Андрей Смирнов
Время чтения: ~13 мин.
Просмотров: 166

Настройка отказоустойчивого файлового сервера на Windows Server 2012 R2

Главная  »  Server 2012   »   Настройка файлового сервера Windows Server 2012

Системные администраторы часто сталкиваются с проблемой размещения файлов пользователей а именно с созданием файлового сервера Windows Server 2012  в сети и как потом предоставить к ним доступ, причем только нужным пользователям!

Одним из главных понятий в этом вопросе является термин: общий ресурс, под которым подразумевается устройство или часть информации к которой можно предоставить доступ, и получить этот доступ с другого компьютера.

Важно понимать, что общим ресурсом может быть не только папка а еще: принтер, сканер, картинки, еще важно знать, что создатель файла может легко предоставить к нему доступ, без каких-либо специфических настроек.

Файловый сервер настройка:

Для этого создайте папку например с именем: «Обмен»

Важно: Для всех настроек вы должны обладать правами Администратора

Давайте теперь назначим на эту папку разрешения. Для того что бы это сделать мы кликаем по ней правой кнопкой мыши и выбираем пункт «Свойства»

В появившимся окне переходим на вкладку «Доступ» и назначаем определенные разрешения именно на эту сетевую папку путем перехода в пункт «Расширенная настройка»

Ставим галочку напротив надписи: открыть общий доступ к этой папке, после чего нам необходимо добавить пользователей которые будут иметь доступ к этой папке с определенными правами, для того что бы выбрать конкретных пользователей из Active Directory нажмите вкладку «Разрешения»

Мы попали в настройки разрешения общего доступа, что вы выбрать пользователя который будет иметь доступ, нажмите «Добавить»

В AD мы создавали тестового пользователя с именем «Тест» если вы не знаете, как добавить пользователя в оснастку Active Directory прочитайте эту статью.

Итак назначим учетной записи Тест полный доступ к этой папке, для этого введите имя «Тест» в поле выбираемых объектов после чего кликаем «Проверить имена«

Так же добавляем еще один параметр для общего доступа, для этого нажмите ПКМ по папке и перейдите по пунктам: «Общий доступ»«Отдельные люди» В появившимся окне в поле для ввода имени вводим «Тест» и кликаем «Добавить» (желательно в данной папке выставить пользователям права на Чтение и запись)

Как только пользователь определился в чек-боксе разрешить выставим «Полный доступ к данной папке» и нажмем «Ок» Идентичную операцию проделываем с Администраторами Самое главное это путь к сетевой папке, для чего он нужен я расскажу чуть ниже, сейчас просто выберете «Свойства» сетевой папки и запомните «Сетевой путь» Итак, настало самое интересное, подключение данной сетевой папки к пользователю Тест. Для этого заходим на пользовательский компьютер под учетной записью Администратор Жмем сочетание клавиш «Win + R» у вас должна появиться командная строка в которой необходимо написать сетевой путь а именно: «\server» и нажать «Enter» Далее подключаем данную папку как сетевой диск, для этого щелкаем правой кнопкой мыши по папке «Обмен» и выбираем раздел «Подключить сетевой диск…» Что бы выполнить подключение нажмите «Готово»

Для того что бы проверить настройку и факт добавления сетевой папки у пользователя, войдем под учетной записью Тест! Если вы откроете «Мой компьютер» то вы увидите подключенную сетевую папку «Обмен»

И как видим все прошло удачно. Если у вас возникли вопросы по теме, можете смело писать их в комментарии, я по возможности постараюсь ответить и не забываем подписываться на рассылку!

—> > —> займ наличными — ЕвроКредит.руwindows-server-file-services-000.jpgФайловый сервер на базе Windows Server, ну что может быть проще! Открыл общий доступ и работай. Казалось бы, придумать что-то новое здесь трудно. Однако не спешите делать скоропалительные заявления. Windows Server 2008 R2 предоставляет в руки администратора богатые инструменты по управлению файловым сервером. О некоторых из них мы расскажем в этой статье. С чего начинается создание роли файлового сервера? Нет, не с создания общей папки, а, как и создание любой другой роли, с оснастки Роли в Диспетчере сервера. Выберем роль Файловые службы и посмотрим, что мы можем установить.Как видим выбор довольно богат, не будем пока трогать продвинутые службы, каждая из которых требует, минимум, отдельной статьи, а установим собственно службы Файлового сервера и Диспетчера ресурсов. Следующим шагом нам будет предложено настроить наблюдение над томами хранилища. Настраивать наблюдение за системным диском мы не видим смысла, поэтому выбираем только те тома, которые будут использоваться для хранения пользовательских данных.Завершим установку роли и создадим необходимые общие ресурсы. Но не спешите открывать доступ пользователям, сначала посмотрим какие возможности по управлению хранилищем предоставляет нам система. Для этого запустим Диспетчер ресурсов файлового сервера.Начнем по порядку, а именно с Управления квотами, оснастка позволяет устанавливать квоты как к тому хранилища в целом, так и отдельным ресурсам. Квоты могут быть мягкими, когда о превышении квоты уведомляется администратор, и жесткими, когда запись на том (общий ресурс) блокируется. По умолчанию для тома уже выставлена мягкая квота в 85%, это позволит избежать ситуации, когда место на дисках внезапно закончится, администратор будет своевременно предупрежден и будет иметь возможность расширить том или удалить ненужные данные. Для любого общего ресурса или папки на томе можно создать свою квоту, при создании квоты можно использовать один из шаблонов или установить все параметры вручную. В нашем случае мы создали для папки Users жесткую квоту 200+50 Мб, по превышению квоты администратор будет уведомлен, а пользователь сможет записать еще 50 Мб, после чего запись будет блокирована.Следующим шагом перейдем к шаблонам, данный раздел уже содержит некоторое количество готовых настроек и мы можем создавать здесь новые. Мы рекомендуем задавать собственные настройки квот именно через шаблоны, это позволит быстро применить однотипные настройки сразу к нескольким ресурсам и столь-же быстро изменить их в случае необходимости.Разобравшись с квотами, перейдем к блокировке файлов. Не секрет, что пользователи хранят на общих ресурсах и то, что надо и то, что не надо, в частности очень любят размещать там коллекции фото, видео, музыки, причем часто не ограничиваясь одной папкой, а растаскивая одно и тоже содержимое по массе папок. В результате дисковое пространство стремительно сокращается, а у администратора появляется еще одна головная боль. Можно, конечно, бороться административными мерами, но как показывает практика — это малоэффективно.Сразу перейдем к шаблонам. Эврика! Это то, что нам надо.Уже готовы настройки для блокирования основных типов «проблемных» файлов. Блокировка может быть активной, когда размещение данных типов файлов не допускается, или пассивной, когда об этом только уведомляется администратор. При необходимости можно создать свои шаблоны или отредактировать текущие. Определение того, что именно относится к тому или иному типу содержимого производится в разделе Группы файлов.В нашем случае мы создали активную блокировку аудио и видео содержимого для общего ресурса Users. Теперь самое время проверить, как это работает на практике. Попробуем превысить квоту:Или записать запрещенное содержимое:Как видим все работает и админ может спать спокойно. Но наш рассказ будет неполным, если не рассказать об отчетах, которые раскрывают перед администратором широкие возможности контроля и анализа использования файлового хранилища. Каждый из вас наверное ни раз задавался вопросом: кто из пользователей занял все место и чем именно. Теперь получить ответ можно за считанные минуты, для этого переходим в раздел Управление ресурсами хранилища и создаем новый отчет, в котором указываем интересующие нас показатели, также можно настроить автоматическое формирование необходимых отчетов по расписанию.Отчеты формируются в формате HTML и могут быть просмотрены как локально, так и удаленно, все что вам понадобится — это браузер. Ниже несколько примеров отчетов:

Как видим, файловые службы в Windows Server 2008 R2 это не только и не столько общие папки, за которыми в админской среде закрепилось меткое название «файлопомойка», а мощные средства контроля и управления, которые позволяют создать структурированное и управляемое файловое хранилище любых масштабов. Дата: 06.02.2015 Автор Admin

Выберите следующие роли и установите их.

Далее создайте структуру папок на отдельном диске.

732eb2500a6f3482bab32db50a957797.png

Теперь включим общий доступ.

Выберите «расширенная настройка»

8c0ad609ecf110fd74c816c9a25d9794.png

Далее выберите «Разрешения» и установите права как на скриншоте.

2328fc5fcd464f8b766728e42723da48.png

Теперь нам нужно создать структуру прав для наших каталогов в Active Directory.

Для начала рассмотрим из чего состоит наша файловая структура.

Теперь на ее основе создадим в Active Directory OU — File Sharing

Переходим в консоль пользователи и компьютеры, и создаем OU

Аналогичным путем создадим структуру наших папок

8b4459060be7ac348fbb2cc93da90f83.png

Теперь создадим комплекты прав.

Начнем мы с верхних папок.

Создадим 2-е локальные группы с правами RW и RO , и 2-е глобальные группы с правами RW и RO, и одну локальную L группу для листинга.

Разберем почему именно так.

В глобальных группах хранятся пользователи, для правильной работы глобальные группы входят в локальные.

Локальные группы назначаются на папки. Их членами являются глобальные группы.

Локальные группы лучше использовать если у вас 1 домен, если доменов несколько и между ними настроено доверие нужно использовать универсальные группы.

Рассмотрим на практике, создадим комплект прав для папки Office_Files.

Создадим 2-е глобальные группы :

GD-Office_Files-RO

GD-Office_Files-RW

Создадим локальные группы:

LD-Office_Files-RO

LD-Office_Files-RW

LD-Office_Files-L

569715cc8eb3ad193ad920e3a1c4f9d9.png

Глобальные группы входят в локальные

5025aeb8e42b39ae62496cc9af4918fb.png

Теперь настроим права на папке.

Откройте свойство папки и выберите вкладку безопасность

Добавьте созданные локальные группы

Расставьте права на чтение и запись

Теперь нажмите кнопку «Дополнительно»

879dcbf72eb9d37f7721a971059daeb5.png

Теперь нужно установить права на листинг

Выберите L группу и нажмите изменить

Теперь установите параметры как на скриншоте ниже

b35e15708a91f0d3067a551951217805.png

Обратите внимание что мы даем доступ только на листинг и только для данной папки.

Это нужно для того чтобы пользователь получивший права на папку не смог попасть в каталоги ниже если у него нет соответствующих прав.

Для корректной работы добавим в эту группу пользователей домена, чтобы они могли видеть корень каталога.

d99e883d4123f7f8db80bfbd70f838f2.png

Также отключите наследование прав от корневого каталога диска.

95641c23f5b02244f97feadbfbb78f88.png

По аналогии настроим права на каталог Moscow.

Создадим группы:

GD-Moscow-RO

GD-Moscow-RW

LD-Moscow-RO

LD-Moscow-RW

LD-Moscow-L

В Active Directory это должно выглядеть так:

Теперь настроим права на папку:

Настроим листинг.

Теперь настроим нижний каталог — HR.

Создаем группы по аналогии.

GD-MoscowHR-RO

GD-MoscowHR-RW

LD-MoscowHR-RO

LD-MoscowHR-RW

Должно получится так

7689aae4d514c18b9cde21ced9e35672.png

Теперь добавим группы GD-MoscowHR-RO и GD-MoscowHR-RW в группу LD-Moscow-L

16d4e408669c8c0810ec0e7c1eeb9ef0.png

Это нужно для того чтобы пользователи у которых нет прав на папку Moscow могли попасть во вложенную папку HR.

При этом открывать файлы в папке Moscow они не смогут.

Настроим права на папку.

5f2f6e181bf1c5d6520cc87ba43e0fdb.png

По аналогии создадим права на остальные папки.

Теперь добавим пространство имен.

Откроем консоль DFS и создадим пространство имен.

2fe51066e010faf4ec3153f1f36b83e4.png

Указываем наш сервер.

d7f014083bcf7e5761904f6491c20d48.png

Указываем название пути DFS.

58a31870dc418cdc7c2a3da235eab1b2.png

Включаем режим 2008.

4edd07c6362a52e16a13916fcf02fabd.png

Создаем пространство.

a6c1dedecff2127f556666fae055dbfd.png

Теперь создадим папку.

e957fed0790a08992f4b1dcfab7b63cf.png

Далее указываем путь к папке. Путь можно посмотреть тут, выбрав «open share».

50ef23c60c0f06a814280bb28b34359f.png

Создаем папку.

b1a1b122854ea864be758e03132ea16c.png

Теперь по данному пути — \test.comofficeOffice Мы видим нашу общую папку.

Теперь если добавить пользователя в группу GD-MoscowHR-RW, он сможет попасть в папку HR, но не сможет открывать или редактировать файлы в папке Moscow.

В другие папки пользователь тоже попасть не сможет.

Если мы добавим пользователя в группу GD-Moscow-RW, он будет иметь доступ на всю папку Moscow, на чтение и запись.

Если мы добавим пользователя в группу GD-Office_Files-RW, он получит доступ ко всем каталогам.

Теперь рассмотрим настройку ABE.

Создайте следующую структуру в Active Directory.

Откройте общий доступ к папке.

5a491c857cada4b40fb9fd703f6d31ab.png

Настройте права на папках.

И так далее.

Теперь создайте папку в DFS.

82ac13363d2ea1ed68f80be7e8641f6d.png

Должно получится так.

a639704f70787b47ab5c750ada033af0.png

Теперь включим ABE.

В диспетчере сервера откройте «Файловые службы» — «Общие ресурсы».

Выберите каталог IT, и нажмите свойства.

2d25da3ca1b703220bec6a35ab81d629.png

Далее выбираем параметры, и включаем функцию — «Перечисление на основе доступа».

afc5de52bf9155a6b1935feb43146435.png

Особенность функции ABE в том что она проверяет права пользователя до того как нужно показать папки в проводнике.

Другими словами, пользователь видит только те папки на которые у него есть права.

Для примера дадим пользователю support права на папку Support (добавим его в группу — GD-IT-Support-RW)

Теперь перейдем по пути — \test.comofficeIT

Как видите пользователь видит только папку Support.

bbd2f3f0e81913e60c5300c82140078e.png

Если мы добавим его в группу GD-IT-NetAdm-RO , то у него появится папка Network administrators с правами на чтение.

6e00816cfb7d5ba23d27c17f7598da99.png

На этом настройка ABE закончена.

Учтите, что если в вашей файловой структуре нужно давать права пользователям на под каталоги, минуя корневые папки, то ABE вам не подойдет, т.к. ABE просто скроет от пользователя корневую папку, через которую пользователь попадает в подкаталог.

Перейдем в оснастку — Диспетчер ресурсов файлового сервера.

Настроим квоты.

3d3355ac2a0231d0c330d5162a599270.png

Настроим мягкую квоту для папки Office_Files.

Настроим жесткую квоту для папки Support.

Теперь настроим блокировку файлов для папки Office_Files.

Выберем типы файлов, которые мы будем блокировать.

ef2a4e441d0ec6fa8b29d52a42c55602.png

Настроим отправку сообщений по электронной почте.

Включим журнал.

Включим отчеты.

Учтите, без SMTP сервера отправка отчетов работать не будет.

Если вы хотите изменить группы файлов, то это можно сделать тут:

Создадим задачу управления файлами.

Представим что у нас есть папка Exchange. в которой пользователи обмениваются файлами.

Нам нужно сделать так, чтобы раз в период данная папка очищалась, а удаленные данные перемещались в папку Temp

Создаем задачу.

Задаем имя задачи.

Задаем путь и область.

Задаем свойства управления папками.

Задаем срок действия папки.

Настраиваем уведомление.

Задаем условие.

Настраиваем расписание.

Готово!

Теперь перейдем к настройке репликации.

Настройте сервер реплику (роли и доступы), введите его в домен.

Создаем на сервере реплике общую папку и отключаем наследование.

Назовем ее Office_Files, она будет репликой папки — Office_Files с основного файлового сервера.

Переходим на основной файловый сервер, и открываем консоль DFS.

Выбираем пространство имен, которое хотим реплицировать, и выбираем пункт «Добавить конечный объект папки».

Указываем общую папку со 2-го сервера.

На вопрос о создании группы репликации отвечаем — да.

Оставляем заполненное по-умолчанию.

Проверяем что указаны 2-а наших сервера, основной и резервный.

Указываем основной сервер.

Выбираем топологию — полная сетка.

Выбираем пропускную способность канала между серверами.

Проверяем все, и выбираем — создать.

Если все прошло успешно, то вы увидите это:

Для отказоустойчивости добавим пространство имен для отображения, на 2-м нашем сервере.

И выберем наше пространство имен.

Должно получится так.

Теперь добавьте 2-й в «серверы пространства имен» на основном сервере.

Теперь пространство имен будет доступно на 2-х серверах.

Также обратите внимание, что настройки диспетчера ресурсов файлового сервера, настройки ABE, не реплицируются на 2-й сервер.

Настройку данного сервера нужно будет производить заново.

Также помните, что DFS репликация файлов работает по принципу — кто последний тот и прав.

Например, если 2 пользователя одновременно отредактируют или создадут один и тот же файл, то DFS реплицирует тот файл, который был создан последним.

А предыдущий файл будет сохранен в папке DfsrPrivateConflictandDeleted на сервере разрешившем проблему.

На этом все!  Удачной настройки!

Active Directory, Windows, Windows Server Метки: Active Directory, DFS, File-ServerИспользуемые источники:

  • https://mixprise.ru/server-2012/nastrojjka-fajjlovogo-servera-windows-server-2012/
  • https://interface31.ru/tech_it/2012/04/faylovyy-server-na-windows-server-r2-novyy-staryy-znakomyy.html
  • http://ittraveler.org/nastrojka-otkazoustojchivogo-fajlovogo-servera-na-windows-server-2012-r2/

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации