccess están desactivadas de manera predeterminada,
por motivos de performance.
Re-exportación de todos los file systems de Celerra
Puede volver a exportar todos los file systems de Celerra de una vez desde Celerra
Network Server mientras se está ejecutando el file server. La operación vuelve a exportar
todas las entradas en la tabla de exportación del file server. Puede utilizar esta función
para volver a exportar file systems cuya exportación ha anulado temporalmente.
Acción
Para volver a exportar todos los file systems de Celerra exportados desde Celerra Network
Server, utilice la siguiente sintaxis de comandos:
$ server_export ALL -all
Versión 5.6.42
39 de 88
Salida
server_2 : done
server_3 : done
server_4 : done
40 de 88 Versión 5.6.42
Desactivación del acceso a todos los file systems en un Data
Mover
Acción
Para desactivar temporalmente todo el acceso a todos los file systems en un Data Mover, utilice la
siguiente sintaxis de comandos:
$ server_export <movername> -unexport -perm -all
donde:
Ejemplo:
Para desactivar de forma permanente todo el acceso a todos los file systems en server_3,
escriba:
$ server_export server_3 -unexport -perm -all
!
PRECAUCIÓN
Esta operación elimina el contenido de la tabla de exportación y evita todo el acceso de
clientes a file systems en el Data Mover. Para volver a establecer el acceso del cliente a file
systems en el file server, debe volver a crear la tabla de exportación. Para ello, vuelva a
exportar todos los recursos compartidos de CIFS y todos los paths NFS en el Data Mover.
Salida
server_3: done
Detención del servicio de CIFS
Acción
Para detener el servicio CIFS de un Data Mover, utilice la siguiente sintaxis de comandos:
$ server_setup <movername> -P cifs -option stop
donde:
Ejemplo:
Para detener el servicio CIFS en server_2, escriba:
$ server_setup server_2 -P cifs -o stop
!
!
PRECAUCIÓN
La detención del servicio CIFS en un Data Mover prohíbe a los usuarios acceder
a todos los servidores CIFS en ese Data Mover.
Salida
server_2: done
Versión 5.6.42
41 de 88
Inicio del servicio CIFS
Acción
Para iniciar el servicio CIFS, utilice la siguiente sintaxis de comandos:
$ server_setup <movername> -P cifs -o start[=<n>]
donde:
-P cifs -o start = activa la configuración del protocolo para el Data Mover
[=<n>] = cantidad de procesos para toda la actividad de CIFS en el Data Mover, no la cantidad
de procesos por servidor CIFS. La cantidad predeterminada de procesos de CIFS depende del
tamaño de la memoria del Data Mover. Si el tamaño de la memoria es menor a 1 GB, el valor
predeterminado es 32 procesos. Para 510 Data Movers y sistemas Celerra serie NS con 3 GB o
más de memoria, la cantidad predeterminada de procesos es 256.
Ejemplo:
Para iniciar el servicio CIFS en server_2, escriba:
$ server_setup server_2 -P cifs -o start
Salida
server_2 : done
Eliminación de un servidor CIFS
En esta sección, se describe cómo eliminar un servidor CIFS de una configuración
de Data Mover en un entorno Windows 2000, Windows Server 2003 y Windows NT.
Realice estas tareas para eliminar un servidor CIFS:
u
u
"Eliminación de un servidor CIFS en un entorno Windows 2000 o Windows
Server 2003" en la página 43
"Eliminación de un servidor CIFS en un entorno Windows NT" en la página 43
Prerrequisito
Antes de eliminar un servidor CIFS de un Data Mover, asegúrese de que no haya
sesiones activas asociadas con el servidor CIFS. Utilice las herramientas de
administración de servidores (MMC o Server Manager) para cerrar todas las
sesiones activas.
Si hay escrituras en proceso durante la eliminación de un servidor CIFS (Windows
2000, Windows 2003 o Windows NT), se pueden perder datos. Antes de realizar
este procedimiento, notifique a todos los usuarios, con anticipación, que el servidor
CIFS ya no estará disponible.
42 de 88 Versión 5.6.42
Eliminación de un servidor CIFS en un entorno Windows 2000
o Windows Server 2003
Paso
1.
Acción
Desuna el equipo del dominio utilizando la siguiente sintaxis de comandos:
$ server_cifs <movername> -Unjoin compname=<comp_name>,
domain=<full_domain_name>
donde:
<comp_name> = nombre del equipo del servidor CIFS
<full_domain_name> = nombre de dominio completo para el entorno Windows, debe
contener un punto (ejemplo: domain.com)
2.
Quite el servidor CIFS utilizando la siguiente sintaxis de comandos:
$ server_cifs <movername> -delete compname=<comp_name>
donde:
<comp_name> = nombre del equipo del servidor CIFS
Eliminación de un servidor CIFS en un entorno Windows NT
Paso
1.
Acción
Quite el servidor CIFS utilizando la siguiente sintaxis de comandos:
$ server_cifs <movername> -delete netbios=<netbios_name>
donde:
Nota: Este comando no elimina la entrada NetBIOS del PDC (controlador de dominio
primario).
Activación de directorios principales
La función de directorio principal de Celerra permite crear un único recurso
compartido, llamado HOME, al que se pueden conectar los usuarios. No es
necesario crear recursos compartidos individuales para cada usuario.
La función de directorio principal simplifica la administración de recursos compartidos
personales y el proceso de conexión con ellos, permitiéndole asociar un nombre de
usuario con un directorio que luego actúa como el directorio principal del usuario. El
directorio principal se asigna en un perfil de usuario de modo que, al iniciar sesión, el
directorio principal se conecta automáticamente con una unidad de red.
En sistemas de servidores Windows 2000 y Windows 2003, se puede activar y
administrar directorios principales por medio del snap-in de administración de
directorios principales de Celerra para MMC. En Installing Celerra Management
Applications, se proporciona información sobre cómo instalar el snap-in. La ayuda
en línea del snap-in describe los procedimientos para la activación y administración
de directorios principales.
Versión 5.6.42
43 de 88
Nota: Si un sistema cliente (como Citrix Metaframe o Windows Terminal Server) soporta
más de un usuario de Windows al mismo tiempo y almacena en la memoria caché
información de acceso a archivos, es posible que la función de directorio principal de Celerra
no funcione de la forma deseada. Con la capacidad de directorio principal de Celerra, el
path al directorio principal de cada usuario es el mismo desde la perspectiva de un cliente
Celerra. Por ejemplo, si un usuario escribe en un archivo en el directorio principal y luego
otro usuario lee un archivo en él, la solicitud del segundo usuario se completa utilizando los
datos en memoria caché del directorio principal del primer usuario. Dado que los archivos
tienen el mismo path, el sistema cliente supone que son el mismo archivo.
Realice las siguientes tareas para activar el directorio principal:
1. "Creación de la base de datos" en la página 45
2. "Activación de directorios principales en el Data Mover" en la página 45
3. "Creación del archivo de directorio principal" en la página 45
4. "Adición de directorios principales a perfiles de usuario" en la página 46
Nota: La función de directorio principal está desactivada de manera predeterminada.
Nota: Debe haber creado e iniciado el servicio CIFS antes de activar el directorio principal.
En sistemas de servidores Windows 2000 y Windows 2003, se puede activar y
administrar directorios principales por medio del snap-in de administración de
directorios principales de Celerra para MMC. En Installing Celerra Management
Applications, se proporciona información sobre cómo instalar el snap-in. La ayuda
en línea del snap-in describe los procedimientos para la activación y administración
de directorios principales.
Restricciones para usar el directorio principal
El nombre de recurso compartido especial HOME se reserva para la función de
directorio principal. Dada esta limitación, se aplican las siguientes restricciones:
u
u
u
La función de directorio principal no está disponible en servidores CIFS
configurados con seguridad de nivel SHARE o UNIX.
Si ha creado un recurso compartido denominado HOME, no podrá activar la
función de directorio principal.
Si ha activado la función de directorio principal, no puede crear un recurso
compartido llamado HOME.
Un directorio principal se configura en el perfil de usuario de Windows de un
usuario utilizando el path UNC:
\\<cifs_server>\HOME
donde:
<cifs_server> = dirección IP, nombre del equipo o nombre NetBIOS del
servidor CIFS.
HOME = un recurso compartido especial reservado para la función de directorio
principal. Cuando se utiliza HOME en el path del directorio principal de un usuario y
el usuario inicia sesión, el directorio principal del usuario se asigna automáticamente
a una unidad de red, y las variables de entorno HOMEDRIVE, HOMEPATH y
HOMESHARE se configuran automáticamente.
44 de 88 Versión 5.6.42
Creación de la base de datos
Paso
Acción
1.
Cree un archivo de base de datos llamado homedir para utilizar la función de directorio
principal. Asigna cada combinación de dominio o nombre de usuario a la ubicación del
directorio principal del usuario.
2.
Cree una nueva base de datos en el Data Mover durante la creación de la entrada inicial
utilizando el snap-in de MMC del directorio principal.
Nota: Se recomienda usar el plug-in de MMC de administración de Celerra para
crear y modificar entradas del directorio principal del usuario. El plug-in de MMC
valida las entradas a medidas que las escribe. Si crea o modifica el archivo
homedir y escribe una entrada incorrecta, es posible que el entorno del
directorio principal se vuelva inutilizable.
Activación de directorios principales en el Data Mover
Acción
Para activar directorios principales en el Data Mover después de crear la base de datos, escriba:
$ server_cifs <movername> -option homedir
donde:
Salida
server_2 : done
Creación del archivo de directorio principal
Necesita crear un directorio principal para cada usuario especificado en la base de datos.
Puede crear los directorios seleccionando la opción -create al crear o modificar entradas
del directorio principal. La ayuda en línea del plug-in de MMC de administración de
Celerra proporciona más información sobre la creación automática de directorios. En
"Apéndice A: Información adicional del directorio principal" en la página 82, se
proporciona más información sobre el archivo de la base de datos del directorio principal.
Acción
Para activar directorios principales en el Data Mover, escriba:
$ server_cifs <movername> -option homedir
donde:
Salida
server_2 : done
Versión 5.6.42
45 de 88
Adición de directorios principales a perfiles de usuario
Acción
Para permitir que los usuarios accedan a directorios principales individuales, debe asignar el
directorio principal en cada perfil de usuario con el siguiente path:
donde:
<cifs_server> = dirección IP, nombre del equipo o nombre NetBIOS del servidor CIFS
HOME
= nombre de recurso compartido especial reservado para la función de directorio principal
Realice estas tareas para agregar directorios principales para perfiles de usuario:
u
46 de 88 Versión 5.6.42
"Adición de directorios principales desde Windows 2000 o Windows Server
2003" en la página 47
u
"Adición de directorios principales desde Windows NT" en la página 48
u
"Adición de directorios principales con expresiones regulares" en la página 48
Adición de directorios principales desde Windows 2000 o Windows Server 2003
Paso
Acción
1.
Inicie sesión en un servidor Windows desde una cuenta de administrador de dominio.
2.
Haga clic en Start (Inicio) y seleccione Programs (Programas) > Administrative Tools
(Herramientas administrativas) > Active Directory Users and Computers (Usuarios y
equipos de Active Directory).
3.
Haga clic en Users (Usuarios) para mostrar los usuarios en el panel de la derecha.
4.
Haga clic con el botón secundario en un usuario y seleccione Properties (Propiedades).
Aparecerá la ventana Sample User Properties (Propiedades de usuario de ejemplo).
5.
Haga clic en la ficha Profile (Perfil) y en Home folder (Carpeta principal):
a. Seleccione Connect (Conectar).
b. Seleccione la letra de unidad que desea asignar al directorio principal.
c. En To (A), escriba:
donde:
<cifs_server> = dirección IP, nombre del equipo o nombre NetBIOS del servidor
CIFS.
6.
Versión 5.6.42
47 de 88
Adición de directorios principales desde Windows NT
Paso
Acción
1.
2.
(Herramientas administrativas) > User Manager for Domains (Administrador de usuarios
para dominios).
Aparecerá el User Manager for Domains (Administrador de usuarios para dominios).
3.
Haga doble clic en un nombre de usuario.
Aparecerá la ventana Sample User Properties (Propiedades de usuario de ejemplo).
4.
Haga clic en Profile (Perfil).
Aparecerá el cuadro de diálogo User Environment Profile (Perfil de entorno de usuario).
5.
En Home Directory (Directorio principal):
a. Seleccione Connect (Conectar).
b. Seleccione la letra de unidad que desea asignar al directorio principal.
c. En To (A), escriba:
donde:
<cifs_server> = dirección IP, nombre del equipo o nombre NetBIOS del servidor
CIFS.
6.
Adición de directorios principales con expresiones regulares
Paso
48 de 88 Versión 5.6.42
Acción
1.
2.
(Herrramientas administrativas) > Celerra Management.
Paso
Acción
3.
Haga clic con el botón secundario en el icono de la carpeta HomeDir y seleccione New >
home directory entry (Nueva > entrada de directorio principal). Aparecerá la pantalla de
propiedades del directorio principal.
4.
a. En Domain (Dominio), escriba una expresión regular. En este ejemplo, la expresión
coincide con cualquier nombre de dominio que comience con DOC.
b. En User (Usuario), escriba una expresión regular. En este ejemplo, el asterisco abarca
cualquier nombre de usuario.
c. En Path (Ruta), escriba:
\homedirs\
En este ejemplo, homedirs es el recurso compartido donde se almacenan los
directorios principales.
 es el nombre de inicio de sesión del usuario. Se creará un directorio con el mismo
nombre del nombre de inicio de sesión del usuario, si es que ya no existe.
5.
Objetos de política de grupo
Las siguientes secciones presentan los GPOs de Microsoft y cómo Celerra
Network Server proporciona soporte de GPO. Además, en esta sección, se aborda
la administración del soporte de GPO en Celerra Network Server.
Realice estas tareas para administrar el soporte de GPO:
u
"Visualización de la configuración del GPO" en la página 55
Versión 5.6.42
49 de 88
u
"Actualización de la configuración del GPO" en la página 58
u
"Desactivación del soporte de GPO" en la página 59
u
"Desactivación del almacenamiento en memoria caché del GPO" en la
página 60
Introducción a GPO de Microsoft
En Windows 2000 o Windows Server 2003, los administradores pueden utilizar la
política de grupo para definir las opciones de configuración para los grupos de
usuarios y computadoras. Los GPOs de Windows pueden controlar elementos
como la configuración local, de dominio y de seguridad de red. La configuración de
Política de grupo se almacena en GPOs vinculados a los contenedores del sitio, el
dominio y la unidad organizacional (OU) en Active Directory. Los controladores de
dominio replican GPOs en todos los controladores de dominio dentro de él.
Política de auditoría es un componente del snap-in de Data Mover Security
Settings que se instala como un snap-in de Microsoft Management Console (MMC)
en Celerra Management Console en un sistema Windows 2000 y Windows Server
2003. En Installing Celerra Management Applications, se proporcionan instrucciones
de instalación.
Puede utilizar políticas de auditoría para determinar los eventos de seguridad del
Data Mover que se registran en el log Security. Puede registrar intentos exitosos,
intentos fallidos, ambos o ninguno. Los eventos auditados se ven en el log
Seguridad del Visor de sucesos de Windows.
Las políticas de auditoría que aparecen en el nodo Audit Policy son un subconjunto
de las políticas disponibles como GPOs en Active Directory Users and Computers
(Usuarios y equipos de Active Directory). Estas políticas de auditoría son políticas
locales y se aplican solo al Data Mover seleccionado. No puede usar el nodo Audit
Policy para administrar las políticas de auditoría de GPO.
Si se define una política de auditoría como GPO en ADUC, la configuración de
GPO anula la configuración local. Cuando el administrador de dominio cambia una
política de auditoría en el controlador de dominio, ese cambio se refleja en el Data
Mover y se puede ver utilizando el nodo Audit Policy. Puede cambiar la política de
auditoría local, pero no entrará en vigencia hasta que se desactive el GPO para
esa política de auditoría. Si se desactiva la auditoría, la configuración de GPO
permanece en la columna de configuración Effective.
Nota: No puede utilizar las herramientas de Configuración de directiva local de Microsoft
Windows para administrar políticas de auditoría en un Data Mover, dado que en Windows
2000, Windows Server 2003 y Windows XP, las herramientas de configuración de directiva
local no permiten administrar políticas de auditoría de manera remota.
Soporte GPO en Celerra Network Server
Celerra Network Server proporciona soporte para GPOs recuperando y
almacenando una copia de la configuración del GPO para cada servidor CIFS
unido a un dominio de Windows 2000 o Windows Server 2003. Celerra Network
Server almacena la configuración del GPO en una memoria caché de GPO del
Data Mover. Si bien es posible que haya múltiples servidores CIFS en un Data
Mover, solo hay una memoria caché de GPO por Data Mover.
50 de 88 Versión 5.6.42
Cuando inicia el servicio CIFS en un Data Mover, Celerra Network Server lee la
configuración almacenada en la memoria caché del GPO y luego recupera la
configuración del GPO más reciente del controlador de dominio de Windows.
Celerra Network Server también recupera la configuración del GPO siempre que
un servidor CIFS de Celerra se une a un dominio con el comando server_cifs -Join.
Después de recuperar la configuración del GPO, Celerra Network Server actualiza
automáticamente la configuración en función del intervalo de actualización del dominio.
Si el intervalo de actualización no se define en el dominio, actualiza esta configuración
cada 90 minutos (valor predeterminado de actualización del Data Mover).
Puede forzar una actualización en cualquier momento ejecutando el comando
server_security. En "Actualización de la configuración del GPO" en la página 58,
se proporcionan instrucciones.
Configuración soportada
Celerra Network Server soporta actualmente la siguiente configuración de
seguridad del GPO:
Kerberos
u
Tolerancia máxima para la sincronización de relojes de computadoras
(desviación del reloj)
Nota: La sincronización de la hora se realiza por Data Mover, no por servidor CIFS. Si
configura múltiples servidores CIFS en un Data Mover para múltiples dominios, todos
los orígenes de hora de estos dominios se deben sincronizar.
u
Vida máxima para ticket de usuario
Política de auditoría
u
Auditar sucesos de inicio de sesión de cuenta.
u
Auditar la administración de cuentas.
u
Auditar el acceso del servicio de directorio.
u
Auditar sucesos de inicio de sesión.
u
Auditar el acceso a objetos.
u
Auditar el cambio de directivas.
u
Auditar el uso de privilegios.
u
Auditar el seguimiento de procesos.
u
Auditar sucesos del sistema.
Derechos de usuario
u
Tener acceso a este equipo desde la red.
u
Hacer copias de seguridad de archivos y directorios.
u
Omitir comprobación de recorrido.
u
Denegar el acceso desde la red a este equipo.
u
Comprobación de virus de EMC.
u
Generar auditorías de seguridad.
Versión 5.6.42
51 de 88
u
Administrar registro de seguridad y auditoría.
u
Restaurar archivos y directorios.
u
Tomar posesión de archivos y otros objetos.
Opciones de seguridad
u
Firmar digitalmente las comunicaciones del cliente (siempre).
u
Firmar digitalmente las comunicaciones del cliente (cuando sea posible).
u
Firmar digitalmente las comunicaciones del servidor (siempre).
u
Firmar digitalmente las comunicaciones del servidor (cuando sea posible).
u
Nivel de autenticación de LAN Manager.
Registros de eventos
u
Tamaño máximo del registro de la aplicación.
u
Tamaño máximo del registro de seguridad.
u
Tamaño máximo del registro del sistema.
u
Restringir el acceso de invitados al registro de la aplicación.
u
Restringir el acceso de invitados al registro de seguridad.
u
Restringir el acceso de invitados al registro del sistema.
u
Conservar el registro de aplicaciones.
u
Conservar el registro de seguridad.
u
Conservar el registro del sistema.
u
Método de retención del registro de la aplicación.
u
Método de retención del registro de seguridad.
u
Método de retención del registro del sistema.
Política de grupo
u
Desactivación de la actualización en segundo plano de la política de grupo.
u
Intervalo de actualización de la directiva de grupo para usuarios.
Múltiples servidores CIFS en un Data Mover
Los servidores CIFS en un Data Mover pueden tener configuraciones del GPO
diferentes si pertenecen a unidades organizacionales separadas. Cuando un Data
Mover tiene más de un servidor CIFS, el sistema procesa la auditoría del GPO y la
configuración del log de eventos, según se explica en la Tabla 4 en la página 53.
Las políticas de auditoría se resuelven mediante la combinación de la configuración
de múltiples servidores en el Data Mover y el uso de la configuración más segura.
Los servidores CIFS se procesan en el orden en que se unieron al dominio.
Las políticas del log de eventos se resuelven utilizando la configuración más
segura de todas las configuraciones relacionadas en el servidor CIFS. Por ejemplo,
para la configuración del tamaño máximo del log de aplicaciones, el sistema busca
en la configuración del tamaño del log de cada servidor en el Data Mover y utiliza
luego el tamaño más grande.
52 de 88 Versión 5.6.42
Tabla 4
Configuración del GPO que requiere resolución de conflictos (página 1 de 2)
Compartido en
el servidor CIFS
(Sí/No)
Requiere
resolución de
Valores posibles
conflictos (Sí/No)
Audit account logon
events (Auditar sucesos
de inicio de sesión de
cuenta)
Sí
Sí
“No Audit” (No hay auditoría),
“Success” (Correcto),
“Failure” (Error), “Success,
Failure” (Correcto, erróneo)
Audit account
management (Auditar
la administración de
cuentas)
Sí
Sí
Audit directory service
access (Auditar el acceso
del servicio de directorio)
Sí
Sí
Audit logon events
(Auditar sucesos
de inicio de sesión)
Sí
Sí
Audit object access
(Auditar el acceso a
objetos)
Sí
Sí
Audit policy change
(Auditar el cambio de
directivas)
Sí
Sí
Audit privilege use
(Auditar el uso de
privilegios)
Sí
Sí
Audit process tracking
(Auditar el seguimiento
de procesos)
Sí
Sí
Audit system events
(Auditar sucesos del
sistema)
Sí
Sí
Maximum application log
size (Tamaño máximo del
registro de la aplicación)
Sí
Sí
64 - 4194240
Maximum security log
size (Tamaño máximo del
registro de seguridad)
Sí
Sí
64 - 4194240
Maximum system log
size (Tamaño máximo
del registro del sistema)
Sí
Sí
64 - 4194240
Nombre de la
configuración
Auditoría:
Registros de eventos:
Versión 5.6.42
53 de 88
Tabla 4
Configuración del GPO que requiere resolución de conflictos (página 2 de 2)
Compartido en
el servidor CIFS
(Sí/No)
Requiere
resolución de
Valores posibles
conflictos (Sí/No)
Restrict guest access to
application log (Restringir
el acceso de invitados al
registro de la aplicación)
Sí
Sí
“Enabled” (Activado),
“Disabled” (Desactivado)
security log (Restringir el
acceso de invitados al
registro de seguridad)
Sí
Sí
system log (Restringir el
acceso de invitados al
registro del sistema)
Sí
Sí
Retain application log
(Conservar el registro
de aplicaciones)
Sí
Sí
“Overwrite events by days”
(Sobrescribir sucesos por
días), “Overwrite events as
needed” (Sobrescribir
sucesos cuando sea
necesario), “Do not overwrite
events” (No sobrescribir
sucesos)
Retain security log
de seguridad)
Sí
Sí
sucesos cuando sea
sucesos)
Retain system log
del sistema)
Sí
Sí
sucesos cuando sea
sucesos)
Retention method for
application log (Método
de retención del registro
de la aplicación)
Sí
Sí
0 - 365
security log (Método
de retención del registro
de seguridad)
Sí
Sí
0 - 365
system log (Método de
retención del registro
del sistema)
Sí
Sí
0 - 365
Nombre de la
configuración
54 de 88 Versión 5.6.42
Visualización de la configuración del GPO
Acción
Para mostrar la configuración del GPO actual para el Data Mover, utilice la siguiente sintaxis de
comandos:
$ server_security ALL -info -policy gpo
donde:
ALL = todos los Data Movers
Ejemplo:
Para mostrar la configuración del GPO para todos los servidores CIFS en todos los Data Movers,
escriba:
$ server_security ALL -info -policy gpo
Nota: Si un Data Mover no tiene ningún servidor CIFS unido a un dominio de Windows, el
comando server_security -info -policy gpo devuelve el siguiente mensaje de error: gpod isn’t
running
Nota: Cuando una configuración de derechos de usuarios (como la toma de propiedad de
archivos u otro objeto) está vacía, se configura, pero no se asigna a nadie para que tome la
propiedad de los archivos u objetos.
Versión 5.6.42
55 de 88
Salida
server_2:
Server compname: k10eqa19s2
Server NetBIOS: K10EQA19S2
Domain: dvt_f.celerraqa.emc.com
Kerberos Max Clock Skew (minutes): 5
Digitally sign client communications (always): Not defined
Digitally sign client communications (if server agrees): Enabled
Digitally sign server communications (always): Not defined
Digitally sign server communications (if client agrees): Enabled
Audit account logon events: Success
Audit account logon events server list: k10eqa19s2
Audit account management: No auditing
Audit account management server list: k10eqa19s2
Audit directory service access: Failure
Audit directory service access server list: k10eqa19s2
Audit logon events: Success, Failure
Audit logon events server list: k10eqa19s2
Audit object access: Success
Audit object access server list: k10eqa19s2,k10eqa19s3
Audit policy change: Success
Audit policy change server list: k10eqa19s3
Audit privilege use: Not defined
Audit process tracking: No auditing
Audit process tracking server list: k10eqa19s3
Audit system events: Success, Failure
Audit system events server list: k10eqa19s2,k10eqa19s3
Back up files and directories: *S-1-5-32-545,*S-1-5-21-602162358
-1580818891-1957994488-1110,*S-1-5-21-602162358-1580818891
-1957994488-1111,*S-1-5-21-602162358-1580818891-1957994488
-1113,*S-1-5-21-602162358-1580818891-1957994488-1114,
*S-1-5-21-602162358-1580818891-1957994488-1112,*S-1-5-32-552,
*S-1-5-4,*S-1-5-32-546,*S-1-1-0,*S-1-5-9,*S-1-5-1,*S-1-3-0,
*S-1-3-1,*S-1-5-3,*S-1-5-11,*S-1-5-7,*S-1-5-32-544
Restore files and directories: *S-1-5-32-54
Bypass traverse checking: Not defined
Generate security audits: *S-1-5-32-544,*S-1-5-32-545
Manage auditing and security log: *S-1-5-11,*S-1-5-32-544
Access this computer from the network: *S-1-5-32-544
Deny access this computer from the network: Not defined
Take ownership of files or other objects:
EMC Virus Checking: *S-1-5-32-546
Maximum security log size (Kilobytes): 576
Maximum security log size server list: k10eqa19s2
Restrict guest access to security log: Enabled
Restrict guest access to security log server list: k10eqa19s2
Retention period for security log: Not defined
Retention method for security log: Overwrite events as needed
Retention Method for security log server list: k10eqa19s2
Maximum system log size (Kilobytes): 1024
Maximum system log size server list: k10eqa19s2
Restrict guest access to system log: Enabled
Restrict guest access to system log server list: k10eqa19s2
Retention period for system log: Not defined
Retention method for system log: Do not overwrite events
Retention Method for system log server list: k10eqa19s2,k10eqa19s3
Maximum application log size (Kilobytes): 16384
Maximum application log size server list: k10eqa19s3
Restrict guest access to application log: Disabled
Restrict guest access to application log server list: k10eqa19s2
Retention period for application log (Days): 7
Retention period for application log server list: k10eqa19s2
Retention method for application log: Overwrite events by days
Retention Method for application log server list: k10eqa19s2
Disable background refresh of Group Policy: Not defined
Group Policy Refresh interval (minutes): 60
Refresh interval offset (minutes): 5
GPO Last Update time (local): Wed Sep 10 14:47:42 EDT 2007
GPO Next Update time (local): Wed Sep 10 15:50:42 EDT 2007
56 de 88 Versión 5.6.42
Visualización de la configuración del GPO para todos los servidores CIFS
Acción
Para mostrar la configuración del GPO para todos los servidores CIFS en el Data Mover server_2,
utilice la siguiente sintaxis de comandos:
$ server_security server_2 -info -policy gpo
Salida
server_2:
Server compname: l10efa19s2
Domain: securitytest.xxx.com
.
.
.
.
.
.
Server compname: 110efa19s3
Domain: ex.xxx.com
.
.
.
Visualización de la configuración del GPO para el servidor CIFS
Acción
Para mostrar la configuración del GPO para el servidor CIFS cifs_test123 en el Data Mover
server_2, utilice la siguiente sintaxis de comandos:
$ server_security server_2 -info -policy gpo server=cifs_test123
Salida
server_2:
Server: cifs_test123
Server NetBIOS: K10EQA19S2
Domain: xptest.xxx.com
Digitally sign server communications (always): Not defined
.
.
.
Versión 5.6.42
57 de 88
Visualización de la configuración del GPO para todos los Data Movers
Acción
Para mostrar la configuración del GPO para todos los Data Movers en el dominio xptest.xxx.com,
utilice la siguiente sintaxis de comandos:
$ server_security ALL -info -policy gpo domain=xptest.xxx.com
Salida
server_2:
.
.
.
.
.
.
.
.
.
Actualización de la configuración del GPO
Mientras el servicio de CIFS se está ejecutando o después de reiniciar el servicio
de CIFS, el Data Mover actualiza su configuración del GPO en función de uno de
los siguientes intervalos de actualización:
u
u
Si se define en el dominio, el intervalo de actualización se puede configurar
desde cero (actualizaciones cada 10 segundos) hasta 64.800 minutos
(actualizaciones cada 45 días).
Si no se define en el dominio, el Data Mover utiliza su valor de actualización
predeterminado de 90 minutos.
Realice estas tareas para las actualizaciones del GPO:
u
u
"Desactivación de actualizaciones automáticas del GPO" en la página 58
"Actualización de la configuración manual del GPO para todos los Data
Movers" en la página 59
Desactivación de actualizaciones automáticas del GPO
Para desactivar las actualizaciones automáticas del GPO, active la configuración
de desactivación de la actualización en segundo plano de la política de grupo.
Nota: Si esta política está activada, debe actualizar la política del GPO manualmente.
58 de 88 Versión 5.6.42
Cuando esta política está configurada, aparecerá lo siguiente en la salida del GPO:
Disable background refresh of Group Policy: Enabled
Group Policy Refresh interval (minutes): 90
Refresh interval offset (minutes): Not defined
GPO Background Update disabled, must be updated manually
Actualización de la configuración manual del GPO para todos los Data Movers
Si cambia las políticas de grupo por medio de MMC o Server Manager, puede
actualizar manualmente la configuración del GPO en Celerra Network Server,
como se muestra en este ejemplo..
Acción
Para forzar una actualización de la configuración del GPO para el Data Mover, utilice la siguiente
sintaxis de comandos:
$ server_security ALL -update -policy gpo
donde:
Ejemplo:
Para actualizar la configuración del GPO para todos los servidores CIFS en todos los Data
Movers de Celerra Network Server, escriba:
$ server_security ALL -update -policy gpo
Salida
server_2: done
Actualización de la configuración manual del GPO para el dominio especificado
Acción
Para forzar una actualización de la configuración del GPO para el Data Mover, utilice la siguiente
$ server_security ALL -update -policy gpo domain=<domain_name>
donde:
<domain_name> = nombre de dominio para el servidor CIFS
Ejemplos:
Para actualizar la configuración del GPO para todos los servidores CIFS en el dominio
NASDOCS, escriba:
$ server_security ALL -update -policy gpo domain=NASDOCS
Salida
server_2: done
Desactivación del soporte de GPO
El soporte de GPO está activado por Data Mover y de forma predeterminada.
Puede desactivar el soporte de GPO modificando los parámetros del sistema
explicados en esta sección. Al desactivar el soporte de GPO, Celerra no puede
acceder al controlador de dominio de Windows, y las funciones de Celerra
relacionadas utilizan automáticamente su propia configuración predeterminada.
Versión 5.6.42
59 de 88
adicional sobre el parámetro cifs gpo.
Acción
Para desactivar el soporte de GPO, utilice la siguiente sintaxis de comandos:
$ server_param <movername> -facility cifs -modify gpo -value 0
donde:
Ejemplo:
Para desactivar el soporte de GPO en server_2, escriba lo siguiente:
$ server_param server_2 -facility cifs -modify gpo
-value 0
Nota: Los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.
Salida
server_2 : done
Desactivación del almacenamiento en memoria caché del GPO
El Data Mover almacena en caché la configuración del GPO recuperada del
controlador de dominio de Windows. La memoria caché del GPO permite a un Data
Mover recuperar rápidamente la configuración del GPO incluso cuando el controlador
de dominio no está accesible.
Puede desactivar el almacenamiento en memoria caché del GPO si no desea que
el Data Mover utilice la configuración en memoria caché. Si está desactivado el
almacenamiento en memoria caché del GPO, el Data Mover debe recuperar la
configuración del controlador de dominio de Windows.
EMC Celerra Network Server Parameters Guide proporciona información adicional
sobre el parámetro cifs gpocache.
Nota: Si desactiva el almacenamiento en memoria caché del GPO, y Celerra Network
Server no puede acceder al controlador de dominio de Windows, las funciones de Celerra
relacionadas usan su propia configuración predeterminada. Por ejemplo, el valor
predeterminado para Tolerancia máxima para la sincronización de relojes de computadoras
es cinco minutos.
Acción
Para desactivar el almacenamiento en memoria caché del GPO, utilice la siguiente sintaxis de
comandos:
$ server_param <movername> -facility cifs -modify gpocache -value 0
donde:
Ejemplo:
Para desactivar el almacenamiento en memoria caché del GPO en server_2, escriba lo siguiente:
$ server_param server_2 -facility cifs -modify gpocache
-value 0
Nota: Los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.
60 de 88 Versión 5.6.42
Salida
server_2 : done
Soporte de flujos de datos alternativos
Con el lanzamiento de Windows NT, Microsoft introdujo Windows NT File System
(NTFS) y el concepto de flujos de datos alternativos (ADS). Esta función también
se conoce como múltiples flujos de datos (MDS). Los flujos de datos son recursos
independientes que almacenan datos de un archivo y también información sobre
él. A diferencia del sistema de archivos FAT; en el que un archivo comprende solo
un flujo de datos, NTFS utiliza flujos de datos diferentes para almacenar el archivo
y los metadatos del archivo (por ejemplo, derechos de acceso del archivo,
encriptación, información de fecha y hora e información gráfica).
Microsoft creó originalmente ADS para que un servidor que use NTFS pueda
actuar como un file server para clientes Macintosh. El sistema de archivos
jerárquicos (HFS) de Macintosh usa dos elementos básicos para representar
archivos, como se muestra en la Tabla 5 en la página 61.
Tabla 5
Elementos de HFS
Elemento
Propósito
Bifurcación de datos
Almacena datos para un archivo
Bifurcación de recursos
Almacena información sobre un
archivo
Los archivos de NTFS contienen un flujo de datos primario y, opcionalmente, uno o
más flujos de datos alternativos. El flujo de datos primario actúa como la
bifurcación de datos, y los flujos de datos alternativos actúan como las
bifurcaciones de recursos.
Para los archivos, puede ver y configurar esta información adicional desde la ficha
Summary, en el cuadro de diálogo Properties del archivo, como se muestra en
Figura 2 en la página 62.
Versión 5.6.42
61 de 88
Figura 2 Cuadro de diálogo Properties: ficha Summary (Resumen)
Soporte de ADS en Celerra Network Server
Celerra Network Server soporta ADS para archivos y directorios.
La siguiente lista proporciona información adicional sobre el soporte de ADS en
Celerra Network Server:
u
u
Los flujos de directorios son soportados en puntos de montaje. Si un file system
se monta en un punto de montaje, solo los flujos de directorios del directorio
raíz del file system montado están visibles. Si no se monta un file system, los
flujos del punto de montaje están visibles.
Hay un límite de 64.000 flujos por archivo o directorio. Esto es varias veces el
límite al que se llegó experimentalmente en Windows NTFS.
Desactivación del soporte de ADS
El soporte de ADS está controlado por el parámetro del sistema shadow stream y
está activado de manera predeterminada. Si bien hay casos extraños en que
posiblemente sea mejor desactivar el soporte de ADS, se recomienda que lo deje
activado.
62 de 88 Versión 5.6.42
adicional sobre el parámetro shadow stream.
Acción
Para desactivar el soporte de ADS, utilice la siguiente sintaxis de comandos:
$ server_param <movername> -facility shadow -modify stream -value
0
donde:
Ejemplo:
Para desactivar el soporte de ADS en server_2, escriba lo siguiente:
$ server_param server_2 -facility shadow -modify stream -value 0
Salida
server_2 : done
Soporte de SMB
SMB es el protocolo subyacente utilizado por el protocolo CIFS para solicitar
servicios de archivos, impresión y comunicaciones de un servidor a través de una
red mediante puertos TCP. El nivel de protocolo es negociado por el cliente y el
servidor al establecer una nueva conexión SMB. Celerra soporta SMB1 y SMB2.
De manera predeterminada, SMB1 está activado. Utilice el comando server_cifs
para activar el soporte de SMB2.
Nota: El soporte del protocolo SMB2 está disponible a través de sistemas Microsoft
Windows Vista y Microsoft Windows 2008. SMB2 es compatible con Unicode.
Versión 5.6.42
63 de 88
Activación del protocolo SMB2
Acción
Para activar el protocolo SMB2, utilice la siguiente sintaxis de comandos:
$ server_cifs <movername> -add security=NT,dialect=SMB2
donde:
Ejemplo:
Para activar el protocolo SMB2 en server_2, escriba lo siguiente:
$ server_cifs server_2 -add security=NT,dialect=SMB2
Salida
done
Desactivación del protocolo SMB2.
Acción
Para desactivar el protocolo SMB2 y activar el protocolo SMB1, utilice la siguiente
$ server_cifs <movername> -add security=NT,dialect=NT1
donde:
Ejemplo:
Para desactivar el protocolo SMB2 y activar el protocolo SMB1, en server_2, escriba:
$ server_cifs server_2 -add security=NT,dialect=NT1
Salida
done
Enlace simbólico
El protocolo SMB2 soporta enlaces simbólicos como UNIX. El cliente SMB2 puede
crear un enlace simbólico utilizando el comando mklink de Microsoft Vista. Este
enlace es transparente para la aplicación y permite el acceso al objeto del file
system de destino (archivo o directorio).
Los diferentes tipos de enlaces disponibles para utilizar el enlace simbólico en un
sistema son:
u
u
u
u
64 de 88 Versión 5.6.42
El destino del enlace puede ser un archivo o un directorio. Ambos se soportan.
La creación de un enlace en un destino no existente también se soporta.
Los enlaces simbólicos absolutos son enlaces que señalan al path absoluto del
archivo o la carpeta, por ejemplo, C:\windows.
Los enlaces simbólicos relativos son enlaces que señalan a un archivo o
directorio utilizando el path relativo, por ejemplo, ..\..\file.txt.
Los enlaces simbólicos de Universal Naming Conventions (UNC) son enlaces
que señalan a un archivo o directorio de red, por ejemplo,
\\server\share1\dir\foobar.txt.
Creación de un enlace simbólico a un archivo con un path relativo
Acción
Para crear un enlace simbólico que señale a un archivo con un pathname relativo desde una
consola de MS DOS en el cliente SMB2, escriba:
cd foobar
mklink target0 file0.txt
mklink target1 myData\applicationData\file1.txt
mklink target2.log ..\otherData\file2.log
Salida
d:\temp>mklink link0.txt report.txt
symbolic link created for link0.txt <<===>> report.txt
d:\temp>
Nota: La creación del enlace simbólico con un path absoluto o un path de UNC funciona de
la misma forma. Al crear un enlace simbólico a un directorio, utilice mklink /d para indicar un
directorio.
Firma de SMB
La firma de SMB es un mecanismo utilizado para garantizar que un paquete no
haya sido interceptado, cambiado o reproducido. El proceso de firma solo
garantiza que el paquete no haya sido modificado por un tercero. El proceso de
firma no garantiza la intercepción ni la reproducción. El proceso de firma agrega
una firma de 8 bytes a cada paquete de SMB1. SMB2 usa una firma de 16 bytes. El
cliente y el servidor usan esta firma para verificar la integridad del paquete.
Para que el proceso de firma de SMB funcione, el cliente y el servidor de una
transacción deben tener activada la firma de SMB. De manera predeterminada, los
controladores de dominio de Windows Server 2003 requieren que los clientes usen
la firma de SMB. La firma de SMB está activada de manera predeterminada en
todos los servidores CIFS creados en Data Movers.
Nota: La firma de SMB es una opción en dominios de Windows NT (SP 4 o posterior),
Windows 2000 y Windows Server 2003.
Los Data Movers usan la firma de SMB del lado del cliente y del servidor en función
de la situación. A continuación se encuentran algunos ejemplos de cuándo un Data
Mover usa cada tipo de firma:
u
El Data Mover actúa como servidor:
• Cuando un cliente asigna un recurso compartido.
• Con CDMS.
u
El Data Mover actúa como cliente:
• Cuando recupera la configuración del GPO.
• Con CDMS.
Versión 5.6.42
65 de 88
Resolución de firma de SMB
En dominios de Windows, puede configurar de manera independiente las firmas de
SMB del lado del servidor y del cliente. Las tres posibles configuraciones para las
firmas del lado del servidor y del cliente son las siguientes:
u
u
u
Obligatoria: el cliente o el servidor requiere que se utilice la firma de SMB en
todas las transacciones.
Habilitada: el cliente o el servidor soporta la firma de SMB, pero no la requiere
para las transacciones.
Deshabilitada: el cliente o el servidor no soporta ninguna firma de SMB.
La firma de SMB está activada en una conexión CIFS según los criterios en el
servidor DART y en el cliente CIFS. Los criterios son una adición a los dos bits:
enabled y required. Los criterios se calculan de acuerdo con la siguiente secuencia
de los tres parámetros en DART:
1. El parámetro cifs.smbSigning
2. La configuración del GPO
3. Los valores del registro
El cliente CIFS ejecuta su propio algoritmo para definir sus propios bits: enabled y
required. La matriz explicada en Tabla 6 en la página 66 y Tabla 7 en la página 66
se aplica para determinar si la firma está activada para esa conexión o no.
Tabla 6
Matriz de resolución para la firma de SMB1
Servidor
Cliente
Tabla 7
SMB1
Obligatoria
Activada
Desactivada
Obligatoria
Firmada
Firmada
Error
Activada
Firmada
Firmada
No firmada
Desactivada
Error
No firmada
No firmada
Matriz de resolución para la firma de SMB2
Servidor
Cliente
SMB2
Obligatoria
Activada
Obligatoria
Firmada
Firmada
Activada
Firmada
No firmada
Nota: El valor predeterminado del parámetro cifs.smbSigning no se debe modificar.
Puede administrar las firmas de SMB con las siguientes tareas:
u
66 de 88 Versión 5.6.42
"Configuración de la firma de SMB con el parámetro smbsigning" en la
página 67
u
"Desactivación de la firma de SMB en un Data Mover" en la página 67
u
"Configuración de firma de SMB con GPOs" en la página 67
u
"Configuración de la firma de SMB con el Registro de Windows" en la
página 68
Configuración de la firma de SMB con el parámetro smbsigning
El parámetro cifs smbsigning controla las firmas de SMB en el Data Mover y afecta
a todos los servidores CIFS en él. Este parámetro se configura en el Data Mover
individual o Celerra Network Server. Este parámetro controla las firmas del lado del
cliente y del servidor y anula cualquier GPO de firma de SMB configurado para el
dominio.
adicional sobre el parámetro smbsigning.
Nota: La firma de SMB está activada de manera predeterminada en Celerra Network
Server y en los dominios de Windows Server 2003.
Desactivación de la firma de SMB en un Data Mover
Acción
Para desactivar la firma de SMB, utilice la siguiente sintaxis de comandos:
$ server_param <movername> -facility cifs -modify smbsigning value 0
donde:
Ejemplo:
Para desactivar el soporte de la firma de SMB en server_2, escriba lo siguiente:
$ server_param server_2 -facility cifs -modify smbsigning
-value 0
Salida
server_2: done
Configuración de firma de SMB con GPOs
Si desea controlar de manera independiente la firma de SMB del lado del servidor y del
cliente, puede configurar los GPOs como se muestra en la Tabla 8 en la página 68.
Estos GPOs se encuentran debajo de la Figura 3 en la página 68, Configuración de
seguridad de dominios predeterminada, y se pueden configurar desde cualquier
controlador de dominio. La política de grupo se configura en Active Directory y afecta
a todas las máquinas en el dominio.
Nota: La configuración de firma de SMB por medio de GPOs afecta a todos los clientes
y servidores dentro del dominio y anula la configuración individual del Registro.
Versión 5.6.42
67 de 88
Los cuatros GPOs relevantes están resaltados en Figura 3 en la página 68.
Figura 3 Los GPOs con firma de SMB en la configuración de seguridad del dominio predeterminada
Configuración de la firma de SMB con el Registro de Windows
Tabla 8
GPOs con firma de SMB
Configuración
predeterminada
para Data Mover
Nombre del GPO
Qué controla
Microsoft network server: Digitally sign
communications (always) (Servidor de red
Microsoft: firmar digitalmente las
comunicaciones [siempre])
Si el componente SMB del
Disabled
lado del servidor requiere firma (Desactivado)
Microsoft network server: Digitally sign
communications (if client agrees) (Servidor
de red Microsoft: firmar digitalmente las
comunicaciones [si el cliente lo permite])
lado del servidor tiene activada
la firma
Disabled
(Desactivado)
Microsoft network client: Digitally sign
communications (always) (Cliente de redes
de Microsoft: firmar digitalmente las
comunicaciones [siempre])
lado del cliente requiere firma
Disabled
(Desactivado)
Microsoft network client: Digitally sign
communications (if server agrees) (Cliente
de redes de Microsoft: firmar digitalmente las
comunicaciones [si el servidor lo permite])
lado del cliente tiene activada
la firma
Enabled (Activado)
También puede configurar la firma de SMB por medio del Registro de Windows. Si
no hay un servicio de GPO disponible, como en un entorno Windows NT, se utiliza
la configuración del Registro.
68 de 88 Versión 5.6.42
La configuración del registro afecta solo al servidor o al cliente individual que
configure. La configuración del registro se establece en estaciones de trabajo y
servidores de Windows individuales y afecta estaciones de trabajo y servidores de
Windows individuales. Hay cuatro configuraciones del Registro: dos para las firmas
del lado del servidor y dos para las firmas del lado del cliente, y funcionan de la
misma forma que los GPOs con firma de SMB.
Nota: La siguiente configuración del Registro pertenece a Windows NT con SP 4 o
posterior. Estas entradas del Registro existen en Windows 2000 y Windows Server 2003,
pero se deben configurar por medio de GPOs.
Firma del lado del servidor
La configuración del lado del servidor se encuentra en:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
lanmanserver\parameters\
La Tabla 9 en la página 69 muestra las entradas del Registro de la firma de SMB
del lado del servidor.
Tabla 9
Entradas del Registro de la firma de SMB del lado del servidor
Entrada del Registro
Valores
Propósito
enablesecuritysignature
0 disabled (default)
Determina si está activada
la firma de SMB.
1 enabled
requiresecuritysignature
1 enabled
Determina si se requiere
la firma de SMB.
Firma del lado del cliente.
La configuración del lado del cliente se encuentra en:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
lanmanworkstation\parameters\
La Tabla 10 en la página 69 muestra las entradas del Registro de la firma de SMB
del lado del cliente.
Tabla 10 Entradas del Registro de la firma de SMB del lado del cliente
Entrada del Registro
Valores
Propósito
enablesecuritysignature
0 disabled
Determina si está activada
la firma de SMB.
1 enabled (default)
requiresecuritysignature
1 enabled
Determina si se requiere
la firma de SMB.
Versión 5.6.42
69 de 88
Cambio automático de la contraseña del equipo
Un administrador de sistema pueda activar cambios de contraseña del equipo
realizando una de las siguientes acciones:
u
u
u
Configuración de un GPO a un intervalo de cambio de contraseña. El Data Mover
recupera esta política y la aplica a todos los servidores CIFS del dominio.
Configuración del parámetro cifs srvpwd.updtMinutes, que se anula mediante la
política del GPO.
La modificación del intervalo de cambio de contraseña para un servidor CIFS
en particular utilizando la interfaz srvpwd, que se anula mediante una política
del GPO.
El parámetro del sistema cifs srvpwd.updtMinutes permite configurar el intervalo de
tiempo en el que el Data Mover cambia contraseñas con el controlador de dominio.
adicional sobre el parámetro cifs srvpwd.updtMinutes.
Modificación del intervalo de tiempo para los cambios de
contraseñas
Acción
Para modificar el intervalo de tiempo del cambio de contraseña, utilice la siguiente
$ server_param <movername> -facility cifs -modify
srvpwd.updtMinutes -value <new_value>
donde:
<new_value> = intervalo de tiempo mínimo entre los cambios de contraseña del
servidor CIFS
= 0 (permite cambiar la contraseña del servidor después de 7 días menos
1 hora)
= 720 (permite cambiar la contraseña del servidor después de 12 horas)
= 1440 (permite cambiar la contraseña del servidor después de 24 horas)
Ejemplo:
Para configurar el intervalo de contraseña a un día (1.440 minutos), escriba:
$ server_param server_2 -facility cifs -modify srvpwd.updtMinutes
-value 1440
Salida
server_2: done
Creación de un file system como log de seguridad
De manera predeterminada, cada Data Mover almacena su log de seguridad de
Windows en c:\security.evt, cuyo límite de tamaño es de 512 KB. Puede acceder
directamente a este log de seguridad mediante el recurso compartido C$ de cada
Data Mover, como se muestra a continuación:
\\<netbiosnameofdatamover>\C$\security.evt
70 de 88 Versión 5.6.42
En un servidor de Windows, la ubicación predeterminada es
C:\WINNT\System32\config\security.evt. Si una aplicación intenta acceder al log de
seguridad de Windows de un Data Mover en esa ubicación, fallará. No obstante,
puede cambiar la ubicación y el límite de tamaño del log de seguridad de Windows
del Data Mover.
Puede acceder al log de seguridad de Windows de un Data Mover de una de las
siguientes maneras:
u
u
Uso del Visor de sucesos de Microsoft
Uso de una aplicación que permita la lectura del formato de log de sucesos de
Microsoft
Paso
Acción
1.
Cree un file system para almacenar el log de seguridad en su nueva ubicación.
2.
Monte el file system en el Data Mover en un punto de montaje llamado /WINNT y
compártalo.
3.
Desde un cliente CIFS, conecte el nuevo recurso compartido WINNT en el Data Mover
y cree lo siguiente en el directorio WINNT:
System32\config
Esto le permite acceder al siguiente path:
\\<netbiosnameofdatamover>\C$\WINNT\System32\config
4.
Como administrador de dominio, realice los siguientes pasos utilizando el Editor del
Registro de Windows:
ADVERTENCIA
La modificación incorrecta del Registro puede provocar problemas
serios en todo el sistema, que posiblemente requieran una nueva
instalación. Utilice esta herramienta con prudencia.
a. Ejecute el Registry Editor (Editor del Registro) (regedt32.exe).
b. En el menú Registry (Registro), seleccione Select Computer (Seleccionar
equipo) y elija el nombre NetBIOS del Data Mover.
c. Desde el menú Window (Ventana), seleccione el subárbol Hkey Local Machine
on Local Machine y vaya a la siguiente clave:
System\CurrentControlSet\Services\Eventlog\Security
d. Seleccione la siguiente cadena:
[File: REG_EXPAND_SZ:c:\security.evt]
e. En el menú Edit (Edición), seleccione String (Cadena).
f. Edite la cadena con la siguiente información:
c:\WINNT\System32\config\security.evt
g. Haga clic en OK (Aceptar) y salga del Registry Editor (Editor del Registro).
Todos los eventos de seguridad de Windows en el Data Mover se registran ahora en la
nueva ubicación del log de eventos de seguridad.
Versión 5.6.42
71 de 88
Administración de dominios de Windows
Los servidores CIFS de Celerra actúan como servidores miembros en dominios de
Windows y proporcionan almacenamiento de datos para usuarios de dominios. Los
datos almacenados en los file systems CIFS de Celerra incluyen metadatos de
seguridad (DACLs, SACLs y propiedad) asociados con los SIDs de dominio (IDs de
seguridad) desde los que se derivan las cuentas CIFS.
Soporte de migración de dominios
Dada la política de fin del ciclo de vida de Microsoft, es posible que necesite
realizar la migración de dominios de una versión del dominio a otra. Durante y
después del proceso de migración de dominios de Windows, los datos generados
por cuentas de usuario en el dominio de origen deben ser accesibles para las
cuentas de usuarios en el dominio de destino.
Nota: La migración de dominios es una tarea compleja que no se trata en este documento. La
documentación de Microsoft proporciona información detallada sobre la migración de dominios.
Para cumplir los requisitos de disponibilidad de datos durante y después de la
migración de dominios, Celerra Network Server proporciona dos opciones del
comando server_cifs: -Migrate y -Replace. Estas opciones actualizan los IDs de
seguridad generados para recursos creados por usuarios CIFS en un dominio de
Windows (origen) a otro dominio de Windows (destino) de las siguientes formas:
u
u
server_cifs -Migrate: Actualiza todos los SIDs desde un dominio de origen
a los SIDs de un dominio de destino haciendo coincidir los nombres de cuenta
del usuario y del grupo en el dominio de origen con los nombres de cuenta del
usuario y del grupo en el dominio de destino. La interfaz que se especifica en
esta opción consulta al servidor local y luego a sus controladores de dominio de
origen y destino correspondientes para buscar el SID de cada objeto.
server_cifs -Replace: Actualiza todos los SIDs de un file system con los
SIDs de dominio del destino correspondiente. La interfaz que especifica en esta
opción consulta al servidor local y luego a su controlador de dominio de destino
correspondiente para buscar el SID de cada objeto y el SID histórico.
El Manual de referencia de comandos de EMC Celerra Network Server proporciona
una descripción detallada del comando server_cifs.
72 de 88 Versión 5.6.42
La Tabla 11 en la página 73 muestra las opciones que puede usar con los diferentes
dominios durante el proceso de migración de dominios de Windows y después de él.
Tabla 11 Opciones de soporte de seguridad para migración de dominios de Windows
Dominio de origen
Windows NT
Dominio de destino
Windows NT:
2003:
Windows 2000 o Windows
Server
Opción de migración
Opciones de migración
y reemplazo
Opción de migración
Opciones de migración
y reemplazo
Consideraciones operativas
Revise lo siguiente antes de utilizar las opciones del comando server_cifs -migrate
y -replace:
u
u
Se debe establecer una relación de confianza entre los dominios de origen y
de destino. Es un requisito de Microsoft para la migración de dominios.
Las cuentas de usuario y de grupo deben coincidir con los dominios de origen
y de destino:
• La opción de migración no requiere la ejecución de ningún tipo de
herramienta de migración de dominios con anterioridad.
• La opción de reemplazo requiere que primero realice la migración de
cuentas utilizando una herramienta de migración de dominios.
u
Para la opción de migración:
• Deben existir los controladores de dominios de origen y destino.
• Siempre y cuando se establezca una relación de confianza entre el dominio
de origen y de destino, puede especificar la misma interfaz o nombre
NetBIOS en el comando server_cifs.
• Para usar interfaces o nombres NetBIOS diferentes, debe configurar dos
servidores CIFS distintos en el Data Mover para los dominios de origen y
destino.
u
u
La opción de reemplazo proporciona una cuota por usuario o grupo.
Después de ejecutar una actualización del grupo local, detenga e inicie el
servicio de CIFS en el Data Mover para asegurarse de que se hayan realizado
todos los cambios en el dominio de destino. En "Detención del servicio de CIFS"
en la página 41 y "Inicio del servicio CIFS" en la página 42, se proporciona más
información.
Versión 5.6.42
73 de 88
Resolución de problemas
Como parte de su esfuerzo continuo por mejorar y optimizar el performance y las
capacidades de sus líneas de productos, EMC lanza periódicamente nuevas
versiones de las herramientas de hardware y software Celerra. En consecuencia,
es posible que algunas de las funciones que se describen en este documento no
se soporten en todas las versiones de hardware y software que se encuentran en
uso actualmente. Para obtener la información más reciente acerca de las funciones
de cada producto, consulte las notas de la versión del producto correspondiente.
Si un producto no funciona correctamente o de la manera que se describe en este
documento, póngase en contacto con su representante de EMC.
Dónde obtener ayuda
Inicie sesión en el sitio Web de EMC Powerlink, vaya a Soporte > Solicitar Soporte.
Para abrir una solicitud de servicio, debe contar con un acuerdo de servicio válido.
Comuníquese con su representante del Servicio al Cliente de EMC para obtener
detalles sobre cómo obtener un acuerdo de servicio o para formular preguntas
sobre su cuenta.
Resolución de problemas: para obtener información sobre la resolución de
problemas, vaya a Powerlink, busque Celerra Tools y seleccione Celerra
Troubleshooting en el panel de navegación de la izquierda.
Servicio técnico: para obtener servicio técnico, visite Servicio al Cliente de EMC
en Powerlink. Inicie sesión en el sitio Web de EMC Powerlink, vaya a Soporte >
Solicitar Soporte. Para abrir una solicitud de servicio por medio de Powerlink,
debe contar con un acuerdo de servicio válido. Comuníquese con un representante
del Servicio al Cliente de EMC para obtener detalles sobre cómo obtener un acuerdo
de servicio válido o para formular preguntas sobre su cuenta.
Nota: No solicite un representante de servicio específico a menos que ya se le haya
asignado uno para su problema específico del sistema.
Problem Resolution Roadmap for EMC Celerra contiene información adicional
sobre el uso de Powerlink y la resolución de problemas.
EMC E-Lab Interoperability Navigator
EMC® EMC E-LabTM Interoperability Navigator es una aplicación basada en Web
en la que se pueden realizar búsquedas y que brinda acceso a matrices de soporte
de interoperabilidad de EMC. Se encuentra disponible en el sitio Web de EMC
Powerlink® en http://Powerlink.EMC.com. Inicie sesión en Powerlink y haga clic en
Soporte > Información de Interoperabilidad y de Ciclo de Vida de Productos >
E-Lab Interoperability Navigator.
74 de 88 Versión 5.6.42
Problemas y limitaciones conocidos
La Tabla 12 en la página 75 describe los problemas conocidos que pudieran ocurrir
al administrar Celerra para un entorno Windows y presenta soluciones alternativas.
Tabla 12 Problemas conocidos del entorno de Windows y soluciones alternativas (página 1 de 5)
Problema conocido
Efecto
Solución alternativa
Con la autenticación de
usuario NT, algunos
clientes de Windows 95
tal vez no podrían
asignar unidades de
disco desde el Data
Mover.
El nombre de dominio
enviado por el cliente al Data
Mover se especificó
incorrectamente, o el
username.domain no fue
asignado en el archivo de
contraseña en el Data
Mover.
Verifique que el cliente está enviando
el nombre de dominio correcto al
archivo de contraseña en el Data
Mover.
usuario NT, aparecen los
siguientes mensajes de
error "Incorrect
password" o "unknown
username" después de
intentar conectarse al
servidor; aparecerá la
ventana de nombre de
usuario y contraseña.
Es posible que falte la
cuenta de usuario Windows
NT del dominio PDC, o que
el Data Mover no haya
podido determinar un UID
para este usuario.
Agregue el usuario Windows NT al
PDC del dominio y asigne el usuario
a un UID y nombre de usuario UNIX.
No se pueden crear
archivos ni directorios en
un recurso compartido
que se asigna a un
cliente.
Los bits de permisos de
UNIX no están configurados
para otorgar permiso para
que el usuario escriba en un
directorio compartido.
Cambie la política de acceso o monte
el directorio a través de NFS en la
Control Station o en cualquier otro
cliente UNIX, y utilice chmod para
configurar el permiso UNIX adecuado
para permitir al usuario escribir en él.
Para verificar que el cliente esté
enviando el dominio correcto:
1. En la opción Network del Panel
de control, haga doble clic en el
cliente de la red (Cliente para
Redes Microsoft).
2. En las propiedades generales,
compruebe que se muestra el
nombre de dominio correcto.
Nota: Esta situación se da
si la política de acceso está
configurada de manera
incorrecta. En
Administración de EMC
Celerra para un entorno de
múltiples protocolos, se
proporciona más
información.
Versión 5.6.42
75 de 88
Problema conocido
Efecto
Los clientes Windows no
se pueden conectar con
un servidor utilizando
contraseñas de texto
claras. (Por ejemplo,
esto puede suceder
cuando Celerra Network
Server está en el modo
UNIX).
El redirector de SMB
administra contraseñas no
encriptadas de manera
diferente a las versiones
anteriores de Windows NT.
El redirector de SMB no
envía una contraseña no
encriptada a menos que
agregue una entrada del
Registro para permitir el uso
de contraseñas no
encriptadas.
Debe modificar el Registro para
activar las contraseñas no
encriptadas.
Es posible que aparezca
el siguiente mensaje de
error:
The Account is not
authorized to
login from this
station
ADVERTENCIA
La modificación incorrecta del
Registro puede provocar problemas
serios en todo el sistema, que
posiblemente requieran una nueva
instalación. Utilice esta herramienta
con prudencia.
1. Ejecute el Registry Editor (Editor
del Registro) (Regedt32.exe).
2. En el subárbol
HKEY_LOCAL_MACHINE, vaya a
la siguiente clave:
System\CurrentControlSet\
Services\rdr\parameters
a. Debajo de esta clave, cree una
nueva clave del Registro DWORD
llamada EnablePlainTextPassword
b. Configure su valor en 1
c. Reinicie el equipo
4. Seleccione Add Value (Agregar
valor) en el menú Edit (Edición).
5. Agregue lo siguiente:
Value Name (Nombre de
valor):
EnablePlainTextPassword
Data Type (Tipo de datos):
REG_DWORD
Data (Datos): 1
6. Haga clic en OK (Aceptar) y salga
del Registry Editor (Editor del
Registro).
7. Apague y reinicie Windows NT.
Nota: Utilice GPOs para clientes
Windows 2000 y Windows Server
2003.
Este procedimiento se adaptó desde
el ID del artículo: Q166730 de
Microsoft Knowledge Base.
76 de 88 Versión 5.6.42
Problema conocido
Efecto
usuario NT, el cliente no
se puede conectar al
servidor, por lo que no
aparecerá la ventana de
nombre de usuario y
contraseña en el lado del
cliente.
No se encontró el
controlador de dominio
para el dominio.
Controle si el PDC o el BDC está
activado. Controle si el Data Mover
puede acceder a un servidor WINS
que conozca el dominio PDC o que
tenga el PDC o el BDC en la misma
subred local del Data Mover.
o
El nombre NetBIOS del
servidor no se registró como
una cuenta para
computadora en el dominio
PDC, o no se ha establecido
una relación de confianza
entre los dominios cliente y
servidor.
Es posible que aparezca el
siguiente mensaje en el
server_log:
Agregue una cuenta de equipo al
PDC. Si la cuenta para computadora
ya existe, quítela y agréguela
nuevamente antes de volver a
ingresar el comando. La
documentación del servidor 4.0 de
Microsoft NT proporciona información
acerca de la configuración de una
relación de confianza entre los
dominios.
The SAM database on
the Windows NT server
does not have a
complete account for
this workstation
trust relationship.
Después de unir un
servidor CIFS a un
dominio, aparecerá el
siguiente error en la
salida de server_cifs,
que indica que el sistema
no puede actualizar el
registro DNS:
Es posible que la zona del
servidor DNS incluya el
mismo FQDN para otra
cuenta de computadora.
Compruebe que la zona del servidor
DNS no tenga el mismo FQDN con
una dirección de IP distinta para otra
cuenta de computadora.
FQDN=dm4-a140ana0.c1t1.pt1.c3la
b.nsgprod.emc.com
(Update of "A"
record failed
during update:
Operation refused
for policy or
security reasons)
Versión 5.6.42
77 de 88
78 de 88 Versión 5.6.42
Problema conocido
Efecto
Cuando intente unir un
servidor CIFS a un
dominio, aparecerá el
siguiente mensaje de
error:
Error 4020:
server_2 : failed
to complete
command
Possible
server_log error
messages:
2004-03-11
13:42:29: SMB: 3:
DomainJoin::getAdm
inCreds:
gss_acquire_cred_e
xt failed:
Miscellaneous
failure. Clients
credentials have
been revoked.
2004-03-11
13:42:29: ADMIN:
3: Command failed:
domjoin
compname=dm3-A121ana0
domain=c1t1.pt1.c3
lab.nsgprod.emc.co
m admin=c1t1admin
password=6173399D1
79D3999673D init
Se bloqueó la cuenta del
administrador de dominio.
Comúnmente, esto sucede
cuando otro usuario ha
iniciado sesión en otro
sistema con la misma cuenta
de administrador.
Desmarque la casilla de verificación
Account is locked out (La cuenta
está bloqueada) en la ficha Account
(Cuenta) de la ventana User
Account Properties (Propiedades
de la cuenta de usuario).
Si crea el equipo sin
activar la opción Allow
pre-Windows 2000
computers to use this
account (Permitir a
equipos con versiones
anteriores a Windows
2000 utilizar esta
cuenta), aparecerá el
siguiente mensaje de
error:
0xC0000022
2004-04-26
10:49:40: SMB: 3:
Srv=<Celerra_netbi
os_name>
buildSecureChanel=
Authenticate2Inval
idReply
E=0xc0000022
Se deniega el acceso
porque, cuando el equipo se
creó en el controlador de
dominio, no se activó la
opción Allow pre-Windows
2000 computers to use this
account (Permitir a equipos
con versiones anteriores a
Windows 2000 utilizar esta
cuenta) en el cuadro de
diálogo Windows New
Object - Computer (Nuevo
objeto/equipo de Windows).
Elimine el equipo y vuelva a crearlo
con la opción Allow pre-Windows
2000 computers to use this
account (Permitir a equipos con
versiones anteriores a Windows 2000
utilizar esta cuenta) activada.
Problema conocido
Efecto
Al actualizar de un
dominio Windows NT a
Windows 2000, no se
puede cambiar el sufijo
del dominio original
durante la instalación de
Windows 2000.
No hay posibilidad de
cambiar el sufijo del dominio
porque fue codificado de
manera indeleble en DDNS.
Antes de la actualización, cambie
el sufijo del dominio.
Se deniega el acceso a
Servicios de Información
de Internet 6.0 (IIS) al
intentar conectarse al
directorio Web en un
recurso compartido
Celerra.
Para un servidor CIFS
independiente con el soporte
de usuario local activado,
el nombre de usuario y la
contraseña deberán ser los
mismos en IIS 6.0, en el
Data Mover y en el cliente.
Especifique idénticos nombres de
usuario y contraseñas en IIS 6.0,
en el Data Mover y en el cliente.
En el log web de IIS, el
error: bad user name
or password se
muestra incluso a pesar
de que el nombre de
usuario y la contraseña
estén en la base de
datos del usuario local.
Mensajes de error
A partir de la versión 5.6, todos los mensajes de estado, las alertas y los nuevos
eventos proporcionan información detallada y acciones recomendadas para
ayudarlo a resolver problemas.
Para ver información detallada de los mensajes, utilice alguno de los siguientes
métodos:
u
Celerra Manager:
• Haga clic con el botón secundario sobre un mensaje de estado, alerta o
evento, y seleccione ver Event Details, Alert Details o Status Details.
u
Celerra CLI:
• Utilice el comando nas_message -info <message_id> para recuperar
información detallada sobre un error específico.
u
EMC Celerra Network Server Error Messages Guide:
• Utilice esta guía para hallar información sobre mensajes que se encuentren
en formato de mensaje de una versión anterior.
u
Powerlink:
Utilice el texto de la descripción breve del mensaje de error o el ID del mensaje
para realizar búsquedas en Knowledgebase, en Powerlink. Inicie sesión en
Powerlink y haga clic en Soporte > Búsqueda en Knowledgebase > Búsqueda
de Soluciones de Soporte.
Versión 5.6.42
79 de 88
Construcción de mensajes de error de server_log
El formato del código de evento puede ayudar a reducir el rango de búsqueda de
un mensaje. Existen varios componentes en el comienzo de cada línea que, por lo
general, son consistentes en todo el log de eventos. Por ejemplo, los mensajes de
eventos típicos presentan el siguiente formato:
2007-09-16 18:27:21: NFS: 3:
2007-09-16 18:27:23: CFS: 3:
2007-09-16 18:27:23: LIB: 6:
commit failed, status = NoPermission
Failed to open file, status NoPermission
last message repeated 1 times
El Manual de referencia de comandos de EMC Celerra Network Server
proporciona información detallada sobre server_log. Este mecanismo de log usa
las siguientes funcionalidades de log típicas de varios sistemas:
u
u
u
La primera parte indica la fecha y la hora del evento de log.
La segunda parte es el subsistema del código Celerra que informó el evento
(por ejemplo, NFS, CFS y LIB).
La tercera parte es un código de clasificación, que es típico en funcionalidades
de log de eventos. La información acerca de los códigos de clasificación se
puede encontrar en la mayoría de los sistemas UNIX bajo el archivo de encabezado
syslog.h, en el directorio /usr/include/sys.
Las definiciones de los códigos de clasificación posibles que soporta Celerra
Network Server son las siguientes:
#define
#define
#define
#define
#define
#define
#define
#define
u
LOG_EMERG
LOG_ALERT
LOG_CRIT
LOG_ERR
LOG_WARNING
LOG_NOTICE
LOG_INFO
LOG_DEBUG
0
1
2
3
4
5
6
7
/*
/*
/*
/*
/*
/*
/*
/*
system is unusable */
action must be taken immediately */
critical conditions */
error conditions */
warning conditions */
normal but signification condition */
informational */
debug-level messages */
La cuarta parte describe la condición de error. La condición de error en las
primeras dos líneas de los ejemplos no necesita explicación. Las operaciones
que se realizan son "commit" y "open", con la condición de error NoPermission.
Otros tipos de eventos no son tan descriptivos.
Códigos de error Kerberos
Los códigos de error Kerberos son estados que generalmente muestra el
subsistema SMB. Estos se pueden reconocer en los eventos registrados por la
existencia de un número negativo elevado.
Ejemplo
2007-07-24 16:29:35: SMB: 3:
-1765328160
SSXAK=c0020030 origin=401 stat=e0000,
Debido a que Kerberos está estandarizado, existen recursos públicos donde
buscar los significados de la mayoría de estos códigos de estado.
Códigos de estado NT
Los códigos de estado NT se reportan para las funciones de emulación de CIFS o
de Microsoft Windows en los productos Celerra. Los códigos de estado NT son
valores de 32 bits sin firmar que se separan en subgrupos de datos binarios que
identifican las particularidades del estado de un evento. Los valores de 32 bits se
distribuyen de la siguiente manera:
80 de 88 Versión 5.6.42
3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1
1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0
+---+-+-+-----------------------+-------------------------------+
|Sev|C|R|
Facility
|
Code
|
+---+-+-+-----------------------+-------------------------------+
donde:
Sev es el código de severidad:
00 - Success
01 - Informational
10 - Warning
11 - Error
C es el indicador del código de cliente.
R es un bit reservado.
Facility es el código de la funcionalidad.
Code es el código de estado de la funcionalidad.
Por lo común, los códigos de estado NT aparecen en el server_log con una
especificación de subsistema SMB. El código de estado NT se presenta de
diferentes maneras en los eventos de sistemas registrados. Entre los más
frecuentes, se encuentran:
u
Un número hexadecimal precedido por Em=0x:
SMB: 4: authLogon=SamLogonInvalidReply Es=0x0
Em=0xc0000064
u
Un número hexadecimal simple sin prefijo ni indicación de su formato:
SMB: 4: SSXAuth_SERVER_EXT13 aT=3 mT=1 c0000016
u
Un número hexadecimal simple con prefijo reply= sin indicación del formato:
SMB: 4: lookupNames:bad reply=c0000073
u
Un número hexadecimal simple con prefijo failed= sin indicación del formato:
SMB: 4: SessSetupX failed=c0000016
u
Un número hexadecimal marcado claramente como NTStatus= pero sin
indicación del formato:
SMB: 4: MsError sendLookupNames=21 NTStatus=c0000073
Programas de capacitación para clientes
Los programas de capacitación para clientes de EMC están diseñados para ayudarlo
a aprender la manera en que interoperan los productos de almacenamiento de EMC
y se integran en el entorno para maximizar toda la inversión en infraestructura. Los
programas de capacitación para clientes de EMC incluyen capacitación en línea y
práctica en los laboratorios de última generación, que se encuentran distribuidos en
todo el mundo para brindar gran comodidad. Los programas de capacitación para
clientes de EMC son desarrollados e impartidos por expertos de EMC. Para obtener
más información sobre los programas y registrarse, inicie sesión en Powerlink,
nuestro sitio Web para clientes y partners, y seleccione el menú Capacitación.
Versión 5.6.42
81 de 88
Apéndice A: Información adicional del directorio principal
En esta sección, se proporciona información adicional relacionada con la función
de directorio principal opcional que se describe en "Activación de directorios
principales" en la página 43. La información incluida en esta sección está dirigida a
los usuarios que crean o mantengan configuraciones de directorios principales.
Formato de base de datos del directorio principal
Esta sección describe el formato de las entradas en la base de datos del directorio
principal.
Se recomienda usar el snap-in de MMC del directorio principal para crear y mantener
el directorio principal. El snap-in valida entradas y ayuda a garantizar que las
entradas sean correctas y completas.
La tabla que se incluye a continuación incluye el formato básico de la base de
datos del directorio principal.
Formato
La base de datos incluye una entrada para cada usuario y utiliza el siguiente formato:
<domain>:<username>:</path> [:regex][:create][:ro][:<umask>]
donde:
<domain> = nombre de dominio de Windows (debe ser el nombre NetBIOS y no el FQDN)
<username> = nombre de usuario de Windows del usuario
</path> = path UNIX del directorio principal primario
create = directorio de destino que se creará en caso de que no exista
regex = el dominio y el nombre de usuario son expresiones regulares
ro = acceso de archivos de solo lectura (el valor predeterminado es lectura/escritura)
<umask> = user file-creation <mask> para que umask determine permisos NFS para el recurso
compartido
La base de datos puede incluir comentarios. Los comentarios comienzan con un # en una nueva
línea.
Ejemplo:
El siguiente es un ejemplo de una base de datos:
# Comment - These entries specify users in the galaxy domain.
galaxy:glenn:/mnt1/usr1
galaxy:grissom:/mnt2/usr2
galaxy:armstrong:/mnt2/usr3
donde:
# = carácter que precede el texto de comentarios
galaxy = dominio de Windows
glenn, grissom, and armstrong = nombres de usuario
/mnt1/usr1,/mnt/usr2, and /mnt/usr3 = directorios principales individuales para glenn,
grissom y armstrong, respectivamente.
82 de 88 Versión 5.6.42
Formato
Comodines
Los archivos de mapa pueden incluir entradas de comodines. En "Comodines" en la página 83,
se proporciona más información.
Ejemplo:
El siguiente ejemplo es una base de datos con entradas de comodines:
*:*:/mnt3/guest
galaxy:*:/mnt3/CIFS
galaxy:glenn:/mnt1/usr1
galaxy:grissom:/mnt2/usr2
galaxy:armstrong:/mnt2/usr3
Creación
Los archivos de mapa pueden indicar que los directorios se deben crear automáticamente. El
directorio primario debe existir. En el siguiente ejemplo, las ventas del directorio deben existir
antes de que se pueda crear el directorio usr1.
Ejemplo:
El siguiente es un ejemplo de una base de datos con una entrada de directorio que se creará
automáticamente:
galaxy:glenn:/mnt1/sales/usr1:create
Expresiones regulares
Las entradas de archivos de mapa pueden incluir expresiones regulares. La ayuda en línea del plugin de Celerra Management MMC proporciona una completa explicación sobre expresiones regulares.
Ejemplo:
El siguiente es un ejemplo de una base de datos con entradas de expresiones regulares:
nasdocs:*:/ufs/user4/<d>/:regex:create
nasdocs:^[a-g]:/ufs/user1/<d>/:regex:create
nasdocs:^[h-p]:/ufs/user2/<d>/:regex:create
nasdocs:^[q-z]:/ufs/user3//:regex:create
Umask
Los archivos de mapa pueden incluir una máscara de permisos NFS que configura los permisos
sobre directorios y archivos recientemente creados. Esta máscara no afecta la ACL de CIFS.
Nota
Cada campo de la base de datos debe estar separado por “:” delimitador.
Comodines
Los archivos de mapa pueden incluir comodines (*) para los campos de dominio y
nombre de usuario. Los comodines permiten asignar directorios principales a múltiples
usuarios sin realizar entradas individuales para cada usuario en la base de datos.
Por ejemplo, si el campo de nombre de usuario incluye un comodín, todos los
usuarios del dominio especificado coinciden con la entrada del comodín. En esta
situación, un directorio con el nombre de usuario de Windows del usuario en su
path se convierte en el directorio principal del usuario.
Por lo tanto, si la base de datos incluye la siguiente entrada:
galaxy:*:/mnt3/CIFS/
todos los usuarios en el dominio galaxy pueden acceder a directorios principales
en /mnt3/CIFS/ que coincidan con sus nombres de usuario. Por ejemplo, user1 en
el dominio galaxy puede acceder al directorio principal /mnt3/CIFS/user1, y user2
puede acceder al directorio principal /mnt3/CIFS/user2.
Las entradas de comodines se deben colocar al comienzo de la base de datos,
seguidas de las entradas específicas. En "Orden de análisis" en la página 84, se
proporciona más información.
Versión 5.6.42
83 de 88
Expresiones regulares
Puede utilizar expresiones regulares cuando especifica los nombres de usuario y
los directorios.
Nota: Se recomienda que utilice el plug-in de Celerra Management MMC para crear y
editar nombres de usuario y directorios al utilizar expresiones regulares. El plug-in de MMC
valida las expresiones regulares a medida que las escribe. Si crea o modifica el archivo
.homedir y escribe expresiones regulares incorrectas, es posible que el entorno del
directorio principal se vuelva inutilizable.
La ayuda en línea del plug-in de Celerra Management MMC proporciona información
adicional sobre la implementación de expresiones regulares en Celerra.
Orden de análisis
El Data Mover analiza la base de datos de principio a fin. Si utiliza comodines,
posiblemente haya múltiples coincidencias para un par dominio:usuario. Cuando el
Data Mover encuentra una coincidencia para un par dominio:usuario, busca luego el path
para el directorio del usuario. Si hay un directorio del usuario en el path, ese directorio se
asigna como el directorio principal del usuario. Si no hay un directorio coincidente, el Data
Mover continúa analizando la base de datos en busca del directorio principal del usuario.
Por ejemplo, hay una base de datos que incluye las siguientes entradas de comodín:
galaxy:*:/homes1/
galaxy:*:/homes2/
galaxy:*:/homes3/
Está intentando asignar un directorio HOME para user1, y las estructuras de directorio
son las siguientes:
/homes1/user1 – does not exist
/homes2/user1 – does exist
/homes3/user1 – does not exist
Si el Data Mover buscó solo una coincidencia galaxy:user1, detendría el análisis en
la primera entrada del mapa. No obstante, el Data Mover, después de encontrar una
coincidencia galaxy:user1, busca el path para un directorio user1. Si no encuentra
un directorio de user1, el Data Mover continúa el análisis de la base de datos. En los
ejemplos anteriores, el Data Mover buscaría la coincidencia en la segunda entrada y
después asignaría ese directorio como el directorio principal para user1.
Cuentas de invitados
Para usuarios ocasionales o invitados, puede especificar un directorio de invitados
en la base de datos. Los usuarios que inician sesión en los dominios no mencionados
en la base de datos se dirigen al directorio de invitados. Una entrada del directorio
de invitados incluye comodines para el dominio y el nombre de usuario, como se
muestra en el siguiente ejemplo:
*:*:/mnt3/guest
Desactivación de directorios principales en el Data Mover
Utilice la siguiente sintaxis de comandos para desactivar directorios principales en
el Data Mover:
$ server_cifs <movername> -option homedir=no
donde:
84 de 88 Versión 5.6.42
Índice
A
acceso, desactivación total 41
Active Directory
adición del servidor CIFS a 29, 31, 33, 35
creación de cuentas de equipo en 25
adición
alias 15
servidor WINS 11
alias
asignación a un nombre NetBIOS 15
asignación a un servidor CIFS 15
convenciones de nombres 14
definición de 14
eliminación 16
visualización 17
alias, nombre de equipo 21
autoridad de unión, delegación 25
B
base de datos del directorio principal
formato 82
bloqueos oportunistas de archivos 36
C
cambio de archivos
opciones de notificación 39
seguimiento 37
Celerra Manager: Advanced Edition 3
Celerra Manager: Basic Edition 3
CIFS
comprobación de la configuración actual 10, 11
detención 41
inicio 42
resolución de problemas 74
cifs.smbsigning 67
comando server_mount 35
comentarios
modificación 19
visualización de la CLI 19
visualización desde Windows 19
configuración
comprobación de CIFS 10, 11
DNS 11
unión del servidor al dominio 29, 31, 33, 35
configuración, GPOs 51
contraseña de equipo, cambio automático de 70
contraseña, cambio automático de 70
D
desactivación
todo el acceso 41
directorios principales
adición a perfiles de usuario 46
adición desde Windows NT 48
creación 45
descripción general 43
restricciones 44
DNS
administración 11
cambio de la configuración 11
E
eliminación
servidor CIFS para Windows 2000 43
servidor CIFS para Windows NT 43
escrituras sincrónicas, garantía 35
expresiones regulares 84
Extensiones 3
F
file system
garantía de escrituras sincrónicas 35
oplocks 36
re-exportación 39
Firma de SMB
configuración 67
firma de SMB
configuración 67, 69
configuración con GPOs 67
firma, SMB 65
formato, base de datos del directorio principal 82
G
GPOs
actualización de la configuración 58
actualización manual de la configuración del GPO 59
configuración CNS soportada 51
configuración con firma de SMB 67
configuración soportada 51
desactivación del almacenamiento en memoria caché 60
desactivación del soporte 59
servicio 50
visualización de la configuración 58
I
información relacionada 5
L
lista, configuración de CIFS 10, 11
log de seguridad, creación 71
M
MDS
en Celerra 62
mensajes de error 79
migración de dominios, soporte de 72
Versión 5.6.42
85 de 88
N
namespace desligado 26, 33
NetBIOS
adición de alias a 15
cambio de nombre 12
nombre NetBIOS
ocultación 28, 30, 32, 34
notificación, de cambios de archivos 37
O
opción cifssyncwrite 35
oplocks 36
P
parámetros
djAddAdminToLg 25
perfiles de usuario, adición de directorios principales 46
R
recursos compartidos
restricciones de nombres 18
re-exportación de file systems 39
resolución de nombres, WINS 11
resolución de problemas 74
S
servicio de CIFS
definición 5
detención 41
inicio 42
servidor CIFS
definición 4
delegación de la autoridad de unión 25
eliminación para Windows 2000 43
eliminación para Windows NT 43
SIDs, actualización de dominio de destino 72
Snap 3
soporte de múltiples flujos de datos 61
W
WINS, adición de un servidor 11
86 de 88
Versión 5.6.42
Notas
Versión 5.6.42
87 de 88
Acerca de este documento
Como parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de la línea de productos Celerra Network
Server, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que
algunas de las funciones que se describen en este documento no se soporten en todas las versiones de las herramientas de hardware y
software Celerra que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto,
consulte las notas de la versión del producto correspondiente. Si su sistema Celerra no cuenta con alguna de las funciones que se describen
en este documento, póngase en contacto con su representante de Servicio al Cliente de EMC para obtener una actualización de hardware o
software.
Comentarios y sugerencias acerca de la documentación
Sus sugerencias nos ayudarán mejorar la exactitud, organización y calidad general de la documentación para usuarios. Envíe un mensaje de
correo electrónico a [email protected] para darnos su opinión acerca de este documento.
Copyright © 1998-2008 EMC Corporation. Todos los derechos reservados.
EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin
previo aviso.
LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA "TAL CUAL". EMC CORPORATION NO SE HACE RESPONSABLE NI
OFRECE GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE,
RENUNCIA A TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO.
El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software
correspondiente.
Para consultar el documento regulatorio más actualizado para su línea de productos, visite la sección Documentación Técnica y Asesorías en
EMC Powerlink.
Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en
argentina.emc.com.
Todas las otras marcas comerciales incluidas en este documento pertenecen a sus respectivos propietarios.
88 de 88 Versión 5.6.42

Administración de EMC Celerra para el entorno

Transcripción

Documentos relacionados

Catálogo de Navigator GPS