针对 Windows 环境管理 EMC Celerra

Similar documents

修改版-操作手册.doc

云信Linux SSH认证代理用户手册

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

<433A5C446F63756D656E E E67735C41646D696E F725CD7C0C3E65CC2DBCEC4CFB5CDB3CAB9D3C3D6B8C4CFA3A8BCF2BBAFA3A95CCAB9D3C3D6B8C4CF31302D31392E646F63>

自服务按钮无法访问新系统的自服务页面因此建议用户从信网中心 ( 主页, 右下角位置的常用下载, 或校园网用户自服务 ( 首页

18 上报该学期新生数据至阳光平台第一学期第四周至第六周 19 督促学习中心提交新增专业申请第一学期第四周至第八周 20 编制全国网络统考十二月批次考前模拟题第一学

评委 : 徐岩宇 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

目录一系统访问... 1 二门户首页申报用户审核用户... 2 三系统登录用户名密码登录新用户注册用户登录已注册用

登录、注册功能的测试用例设计.doc

深圳市新亚电子制程股份有限公司

说明为了反映教运行的基本状态, 为校和院制定相关政策和进行教建设与改革提供据依据, 校从程资源 ( 开类别开量规模 ) 教师结构程考核等维度, 对 2015 年春季期教运行基

目录页 1. 欢迎使用网上预约面谈访问系统新用户新用户登入帐户程序启动网上预约面谈访问帐户核对帐户的地址资料

目录关于图标... 3 登陆主界面... 3 工单管理... 5 工单列表... 5 搜索工单... 5 工单详情... 6 创建工单... 9 设备管理巡检计划查询详情销售管

目录第一章博星卓越电子商务营销策划实践平台硬件使用介绍... 3 第二章博星卓越电子商务营销策划实践平台管理员端功能使用介绍系统管理员登陆班

何秋琳张立春视觉学习研究进展视觉注意视觉感知

Template BR_Rec_2005.dot

0 年上半年评价与考核细则序号部门要素值考核内容考核方式考核标准考核 ( 扣原因 ) 考评得 3 安全生产目 30 无同等责任以上道路交通亡人事故无轻伤责任事故无重大质量

Cybozu Garoon 3 管理员手册

<443A5C6D B5C30312EB9A4D7F7CEC4B5B55C30322EBACFCDACCEC4B5B55C C30342EC8CBC9E7CCFC5C31332ECFEEC4BFC5E0D1B55C E30385C322EB2D9D7F7CAD6B2E12E646F63>

第一部分 MagiCAD for Revit 安装流程

全国教师资格认定管理信息系统

4 进入交互区设置的组件管理, 在组件管理中, 教师可以选择课程空间中的所有组件, 并通过点击启用或不启用选定组件在课程空间中的显示 5 进入工作室管理的工作室首页,

联想电子订单操作指南

采取行动的机会 90% 开拓成功的道路 2

《C语言基础入门》课程教学大纲

全国建筑市场注册执业人员不良行为记录认定标准（试行）.doc

证券代码：证券简称：长城电脑公告编号：

第2章数据类型、常量与变量

Microsoft Word - 文件汇编.doc

定位和描述 : 程序设计 / 办公软件高级应用级考核内容包括计算机语言与基础程序设计能力, 要求参试者掌握一门计算机语言, 可选类别有高级语言程序设计类数据库编程类

教师上报成绩流程图

正规培训达规定标准学时数, 并取得结业证书二级可编程师 ( 具备以下条件之一者 ) (1) 连续从事本职业工作 13 年以上 (2) 取得本职业三级职业资格证书后, 连续从事本职业

珠江钢琴股东大会

龚亚夫在重新思考基础教育英语教学的理念一文中援引的观点认为当跳出本族语主义的思维定式后需要重新思考许多相连带的问题比如许多发音的细微区别并不影响理解和

目录版本更新说明导读读者对象手册内容简介软件简介基本术语技术支持基本流程操作步骤... 8

世华财讯模拟操作手册

附件 : 上海市建筑施工企业施工现场项目管理机构关键岗位人员配备指南二一四年九月十一日 2

<4D F736F F D20BFC9B1E0B3CCD0F2BFD8D6C6CFB5CDB3C9E8BCC6CAA6B9FABCD2D6B0D2B5B1EAD7BC2E646F63>

生产支援功能　使用说明书（IP-110 篇）

目录一插入您的保密杀毒 U 盘 3 二控制面板 USB SECURE ANTIVIRUS 实时监控 USB SECURE ANTIVIRUS 手动扫描 USB SECURE ANTIVIRUS 开放空间存取 12

金不少于 800 万元, 净资产不少于 960 万元 ; (3) 近五年独立承担过单项合同额不少于 1000 万元的智能化工程 ( 设计或施工或设计施工一体 ) 不少于 2 项 ; (4) 近三年每年

合并计算配售对象持有多个证券账户的, 多个证券账户市值合并计算确认多个证券账户为同一配售对象持有的原则为证券账户注册资料中的账户持有人名称有效身份证明文件

(Microsoft Word - NCRE\314\345\317\265\265\367\325\37313\324\27221\272\3051.doc)

四川省卫生厅关于开展医疗美容主诊医师资格考试及换证工作的通知

目录第一章行政办公介绍行政办公的作用... 4 第二章行政办公使用说明会议管理会议管理概述如何设置会议室如

,,,,, :,, (.,, );, (, : ), (.., ;. &., ;.. &.., ;, ;, ),,,,,,, ( ) ( ),,,,.,,,,,, : ;, ;,.,,,,, (., : - ),,,, ( ),,,, (, : ),, :,

物流从业人员职业能力等级证书分为四个级别, 分别为初级助理级中级和高级 ; 采购从业人员职业能力等级证书分为三个级别, 分别为中级高级和注册级请各有关单位按照通

三门峡市质量技术监督局清单公示

目录一激活账号... 2 二忘记密码后如何找回密码?... 3 三如何管理学校信息及球队学生教师等信息... 6 四如何发布本校校园文化? 五如何向教师发送通知? 六

第3章创建数据库

3 月 30 日在中国证券报上海证券报证券时报证券日报和上海证券交易所网站上发出召开本次股东大会公告, 该公告中载明了召开股东大会的日期网络投票的方式时间以及审

目录 1. 考生电脑安装配置考生电脑系统需求初次使用故障修复试卷结构与分值在线考试登录考前倒

<4D F736F F D20B9D8D3DAB0BABBAAA3A8C9CFBAA3A3A9D7D4B6AFBBAFB9A4B3CCB9C9B7DDD3D0CFDEB9ABCBBE C4EAC4EAB6C8B9C9B6ABB4F3BBE1B7A8C2C9D2E2BCFBCAE92E646F6378>

网上办事事项办事指南格式样本

徐天宏：《基因天堂》.doc

moza_ctc_64021.pdf

HSK( 一级 ) 考查考生的日常汉语应用能力, 它对应于国际汉语能力标准一级欧洲语言共同参考框架 (CEF) A1 级通过 HSK( 一级 ) 的考生可以理解并使用一些非常简单的汉语

øÕªß∂À≤Ÿ◊˜ ÷≤·

网络保险箱客户端使用手册

一公共卫生硕士专业学位论文的概述学位论文是对研究生进行科学研究或承担专门技术工作的全面训练, 是培养研究生创新能力, 综合运用所学知识发现问题, 分析问题和解决

ETF、分级基金规模、份额变化统计

中国石化油品销售企业CRM调研报告

上海工程技术大学教学管理工作流

抗战时期国民政府的银行监理体制探析 % # % % % ) % % # # + #, ) +, % % % % % % % %

<4D F736F F D20D6D0B9FABDE1CBE3C9CFBAA3B7D6B9ABCBBECCD8CAE2B7A8C8CBBBFAB9B9D6A4C8AFD5CBBBA7BFAABBA7D2B5CEF1D6B8C4CF2E646F63>

现场会议时间为 :2016 年 5 月 19 日网络投票时间为 :2016 年 5 月 18 日年 5 月 19 日其中通过深圳证券交易所交易系统进行网络投票的时间为 2016 年 5 月 19 日 9:30-

Transcription:

P/N 300-008-090 修订版 A02 2008 年 12 月目录简介.........................................................3 系统要求..................................................3 用户界面选项..............................................3 术语......................................................4 相关信息..................................................5 概念.........................................................7 MMC 管理单元和程序........................................7 管理.........................................................9 检查当前 CIFS 配置........................................10 管理网络接口.............................................11 管理数据移动器上的 DNS....................................11 修改 CIFS 配置............................................11 将 CIFS 服务器加入到 Windows 域中..........................21 管理文件系统.............................................34 重新导出所有 Celerra 文件系统...............................38 禁用对数据移动器上所有文件系统的访问........................39 删除 CIFS 服务器..........................................40 启用主目录...............................................41 组策略对象...............................................48 备用数据流支持............................................60 SMB 支持................................................62 更改计算机的自动密码......................................69 创建用作安全日志的文件系统.................................69 管理 Windows 域..........................................71 疑难解答.....................................................73 获取帮助.................................................73 EMC E-Lab 互性 Navigator..............................73 已知问题和限制............................................74 错误消息.................................................78 客户培训计划.............................................80 附录 A: 附加主目录信息........................................81 主目录数据库格式..........................................81 索引........................................................85 1 / 88

2 / 88

简介 EMC Celerra Network Server 支持通用 Internet 文件系统 (CIFS) 协议, 该协议允许 Microsoft Windows 客户端访问 Celerra Network Server 上存储的文件将 Celerra 配置为支持网络上的 Windows 客户端后, 您可能需要额外执行本文档中的某些配置和管理过程来维护 Celerra CIFS 服务器本文档是 Celerra Network Server 文档集的一部分, 面向负责管理 Windows 网络中 Celerra Network Server 的系统管理员系统要求第 3 页上的表 1 介绍了 Celerra Network Server 软件硬件网络和存储配置表 1 软件硬件网络存储 CIFS 的系统要求 Celerra Network Server 5.6.42 版 Celerra Network Server Windows 2000 Windows Server 2003 或 Windows NT 域您必须配置具有下列各项的域 : Windows 2000 或 Windows Server 2003 域 : AD (Active Directory) DNS NTP ( 网络时间协议 ) 服务器 Windows NT 域 : WINS 服务器无特定存储要求用户界面选项 Celerra Network Server 使您可以根据支持环境和界面首选项灵活地管理网络存储本文档介绍了如何使用命令行界面 (CLI) 在数据移动器上配置 CIFS 您还可以通过使用以下 Celerra 管理应用程序之一执行其中许多任务 : Celerra Manager Basic Edition Celerra Manager Advanced Edition Microsoft 管理控制台 (MMC) 管理单元 ( 仅限于 Windows 2000 和 Windows Server 2003) Active Directory 用户和计算机扩展 ( 仅限于 Windows 2000 和 Windows Server 2003) 3 / 88

有关管理 Celerra 的其他信息, 请参阅 : Learning about EMC Celerra ( 了解 EMC Celerra) Celerra Manager 联机帮助 EMC Celerra Network Server Documentation CD 上的应用程序联机帮助系统 Installing Celerra Management Applications ( 安装 Celerra 管理应用程序 ) 包括有关启动 Celerra Manager 以及安装 MMC 管理单元和 ADUC 扩展的说明术语 EMC Celerra Glossary 提供了完整的 Celerra 术语列表 Active Directory:Windows 2000 Server 中包括的高级目录服务它存储网络上对象的相关信息, 并通过协议 ( 例如 LDAP) 向用户和网络管理员提供此信息 CIFS 服务 : 在数据移动器上运行以及在网络和基于 Windows 的计算机上提供共享的 CIFS 服务器进程访问控制列表 (ACL): 访问控制项 (ACE) 列表, 提供有关有权访问对象的用户和组的信息服务器消息块 (SMB): 通用 Internet 文件系统 (CIFS) 协议使用的基础协议, 经过增强, 可在 Internet 上用于通过网络从服务器请求文件打印和通信服务 CIFS 协议使用 SMB 向多种类型的网络主机 ( 例如 LAN Intranet 和 Internet) 提供文件访问和传输共享名称 : 为文件系统或者 CIFS 用户可从特定 CIFS 服务器访问的文件系统上的资源给定的名称可能存在多个名称相同的共享, 分别由不同的 CIFS 服务器共享默认 CIFS 服务器 : 当您添加 CIFS 服务器而不指定任何接口 ( 使用 server_cifs -add 命令的 interfaces= 选项 ) 时创建的 CIFS 服务器默认 CIFS 服务器使用所有未分配给数据移动器上其他 CIFS 服务器的接口 NetBIOS: 网络基本输入 / 输出系统针对 IBM 个人计算机开发的网络编程接口和协议 NetBIOS 名称 : 由 Windows Internet 命名服务 (WINS) 识别的名称, WINS 将名称映射到 IP 地址身份验证 : 对尝试访问资源或对象 ( 例如文件或目录 ) 的用户的身份进行验证的过程数据移动器 :Celerra Network Server 机柜组件, 运行其自己的系统, 并且从存储设备检索文件并使这些文件可供网络客户端使用通用 Internet 文件系统 (CIFS): 基于 Microsoft 服务器消息块 (SMB) 的文件共享协议它允许用户通过 Internet 和 Intranet 共享文件系统 Windows 2000 或 Windows Server 2003 域 : 由 Microsoft Windows 2000 或 Windows 2003 服务器控制和管理的 Microsoft Windows 域, 使用 Active Directory 来管理所有系统资源且使用 DNS 进行名称解析 Windows NT 域 : 由 Microsoft Windows NT 服务器控制和管理的 Microsoft Windows 域, 使用 SAM ( 存储区域管理 ) 数据库来管理用户帐户组帐户和 NetBIOS 命名空间在 Windows NT 域中, 存在一个具有 SAM 读 / 写拷贝的主域控制器 (PDC), 还可能存在多个具有 SAM 只读拷贝的备份域控制器 (BDC) 文件系统 : 对存储系统上的文件和目录进行编录和管理的方法虚拟数据移动器 (VDM):Celerra 软件功能, 使用户能够管理性分隔 CIFS 服务器, 复制其 CIFS 环境, 以及在数据移动器之间轻松地移动 CIFS 服务器 4 / 88

域 :Microsoft Windows 服务器以及其他共享通用安全性和用户帐户信息的计算机的逻辑分组计算机和用户等所有资源均为域成员, 且在域中具备一个对这些资源进行唯一标识的帐户域管理员为域中的每个用户分别创建一个用户帐户, 并且用户只需登录域一次用户不需要登录到每个服务器域名系统 (DNS): 名称解析软件, 允许用户根据名称在 TCP/IP 网络上查找计算机和服务 DNS 服务器维护一个特定数据库, 该数据库包含域名主机名及其对应的 IP 地址以及这些主机所提供的服务组策略对象 (GPO): 在 Windows 2000 或 Windows Server 2003 中, 管理员可以使用组策略来定义用户组和计算机组的配置选项 Windows 组策略对象可以控制本地域和网络安全设置等元素相关信息有关与本文档中描述的特性和功能相关的特定信息, 请参阅 : EMC Celerra Glossary EMC Celerra Network Server 命令参考手册 EMC Celerra Network Server Error Messages Guide ( EMC Celerra Network Server 错误消息指南 ) EMC Celerra Network Server Parameters Guide ( EMC Celerra Network Server 参数指南 ) Configuring EMC Celerra Naming Services ( 配置 EMC Celerra 命名服务 ) Configuring EMC Celerra Time Services ( 配置 EMC Celerra 时间服务 ) Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS) 为 EMC Celerra 配置虚拟数据移动器 Installing Celerra Management Applications ( 安装 Celerra 管理应用程序 ) 针对多协议环境管理 EMC Celerra Managing EMC Celerra Volumes and File Systems Manually ( 手动管理 EMC Celerra 卷和文件系统 ) Replicating EMC Celerra CIFS Environments (V1) ( 复制 EMC Celerra CIFS 环境 (V1)) Using EMC Utilities for the CIFS Environment ( 针对 CIFS 环境使用 EMC 应用工具 ) Using International Character Sets with EMC Celerra ( 在 EMC Celerra 中使用国际字符集 ) 将 Windows 管理工具与 EMC Celerra 配合使用 Celerra 附带并且可从 Powerlink 上获得的 EMC Celerra Network Server Documentation CD 提供了一套完整的 EMC Celerra 客户出版物登录到 Powerlink 后, 请转至支持 > 技术文档和咨询 > 硬件 / 平台文档 > Celerra 网络服务器在此页面上, 单击添加到书签 Powerlink 主页上的书签部分提供了一个可将您直接定向到此页面的链接 5 / 88

Windows 和多协议文档 Celerra Network Server 文档集中的下列文档说明如何在 Windows 环境和多协议环境中配置和管理 Celerra: Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS): 说明如何使用命令行界面 (CLI) 在 Celerra Network Server 上配置基本的 CIFS 配置您也可以使用 Celerra Manager 来配置此初始环境 Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS): 包含在 Celerra Network Server 上进行初始 CIFS 配置后您可能需要执行的高级过程此模块还提供在 Windows 环境下修改和管理 Celerra 的说明针对多协议环境管理 EMC Celerra : 包含在 UNIX 和 Windows 客户端混合环境下配置和管理 Celerra 的过程 6 / 88

概念以下部分讨论用于针对 Windows 环境管理 Celerra 的 MMC 管理单元和程序 MMC 管理单元和程序 Celerra Network Server 支持一组用于从 Windows 2000 Windows Server 2003 或 Windows XP 计算机管理 Celerra 用户和数据移动器安全设置的 Microsoft 管理控制台 (MMC) 管理单元和程序管理单元或程序的联机帮助提供了详细信息 Celerra UNIX 属性迁移工具 Celerra UNIX 属性迁移是一个工具, 您可以用于将现有 UNIX 用户从 Celerra Network Server 迁移到 Windows Active Directory 您可以选择要添加到 Active Directory 的 UNIX 属性 (UID 和 GID) Active Directory 用户和计算机 (ADUC) 中的 Celerra UNIX 用户管理管理单元和 Celerra UNIX 属性页扩展提供了有关添加新用户或组或者修改现有 UNIX 属性的详细信息 Celerra UNIX 用户管理管理单元 Celerra UNIX 用户管理是添加到 Celerra 管理控制台的一个 MMC 管理单元, 您可以使用该管理单元来分配删除或修改本地域和远程域上单个 Windows 用户或组的 UNIX 属性您也可以使用该管理单元来选择属性数据库的位置此位置可以在本地域中, 也可以在远程域中在以下情况下, 您应选择在本地域的 Active Directory 中存储属性数据库 : 有一个域不允许信任关系不需要集中 UNIX 用户管理信息在以下情况下, 您应选择远程域 : 具有多个域需要访问属性数据库的域之间的双向信任关系已经存在需要集中 UNIX 用户管理 ADUC 中的 Celerra UNIX 属性页扩展 Celerra UNIX 用户和组属性页是 ADUC 中的扩展您可以使用这些属性页来分配删除或修改本地域上单个 Windows 用户或组的 UNIX 属性不能使用此功能来管理远程域上的用户或组 Celerra 数据移动器管理管理单元 Celerra 数据移动器管理由多个 MMC 管理单元组成您可以使用这些管理单元从 Windows 2000 Windows Server 2003 或 Window XP 计算机中管理数据移动器上的病毒检查主目录和安全设置 7 / 88

Celerra AntiVirus Management 您可以使用 Celerra AntiVirus Management 管理单元管理与 Celerra AntiVirus Agent (CAVA) 和第三方反病毒程序配合使用的病毒检查参数 (viruschecker.conf 文件 ) Celerra AntiVirus Agent 和第三方反病毒程序必须安装在 Windows NT Windows 2000 或 Windows Server 2003 服务器上使用 EMC Celerra AntiVirus Agent 提供了有关 CAVA 的详细信息 Celerra Home Directory Management 管理单元您可以使用 Celerra Home Directory Management 管理单元将用户名与目录关联, 此目录在关联后将作为用户的主目录主目录功能简化了个人共享的管理及其连接过程数据移动器安全设置管理单元 Celerra 数据移动器安全设置由 Audit Policy 节点和 User Rights Assignment 节点组成 Celerra Audit Policy 您可以使用 Celerra Audit Policy 节点确定在安全日志中记录哪些数据移动器安全事件然后可以使用 Windows 事件查看器查看安全日志您可以记录成功的尝试失败的尝试, 两者都记录或都不记录 Audit Policy 节点中显示的审核策略是 ADUC 中可用作 GPO 的策略的子集审核策略是本地策略, 适用于选定的数据移动器您不能使用 Audit Policy 节点管理 GPO 审核策略 Celerra User Rights Assignment 您可以使用 Celerra User Rights Assignment 节点管理哪些用户和组对数据移动器具有登录和任务权限 User Rights Assignment 节点中显示的用户权限分配是 ADUC 中可用作 GPO 的用户权限分配的子集用户权限分配是本地策略, 适用于选定的数据移动器您不能使用 User Rights Assignment 节点管理 GPO 策略管理单元或程序的联机帮助提供了详细信息 8 / 88

管理针对 Windows 环境管理 Celerra 的任务包括 : 第 10 页上的检查当前 CIFS 配置第 11 页上的管理网络接口第 11 页上的管理数据移动器上的 DNS 第 11 页上的修改 CIFS 配置第 21 页上的将 CIFS 服务器加入到 Windows 域中第 34 页上的管理文件系统第 38 页上的重新导出所有 Celerra 文件系统第 39 页上的禁用对数据移动器上所有文件系统的访问第 40 页上的删除 CIFS 服务器第 41 页上的启用主目录第 48 页上的组策略对象第 60 页上的备用数据流支持第 64 页上的 SMB 签名第 69 页上的更改计算机的自动密码第 69 页上的创建用作安全日志的文件系统第 71 页上的管理 Windows 域 9 / 88

检查当前 CIFS 配置要显示数据移动器的 CIFS 配置, 请使用以下命令语法 : $ server_cifs < 移动器名称 > < 移动器名称 > = 数据移动器的名称示例 : 要显示 server_2 的 CIFS 配置, 请键入 : $ server_cifs server_2 输出如果已启动 CIFS 服务 server_2 : 256 Cifs threads started Security mode = NT Max protocol = NT1 I18N mode = ASCII Home Directory Shares DISABLED Usermapper auto broadcast enabled Usermapper[0] = [127.0.0.1] state:active (auto discovered) Enabled interfaces: (All interfaces are enabled) Disabled interfaces: (No interface disabled) 如果未启动 CIFS 服务 $ server_cifs server_2 server_2 : Cifs NOT started Security mode = NT Max protocol = NT1 I18N mode = ASCII Home Directory Shares DISABLED Usermapper auto broadcast enabled Usermapper[0] = [127.0.0.1] state:active (auto discovered) Enabled interfaces: (All interfaces are enabled) Disabled interfaces: (No interface disabled) 如果未启动 CIFS 服务 server_2 : Cifs NOT started Security mode = NT Max protocol = NT1 I18N mode = UNICODE Home Directory Shares DISABLED Usermapper[0] = [172.24.100.121] last access 0 Enabled interfaces: (All interfaces are enabled) Disabled interfaces: (No interface disabled) CIFS Server DPDOVDM1[CIFS] RC=4 Full computer name=dpdovdm1.cifs.eng.fr realm=cifs.eng.fr Active directory usermapper's domain: "not yet located" Comment='EMC-SNAS:T5.4.2.9' if=dpdo:1 l=10.64.220.83 b=10.64.223.255 mac=0:0:92:a7:b0:24 FQDN=dpdovdm1.cifs.eng.fr (Updated to DNS) 10 / 88

管理网络接口配置和管理 EMC Celerra 网络提供了有关管理网络接口的信息管理数据移动器上的 DNS 在 Windows 2000 和 Windows Server 2003 环境中, 您需要在数据移动器上配置 DNS, 以添加计算机名并将其加入到 Windows 域中您可以为每个数据移动器配置无限数量的 DNS 域, 并且每个域最多可有三个 DNS 服务器 Configuring EMC Celerra Naming Services ( 配置 EMC Celerra 命名服务 ) 提供了配置启动停止和管理 DNS 服务器的过程修改 CIFS 配置在创建初始 CIFS 配置并启动 CIFS 服务后, 您可能需要添加或修改数据移动器上 CIFS 配置中的各种元素请执行下列任务以添加或修改 CIFS 配置 : 第 11 页上的添加 WINS 服务器第 12 页上的重命名 NetBIOS 名称第 13 页上的重命名计算机名第 14 页上的为 NetBIOS 和计算机名分配别名第 17 页上的将备注与 CIFS 服务器关联第 20 页上的更改 CIFS 服务器密码注意 : Configuring and Managing CIFS on EMC Celerra ( 在 EMC Celerra 上配置和管理 CIFS) 说明了如何在数据移动器上配置额外的 CIFS 服务器添加 WINS 服务器 Celerra Network Server 会自动在 Windows Internet 命名服务 (WINS) 服务器中注册其 NetBIOS 名称 WINS 服务器会向用户分发 NetBIOS 名称, 并将用户和计算机的 NetBIOS 名称解析到 IP 地址和数据移动器如果通过 DNS 进行名称解析, 则不强制使用 WINS 服务器您可以为数据移动器配置任意多个 WINS 服务器如果您在一个数据移动器上具有多个 CIFS 配置 (NetBIOS 或计算机名 ), 请考虑对每个接口 ( 而非每个数据移动器 ) 使用一个 WINS 服务器这样可避免 CIFS 客户端尝试通过 WINS 服务器来解析不需要的数据移动器 NetBIOS 名称注意 : 如果您只有一个所有 IP 接口均可访问的子网, 并且不存在性能问题, 则不强制使用 WINS 服务器如果有多个子网, 您必须指定 WINS 服务器但您可以指定多个 WINS 服务器来提供更强大的网络功能 11 / 88

要将 WINS 服务器添加到 CIFS 配置中以供数据移动器上的所有 CIFS 服务器使用, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add wins=<ip 地址 >[,wins=<ip 地址 >,...] < 移动器名称 > = 数据移动器的名称 <IP 地址 > = WINS 服务器的 IP 地址注意 : 系统按您在 wins= 选项中添加 WINS 服务器的顺序来处理 WINS 服务器列表, 第一个为首选 WINS 服务器例如, 如果 WINS 服务器在 1500 毫秒之后超时, 系统将使用列表中的下一个 WINS 服务器请使用 wins.timeoutms 参数配置 WINS 超时示例 : 要将两个 WINS 服务器添加到 server_2, 请键入 : $ server_cifs server_2 -add wins=172.31.255.255,wins=172.168.255.255 输出 server_2 : done 前提条件在重命名 NetBIOS 名称之前, 请使用 Windows NT 服务器管理器或 Windows 2000 和 Windows Server 2003 用户和计算机 MMC 管理单元, 将新名称添加到域中重命名 NetBIOS 名称在您更改 NetBIOS 名称时, 系统将执行下列 : 暂时停止 NetBIOS 可用性并断开与其连接的所有客户端的连接更新与新 NetBIOS 名称相关的本地组更新与新 NetBIOS 名称对应的所有共享在服务器和域控制器之间保留帐户密码取消原始 NetBIOS 名称的注册, 然后在所有 WINS 服务器中注册新名称保持所有别名与原始 NetBIOS 名称关联恢复重命名的 NetBIOS 可用性第 13 页上的重命名计算机名提供了有关重命名 Windows 2000 或 Windows 2003 计算机名的信息 12 / 88

! 警! 告 server_cifs -Join 和 -Unjoin 过程会为计算机名生成新的计算机帐户, 从而导致此计算机名丢失其原始帐户要重命名 NetBIOS 名称, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -rename -netbios < 旧名称 > < 新名称 > < 移动器名称 > = 数据移动器的名称 < 旧名称 > = 当前 NetBIOS 的名称 < 新名称 > = 新的 NetBIOS 名称 NetBIOS 名称必须是唯一的且最多只能包含 15 个字符, 并且不能以 @ (at 符号 ) 或 - ( 短横线 ) 字符开头名称中也不能包括空格制表符或下列符号 : / \ : ;, = * + [ ]? < > " 示例 : 要将 server_2 上的 NetBIOS 名称 dm102-cge0 重命名为 dm112-cge0, 请键入 : $ server_cifs server_2 -rename -netbios dm102-cge0 dm112-cge0 注意 : 重命名命令将更改服务器的 NetBIOS 名称, 但不会更改该服务器的计算机名输出 server_2 : done 重命名计算机名此过程将重命名 Windows 2000 或 Windows 2003 数据移动器, 同时为新名称保留本地组共享和文件系统权限步骤 1. 键入以下内容以从域中退出原始计算机名 : $ server_cifs server_2 -Unjoin compname=w2ktemp,domain=abc.com,admin=administrator 2. 键入以下内容以从数据移动器的 CIFS 配置中删除计算机名 : $ server_cifs server_2 -delete compname=w2ktemp 3. 键入以下内容以将此计算机名作为 NetBIOS 名称重新添加到数据移动器的 CIFS 配置中 : $ server_cifs server_2 add NetBIOS=W2kTemp,domain=abc,interface=fsn01 4. 键入以下内容以将 NetBIOS 服务器重命名为新名称 : $ server_cifs server_2 rename -NetBIOS W2kTemp W2kProd 5. 键入以下内容以从数据移动器的 CIFS 配置中删除在步骤 4 中重命名的 NetBIOS 名称 : $ server_cifs server_2 delete NetBIOS=W2kProd 13 / 88

步骤 6. 键入以下内容以将新计算机名添加到 CIFS 配置和 AD 域中 : $ server_cifs server_2 add compname=w2kprod,domain=abc.com,interface=fsn01 7. 键入以下内容以将新计算机名加入到 CIFS 配置和 AD 域中 : $ server_cifs server_2 Join compname=w2kprod,domain=abc.com,admin=administrator 为 NetBIOS 和计算机名分配别名您可以为 NetBIOS 名称和计算机名分配别名别名为给定资源提供多个备用标识由于别名充当辅助名称, 别名将共享同一组本地组和主 NetBIOS 名称或计算机名 NetBIOS 别名在 WINS ( 而非 DNS) 中注册备用名称如果要在 DNS 中显示 NetBIOS 别名, 则您必须将其添加到 DNS 客户端可以通过 Network Neighborhood ( 网上邻居 ) Windows Explorer (Windows 资源管理器 ) 或使用 Map Network Drive ( 映射网络驱动器 ) 窗口连接到别名您可以向现有服务器或在创建新服务器时添加别名根据 Microsoft 要求, 别名在一个域内必须是唯一的, 才能进行 WINS 注册和广播公告别名在同一数据移动器上也必须是唯一的, 以避免 WINS 名称冲突出于性能方面的考虑, 建议您将每个 CIFS 服务器的别名数限制为最多 10 个请执行以下任务来分配别名 : 第 15 页上的将别名添加到 CIFS 服务器第 15 页上的为 NetBIOS 名称添加 NetBIOS 别名第 16 页上的删除 CIFS 服务器别名第 16 页上的删除 NetBIOS 别名第 17 页上的查看别名 14 / 88

将别名添加到 CIFS 服务器要将别名添加到 CIFS 服务器, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 >,alias=< 别名 >[,alias=< 别名 2>...] < 移动器名称 > = 数据移动器的名称 < 计算机名 > = 指定域中 CIFS 服务器的名称 < 完整域名 > = Windows 环境的完整域名 ; 必须包含一个圆点 ( 示例 ½domain.com) < 别名 > = 计算机名的别名别名最多只能包含 15 个字符不能以 at 符号 (@) 或短横线 (-) 开头, 并且不能包含空格制表符和下列字符 : / \ : ;, = * + [ ]? < > " 示例 : 要为计算机名 big_comp 声明三个别名, 请键入 : $ server_cifs server_2 -a compname=winserver1,domain=nasdocs,alias=winserver1-a1, alias=winserver1-a2,alias=winserver-a3 输出 server_2 : done 为 NetBIOS 名称添加 NetBIOS 别名要为 NetBIOS 名称添加 NetBIOS 别名, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add netbios=<netbios 名称 >, domain=< 域名 >,alias=< 别名 >[,alias=< 别名 2>...] < 移动器名称 > = 数据移动器的名称 <NetBIOS 名称 > = CIFS 服务器的 NetBIOS 名称 < 域名 > = Windows 环境的域名 < 别名 > = NetBIOS 名称的别名别名最多只能包含 15 个字符不能以 at 符号 (@) 或短横线 (-) 开头, 并且不能包含空格制表符和下列字符 : / \ : ;, = * + [ ]? < > " 示例 : 要为 NetBIOS dm102-cge0 声明三个别名, 请键入 : $ server_cifs server_2 -a netbios=dm102-cge0,domain=nasdocs,alias=dm102- cge0-a1,dm102-cge0-a2,dm102-cge0-a3 输出 server_2 : done 15 / 88

删除 CIFS 服务器别名要删除计算机名的别名, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -delete compname=< 计算机名 >, alias=< 别名 >[,alias=< 别名 2>,...] < 移动器名称 > = 数据移动器的名称 < 计算机名 > = CIFS 服务器的名称 < 别名 > = 计算机名的别名别名最多只能包含 15 个字符不能以 at 符号 (@) 或短横线 (-) 开头, 并且不能包含空格制表符和下列字符 : / \ : ;, = * + [ ]? < > "! 警告如果未在此命令中指定别名, 系统将会删除以 CIFS 服务器的计算机名标识的整个 CIFS 配置示例 : 要删除分配给 winserver1 的别名 dm102-cge0-a1, 请键入 : $ server_cifs server_2 -delete compname=winserver1,alias=winserver-a1 输出 server_2 : done 删除 NetBIOS 别名要从 CIFS 服务器中删除一个或多个 NetBIOS 别名, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -delete netbios=<netbios 名称 >, alias=< 别名 >[,alias=< 别名 2>,...] < 移动器名称 > = 数据移动器的名称 <NetBIOS 名称 > = CIFS 服务器的 NetBIOS 名称 < 别名 > = NetBIOS 名称的别名别名最多只能包含 15 个字符不能以 at 符号 (@) 或短横线 (-) 开头, 并且不能包含空格制表符和下列字符 : / \ : ;, = * + [ ]? < > "! 警告如果未在此命令中指定别名, 系统将会删除以 CIFS 服务器的 NetBIOS 名称标识的整个 CIFS 配置示例 : 要删除分配给 dm102-cge0 的别名 dm102-cge0-a2, 请键入 : $ server_cifs server_2 -delete netbios=dm102-cge0,alias= dm102-cge0-a2 输出 server_2 : done 16 / 88

查看别名要列出服务器的别名, 请使用以下命令语法 : $ server_cifs < 移动器名称 > < 移动器名称 > = 数据移动器的名称示例 : 要查看 server_2 的别名, 请键入 : $ server_cifs server_2 输出 CIFS Server (Default) dm102-cge0 [C1T1] Alias(es): dm102-cge0-a1,dm102-cge0-a2,dm102-cge0-a3 Full computer name=dm2-cge0.c1t1.pt1.c3lab.nasdocs.emc.com realm=c1t1.pt1.c3lab.nasdocs.emc.com Comment='EMC-SNAS:T5.2.7.2' if=cge0 l=172.24.100.55 b=172.24.100.255 mac=0:6:2b:4:0:7f FQDN=dm102-cge0.c1t1.pt1.c3lab.nasdocs.emc.com (Updated to DNS) 将备注与 CIFS 服务器关联通过使用 server_cifs -add 命令, 您可以将备注 ( 包括在引号中 ) 与 CIFS 服务器关联使用备注, 您可以为 CIFS 服务器添加描述性信息请执行以下任务将备注关联起来 : 第 18 页上的在 Windows 中添加备注第 19 页上的更改备注第 19 页上的清除备注第 19 页上的从 CLI 查看备注第 20 页上的针对 Windows XP 客户端的备注限制 17 / 88

在 Windows 中添加备注您可以在刚开始创建 CIFS 服务器时或创建 CIFS 服务器后添加备注要在 Windows NT 环境中添加备注, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add netbios=<netbios 名称 >, domain=< 域名 > -comment < 备注 > 要在 Windows 2000 环境中添加备注, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 > -comment < 备注 > 要在 Windows Server 2003 环境中添加备注, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 > -comment < 备注 > < 移动器名称 > = 数据移动器的名称 <NetBIOS 名称 > = CIFS 服务器的 NetBIOS 名称 NetBIOS 名称必须是唯一的且最多只能包含 15 个字符不能以 @ (at 符号 ) 或 - ( 短横线 ) 开头, 并且不能包含空格制表符和下列符号 : / \ : ;, = * + [ ]? < > ". < 计算机名 > = 与 Windows 2000 或 Windows Server 2003 兼容的 CIFS 服务器 ; 最多可包含 63 个 UTF-8 字符 < 域名 > = Windows 环境的域名 < 完整域名 > = Windows 环境的完整域名 ; 必须包含一个圆点 ( 示例 :domain.com) < 备注 > = 您的备注请将备注限制为最多 48 个 ASCII 字符并加上双引号目前, 不支持在备注中使用国际字符受限字符 : 您不能在备注的正文中使用双引号 (") 分号 (;) 重音符 (`) 和逗号 (,) 字符尝试使用这些特殊字符将导致系统出现错误消息此外, 如果备注正文的前缀为单引号 (í), 您只能使用感叹号 (!) 默认备注 : 如果未明确添加备注, 系统将添加格式为 EMC-SNAS:T<x.x.x.x> 的默认备注, 其中 <x.x.x.x> 是 NAS 软件的版本示例 : 要将备注 EMC_Celerra_Network_Server 添加到 Windows NT 环境中的 server_2, 请键入 : $ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals -comment "EMC_Celerra_Network_Server" Unicode 支持如果启用了 Unicode 支持, 则 -name 和 -comment 可以接受按 Unicode 3.0 标准定义的任何多字节字符否则, 这些选项只接受 ASCII 字符共享名称长度最多只能包含 12 个字符, 但如果启用 Unicode 支持, 则长度最多只能包含 80 个字符共享名称不能包括下列字符 :/ \ % " NUL ( 空字符 ) STX ( 标题起始符 ) SOT ( 文本起始符 ) 和 LF ( 换行符 ) 共享名称可以包含空格和其他非字母数字字符, 但是如果使用空格, 则名称必须加上引号共享名称不能以 - ( 连字符 ) 开头共享名称区分大小写备注长度最多只能包含 256 个字符备注不能包括下列字符 :NUL ( 空字符 ) STX ( 标题起始符 ) 和 SOT ( 文本起始符 ) 备注可以包含空格和其他非字母数字字符, 但是如果使用空格, 则名称必须加上引号 18 / 88

更改备注要更改备注, 请使用新备注重复执行 server_cifs -add 命令在浏览域计算机时, 您可能会注意到系统在反映备注更改时有一定延迟在数据移动器大约每 12 分钟广播其名称和备注时会出现这种延迟 ( 启动时除外, 此时数据移动器会在第一分钟广播五次 ) 目前, 您不能通过服务器管理器或计算机管理 MMC 来添加或更改备注您只能通过 server_cifs -add 命令来更改备注清除备注要清除备注, 请使用一个空备注运行 server_cifs -add 命令, 如下列示例所示 : $ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals -comment " " 从 CLI 查看备注您可以从 Celerra Network Server CLI 查看服务器的备注此外, 备注将出现在各种 Windows 界面的特定部分要查看 server_2 的配置信息, 请键入 : $ server_cifs server_2 输出 server_2 : 32 Cifs threads started Security mode = NT. ( 材料已删除 ). DOMAIN CAPITALS SID=S-1-5-15-c6ab149b-92d87510-a3e900fb-ffffffff >DC=BOSTON(172.16.20.10) ref=2 time=0 ms DC=NEWYORK(172.16.20.50) ref=1 time=0 ms CIFS Server (Default) DM32-ANA0[CAPITALS] (Hidden) Alias(es): CFS32 Comment= EMCCelerraNetworkServer if=ana0 l=172.16.21.202 b=172.16.21.255 mac=0:0:d1:1d:b7:25 if=ana1 l=172.16.21.207 b=172.16.21.255 mac=0:0:d1:1d:b7:26 注意 : 使用 server_cifs 命令从 Celerra Network Server CLI 查看 CIFS 服务器配置时, 系统将会显示备注及其他有关 CIFS 服务器的信息从 Windows 查看备注 Windows 2000 Windows Server 2003 Windows NT 和 Windows XP 有时在 Windows 界面的特定部分中使用备注备注可能会以下列方式出现 : 作为 My Computer ( 我的电脑 ) 或 Explorer ( 资源管理器 ) 窗口 ( 仅限 Windows XP) 中映射的网络驱动器的名称作为域窗口中的计算机名 19 / 88

针对 Windows XP 客户端的备注限制更改备注时, 所做的更改只会在 Windows XP 界面的特定部分中反映如果备注是作为域窗口中的计算机名, 则更改会立即反映到 Windows XP 客户端但在 Windows XP 资源管理器中, 映射的网络驱动器的名称不会反映此更改首次在 Windows XP 客户端上映射网络驱动器时, 此客户端将在本地注册表中存储备注, 并将备注显示为映射的驱动器名称此客户端将一直使用存储的备注作为映射的驱动器名称, 直到您手动更改注册表如果您从资源管理器或 My Computer ( 我的电脑 ) 中手动更改映射的网络驱动器的名称, 更改后的名称将存储在另一个注册表项中, 并且客户端将使用此名称, 直到您从资源管理器或注册表中再次更改此名称由于以前的 Windows XP 客户端存在相关限制,EMC 建议您在初次安装 CIFS 服务器时设置备注更改 CIFS 服务器密码属于 Windows Active Directory 成员的计算机通常会定期 ( 例如, 每隔 12 小时或 7 天 ) 更改其域帐户的密码要重置 CIFS 密码和加密密钥, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -Join compname=< 计算机名 >, domain=< 完整域名 >, admin=< 管理员名称 > -o resetserverpasswd < 移动器名称 > = 数据移动器的名称 < 计算机名 > = CIFS 服务器的名称 < 完整域名 > = Windows 环境的完整域名 ; 必须包含一个圆点 ( 示例 :domain.com) < 管理员名称 > = 具有域管理权限的用户的登录名称系统会提示用户键入管理帐户的密码示例 : 要重置 server_2 的 CIFS 密码和加密密钥, 请键入 : $ server_cifs server_2 -Join compname=winserver1, domain=nasdocs.emc.com,admin=compadmin -o resetserverpasswd 输出 server_2 : Enter Password: ****** done 注意第 69 页上的更改计算机的自动密码说明了如何设置数据移动器使用域控制器更改密码的时间间隔注意 : 在创建 Windows NT 模式的 CIFS 服务器时, 系统将分配一个默认密码数据移动器在与域控制器通信时, 将尝试更改此密码如果密码更改失败, CIFS 服务器将继续使用默认密码由于默认密码是服务器的名称, 您应如第 20 页上的更改 CIFS 服务器密码所述重置密码重新启动 CIFS 服务以强制数据移动器更新其域控制器上的密码第 39 页上的停止 CIFS 服务和第 40 页上的启动 CIFS 服务说明了该过程 20 / 88

将 CIFS 服务器加入到 Windows 域中本部分概述了将 CIFS 服务器加入到不同配置的 Windows 域中的过程要将 CIFS 服务器加入到 Windows 域中, 请执行以下任务 : 第 22 页上的前提条件第 24 页上的加入现有的计算机帐户第 25 页上的委派加入第 27 页上的为无委派加入的相同命名空间创建和加入 CIFS 服务器第 28 页上的为相同的命名空间和委派的加入创建和加入 CIFS 服务器第 30 页上的为无委派加入的非连续命名空间创建和加入 CIFS 服务器第 32 页上的为非连续命名空间和委派的加入创建和加入 CIFS 服务器尝试在包含 Windows 2000 或 Windows Server 2003 的环境下解析计算机 NetBIOS 名称时, Celerra Network Server 可能会尝试通过广播或查询 Windows Internet 命名服务 (WINS) 服务器来解析名称由于 Windows 系统将 NetBIOS 名称最多只能包含 15 个字符, 通过广播和 WINS 查询只能解析 15 个字符或更少字符的计算机名如果指定的 NetBIOS 名称超过 15 个字符, 此名称将被截断 Windows NT 服务器在创建时会自动加入到域中在 Windows 2000 或 Windows Server 2003 环境下, 针对 CIFS 服务器的用户身份验证方法必须是 Windows NT 模式 Windows NT 模式是默认的用户身份验证方法注意 : 对一个 CIFS 服务器, 您只能分配一个计算机名和一个 NetBIOS 名称如果需要为一个 CIFS 服务器分配多个计算机名或 NetBIOS 名称, 您必须创建别名第 14 页上的为 NetBIOS 和计算机名分配别名提供了详细信息注意 :NetBIOS 名称最多只能包含 15 个字符, 并且不能以 @ (at 符号 ) 或 - ( 短横线 ) 字符开头名称中也不能包括空格制表符或下列符号 : / \ : ;, = * + [ ]? < > " 21 / 88

前提条件配置前提条件与下列过程相关 : 第 30 页上的为无委派加入的非连续命名空间创建和加入 CIFS 服务器 ( 步骤 1 至 11) 第 32 页上的为非连续命名空间和委派的加入创建和加入 CIFS 服务器 ( 步骤 1 至 14) 第 28 页上的为相同的命名空间和委派的加入创建和加入 CIFS 服务器 ( 步骤 12 至 14) 配置前提条件包含下列步骤 : 步骤 1-11 说明如何设置域级别权限, 它基于 Microsoft 知识库文章 258503: DNS 域和 Active Directory 域名不一致时出现 DNS 注册错误 5788 和 5789 步骤 11-14 显示如何在 AD 域中创建计算机帐户 22 / 88

设置域级别权限步骤 1. 启动 Active Directory Users and Computers (Active Directory 用户和计算机 ) 管理单元 2. 在控制台树中, 右键单击 Active Directory Users and Computers (Active Directory 用户和计算机 ), 然后选择 Connect To Domain ( 连接到域 ) 3. 在 Domain ( 域 ) 中, 键入域名, 或单击 Browse ( 浏览 ) 以查找要在其中允许计算机使用不同 DNS 名称的域, 然后单击 OK ( 确定 ) 4. 右键单击 Active Directory Users and Computers (Active Directory 用户和计算机 ) 并选择 View ( 查看 ) > Advanced Features ( 高级功能 ) 5. 右键单击此域的名称, 然后选择 Properties ( 属性 ) 6. 单击 Security ( 安全 ) 选项卡, 然后单击 Advanced ( 高级 ) 7. 单击 Add ( 添加 ), 然后选择 Self 组 8. 在 Object ( 对象 ) 选项卡的 Apply onto ( 应用到 ) 中, 选择 Computer Objects ( 计算机对象 ) 在 Permissions ( 权限 ) 下, 选择 Validated write to DNS host name ( 已验证的到 DNS 主机名的写入 ) 和 Validated write to servic principal name ( 已验证的到服务主体名称的写入 ) 9. 在 Properties ( 属性 ) 选项卡的 Apply onto ( 应用到 ) 中, 选择 Computer Objects ( 计算机对象 ) 10. 在 Permissions ( 权限 ) 下, 选择 Write SPN ( 写入 SPN) 和 Write dnshostname ( 写入 dnshostname) 注意 : 通过选择或取消选择 Write dnshostname ( 写入 dnshostname), 系统会自动选择或取消选择 Write dnshostname Attribute ( 写入 dnshostname 属性 ) 11. 单击 OK ( 确定 ) 注意 : 步骤 1 至 11 基于 Windows 2000 AD 服务器界面 12. 要在 Active Directory 中创建计算机帐户, 请右键单击此计算机帐户所在的容器, 然后选择 New ( 新建 ) > Computer ( 计算机 ) a. 在 Computer Name ( 计算机名 ) 中, 键入新计算机帐户的名称注意 : 您可以在此处配置委派的加入第 26 页上的图 1 提供了详细信息 b. 单击 OK ( 确定 ) 23 / 88

加入现有的计算机帐户将 CIFS 服务器加入到域中时, Celerra Network Server 将执行下列 : 搜索现有帐户或在 Active Directory 中为 CIFS 服务器创建一个帐户并完成其配置在此计算机帐户中设置多个属性, 包括 dnshostname 和 serviceprincipalname 属性要加入现有的计算机帐户, 请执行下列 : 步骤 1. 如果 Windows 计算机帐户已存在, Celerra Network Server 将检查 serviceprincipalname 属性以确定此计算机是否已加入到计算机帐户 2. 如果未设置此属性, 数据移动器会将新 CIFS 服务器加入到现有帐户如果已设置 serviceprincipalname 属性, 数据移动器将报告一个错误并记录一条说明帐户已存在的消息 3. 如果已设置 serviceprincipalname 属性, 则在域加入过程中将会出现下列错误消息 : 帐户已存在此错误指明计算机帐户已由数据移动器或其他服务器加入到域中 4. 如果仍要将此 CIFS 服务器加入到此计算机帐户, 您可以键入以下内容来重新使用此帐户 : $ server_cifs server_2 -Join compname=dm32-ana0, domain=nsgprod.xyzcompany.com,admin=administrator -option reuse 创建和加入 CIFS 服务器如果在配置基于 Celerra 的 CIFS 服务器时您正在使用现有的计算机帐户, 请使用以下过程创建和加入 CIFS 服务器步骤 1. 在 Windows 中, 转到 Active Directory Users and Computers (Active Directory 用户和计算机 ), 然后使用将用于在步骤 2 中创建 CIFS 服务器的相同计算机名创建一个新计算机 ( 可选 ) 如果要委派加入授权, 请在 User or Group ( 用户或组 ) 下键入或浏览到要向其委派加入授权的用户或组第 25 页上的委派加入提供了详细信息注意 : 用户帐户所属的域必须与 CIFS 服务器要加入的域位于同一 AD 林中 2. 使用 server_cifs -add 命令将 CIFS 服务器添加到数据移动器第 72 页上的表 11 详细介绍了用于相应域关系的语法 3. 使用 server_cifs -Join 命令将 CIFS 服务器添加到域中第 72 页上的表 11 详细介绍了用于相应域关系的语法 24 / 88

委派加入由默认用户 (Domain Admins 组的成员 ) 加入 CIFS 服务器时, server_cifs -Join 命令将在 Active Directory (AD) 中自动创建计算机帐户, 作为此方法的备用方法, 请执行下列 : 在 Windows Active Directory 中为 CIFS 服务器创建计算机帐户将执行加入的授权委派给来自同一 AD 林内另一个域中的单个用户或组使用这些选项, 您可以将创建 AD 帐户的与加入分开因此, 不是在 AD 中创建帐户的人员也可以将 CIFS 服务器加入到域中将执行加入的用户添加到本地管理员组中每个 CIFS 服务器都包含一组内置用户组 :Administrators Users Guests Power Names Account Operators Backup Operations 和 Replicator Administrators 组包含获得 CIFS 服务器管理授权的用户和组默认情况下, Administrators 组包含一个 Domain Admins 组条目, 这可为 Domain Admins 组中的每个成员提供管理 CIFS 服务器的授权要将用户添加到本地管理组, 以使此用户能够管理 CIFS 服务器, 请将下列参数设置为 1: cifs djaddadmintolg=1 您可以通过 MMC 手动执行此, 或在域加入过程中由系统自动执行委派加入授权委派加入授权时, 您向其委派授权的任何用户都可以将 CIFS 服务器加入到域中用户不需要具有特定 Windows 权限, 但必须与 CIFS 服务器属于同一 AD 林 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 提供了有关域加入参数的其他信息 : djusekpassword djaddadmintolg djenforcedhn 注意 : 请使用 djenforcedhn 作为访问权限的临时措施, 因为数据移动器使用 NTLMSSP 模式 ( 而非 Kerberos) 对 Windows 客户端进行身份验证 25 / 88

第 26 页上的表 2 显示了您在相同或非连续的命名空间 AD 域中执行委派加入时必须使用的域加入参数值表 2 域加入参数组合 djusekpassword djaddadmintolg djenforcedhn 将加入委派给 Domain Admins 组成员 (Microsoft 默认 ) 域用户帐户 1 ( 默认 ) 0 ( 默认 ) 1 ( 默认 ) 域全局组域本地组 0 林中分层域名不同的域在不同的域树中不同的域树在一个林中时, 树根域不是连续的非连续的命名空间是用于描述林中不同域树之间的关系的短语请在 Active Directory 中创建计算机帐户时委派加入授权, 如第 26 页上的图 1 所示图 1 委派加入授权 26 / 88

为无委派加入的相同命名空间创建和加入 CIFS 服务器在以下情况下, 请执行下列添加和加入过程 : DNS 和 Active Directory 域名相同使用的是默认用户帐户 (Domain Admins 组的成员 ) 请执行以下任务以进行添加和加入过程 : 第 27 页上的为无委派加入的相同命名空间创建 CIFS 服务器第 28 页上的为无委派加入的相同命名空间将 CIFS 服务器加入到 Windows 域中为无委派加入的相同命名空间创建 CIFS 服务器要在数据移动器上针对 Windows 2000 或 Windows Server 2003 环境创建 CIFS 服务器, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 >[,hidden={y n}][,netbios=<netbios 名称 >] [,interface=< 接口名称 >][,dns=< 接口后缀 >] < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = 与 Windows 2000 或 Windows Server 2003 兼容的 CIFS 服务器 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称注意 :Celerra Network Server 中的每个 < 计算机名 > 都必须是唯一的默认 CIFS 服务器和 VDM 中的 CIFS 服务器不能共存于同一数据移动器上默认 CIFS 服务器是分配给所有接口的全局 CIFS 服务器 VDM 中的 CIFS 服务器需要使用指定的接口如果数据移动器上存在 VDM, 则不能创建默认 CIFS 服务器 < 完整域名 > = Windows 环境的完整域名 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com 或 mydomain.) hidden={y n}= 默认情况下, Windows 资源管理器中会显示计算机名如果指定 hidden=y, 则不会显示计算机名 <NetBIOS 名称 > = ( 可选 ) 用于代替默认 NetBIOS 名称的 NetBIOS 名称默认名称由系统自动分配, 来自于 < 计算机名 > 的前 15 个字符如果 < 计算机名 > 的前 15 个字符与 NetBIOS 命名约定不符, 或者您需要非默认名称, 请键入可选的 NetBIOS 名称 < 接口名称 > = 所配置的 CIFS 服务器使用的接口如果添加 CIFS 服务器而不指定任何接口 ( 使用 interfaces= 选项 ), 则此服务器将变成默认 CIFS 服务器, 并使用未分配给数据移动器上其他 CIFS 服务器的所有接口每个数据移动器只能有一个默认 CIFS 服务器 < 接口后缀 >= 不同的 DNS 接口后缀 ( 用于 DNS 更新 ) 默认情况下, DNS 后缀来自于域此 DNS 选项对数据移动器的 DNS 设置没有任何影响示例 : 要在 server_2 上创建 CIFS 服务器 dm32-ana0, 请键入 : $ server_cifs server_2 -add compname=dm32- cge0,domain=universe.com,netbios=eng23b,interface=cge0 输出 server_2 : done 27 / 88

为无委派加入的相同命名空间将 CIFS 服务器加入到 Windows 域中要将 CIFS 服务器加入到 Windows 域中, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -Join compname=< 计算机名 >, domain=< 完整域名 >,admin=< 管理员名称 @ 域名 > < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = Active Directory 中 CIFS 服务器帐户的名称 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称如果 CIFS 服务器的主 DNS 后缀与 Windows 域不同, < 计算机名 > 必须为完全限定的名称例如, 如果 Windows 域为 win.com DNS 主后缀为 abc.net 以及 CIFS 服务器为 server1, 则命令将为 server_cifs < 移动器名称 > -Join compname=server1.abc.net, domain=win.com < 完整域名 > = Windows 域的 DNS 名称 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com) < 管理员名称 @< 域名 > = 用户的登录名称和完整域名, 此用户具有足够的权限将服务器加入到域中如果将 @< 域名 > 省略, 数据移动器将假定用户属于 CIFS 服务器当前加入的域用户必须来自同一 AD 林中的域示例 : 要将 CIFS 服务器 dm32-ana0 加入到 universe.com 域中, 请键入 : $ server_cifs server_2 -Join compname=dm32-cge0, domain=universe.com,admin=administrator 输出 server_2 : Enter Password: ******* done 注意用户帐户和用户密码用于在 Active Directory 中创建帐户, 并且在添加计算机帐户后不会存储为相同的命名空间和委派的加入创建和加入 CIFS 服务器在以下情况下, 请执行下列添加和加入过程 : DNS 域名和 Active Directory 域名相同使用的是委派的用户帐户请执行以下任务以进行添加和加入过程 : 第 29 页上的为相同的命名空间和委派的加入创建 CIFS 服务器第 30 页上的为相同的命名空间和委派的加入将 CIFS 服务器加入到 Windows 域中注意 : 在执行这些任务之前, 您必须完成第 22 页上的前提条件和第 25 页上的委派加入中概述的步骤 28 / 88

为相同的命名空间和委派的加入创建 CIFS 服务器要在数据移动器上针对 Windows 2000 或 Windows Server 2003 环境创建 CIFS 服务器, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 >[,hidden={y n}][,netbios=<netbios 名称 >] [,interface=< 接口名称 >][,dns=< 接口后缀 >] < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = 与 Windows 2000 或 Windows Server 2003 兼容的 CIFS 服务器 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称注意 :Celerra Network Server 中的每个 < 计算机名 > 都必须是唯一的默认 CIFS 服务器和 VDM 中的 CIFS 服务器不能共存于同一数据移动器上默认 CIFS 服务器是分配给所有接口的全局 CIFS 服务器 VDM 中的 CIFS 服务器需要使用指定的接口如果数据移动器上存在 VDM, 则不能创建默认 CIFS 服务器 < 完整域名 > = Windows 环境的完整域名 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com 或 mydomain.) hidden={y n} = 默认情况下, Windows 资源管理器中会显示计算机名如果指定 hidden=y, 则不会显示计算机名 <NetBIOS 名称 > = ( 可选 ) 用于代替默认 NetBIOS 名称的 NetBIOS 名称默认名称由系统自动分配, 来自于 < 计算机名 > 的前 15 个字符如果 < 计算机名 > 的前 15 个字符与 NetBIOS 命名约定不符, 或者您需要非默认名称, 请键入可选的 NetBIOS 名称 < 接口名称 > = 所配置的 CIFS 服务器使用的接口如果添加 CIFS 服务器而不指定任何接口 ( 使用 interfaces= 选项 ), 则此服务器将变成默认 CIFS 服务器, 并使用未分配给数据移动器上其他 CIFS 服务器的所有接口每个数据移动器只能有一个默认 CIFS 服务器 < 接口后缀 > = 不同的 DNS 接口后缀 ( 用于 DNS 更新 ) 默认情况下, DNS 后缀来自于域此 DNS 选项对数据移动器的 DNS 设置没有任何影响示例 : 要在 server_2 上创建 CIFS 服务器 dm32-ana0, 请键入 : $ server_cifs server_2 -add compname=dm32- cge0,domain=universe.com,netbios=eng23b,interface=cge0 输出 server_2 : done 29 / 88

为相同的命名空间和委派的加入将 CIFS 服务器加入到 Windows 域中要将 CIFS 服务器加入到 Windows 域中, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -Join compname=< 计算机名 >, domain=< 完整域名 >,admin=< 用户名称 @AD 名称 > < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = Active Directory 中 CIFS 服务器帐户的名称 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称注意 : 如果 CIFS 服务器的主 DNS 后缀与 Windows 域不同, < 计算机名 > 必须为完全限定的名称例如, 如果 Windows 域为 win.com DNS 主后缀为 abc.net 以及 CIFS 服务器为 server1, 则命令将为 server_cifs < 移动器名称 > -Join compname=server1.abc.net,domain=win.com < 完整域名 > = Windows 域的 DNS 名称 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com) < 用户名称 @< 域名 > = < 用户名称 >[@AD 名称 >]= 委派的用户登录名称和 Active Directory 的域名示例 : 要将 CIFS 服务器 dm32-ana0 加入到 universe.com 域中, 请键入 : $ server_cifs server_2 -Join compname=dm32-cge0, domain=universe.com,admin=user@universe.com 输出 server_2 : Enter Password: ******* done 注意用户帐户和用户密码用于在 Active Directory 中创建帐户, 并且在添加计算机帐户后不会存储为无委派加入的非连续命名空间创建和加入 CIFS 服务器在以下情况下, 请执行下列添加和加入过程 : DNS 域名和 Active Directory 域名不相同使用的是默认用户帐户 (Domain Admins 组的成员 ) 请执行以下任务以进行添加和加入过程 : 第 31 页上的为无委派加入的非连续命名空间创建 CIFS 服务器第 32 页上的为无委派加入的非连续命名空间将 CIFS 服务器加入到 Windows 域中注意 : 在执行这些任务之前, 您必须完成第 22 页上的前提条件和第 25 页上的委派加入中概述的步骤 30 / 88

为无委派加入的非连续命名空间创建 CIFS 服务器要在数据移动器上针对 Windows 2000 或 Windows Server 2003 环境创建 CIFS 服务器, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 >[,hidden={y n}][,netbios=<netbios 名称 >] [,interface=< 接口名称 >][,dns=< 接口后缀 >] < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = 与 Windows 2000 或 Windows Server 2003 兼容的 CIFS 服务器 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称注意 :Celerra Network Server 中的每个 < 计算机名 > 都必须是唯一的默认 CIFS 服务器和 VDM 中的 CIFS 服务器不能共存于同一数据移动器上默认 CIFS 服务器是分配给所有接口的全局 CIFS 服务器 VDM 中的 CIFS 服务器需要使用指定的接口如果数据移动器上存在 VDM, 则不能创建默认 CIFS 服务器 < 完整域名 > = Windows 环境的完整域名 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com 或 mydomain.) hidden={y n}= 默认情况下, Windows 资源管理器中会显示计算机名如果指定 hidden=y, 则不会显示计算机名 <NetBIOS 名称 > = ( 可选 ) 用于代替默认 NetBIOS 名称的 NetBIOS 名称默认名称由系统自动分配, 来自于 < 计算机名 > 的前 15 个字符如果 < 计算机名 > 的前 15 个字符与 NetBIOS 命名约定不符, 或者您需要非默认名称, 请键入可选的 NetBIOS 名称 < 接口名称 > = 所配置的 CIFS 服务器使用的接口如果添加 CIFS 服务器而不指定任何接口 ( 使用 interfaces= 选项 ), 则此服务器将变成默认 CIFS 服务器, 并使用未分配给数据移动器上其他 CIFS 服务器的所有接口每个数据移动器只能有一个默认 CIFS 服务器 < 接口后缀 >= 不同的 DNS 接口后缀 ( 用于 DNS 更新 ) 默认情况下, DNS 后缀来自于域此 DNS 选项对数据移动器的 DNS 设置没有任何影响示例 : 要在 server_2 上创建 CIFS 服务器 dm32-ana0, 请键入 : $ server_cifs server_2 -add compname=dm32-cge0, domain=universe.com,netbios=eng23b,interface=cge0, dns=nasdocs.emc.com 输出 server_2 : done 31 / 88

为无委派加入的非连续命名空间将 CIFS 服务器加入到 Windows 域中要将 CIFS 服务器加入到 Windows 域中, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -Join compname=< 计算机名. 完全限定的域名 >, domain=< 完整域名 >,admin=< 管理员名称 @< 域名 > < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名. 完全限定的域名 > = Active Directory 中 CIFS 服务器帐户的名称 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称对于非连续的命名空间, 您必须键入计算机名. 完全限定的域名 ; 否则, 不会更新 AD 属性例如 : compname=dm32-cge0.nasdocs.emc.com 注意 : 如果 CIFS 服务器的主 DNS 后缀与 Windows 域不同, < 计算机名 > 必须为完全限定的名称例如, 如果 Windows 域为 win.com DNS 主后缀为 abc.net 以及 CIFS 服务器为 server1, 则命令将为 server_cifs < 移动器名称 > -Join compname=server1.abc.net,domain=win.com < 完整域名 > = Windows 域的 DNS 名称 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com) < 管理员名称 @< 域名 > = 用户的登录名称和完整域名, 此用户具有足够的权限将服务器加入到域中如果将 @< 域名 > 省略, 数据移动器将假定用户属于 CIFS 服务器当前加入的域用户必须来自同一 AD 林中的域示例 : 要将 CIFS 服务器 dm32-ana0 加入到 universe.com 域中, 请键入 : $ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com, domain=universe.com,admin=administrator 输出 server_2 : Enter Password: ******* done 注意用户帐户和用户密码用于在 Active Directory 中创建帐户, 并且在添加计算机帐户后不会存储为非连续命名空间和委派的加入创建和加入 CIFS 服务器在以下情况下, 请执行下列添加和加入过程 : DNS 域名和 Active Directory 域名不相同使用的是委派的用户帐户请执行以下任务以进行添加和加入过程 : 第 33 页上的为非连续命名空间和委派的加入创建 CIFS 服务器第 34 页上的为非连续命名空间和委派的加入将 CIFS 服务器加入到 Windows 域中注意 : 在执行这些任务之前, 您必须完成第 22 页上的前提条件和第 25 页上的委派加入中概述的步骤注意 : 您可以在 Windows 环境中将 CIFS 服务器加入到域中, 其中 Active Directory 命名空间的命名方式独立于 DNS 命名空间 32 / 88

为非连续命名空间和委派的加入创建 CIFS 服务器要在数据移动器上针对 Windows 2000 或 Windows Server 2003 环境创建 CIFS 服务器, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add compname=< 计算机名 >, domain=< 完整域名 >[,hidden={y n}][,netbios=<netbios 名称 >] [,interface=< 接口名称 >][,dns=< 接口后缀 >] < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = 与 Windows 2000 或 Windows Server 2003 兼容的 CIFS 服务器 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称注意 :Celerra Network Server 中的每个 < 计算机名 > 都必须是唯一的默认 CIFS 服务器和 VDM 中的 CIFS 服务器不能共存于同一数据移动器上默认 CIFS 服务器是分配给所有接口的全局 CIFS 服务器, 而 VDM 内的 CIFS 服务器需要使用指定的接口如果数据移动器上存在 VDM, 则不能创建默认 CIFS 服务器 < 完整域名 > = Windows 环境的完整域名 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com 或 mydomain) hidden={y n}= 默认情况下, Windows 资源管理器中会显示计算机名如果指定 hidden=y, 则不会显示计算机名 <NetBIOS 名称 > = ( 可选 ) 用于代替默认 NetBIOS 名称的 NetBIOS 名称默认名称由系统自动分配, 来自于 < 计算机名 > 的前 15 个字符如果 < 计算机名 > 的前 15 个字符与 NetBIOS 命名约定不符, 或者您需要非默认名称, 请键入可选的 NetBIOS 名称 < 接口名称 > = 所配置的 CIFS 服务器使用的接口如果添加 CIFS 服务器而不指定任何接口 ( 使用 interfaces= 选项 ), 则此服务器将变成默认 CIFS 服务器, 并使用未分配给数据移动器上其他 CIFS 服务器的所有接口每个数据移动器只能有一个默认 CIFS 服务器 < 接口后缀 >= 不同的 DNS 接口后缀 ( 用于 DNS 更新 ) 默认情况下, DNS 后缀来自于域此 DNS 选项对数据移动器的 DNS 设置没有任何影响示例 : 要在 server_2 上创建 CIFS 服务器 dm32-ana0, 请键入 : $ server_cifs server_2 -add compname=dm32-cge0, domain=universe.com,netbios=eng23b,interface=cge0, dns=nasdocs.emc.com 输出 server_2 : done 33 / 88

为非连续命名空间和委派的加入将 CIFS 服务器加入到 Windows 域中要将 CIFS 服务器加入到 Windows 域中, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -Join compname=< 计算机名. 完全限定的域名 >, domain=< 完整域名 >,admin=< 用户名称 @AD 名称 > [,dns=< 接口后缀 >] < 移动器名称 > = 数据移动器或 VDM 的名称 < 计算机名 > = Active Directory 中 CIFS 服务器帐户的名称 < 计算机名 > 最多可包含 63 个 UTF-8 字符, 代表要在 DNS 中注册的服务器名称对于非连续的命名空间, 您必须键入计算机名. 完全限定的域名 ; 否则, 不会更新 AD 属性例如 : compname=dm32-cge0.nasdocs.emc.com 注意 : 如果 CIFS 服务器的主 DNS 后缀与 Windows 域不同, < 计算机名 > 必须为完全限定的名称例如, 如果 Windows 域为 win.com DNS 主后缀为 abc.net 以及 CIFS 服务器为 server1, 则命令将为 server_cifs < 移动器名称 > -Join compname=server1.abc.net,domain=win.com < 完整域名 > = Windows 域的 DNS 名称 < 完整域名 > 必须包含一个圆点 ( 示例 :domain.com) < 用户名称 @AD 名称 > = 委派的用户登录名称和 Active Directory 的域名示例 : 要将 CIFS 服务器 dm32-ana0 加入到 universe.com 域中, 请键入 : $ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com, domain=universe.com,admin=user@universe.com 输出 server_2 : Enter Password: ******* done 注意用户帐户和用户密码用于在 Active Directory 中创建帐户, 并且在添加计算机帐户后不会存储管理文件系统本部分概述了在 Windows 环境中在 Celerra 上管理文件系统相关的概念和任务请执行以下任务以管理文件系统 : 第 34 页上的确保同步写入第 35 页上的伺机文件锁定第 36 页上的文件更改通知确保同步写入此专用装载选项可确保对文件服务器的任何写入均同步进行对于 Windows, 如果要使用 Celerra 存储特定数据库文件, 请务必确保指定此选项建议使用此选项以避免在发生各种故障 ( 例如断电 ) 时数据丢失或文件损坏的可能性 34 / 88

要装载文件系统以确保同步写入, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o cifssyncwrite < 文件系统名称 > < 装载点 > < 移动器名称 > = 数据移动器或 VDM 的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称示例 : 要装载文件系统 ufs1 并确保同步写入, 请键入 : $ server_mount server_2 -o cifssyncwrite ufs1 /ufs1 注意 : 除非您需要通过 Celerra Network Server 访问数据库, 否则不建议使用 cifssyncwrite 选项注意 :< 装载点 > 必须以正斜杠 (/) 开头输出 server_2 : done 伺机文件锁定伺机文件锁定 (oplock) 通过允许 CIFS 客户端在向服务器发送文件数据之前先将文件数据缓存在本地来提高网络性能默认情况下, 每个文件系统都已配置这些锁定且处于打开状态除非您正在使用的数据库应用程序建议关闭 oplock, 或者您正在处理关键数据而不能出现任何数据丢失, 否则请将 oplocks 保持在打开状态 Celerra Network Server 以下列方式支持级别 II 独占和批处理 oplock ( 筛选器 oplock 不适用于远程文件服务器 ): 级别 II oplock: 保持在打开状态时, 级别 II oplock 将通知客户端当前有多个客户端正在访问一个文件, 但尚未有客户端修改此文件级别 II oplock 允许客户端通过使用缓存的或预读的本地信息来执行读取和文件属性提取其他所有文件访问请求都必须发送到服务器独占 oplock: 保持在打开状态时, 独占 oplock 将通知客户端它是打开文件的唯一客户端独占 oplock 允许客户端通过使用缓存的或预读的信息来执行所有文件, 直到客户端关闭文件, 此时, 必须使用对文件状态 ( 内容和属性 ) 所做的任何更改来更新服务器批处理 oplock: 保持在打开状态时, 批处理 oplock 将通知客户端它是打开文件的唯一客户端批处理 oplock 允许客户端通过使用缓存的或预读的信息来执行所有文件 ( 包括打开和关闭 ) 服务器可保留为客户端打开的文件, 即使客户端计算机上的本地进程已关闭此文件此机制通过允许客户端跳过无关的关闭和打开请求, 来减少网络流量 35 / 88

关闭 oplock 要关闭特定文件系统的 oplock, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o nooplock < 文件系统名称 > < 装载点 > < 移动器名称 > = 数据移动器或 VDM 的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称示例 : 要装载文件系统 ufs1 并关闭 oplock, 请键入 : $ server_mount server_2 -o nooplock ufs1 /ufs1 注意 : 如果禁用 oplock, 则会显著降低性能注意 :< 装载点 > 必须以正斜杠 (/) 开头! 警告在 Microsoft 网络中, 如果 Windows 客户端或 Windows 服务器故障或出现网络问题, 伺机锁定可能会导致数据丢失输出 server_2 : done 文件更改通知在 Windows 平台上运行并且使用 Win32 API 的应用程序可以在 CIFS 服务器 ( 或本地系统 ) 中进行注册, 如果对文件或目录内容执行了特定 ( 如创建文件重命名文件删除等等 ), 系统会通知这些应用程序例如, 此功能可以指明何时需要刷新显示 (Windows 资源管理器 ) 或者何时需要刷新缓存 (Microsoft Internet Information Server), 而无需经常轮询 CIFS 服务器 ( 或本地系统 ) Win32 API 允许您指定需要监视的目录树的根目录, 因此 CIFS 协议也允许这样做如果已指定子目录, 则对指定的目录进行的更改不会通知应用程序为监视对所指定目录下的目录进行的更改, 应用程序也可以设置 WatchSubTree 位默认情况下, 支持监视对根目录下最多 512 个目录级别进行的更改在收到更改通知响应后, 应用程序必须重新发布或重新设置要得到进一步修改通知的监视过程注意 : 您也可以将更改保存在缓冲区内, 并通过对请求监视的客户端发出单一响应来应对通知请执行以下任务以配置文件更改通知 : 第 37 页上的配置文件更改通知第 38 页上的配置其他文件更改通知选项 36 / 88

限制以下是使用文件更改通知的限制 : 只能在纯 CIFS 环境中使用文件更改通知因此, 如果从 NFS FTP 或 MPFS 客户端对文件或目录执行更改, 系统不会通知应用程序只有当数据移动器上的用户身份验证方法设置为 NT 时, 才支持此功能配置文件更改通知默认情况下, 通知选项自动处于打开状态如果存在性能问题, 您可能要禁用通知选项要禁用文件系统的通知功能, 请使用以下命令语法 : $ server_mount < 移动器名称 > -o nonotify < 文件系统名称 > < 装载点 > < 移动器名称 > = 数据移动器或 VDM 的名称 < 文件系统名称 > = 正在装载的文件系统的名称 < 装载点 > = 装载点的名称注意 : 在使用此命令之前, 您必须先打开目录文件注意 :< 装载点 > 必须以正斜杠 (/) 开头示例 : 要禁用 server_2 上文件系统 ufs1 的通知功能, 请键入 : $ server_mount server_2 -o nonotify ufs1 /ufs1 输出 server_2 : done 37 / 88

配置其他文件更改通知选项此外, 您还可以配置第 38 页上的表 3 中说明的通知选项表 3 文件更改通知选项选项描述示例 triggerlevel=< 值 > notifyonwrite 指定在监视的目录下要监视多少目录级别进行的更改 < 值 > 必须采用十六进制格式默认值 :512 个级别 (0x00000200) 提供有关文件系统写入访问的通知默认值 : 已禁用下列示例显示了最多 15 个目录级别的配置 : $ server_mount server_2 -o triggerlevel=0x0000000 f ufs1 /ufs1 下列示例启用了 notifyonwrite: $ server_mount server_2 -o notifyonwrite ufs1 /ufs1 当应用程序需要在关闭文件之前得到文件写入通知时, 此选项很有用 notifyonaccess 提供有关修改访问时间的通知默认值 : 已禁用下列示例启用了 notifyonaccess 和 notifyonwrite: $ server_mount server_2 -o notifyonaccess,notifyon write ufs1 /ufs1 注意 : 出于性能方面的考虑, 默认情况下 notifyonwrite 和 notifyonaccess 选项处于禁用状态重新导出所有 Celerra 文件系统您可以在文件服务器正在运行时, 从 Celerra Network Server 一次性重新导出所有导出的 Celerra 文件系统此将重新导出文件服务器上导出表中的所有条目您可以使用此功能重新导出暂时尚未导出的文件系统要从 Celerra Network Server 重新导出所有导出的 Celerra 文件系统, 请使用以下命令语法 : $ server_export ALL -all 输出 server_2 : done server_3 : done server_4 : done 38 / 88

禁用对数据移动器上所有文件系统的访问要永久禁用对数据移动器上所有文件系统的所有访问, 请使用以下命令语法 : $ server_export < 移动器名称 > -unexport -perm -all < 移动器名称 > = 数据移动器的名称示例 : 要永久禁用对 server_3 上所有文件系统的所有访问, 请键入 : $ server_export server_3 -unexport -perm -all! 警告此将删除导出表中的内容, 并阻止所有客户端访问数据移动器上的文件系统要重新建立客户端对文件服务器上文件系统的访问, 您必须通过重新导出数据移动器上的每个 CIFS 共享和 NFS 路径来重建导出表输出 server_3 : done 停止 CIFS 服务要停止数据移动器的 CIFS 服务, 请使用以下命令语法 : $ server_setup < 移动器名称 > -P cifs -option stop < 移动器名称 > = 数据移动器的名称示例 : 要停止 server_2 上的 CIFS 服务, 请键入 : $ server_setup server_2 -P cifs -o stop! 警! 告停止数据移动器上的 CIFS 服务将会禁止用户访问此数据移动器上的所有 CIFS 服务器输出 server_2 : done 39 / 88

启动 CIFS 服务要启动 CIFS 服务, 请使用以下命令语法 : $ server_setup < 移动器名称 > -P cifs -o start[=<n>] < 移动器名称 > = 数据移动器的名称 -P cifs -o start = 为数据移动器激活协议配置 [=<n>] = 数据移动器上所有 CIFS 活动的线程数, 而非每个 CIFS 服务器的线程数默认 CIFS 线程数取决于数据移动器的内存大小如果内存小于 1 GB, 则默认值为 32 个线程对于具有 3 GB 或更大内存的 510 数据移动器和 NS 系列 Celerra 系统, 默认线程数为 256 示例 : 要启动 server_2 上的 CIFS 服务, 请键入 : $ server_setup server_2 -P cifs -o start 输出 server_2 : done 删除 CIFS 服务器本部分介绍如何在 Windows 2000 Window Server 2003 和 Windows NT 环境下从数据移动器配置中删除 CIFS 服务器请执行以下任务以删除 CIFS 服务器 : 第 41 页上的在 Windows 2000 或 Windows Server 2003 环境下删除 CIFS 服务器第 41 页上的在 Windows NT 环境下删除 CIFS 服务器前提条件在从数据移动器中删除 CIFS 服务器之前, 请确保没有活动会话与此 CIFS 服务器关联使用服务器管理工具 (MMC 或服务器管理器 ) 关闭所有活动会话如果在删除 CIFS 服务器 (Windows 2000 Windows 2003 或 Windows NT) 期间系统正在执行写入, 可能会丢失数据在执行此过程之前, 请提前通知所有用户 CIFS 服务器将不再可用 40 / 88

在 Windows 2000 或 Windows Server 2003 环境下删除 CIFS 服务器步骤 1. 使用以下命令语法将计算机从域中退出 : $ server_cifs < 移动器名称 > -Unjoin compname=< 计算机名 >, domain=< 完整域名 > < 移动器名称 > = 数据移动器的名称 < 计算机名 > = CIFS 服务器的计算机名 < 完整域名 > = Windows 环境的完整域名 ; 必须包含一个圆点 ( 示例 :domain.com) 2. 使用以下命令语法删除 CIFS 服务器 : $ server_cifs < 移动器名称 > -delete compname=< 计算机名 > < 移动器名称 > = 数据移动器的名称 < 计算机名 > = CIFS 服务器的计算机名在 Windows NT 环境下删除 CIFS 服务器步骤 1. 使用以下命令语法删除 CIFS 服务器 : $ server_cifs < 移动器名称 > -delete netbios=<netbios 名称 > < 移动器名称 > = 数据移动器的名称 <NetBIOS 名称 > = CIFS 服务器的 NetBIOS 名称注意 : 此命令不会将 NetBIOS 条目从 PDC ( 主域控制器 ) 中删除启用主目录使用 Celerra 主目录功能可以创建一个名为 HOME 的单个共享, 所有用户均与之连接您不必为每个用户创建单个共享主目录功能通过允许您将用户名与目录关联, 然后再使用此目录充当用户的主目录, 从而简化个人共享管理以及与共享连接的过程主目录与用户的配置文件映射, 以便在用户登录后, 主目录可以自动连接到网络驱动器在 Windows 2000 和 Windows 2003 服务器系统中, 您可以通过 Celerra Home Directory Management MMC 管理单元来启用和管理主目录 Installing Celerra Management Applications ( 安装 Celerra 管理应用程序 ) 提供了有关安装此管理单元的信息此管理单元联机帮助介绍了主目录的启用和管理过程注意 : 如果客户端系统 ( 如 Citrix Metaframe 或 Windows Terminal Server) 同时支持多个 Windows 用户并缓存文件访问信息, Celerra 主目录功能可能无法正常工作使用 Celerra 主目录功能, 对 Celerra 客户端来说, 针对每个用户的主目录路径都是相同的例如, 如果一个用户向主目录中的文件写入数据, 然后另一个用户读取主目录中的文件, 则系统将使用从第一个用户的主目录中缓存的数据来完成第二个用户的请求由于文件的路径名相同, 客户端系统假定它们是同一文件 41 / 88

请执行以下任务以启用主目录 : 1. 第 43 页上的创建数据库 2. 第 43 页上的在数据移动器上启用主目录 3. 第 43 页上的创建主目录文件 4. 第 44 页上的将主目录添加到用户配置文件注意 : 默认情况下, 主目录功能处于禁用状态注意 : 在启用主目录之前, 您必须先创建并启动 CIFS 服务在 Windows 2000 和 Windows 2003 服务器系统中, 您可以通过 Celerra Home Directory Management MMC 管理单元来启用和管理主目录 Installing Celerra Management Applications ( 安装 Celerra 管理应用程序 ) 提供了有关安装此管理单元的信息此管理单元的联机帮助介绍了主目录的启用和管理过程主目录使用限制特殊共享名 HOME 是主目录功能的保留名称由于此限制, 存在下列限制 : 已配置 SHARE 或 UNIX 级别安全的 CIFS 服务器上不提供主目录功能如果已创建名为 HOME 的共享, 则不能启用主目录功能如果已启用主目录功能, 则不能创建名为 HOME 的共享请在用户的 Windows 用户配置文件中使用 UNC 路径配置主目录 : \\<CIFS 服务器 >\HOME <CIFS 服务器 > = CIFS 服务器的 IP 地址计算机名或 NetBIOS 名称 HOME = 为主目录功能保留的特殊共享如果在用户的主目录路径中使用 HOME, 当用户登录时, 用户的主目录将自动映射到网络驱动器, 并且系统会自动设置 HOMEDRIVE HOMEPATH 和 HOMESHARE 环境变量 42 / 88

创建数据库步骤 1. 创建一个名为 homedir 的数据库文件, 以使用主目录功能它会将每个域或用户名组合映射到用户的主目录位置 2. 在使用主目录 MMC 管理单元创建初始条目期间, 在数据移动器上创建一个新数据库注意 : 建议您使用 Celerra 管理 MMC 插件创建和编辑用户主目录条目 MMC 插件将在您键入条目时对它们进行验证如果在创建或编辑 homedir 文件时键入了错误的条目, 主目录环境可能会变成不可用在数据移动器上启用主目录要在创建数据库后在数据移动器上启用主目录, 请键入 : $ server_cifs < 移动器名称 > -option homedir < 移动器名称 >= 数据移动器的名称输出 server_2 : done 创建主目录文件您需要为数据库中指定的每个用户创建主目录您可以通过在创建或编辑主目录条目时选择 -create 选项来创建目录 Celerra 管理 MMC 插件联机帮助提供了有关自动创建目录的详细信息第 81 页上的附录 A: 附加主目录信息提供了有关主目录数据库文件的详细信息要在数据移动器上启用主目录, 请键入 : $ server_cifs < 移动器名称 > -option homedir < 移动器名称 >= 数据移动器的名称输出 server_2 : done 43 / 88

将主目录添加到用户配置文件要允许用户访问单个主目录, 您必须使用下列路径映射每个用户配置文件中的主目录 : \\<CIFS 服务器 >\HOME <CIFS 服务器 > = CIFS 服务器的 IP 地址计算机名或 NetBIOS 名称 HOME = 为主目录功能保留的特殊共享名称请执行以下任务, 为用户配置文件添加主目录 : 第 45 页上的从 Windows 2000 或 Windows Server 2003 添加主目录第 46 页上的从 Windows NT 添加主目录第 46 页上的使用正则表达式添加主目录 44 / 88

从 Windows 2000 或 Windows Server 2003 添加主目录步骤 1. 使用域管理员帐户登录到 Windows 服务器 2. 单击 Start ( 开始 ), 然后选择 Programs ( 程序 ) > Administrative Tools ( 管理工具 ) > Active Directory Users and Computers (Active Directory 用户和计算机 ) 3. 单击 Users ( 用户 ), 以在右侧窗格中显示用户 4. 右键单击一个用户, 然后选择 Properties ( 属性 ) 此时将显示 Sample User Properties (Sample 用户属性 ) 窗口 5. 单击 Profile ( 配置文件 ) 选项卡, 然后在 Home folder ( 主文件夹 ) 下执行下列 : a. 选择 Connect ( 连接 ) b. 选择要映射到主目录的驱动器号 c. 在 To ( 到 ) 中键入 : \\<CIFS 服务器 >\HOME <CIFS 服务器 > = CIFS 服务器的 IP 地址计算机名或 NetBIOS 名称 6. 单击 OK ( 确定 ) 45 / 88

从 Windows NT 添加主目录步骤 1. 使用域管理员帐户登录到 Windows 服务器 2. 单击 Start ( 开始 ), 然后选择 Programs ( 程序 ) > Administrative Tools ( 管理工具 ) > User Manager for Domains ( 域用户管理器 ) 此时将显示 User Manager for Domains ( 域用户管理器 ) 3. 双击用户名此时将显示 Sample User Properties (Sample 用户属性 ) 窗口 4. 单击 Profile ( 配置文件 ) 此时将显示 User Environment Profile ( 用户环境配置文件 ) 对话框 5. 在 Home Directory ( 主目录 ) 下执行下列 : a. 选择 Connect ( 连接 ) b. 选择要映射到主目录的驱动器号 c. 在 To ( 到 ) 中键入 : \\<CIFS 服务器 >\HOME <CIFS 服务器 > = CIFS 服务器的 IP 地址计算机名或 NetBIOS 名称 6. 单击 OK ( 确定 ) 使用正则表达式添加主目录步骤 1. 使用域管理员帐户登录到 Windows 服务器 2. 单击 Start ( 开始 ), 然后选择 Programs ( 程序 ) > Administrative Tools ( 管理工具 ) > Celerra Management 46 / 88

步骤 3. 右键单击 HomeDir 文件夹图标并选择 New ( 新建 ) > home directory entry ( 主目录条目 ) 此时将显示主目录属性屏幕 4. a. 在 Domain ( 域 ) 中键入一个正则表达式在本例中, 表达式与任何以 DOC 开头的域名匹配 b. 在 User ( 用户 ) 中键入一个正则表达式在本例中, 星号与任何用户名匹配 c. 在 Path ( 路径 ) 中键入 : \homedirs\<u> 在本例中, homedirs 为存储主目录的共享位置 <u> 是用户的登录名称系统将创建名称与用户的登录名称相同的目录 ( 如果尚不存在 ) 5. 单击 OK ( 确定 ) 47 / 88

组策略对象以下部分将介绍 Microsoft GPO 以及 Celerra Network Server 如何提供 GPO 支持此外, 本部分还讨论如何管理 Celerra Network Server 上的 GPO 支持请执行以下任务以管理 GPO 支持 : 第 54 页上的显示 GPO 设置第 57 页上的更新 GPO 设置第 59 页上的禁用 GPO 支持第 59 页上的禁用 GPO 缓存 Microsoft GPO 简介在 Windows 2000 或 Windows Server 2003 中, 管理员可以使用组策略来定义用户组和计算机组的配置选项 Windows GPO 可以控制本地域和网络安全设置等元素组策略设置存储在 GPO 中, 链接到 Active Directory 中的站点域和组织单元 (OU) 容器域控制器复制域内所有域控制器上的 GPO 审核策略是数据移动器安全设置管理单元中的一个组件, 作为 Microsoft 管理控制台 (MMC) 管理单元安装到 Windows 2000 和 Windows Server 2003 系统上的 Celerra 管理控制台中 Installing Celerra Management Applications ( 安装 Celerra 管理应用程序 ) 提供了安装说明您可以使用审核策略确定在安全日志中记录哪些数据移动器安全事件您可以选择记录成功的尝试失败的尝试, 两者都记录或都不记录您可以在 Windows 事件查看器的 Security ( 安全性 ) 日志中查看审核的事件审核策略节点中显示的审核策略是 Active Directory 用户和计算机中可用作 GPO 的策略的子集这些审核策略是本地策略, 仅适用于选定的数据移动器您不能使用审核策略节点管理 GPO 审核策略如果将审核策略定义为 ADUC 中的 GPO, 则 GPO 设置将会覆盖本地设置当域管理员更改域控制器上的审核策略时, 所做的更改将反映在数据移动器上, 且可以使用审核策略节点查看您可以更改本地审核策略, 但在禁用此策略的 GPO 后, 所做的更改才会生效如果禁用审核, GPO 设置将保留在有效设置列中注意 : 您不能使用 Microsoft 的 Windows 本地策略设置工具来管理数据移动器上的审核策略, 因为在 Windows 2000 Windows Server 2003 和 Windows XP 中,Windows 本地策略设置工具不允许您远程管理审核策略 48 / 88

Celerra Network Server 上的 GPO 支持通过检索和存储已加入到 Windows 2000 或 Windows Server 2003 域中的每个 CIFS 服务器的 GPO 设置拷贝,Celerra Network Server 提供 GPO 支持 Celerra Network Server 在数据移动器上的 GPO 缓存中存储 GPO 设置虽然一个数据移动器上可能有多个 CIFS 服务器, 但每个数据移动器只有一个 GPO 缓存启动数据移动器上的 CIFS 服务时, Celerra Network Server 将读取 GPO 缓存中存储的设置, 然后从 Windows 域控制器检索最新的 GPO 设置每当使用 server_cifs -Join 命令将 Celerra CIFS 服务器加入到域中时,Celerra Network Server 也会检索 GPO 设置在检索 GPO 设置后, Celerra Network Server 将根据该域的刷新间隔自动更新设置如果域中未定义刷新间隔, Celerra Network Server 将每隔 90 分钟 ( 数据移动器的默认刷新间隔值 ) 更新这些设置您可以随时发出 server_security 命令来强制执行更新第 57 页上的更新 GPO 设置提供了相关说明支持的设置 Celerra Network Server 当前支持下列 GPO 安全设置 : Kerberos Maximum tolerance for computer clock synchronization (clock skew) ( 计算机时钟同步的最大容差 ( 时钟偏差 )) 注意 : 每个数据移动器 ( 而非每个 CIFS 服务器 ) 上都执行时间同步如果在一个数据移动器上为多个域配置多个 CIFS 服务器, 则必须同步这些域的所有时间源 Maximum lifetime for user ticket ( 用户票证最长寿命 ) 审核策略 Audit account logon events ( 审核帐户登录事件 ) Audit account management ( 审核帐户管理 ) Audit directory service access ( 审核目录服务访问 ) Audit logon events ( 审核登录事件 ) Audit object access ( 审核对象访问 ) Audit policy change ( 审核策略更改 ) Audit privilege use ( 审核特权使用 ) Audit process tracking ( 审核过程跟踪 ) Audit system events ( 审核系统事件 ) 49 / 88

用户权限 Access this computer from the network ( 从网络访问此计算机 ) Back up files and directories ( 备份文件和目录 ) Bypass traverse checking ( 绕过遍历检查 ) Deny access to this computer from the network ( 拒绝从网络访问这台计算机 ) EMC virus checking Generate security audits ( 生成安全审核 ) Manage auditing and security log ( 管理审核和安全日志 ) Restore files and directories ( 还原文件和目录 ) Take ownership of files or other objects ( 取得文件或其他对象的所有权 ) 安全选项 Digitally sign client communication (always) ( 对客户端通讯进行数字签名 ( 总是 )) Digitally sign client communication (when possible) ( 对客户端通讯进行数字签名 ( 如果可能 )) Digitally sign server communication (always) ( 对服务器通讯进行数字签名 ( 总是 )) Digitally sign server communication (when possible) ( 对服务器通讯进行数字签名 ( 如果可能 )) LAN Manager Authentication Level (LAN Manager 身份验证级别 ) 事件日志 Maximum application log size ( 应用程序日志大小最大值 ) Maximum security log size ( 安全日志最大值 ) Maximum system log size ( 系统日志大小最大值 ) Restrict guest access to application log ( 限制来宾对应用程序日志的访问 ) Restrict guest access to security log ( 限制来宾对安全日志的访问 ) Restrict guest access to system log ( 限制来宾对系统日志的访问 ) Retain application log ( 应用程序日志保留天数 ) Retain security log ( 安全日志保留天数 ) Retain system log ( 系统日志保留天数 ) Retention method for application log ( 应用程序日志保留方法 ) Retention method for security log ( 安全日志的保留方法 ) Retention method for system log ( 系统日志保留方法 ) 组策略 Disable background refresh of Group Policy ( 禁用组策略的后台刷新 ) Group Policy refresh interval for computers ( 计算机组策略刷新间隔 ) 50 / 88

一个数据移动器上的多个 CIFS 服务器一个数据移动器上的 CIFS 服务器 ( 如果属于独立的组织单元 ) 可能具有不同的 GPO 设置当一个数据移动器具有多个 CIFS 服务器时, 系统将按第 51 页上的表 4 中的说明来处理 GPO 审核和事件日志设置系统将通过组合数据移动器上多个服务器中的设置, 并使用最安全的设置来解析审核策略系统将按 CIFS 服务器加入到域中的顺序对 CIFS 服务器进行处理系统将使用 CIFS 服务器上所有相关设置的最安全设置来解析事件日志策略例如, 对于 Maximum application log size ( 应用程序日志大小最大值 ) 设置, 系统将查看数据移动器上每个服务器的日志大小设置, 然后使用最大的大小表 4 需要解决冲突的 GPO 设置 ( 第 1 页, 共 3 页 ) 设置名称审核 : 在 CIFS 服务器间共享 ( 是 / 否 ) 需要解决冲突 ( 是 / 否 ) 可能的值 Audit account logon events ( 审核帐户登录事件 ) Audit account management ( 审核帐户管理 ) Audit directory service access ( 审核目录服务访问 ) Audit logon events ( 审核登录事件 ) Audit object access ( 审核对象访问 ) Audit policy change ( 审核策略更改 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 51 / 88

表 4 需要解决冲突的 GPO 设置 ( 第 2 页, 共 3 页 ) 设置名称在 CIFS 服务器间共享 ( 是 / 否 ) 需要解决冲突 ( 是 / 否 ) 可能的值 Audit privilege use ( 审核特权使用 ) Audit process tracking ( 审核过程跟踪 ) Audit system events ( 审核系统事件 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 是是 No Audit ( 无审核 ) Success ( 成功 ) Failure ( 失败 ) Success, Failure ( 成功, 失败 ) 事件日志 : Maximum application log size ( 应用程序日志大小最大值 ) Maximum security log size ( 安全日志最大值 ) Maximum system log size ( 系统日志大小最大值 ) Restrict guest access to application log ( 限制来宾对应用程序日志的访问 ) Restrict guest access to security log ( 限制来宾对安全日志的访问 ) Restrict guest access to system log ( 限制来宾对系统日志的访问 ) Retain application log ( 应用程序日志保留天数 ) 是是 64-4194240 是是 64-4194240 是是 64-4194240 是是 Enabled ( 已启用 ) Disabled ( 已禁用 ) 是是 Enabled ( 已启用 ) Disabled ( 已禁用 ) 是是 Enabled ( 已启用 ) Disabled ( 已禁用 ) 是是 Overwrite events by days ( 按天数覆盖事件 ) Overwrite events as needed ( 按需要覆盖事件 ) Do not overwrite events ( 不覆盖事件 ) 52 / 88

表 4 需要解决冲突的 GPO 设置 ( 第 3 页, 共 3 页 ) 设置名称在 CIFS 服务器间共享 ( 是 / 否 ) 需要解决冲突 ( 是 / 否 ) 可能的值 Retain security log ( 安全日志保留天数 ) Retain system log ( 系统日志保留天数 ) Retention method for application log ( 应用程序日志保留方法 ) Retention method for security log ( 安全日志的保留方法 ) Retention method for system log ( 系统日志保留方法 ) 是是 Overwrite events by days ( 按天数覆盖事件 ) Overwrite events as needed ( 按需要覆盖事件 ) Do not overwrite events ( 不覆盖事件 ) 是是 Overwrite events by days ( 按天数覆盖事件 ) Overwrite events as needed ( 按需要覆盖事件 ) Do not overwrite events ( 不覆盖事件 ) 是是 0-365 是是 0-365 是是 0-365 53 / 88

显示 GPO 设置要显示数据移动器的当前 GPO 设置, 请使用以下命令语法 : $ server_security ALL -info -policy gpo ALL = 所有数据移动器示例 : 要显示所有数据移动器上所有 CIFS 服务器的 GPO 设置, 请键入 : $ server_security ALL -info -policy gpo 注意 : 如果数据移动器上没有任何 CIFS 服务器加入到 Windows 域中, 则执行 server_security -info -policy gpo 命令将会返回下列错误消息 :gpod isn 抰 running (gpod 未运行 ) 注意 : 用户权限设置 ( 如 Take ownership of files or other object ( 取得文件或其他对象的所有权 )) 为空时, 系统会设置此设置, 但不分配任何用户来取得文件或对象的所有权 54 / 88

输出 server_2: Server compname: k10eqa19s2 Server NetBIOS: K10EQA19S2 Domain: dvt_f.celerraqa.emc.com Kerberos Max Clock Skew (minutes): 5 Digitally sign client communications (always): Not defined Digitally sign client communications (if server agrees): Enabled Digitally sign server communications (always): Not defined Digitally sign server communications (if client agrees): Enabled Audit account logon events: Success Audit account logon events server list: k10eqa19s2 Audit account management: No auditing Audit account management server list: k10eqa19s2 Audit directory service access: Failure Audit directory service access server list: k10eqa19s2 Audit logon events: Success, Failure Audit logon events server list: k10eqa19s2 Audit object access: Success Audit object access server list: k10eqa19s2,k10eqa19s3 Audit policy change: Success Audit policy change server list: k10eqa19s3 Audit privilege use: Not defined Audit process tracking: No auditing Audit process tracking server list: k10eqa19s3 Audit system events: Success, Failure Audit system events server list: k10eqa19s2,k10eqa19s3 Back up files and directories: *S-1-5-32-545,*S-1-5-21-602162358 -1580818891-1957994488-1110,*S-1-5-21-602162358-1580818891-1957994488-1111,*S-1-5-21-602162358-1580818891-1957994488 -1113,*S-1-5-21-602162358-1580818891-1957994488-1114, *S-1-5-21-602162358-1580818891-1957994488-1112,*S-1-5-32-552, *S-1-5-4,*S-1-5-32-546,*S-1-1-0,*S-1-5-9,*S-1-5-1,*S-1-3-0, *S-1-3-1,*S-1-5-3,*S-1-5-11,*S-1-5-7,*S-1-5-32-544 Restore files and directories: *S-1-5-32-54 Bypass traverse checking: Not defined Generate security audits: *S-1-5-32-544,*S-1-5-32-545 Manage auditing and security log: *S-1-5-11,*S-1-5-32-544 Access this computer from the network: *S-1-5-32-544 Deny access this computer from the network: Not defined Take ownership of files or other objects: EMC Virus Checking: *S-1-5-32-546 Maximum security log size (Kilobytes): 576 Maximum security log size server list: k10eqa19s2 Restrict guest access to security log: Enabled Restrict guest access to security log server list: k10eqa19s2 Retention period for security log: Not defined Retention method for security log: Overwrite events as needed Retention Method for security log server list: k10eqa19s2 Maximum system log size (Kilobytes): 1024 Maximum system log size server list: k10eqa19s2 Restrict guest access to system log: Enabled Restrict guest access to system log server list: k10eqa19s2 Retention period for system log: Not defined Retention method for system log: Do not overwrite events Retention Method for system log server list: k10eqa19s2,k10eqa19s3 Maximum application log size (Kilobytes): 16384 Maximum application log size server list: k10eqa19s3 Restrict guest access to application log: Disabled Restrict guest access to application log server list: k10eqa19s2 Retention period for application log (Days): 7 Retention period for application log server list: k10eqa19s2 Retention method for application log: Overwrite events by days Retention Method for application log server list: k10eqa19s2 Disable background refresh of Group Policy: Not defined Group Policy Refresh interval (minutes): 60 Refresh interval offset (minutes): 5 GPO Last Update time (local): Wed Sep 10 14:47:42 EDT 2007 GPO Next Update time (local): Wed Sep 10 15:50:42 EDT 2007 55 / 88

显示所有 CIFS 服务器的 GPO 设置要显示数据移动器 server_2 上所有 CIFS 服务器的 GPO 设置, 请使用以下命令语法 : $ server_security server_2 -info -policy gpo 输出显示 CIFS 服务器的 GPO 设置 server_2: Server compname: l10efa19s2 Domain: securitytest.xxx.com Kerberos Max Clock Skew (minutes): 5 Digitally sign client communications (always): Not defined Digitally sign client communications (if server agrees): Enabled... Refresh interval offset (minutes): 5 GPO Last Update time (local): Wed Sep 22 14:47:42 EDT 2007 GPO Next Update time (local): Wed Sep 22 15:50:42 EDT 2007... Server compname: 110efa19s3 Domain: ex.xxx.com Kerberos Max Clock Skew (minutes): 5 Digitally sign client communications (always): Not defined Digitally sign client communications (if server agrees): Enabled... Refresh interval offset (minutes): 5 GPO Last Update time (local): Wed Sep 22 14:47:42 EDT 2007 GPO Next Update time (local): Wed Sep 22 15:50:42 EDT 2007 要显示数据移动器 server_2 上 CIFS 服务器 cifs_test123 的 GPO 设置, 请使用以下命令语法 : $ server_security server_2 -info -policy gpo server=cifs_test123 输出 server_2: Server: cifs_test123 Server compname: k10eqa19s2 Server NetBIOS: K10EQA19S2 Domain: xptest.xxx.com Kerberos Max Clock Skew (minutes): 5 Digitally sign client communications (always): Not defined Digitally sign client communications (if server agrees): Enabled Digitally sign server communications (always): Not defined... Refresh interval offset (minutes): 5 GPO Last Update time (local): Wed Sep 25 14:47:42 EDT 2007 GPO Next Update time (local): Wed Sep 25 15:50:42 EDT 2007 56 / 88

显示所有数据移动器的 GPO 设置要显示 xptest.xxx.com 域中所有数据移动器的 GPO 设置, 请使用以下命令语法 : $ server_security ALL -info -policy gpo domain=xptest.xxx.com 输出 server_2: Server compname: k10eqa19s2 Domain: xptest.xxx.com Kerberos Max Clock Skew (minutes): 5 Digitally sign client communications (always): Not defined Digitally sign client communications (if server agrees): Enabled... Refresh interval offset (minutes): 5 GPO Last Update time (local): Wed Sep 25 14:47:42 EDT 2007 GPO Next Update time (local): Wed Sep 25 15:50:42 EDT 2007... Server compname: k10eqa19s3 Domain: xptest.xxx.com Kerberos Max Clock Skew (minutes): 5 Digitally sign client communications (always): Not defined Digitally sign client communications (if server agrees): Enabled... Refresh interval offset (minutes): 5 GPO Last Update time (local): Wed Sep 25 14:47:42 EDT 2007 GPO Next Update time (local): Wed Sep 25 15:50:42 EDT 2007 更新 GPO 设置在 CIFS 服务正在运行或在 CIFS 服务重新启动后, 数据移动器将会根据下列其中一个刷新间隔来更新 GPO 设置 : 如果在域中定义, 您可以将刷新间隔设置为从 0 ( 每 10 秒更新一次 ) 到最大 64800 分钟 ( 每 45 天更新一次 ) 之间的任何值如果不是在域中定义, 数据移动器将使用默认刷新值即 90 分钟请执行以下 GPO 更新任务 : 第 57 页上的禁用自动 GPO 更新第 58 页上的手动更新所有数据移动器的 GPO 设置禁用自动 GPO 更新要禁用自动 GPO 更新, 请启用禁用组策略的后台刷新 GPO 设置注意 : 如果启用此策略, 您必须手动更新 GPO 策略 57 / 88

如果已设置此策略, GPO 输出中将会出现以下内容 : Disable background refresh of Group Policy: Enabled Group Policy Refresh interval (minutes): 90 Refresh interval offset (minutes): Not defined GPO Last Update time (local): Wed Sep 10 14:47:42 EDT 2007 GPO Background Update disabled, must be updated manually 手动更新所有数据移动器的 GPO 设置如果通过 MMC 或服务器管理器更改组策略, 您可以手动更新 Celerra Network Server 上的 GPO 设置, 如本例所示要强制更新数据移动器的 GPO 设置, 请使用以下命令语法 : $ server_security ALL -update -policy gpo ALL = 所有数据移动器示例 : 要更新 Celerra Network Server 上所有数据移动器上的所有 CIFS 服务器的 GPO 设置, 请键入 : $ server_security ALL -update -policy gpo 输出 server_2 : done 手动更新指定域的 GPO 设置要强制更新数据移动器的 GPO 设置, 请使用以下命令语法 : $ server_security ALL -update -policy gpo domain=< 域名 > ALL = 所有数据移动器 < 域名 > = CIFS 服务器的域名示例 : 要更新 NASDOCS 域中所有 CIFS 服务器的 GPO 设置, 请键入 : $ server_security ALL -update -policy gpo domain=nasdocs 输出 server_2 : done 58 / 88

禁用 GPO 支持每个数据移动器均启用 GPO 支持, 此项支持在默认情况下处于启用状态您可以修改本部分说明的系统参数来禁用 GPO 支持通过禁用 GPO 支持, Celerra 将无法访问 Windows 域控制器, 并且相关的 Celerra 功能将自动使用本身的默认设置 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 提供了有关 cifs gpo 参数的其他信息要禁用 GPO 支持, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify gpo -value 0 < 移动器名称 > = 数据移动器的名称示例 : 要禁用 server_2 上的 GPO 支持, 请键入 : $ server_param server_2 -facility cifs -modify gpo -value 0 注意 : 参数和工具名称区分大小写输出 server_2 : done 禁用 GPO 缓存数据移动器会缓存从 Windows 域控制器检索的 GPO 设置 GPO 缓存使数据移动器即使在域控制器不可访问时, 也能够快速检索 GPO 设置如果不想让数据移动器使用缓存的设置, 您可以禁用 GPO 缓存如果禁用 GPO 缓存, 数据移动器必须从 Windows 域控制器检索设置 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 提供了有关 cifs gpocache 参数的其他信息注意 : 如果禁用 GPO 缓存, 并且 Celerra Network Server 无法访问 Windows 域控制器, 相关的 Celerra 功能将自动使用本身的默认设置例如, 计算机时钟同步的最大容差的默认值为 5 分钟 59 / 88

要禁用 GPO 缓存, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify gpocache -value 0 < 移动器名称 > = 数据移动器的名称示例 : 要禁用 server_2 上的 GPO 缓存, 请键入 : $ server_param server_2 -facility cifs -modify gpocache -value 0 注意 : 参数和工具名称区分大小写输出 server_2 : done 备用数据流支持随着 Windows NT 的发布,Microsoft 引入了 Windows NT 文件系统 (NTFS) 和备用数据流 (ADS) 的概念此功能也称为多数据流 (MDS) 数据流是独立资源, 既存储文件的数据, 也存储有关文件的信息与一个文件只包含一个数据流的 FAT 文件系统不同, NTFS 使用不同的数据流存储文件和文件的元数据 ( 如文件访问权限加密日期和时间信息以及图形信息 ) Microsoft 最初创建 ADS, 以便使用 NTFS 的服务器可充当 Macintosh 客户端的文件服务器 Macintosh 的分层文件系统 (HFS) 使用两个基本元素表示文件, 如第 60 页上的表 5 所示表 5 HFS 元素元素数据分支资源分支用途存储文件的数据存储有关文件的信息 NTFS 文件包含一个主数据流, 和可选的一个或多个备用数据流主数据流充当数据分支, 备用数据流充当资源分支对于文件, 您可以在文件的属性对话框中的摘要选项卡中查看和设置此附加信息, 如第 61 页上的图 2 所示 60 / 88

图 2 属性对话框 - 摘要选项卡 Celerra Network Server 上的 ADS 支持 Celerra Network Server 支持文件和目录的 ADS 以下列表提供了有关 Celerra Network Server 上的 ADS 支持的附加信息 : 装载点上支持目录流如果文件系统装载在装载点上, 系统仅显示已装载文件系统的根目录的目录流如果未装载文件系统, 则显示装载点的数据流每个文件或目录的数据流数量最多为 64,000 个此限制数量是我们在 Windows NTFS 上经过多次实验得出的结果 61 / 88

禁用 ADS 支持 ADS 支持由 shadow 数据流系统参数控制, 在默认情况下处于启用状态虽然您可能要禁用 ADS 支持的情况并不多, 但 EMC 建议您将 ADS 支持保留为启用状态 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 提供了有关 shadow 数据流参数的其他信息要禁用 ADS 支持, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility shadow -modify stream -value 0 < 移动器名称 > = 数据移动器的名称示例 : 要禁用 server_2 上的 ADS 支持, 请键入 : $ server_param server_2 -facility shadow -modify stream -value 0 输出 server_2 : done SMB 支持 SMB 是 CIFS 协议使用的基础协议, 可经由 TCP 端口, 通过网络从服务器请求文件打印和通信服务客户端和服务器在建立新 SMB 连接时协商此协议级别 Celerra 支持 SMB1 和 SMB2 默认情况下, SMB1 处于启用状态使用 server_cifs 命令启用 SMB2 支持注意 :Microsoft Windows Vista 和 Microsoft Windows 2008 系统均提供 SMB2 协议支持 SMB2 与 Unicode 兼容 62 / 88

启用 SMB2 协议禁用 SMB2 协议符号链接 SMB2 协议像 UNIX 一样支持符号链接 SMB2 客户端可以使用 Microsoft Vista 命令 mklink 创建符号链接此链接对应用程序来说是透明的, 并且允许访问目标文件系统对象 ( 文件或目录 ) 可用于在系统上利用符号链接的不同链接类型包括 : 链接的目标可以是文件或目录两者都受支持还支持在非现有目标上创建链接要启用 SMB2 协议, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add security=nt,dialect=smb2 < 移动器名称 > = 数据移动器的名称示例 : 要启用 server_2 上的 SMB 2 协议, 请键入 : $ server_cifs server_2 -add security=nt,dialect=smb2 输出 done 要禁用 SMB2 协议, 从而启用 SMB1 协议, 请使用以下命令语法 : $ server_cifs < 移动器名称 > -add security=nt,dialect=nt1 < 移动器名称 > = 数据移动器的名称示例 : 要在 server_2 上禁用 SMB2 协议, 从而启用 SMB1 协议, 请键入 : $ server_cifs server_2 -add security=nt,dialect=nt1 输出 done 绝对符号链接是指向文件或文件夹绝对路径的链接, 例如 C:\windows 相对符号链接是使用相对路径指向文件或目录的链接, 例如..\..\file.txt 通用命名约定 (UNC) 符号链接是指向网络文件或目录的链接, 例如 \\server\share1\dir\foobar.txt 63 / 88

使用相对路径创建指向文件的符号链接要从 SMB2 客户端上的 MS DOS 中使用相对路径名创建指向文件的符号链接, 请键入 : cd foobar mklink target0 file0.txt mklink target1 mydata\applicationdata\file1.txt mklink target2.log..\otherdata\file2.log 输出 d:\temp>mklink link0.txt report.txt symbolic link created for link0.txt <<===>> report.txt d:\temp> 注意 : 使用绝对路径或 UNC 路径创建符号链接的方式与此方式相同在创建指向目录的符号链接时, 请使用 mklink /d 表示目录 SMB 签名 SMB 签名是一种用于确保数据包未被截取更改或重播的机制签名仅保证数据包未被第三方更改签名不保证数据包未被截取或重播签名会向每个 SMB1 数据包添加一个 8 字节的签名 SMB2 使用 16 字节的签名客户端和服务器使用此签名验证数据包的完整性要使 SMB 签名生效, 事务中的客户端和服务器必须启用 SMB 签名默认情况下, Windows Server 2003 域控制器要求客户端使用 SMB 签名默认情况下, 在数据移动器上创建的所有 CIFS 服务器都已启用 SMB 签名注意 :SMB 签名是 Windows NT (SP 4 或更高版本 ) Windows 2000 和 Windows Server 2003 域中的一个选项数据移动器是使用客户端 SMB 签名还是服务器端 SMB 签名, 取决于具体情况下面是数据移动器在使用各种签名类型时的一些示例 : 数据移动器在下列情况下充当服务器 : 客户端映射共享时带有 CDMS 时数据移动器在下列情况下充当客户端 : 正在检索 GPO 设置时带有 CDMS 时 64 / 88

SMB 签名解决方案在 Windows 域中, 您可以单独配置服务器端和客户端 SMB 签名设置服务器端和客户端签名的三种可能设置如下所示 : 必需客户端或服务器需要在所有事务中使用 SMB 签名已启用客户端或服务器支持 SMB 签名, 但不需要在事务中使用已禁用客户端或服务器不支持任何 SMB 签名系统根据 DART 服务器和 CIFS 客户端上的条件, 在 CIFS 连接中激活 SMB 签名此条件是增加以下两位 : 已启用和必需此条件根据以下序列 ( 由 DART 上的三个参数组成 ) 进行计算 : 1. cifs.smbsigning 参数 2. GPO 设置 3. 注册表值 CIFS 客户端执行本身的算法以定义自己的位 : 已启用和必需第 65 页上的表 6 和第 65 页上的表 7 中介绍的列表用于确定是否为该连接激活签名表 6 SMB1 签名的解决方案列表客户端 SMB1 必需已启用已禁用服务器必需已签名已签名失败已启用已签名已签名未签名已禁用失败未签名未签名表 7 SMB2 签名的解决方案列表客户端 SMB2 必需已启用服务器必需已签名已签名已启用已签名未签名注意 : 您不应更改 cifs.smbsigning 参数的默认值 65 / 88

您可以使用下列任务来管理 SMB 签名 : 第 66 页上的使用 smbsigning 参数配置 SMB 签名第 66 页上的在数据移动器上禁用 SMB 签名第 66 页上的使用 GPO 配置 SMB 签名第 67 页上的使用 Windows 注册表配置 SMB 签名使用 smbsigning 参数配置 SMB 签名 cifs smbsigning 参数控制数据移动器上的 SMB 签名, 并影响数据移动器上的所有 CIFS 服务器在单个数据移动器或 Celerra Network Server 上配置此参数此参数控制客户端和服务器端签名, 并覆盖已为域设置的任何 SMB 签名 GPO EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 提供了有关 smbsigning 参数的其他信息注意 : 默认情况下, Celerra Network Server 和 Windows Server 2003 域中均已启用 SMB 签名在数据移动器上禁用 SMB 签名要禁用 SMB 签名, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify smbsigning -value 0 < 移动器名称 > = 数据移动器的名称示例 : 要禁用 server_2 上的 SMB 签名支持, 请键入 : $server_param server_2 -facility cifs -modify smbsigning -value 0 输出 server_2 : done 使用 GPO 配置 SMB 签名如果希望独立控制服务器端和客户端 SMB 签名, 您可以配置第 67 页上的表 8 中显示的 GPO 这些 GPO 在第 67 页上的图 3 中的默认域安全设置下, 可以从任何域控制器中进行配置组策略在 Active Directory 中配置并会影响域中的所有计算机注意 : 默认情况下, Celerra Network Server 和 Windows Server 2003 域中均已启用 SMB 签名注意 : 通过 GPO 配置 SMB 签名将会影响域中的所有客户端和服务器, 并覆盖单个注册表设置 66 / 88

第 67 页上的图 3 中突出显示四个相关的 GPO 图 3 默认域安全设置中的 SMB 签名 GPO 使用 Windows 注册表配置 SMB 签名表 8 SMB 签名 GPO GPO 名称 Microsoft network server: Digitally sign communications (always) (Microsoft 网络服务器 : 数字签名的通信 ( 总是 )) 控制内容服务器端 SMB 组件是否需要签名数据移动器的默认设置 Disabled ( 已禁用 ) Microsoft network server: Digitally sign communications (if client agrees) (Microsoft 网络服务器 : 数字签名的通信 ( 若客户端同意 )) 服务器端 SMB 组件是否已启用签名 Disabled ( 已禁用 ) Microsoft network client: Digitally sign communications (always) (Microsoft 网络客户端 : 数字签名的通信 ( 总是 )) 客户端 SMB 组件是否需要签名 Disabled ( 已禁用 ) Microsoft network client: Digitally sign communications (if server agrees) (Microsoft 网络客户端 : 数字签名的通信 ( 若服务器同意 )) 客户端 SMB 组件是否已启用签名 Enabled ( 已启用 ) 67 / 88

您也可以通过 Windows 注册表配置 SMB 签名如果无可用的 GPO 服务 ( 如在 Windows NT 环境中 ), 请使用注册表设置注册表设置只会影响您配置的单个服务器或客户端注册表设置在单个 Windows 工作站和服务器上配置, 并会影响单个 Windows 工作站和服务器有四项注册表设置两个用于服务器端签名, 两个用于客户端签名, 它们的运作方式与 SMB 签名 GPO 相同注意 : 下列注册表设置与 Windows NT ( 带 SP 4 或更高版本 ) 相关这些注册表项存在于 Windows 2000 和 Windows Server 2003 中, 但应通过 GPO 进行设置注意 : 默认情况下, Celerra Network Server 和 Windows Server 2003 域中均已启用 SMB 签名服务器端签名服务器端设置位于 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ lanmanserver\parameters\ 第 68 页上的表 9 显示了服务器端 SMB 签名注册表项表 9 服务器端 SMB 签名注册表项注册表项值用途 enablesecuritysignature 0 已禁用 ( 默认 ) 1 已启用确定是否已启用 SMB 签名 requiresecuritysignature 0 已禁用 ( 默认 ) 1 已启用确定是否需要 SMB 签名客户端签名客户端设置位于 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ lanmanworkstation\parameters\ 第 68 页上的表 10 显示了客户端 SMB 签名注册表项表 10 客户端 SMB 签名注册表项注册表项值用途 enablesecuritysignature 0 已禁用 1 已启用 ( 默认 ) 确定是否已启用 SMB 签名 requiresecuritysignature 0 已禁用 ( 默认 ) 1 已启用确定是否需要 SMB 签名 68 / 88

更改计算机的自动密码系统管理员可以通过执行下列其中一项来激活计算机密码更改 : 将 GPO 设置为一个密码更改间隔数据移动器将检索此策略, 并将它应用于域中的所有 CIFS 服务器设置 cifs srvpwd.updtminutes 参数, GPO 策略将会覆盖此参数值通过使用 srvpwd 界面更改特定 CIFS 服务器的密码更改间隔,GPO 策略将会覆盖此间隔值系统参数 cifs srvpwd.updtminutes 允许您配置数据移动器使用域控制器更改密码的时间间隔 EMC Celerra Network Server Parameters Guide (EMC Celerra Network Server 参数指南 ) 提供了有关 cifs srvpwd.updtminutes 参数的其他信息更改密码更改的时间间隔要更改密码更改时间间隔, 请使用以下命令语法 : $ server_param < 移动器名称 > -facility cifs -modify srvpwd.updtminutes -value < 新值 > < 移动器名称 > = 数据移动器的名称 < 新值 > = CIFS 服务器密码更改的最短时间间隔 = 0 ( 允许在 7 天减 1 小时后更改服务器密码 ) = 720 ( 允许在 12 小时后更改服务器密码 ) = 1440 ( 允许在 24 小时后更改服务器密码 ) 示例 : 要将密码更改间隔设置为 1 天 (1440 分钟 ), 请键入 : $ server_param server_2 -facility cifs -modify srvpwd.updtminutes -value 1440 输出 server_2 : done 创建用作安全日志的文件系统默认情况下, 每个数据移动器都在 c:\security.evt 中存储其 Windows 安全日志, 大小限制为最多 512 KB 您可以通过每个数据移动器的 C$ 共享直接访问此安全日志, 如下所示 : \\<netbiosnameofdatamover>\c$\security.evt 在 Windows 服务器上, 默认位置为 C:\WINNT\System32\config\security.evt 如果应用程序尝试访问该位置的数据移动器 Windows 安全日志, 它将会失败但是, 您可以更改数据移动器的 Windows 安全日志的位置和大小限制 69 / 88

您可以采用下列两种方法之一来访问数据移动器的 Windows 安全日志 : 使用 Microsoft 事件查看器使用可以读取 Microsoft 事件日志格式的应用程序步骤 1. 创建文件系统以将安全日志存储在其新位置 2. 在数据移动器上的一个名为 /WINNT 的装载点上装载此文件系统, 并将其共享 3. 从 CIFS 客户端连接到数据移动器上的新 WINNT 共享, 然后在 WINNT 目录下创建下列路径 : System32\config 这样可以访问下列路径 : \\<netbiosnameofdatamover>\c$\winnt\system32\config 4. 以域管理员的身份, 使用 Windows Registry Editor (Windows 注册表编辑器 ) 执行下列步骤 : 警告注册表修改不当可能会导致严重的系统问题, 从而需要您重新安装系统使用此工具的风险由您自己承担 a. 运行 Registry Editor ( 注册表编辑器 ) (regedit32.exe) b. 从 Registry ( 注册表 ) 菜单中, 选择 Select Computer ( 选择计算机 ), 然后选择数据移动器 NetBIOS 名称 c. 从 Window ( 窗口 ) 菜单中, 选择 Hkey Local Machine on Local Machine 子树, 然后转到下列项 : System\CurrentControlSet\Services\Eventlog\Security d. 选择下列字符串 : [File:REG_EXPAND_SZ:c:\security.evt] e. 从 Edit ( 编辑 ) 菜单中, 选择 String ( 字符串 ) f. 使用下列信息编辑此字符串 : c:\winnt\system32\config\security.evt g. 单击 OK ( 确定 ), 然后退出 Registry Editor ( 注册表编辑器 ) 数据移动器上的所有 Windows 安全事件现在已记录到新的安全事件日志位置 70 / 88

管理 Windows 域 Celerra CIFS 服务器充当 Windows 域中的成员服务器, 并为域用户提供数据存储 Celerra CIFS 文件系统中存储的数据包含与域 SID ( 安全 ID) 关联的安全元数据 (DACL SACL 和所有权 ), CIFS 帐户源于这些元数据域迁移支持因受 Microsoft 的生命周期结束策略的限制, 您可能需要从一个域版本向另一个域版本执行域迁移在 Windows 域迁移过程之中和之后, 在源域中由用户帐户生成的任何数据都必须可供目标域中的用户帐户访问注意 : 域迁移是一个复杂的过程, 本文档不进行讨论 Microsoft 文档提供了有关域迁移的详细信息为满足域迁移过程之中和之后的数据可用性要求,Celerra Network Server 提供了两个 server_cifs 命令选项 :-Migrate 和 -Replace 这些选项通过下列方式, 将系统在一个 Windows 域 ( 源 ) 中为 CIFS 用户创建的资源而生成的安全 ID 更新到另一个 Windows 域 ( 目标 ) 中 : server_cifs -Migrate: 通过将源域中的用户和组帐户名称与目标域中的用户和组帐户名称进行匹配, 将源域中的所有 SID 更新为目标域的 SID 在此选项中指定的界面将依次查询本地服务器及其对应的源和目标域控制器, 以搜索每个对象的 SID server_cifs -Replace: 将文件系统的所有 SID 更新为对应目标域的 SID 在此选项中指定的界面将依次查询本地服务器及其对应的目标域控制器, 以搜索每个对象的 SID 和历史记录 SID EMC Celerra Network Server 命令参考手册提供了 server_cifs 命令的详细说明 71 / 88

第 72 页上的表 11 显示了在 Windows 域迁移过程之中和之后, 您可以用于不同域的选项表 11 Windows 域迁移的安全支持选项源域 Windows NT Windows NT: 2003: 迁移选项迁移选项目标域 Windows 2000 或 Windows Server 迁移和替换选项迁移和替换选项注意事项在使用 server_cifs -migrate 和 -replace 命令选项之前, 请查看以下内容 : 必须在源和目标域之间建立信任关系这是 Microsoft 的域迁移要求用户和组帐户必须与源和目标域匹配 : 迁移选项不需要您事前运行任何类型的域迁移工具替换选项需要您先使用域迁移工具执行帐户迁移对于迁移选项 : 源和目标域控制器必须存在只要在源和目标域之间建立了信任关系, 您就可以在 server_cifs 命令中指定相同的接口或 NetBIOS 名称要使用不同的接口或 NetBIOS 名称, 您必须在数据移动器上为源和目标域配置两个独立的 CIFS 服务器替换选项为每个用户或组提供一个配额在运行本地组更新后, 停止并启动数据移动器上的 CIFS 服务, 以确保所有更改都已应用于目标域第 39 页上的停止 CIFS 服务和第 40 页上的启动 CIFS 服务提供了详细信息 72 / 88

疑难解答作为持续改善和增强产品线性能和功能的工作的一部分, EMC 会定期发布其硬件和软件产品的新版本因此, 对于当前使用的所有软件或硬件版本, 本文档中介绍的一些功能可能不受支持有关产品功能的最新信息, 请参阅相关产品的发行说明如果某产品不能正常运作或其功能与本文档的描述不符, 请与您的 EMC 代表联系获取帮助登录到 EMC Powerlink 网站后, 请转到支持 > 请求支持要提交服务请求, 您必须具有有效的支持协议请联系 EMC 客户支持代表获取有关支持协议的详细信息, 或者回答有关您的帐户的任何问题疑难解答有关疑难解答信息, 请转到 Powerlink, 搜索 Celerra Tools, 然后从左边的导航面板中选择 Celerra 故障排除技术支持有关技术支持, 请转到 Powerlink 上的 EMC 客户服务登录到 Powerlink 网站后, 请转到支持 > 请求支持要通过 Powerlink 提交服务请求, 您必须具有有效的支持协议请联系 EMC 客户支持代表获取有关有效的支持协议的详细信息, 或者回答有关您的帐户的任何问题注意 : 除非已经针对您的特殊系统问题指定了支持代表, 否则请不要请求某个特定支持代表 Problem Resolution Roadmap for EMC Celerra ( EMC Celerra 的问题解决路线图 ) 包含有关如何使用 Powerlink 和解决问题的附加信息 EMC E-Lab 互性 Navigator EMC EMC E-Lab TM 互性 Navigator 是一个可搜索的基于 Web 的应用程序, 它提供对 EMC 互性支持列表的访问可从 EMC Powerlink 网站 http://powerlink.emc.com 获得该应用程序登录到 Powerlink 后, 请转到支持 > 互性和产品生命周期信息 > E-Lab 互性 Navigator 73 / 88

已知问题和限制第 74 页上的表 12 介绍了在 Windows 环境下管理 Celerra 时可能出现的已知问题并提供解决方法表 12 Windows 环境已知问题和解决方法 ( 第 1 页, 共 5 页 ) 已知问题故障现象解决方法使用 NT 用户身份验证时, 某些 Windows 95 客户端可能无法从数据移动器映射驱动器不正确地指定了由客户端发送到数据移动器的域名, 或者未在数据移动器上的密码文件中对 username.domain 进行映射验证客户端是否将正确的域名发送到数据移动器上的密码文件要验证客户端是否发送正确的域名, 请执行下列 : 1. 在 Control Panel ( 控制面板 ) 的 Network ( 网络 ) 选项中, 双击网络客户端 (Microsoft 网络客户端 ) 2. 在 General ( 常规 ) 属性下, 验证是否显示了正确的域名使用 NT 用户身份验证时, 在尝试连接到服务器并出现用户名和密码窗口后, 会显示 Incorrect password or unknown username ( 错误的密码或未知的用户名 ) 错误消息 PDC 域中可能缺少 Windows NT 用户帐户, 或者数据移动器无法确定要用于此用户的 UID 将 Windows NT 用户添加到域的 PDC, 并将用户映射到 UNIX 用户名和 UID 无法在映射到客户端的共享中创建文件或目录未设置 UNIX 权限位来授予用户写入共享目录的权限注意 : 如果访问策略设置不当, 将会出现此情况针对多协议环境管理 EMC Celerra 提供了详细信息更改访问策略, 或者在控制站或其他任何 UNIX 客户端上的 NFS 中装载目录, 然后使用 chmod 设置适当的 UNIX 权限, 以允许用户写入此目录 74 / 88

表 12 Windows 环境已知问题和解决方法 ( 第 2 页, 共 5 页 ) 已知问题故障现象解决方法 Windows 客户端使用明文密码无法连接到服务器 ( 例如, 当 Celerra Network Server 处于 UNIX 模式时, 可能会出现此情况 ) 可能会显示下列错误消息 : The Account is not authorized to login from this station ( 该帐户不能从这个站点登录 ) SMB 转发程序处理未加密的密码采用的方式与以前的 Windows NT 版本不同除非您添加注册表项来启用未加密的密码, 否则 SMB 转发程序不会发送未加密的密码您必须修改注册表才能启用未加密的密码警告注册表修改不当可能会导致严重的系统问题, 从而可能需要您重新安装系统使用此工具的风险由您自己承担 1. 运行 Registry Editor ( 注册表编辑器 ) (Regedit32.exe) 2. 从 HKEY_LOCAL_MACHINE 子树中, 转到下列项 : System\CurrentControlSet\ Services\rdr\parameters a. 在此项下, 创建一个名称为 EnablePlainTextPassword 的新 DWORD 注册表项 b. 将其值设为 1 c. 重新启动计算机 4. 在 Edit ( 编辑 ) 菜单中选择 Add Value ( 添加数值 ) 5. 添加下列内容 : 数值名称 : EnablePlainTextPassword 数据类型 : REG_DWORD 数据 : 1 6. 单击 OK ( 确定 ) 并退出 Registry Editor ( 注册表编辑器 ) 7. 关闭并重新启动 Windows NT 注意 : 请使用 Windows 2000 和 Windows Server 2003 客户端的 GPO 此过程是从 Microsoft 知识库文章 (ID:Q166730) 改编而来 75 / 88

表 12 Windows 环境已知问题和解决方法 ( 第 3 页, 共 5 页 ) 已知问题故障现象解决方法使用 NT 用户身份验证时, 客户端无法连接到服务器, 并且客户端上未出现一个提示用户输入用户名和密码的窗口找不到域的域控制器或者检查 PDC 或 BDC 是否已启动检查数据移动器是否可以访问 WINS 服务器 ( 它知道 PDC 域 ), 或者检查数据移动器的 PDC 或 BDC 是否在数据移动器所在的本地子网中服务器的 NetBIOS 名称未注册为 PDC 域上的计算机帐户, 或者未在客户端与服务器域之间建立信任关系 server_log 中可能会出现以下消息 : The SAM database on the Windows NT server does not have a complete account for this workstation trust relationship (Windows NT 服务器上的 SAM 数据库中没有针对此工作站信任关系的完整帐户 ) 在 PDC 中添加一个计算机帐户如果此计算机帐户已存在, 请删除并重新添加该帐户, 然后重试命令 Microsoft NT Server 4.0 文档提供了有关在域之间设置信任关系的信息将 CIFS 服务器加入到域中后, server_cifs 输出中会出现以下错误, 表明系统无法更新 DNS 记录 : FQDN=dm4-a140- FQDN=dm4-a140- ana0.c1t1.pt1.c3la b.nsgprod.emc.com (Update of "A" record failed during update: Operation refused for policy or security reasons) ( 更新期间 A 记录的更新失败 : 因策略或安全原因被拒 ) DNS 服务器的区域可能包括与另一计算机帐户相同的 FQDN ( 完全限定的域名 ) 验证以确保 DNS 服务器的区域不包含与另一计算机帐户相同的 FQDN ( 具有不同 IP 地址 ) 76 / 88

表 12 Windows 环境已知问题和解决方法 ( 第 4 页, 共 5 页 ) 已知问题故障现象解决方法在尝试将 CIFS 服务器加入到域中时, 出现下列错误消息 : Error 4020: server_2 : failed to complete command Possible server_log error messages: 2004-03-11 13:42:29: SMB: 3: DomainJoin::getAdm increds: gss_acquire_cred_e xt failed: Miscellaneous failure. Clients credentials have been revoked. 2004-03-11 13:42:29: ADMIN: 3: Command failed: domjoin compname=dm3-a121- ana0 domain=c1t1.pt1.c3 lab.nsgprod.emc.co m admin=c1t1admin password=6173399d1 79D3999673D init ( 错误 4020: server_2 : 无法完成命令可能的 server_log 错误消息 :2004-03-11 13:42:29: SMB: 3: DomainJoin::getAdmi ncreds: gss_acquire_cred_ ext 失败 : 其他失败客户端凭据已吊销 2004-03-11 13:42:29: ADMIN: 3: 命令失败 :domjoin 计算机名 =dm3-a121- ana0 域 =c1t1.pt1.c3lab.nsg prod.emc.com 管理员 =c1t1admin 密码 =6173399D1 79D3999673D init) 域管理员帐户已锁定通常, 当另一个用户在另一个系统上使用同一管理员帐户登录时, 将出现此情况在 User Account Properties ( 用户帐户属性 ) 窗口中, 清除 Account ( 帐户 ) 选项卡中的 Account is locked out ( 帐户已锁定 ) 复选框 77 / 88

表 12 Windows 环境已知问题和解决方法 ( 第 5 页, 共 5 页 ) 已知问题故障现象解决方法如果在创建计算机时未启用 Allow pre-windows 2000 computers to use this account ( 允许 Windows 2000 以前版本的计算机使用此帐户 ) 选项, 则会显示下列错误消息 : 0xC0000022 2004-04-26 10:49:40: SMB: 3: Srv=<Celerra_netbi os_ 名称 > buildsecurechanel=a uthenticate2invalid Reply E=0xc0000022 访问被拒绝, 因为在域控制器上创建计算机时未在 Windows 的 New Object - Computer ( 新建对象 - 计算机 ) 对话框上启用 Allow pre-windows 2000 computers to use this account ( 允许 Windows 2000 以前版本的计算机使用此帐户 ) 选项删除该计算机, 然后启用 Allow pre- Windows 2000 computers to use this account ( 允许 Windows 2000 以前版本的计算机使用此帐户 ) 选项并重新创建该计算机在从 Windows NT 域升级到 Windows 2000 后, 在设置 Windows 2000 期间无法更改原始域后缀无法更改域后缀, 因为它已在 DDNS 中进行硬编码在升级之前, 请更改域后缀尝试连接到 Celerra 共享上的 Web 目录时, 访问 Internet Information Services (IIS) 6.0 被拒绝在 IIS Web 日志中, 会显示错误 :bad user name or password ( 用户名或密码不正确 ), 即使用户名和密码在本地用户数据库中亦如此对于启用了本地用户支持的独立 CIFS 服务器, 用户名和密码在 IIS 6.0 数据移动器和客户端上必须相同在 IIS 6.0 数据移动器和客户端上指定相同的用户名和密码错误消息从版本 5.6 开始, 所有新事件警报和状态消息都将提供详细信息和建议的, 以帮助您解决问题要查看消息详细信息, 请使用下列方法之一 : Celerra Manager: 右键单击事件警报或状态消息, 然后选择 Event Details Alert Details 或 Status Details Celerra CLI: 使用 nas_message -info <message_id> 命令检索特定错误的详细信息 78 / 88

EMC Celerra Network Server Error Messages Guide ( EMC Celerra Network Server 错误消息指南 ): 使用本指南查找有关使用先前版本消息格式的消息的信息 Powerlink: 使用错误消息的简短描述文本或消息 ID 来搜索 Powerlink 上的知识库登录到 Powerlink 后, 请转到支持 > 知识库搜索 > 支持解决方案搜索 server_log 错误消息构造事件代码的格式可帮助您缩小查找消息的范围在事件日志记录的整个范围内, 每行的开头都存在若干近似一致的组成部分例如, 典型事件消息类似如下 : 2007-09-16 18:27:21: NFS: 3: commit failed, status = NoPermission 2007-09-16 18:27:23: CFS: 3: Failed to open file, status NoPermission 2007-09-16 18:27:23: LIB: 6: last message repeated 1 times EMC Celerra Network Server 命令参考手册提供了有关 server_log 的详细信息此日志记录机制将下列典型的日志记录工具与许多系统配合使用 : 第一部分是所记录事件的日期和时间第二部分是报告事件的 Celerra 代码的子系统 ( 例如, NFS CFS 和 LIB) 第三部分是事件日志记录工具典型的分类代码在大多数 UNIX 系统上, 您可以在 /usr/include/sys 目录下的头文件 syslog.h 中找到有关分类代码的信息 Celerra Network Server 所支持的可能分类代码的定义如下 : #define LOG_EMERG 0 /* system is unusable */ #define LOG_ALERT 1 /* action must be taken immediately */ #define LOG_CRIT 2 /* critical conditions */ #define LOG_ERR 3 /* error conditions */ #define LOG_WARNING 4 /* warning conditions */ #define LOG_NOTICE 5 /* normal but signification condition */ #define LOG_INFO 6 /* informational */ #define LOG_DEBUG 7 /* debug-level messages */ 第四部分描述错误条件示例前两行上的错误条件是不需加以说明的对错误条件 NoPermission 执行的是 commit 和 open 其他事件不是解释说明 Kerberos 错误代码 Kerberos 错误代码是通常由 SMB 子系统显示的状态您可以通过所记录事件中显示的大负数来识别这些错误代码示例 2007-07-24 16:29:35: SMB: 3: SSXAK=c0020030 origin=401 stat=e0000, -1765328160 由于 Kerberos 是标准化的, 提供了公用资源来查找其中大部分状态代码的含义 NT 状态代码针对 Celerra 产品上的 CIFS 或 Microsoft Windows 模拟功能报告 NT 状态代码 NT 状态代码是 32 位无符号整数, 细分为二进制数据子组以标识事件状态的细节 32 位值布局如下所示 : 3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 +---+-+-+-----------------------+-------------------------------+ Sev C R Facility Code +---+-+-+-----------------------+-------------------------------+ 79 / 88

Sev 是严重性代码 : 00 - 成功 01 - 信息 10 - 警告 11 - 错误 C 是客户代码标记 R 是保留位 Facility 是工具代码 Code 是工具的状态代码通常, NT 状态代码显示在 server_log 中, 子系统规范为 SMB NT 状态代码以若干方式呈现在所记录的系统事件中一些常见方式如下所示 : 使用 Em=0x 作为前缀的十六进制数 : SMB: 4: authlogon=samlogoninvalidreply Es=0x0 Em=0xc0000064 简单的十六进制数, 不含任何前缀, 也不含任何格式指示 : SMB: 4: SSXAuth_SERVER_EXT13 at=3 mt=1 c0000016 简单的十六进制数, 含有前缀 reply=, 不含任何格式指示 : SMB: 4: lookupnames:bad reply=c0000073 简单的十六进制数, 含有前缀 failed=, 不含任何格式指示 : SMB: 4: SessSetupX failed=c0000016 十六进制数, 明确标有 NTStatus=, 但不含任何格式指示 : SMB: 4: MsError sendlookupnames=21 NTStatus=c0000073 客户培训计划 EMC 客户培训计划旨在帮助您了解 EMC 存储产品如何一起工作并在您的环境中进行集成, 以最大限度地利用整个基础结构的投资 EMC 客户培训计划通过最先进的实验室来提供网上和实际培训, 这些实验室遍及全球, 非常方便您参与 EMC 客户培训计划由 EMC 专家开发和提供有关计划信息和注册, 请登录到我们的客户和合作伙伴网站 Powerlink, 并选择培训菜单 80 / 88

附录 A: 附加主目录信息本部分提供了有关第 41 页上的启用主目录中介绍的可选主目录功能的附加信息本部分中的信息面向创建或维护主目录配置的用户主目录数据库格式本部分概述主目录数据库中条目的格式建议您使用主目录 MMC 管理单元创建和维护主目录此管理单元对条目进行验证, 并帮助确保条目的正确性和完整性下表包含了基本的主目录数据库格式格式数据库包含每个用户的条目, 并使用下列格式 : < 域 >:< 用户名 >:</ 路径 > [:regex][:create][:ro][:<umask>] < 域 > = Windows 域名 ( 必须是 NetBIOS 名称, 而非 FQDN) < 用户名 > = 用户的 Windows 用户名 </ 路径 > = 父主目录的 UNIX 路径 create = 如果目标目录不存在, 则创建此目录 regex = 域和用户名为正则表达式 ro = 只读文件访问 ( 默认值为读 / 写 ) <umask> = umask 的用户文件创建 < 掩码 >, 允许为共享确定 NFS 权限数据库可能包含备注备注占用一行新行, 且以 # 开头示例 : 下面是数据库的示例 : # Comment - These entries specify users in the galaxy domain. galaxy:glenn:/mnt1/usr1 galaxy:grissom:/mnt2/usr2 galaxy:armstrong:/mnt2/usr3 # = 备注文本之前的字符 galaxy = Windows 域 glenn, grissom, and armstrong = 用户名 /mnt1/usr1 /mnt/usr2 和 /mnt/usr3 = 分别用于 glenn grissom 和 armstrong 的单个主目录 81 / 88

格式通配符映射文件可以包含通配符条目第 82 页上的通配符提供了详细信息示例 : 下列示例是一个带有通配符条目的数据库 : *:*:/mnt3/guest galaxy:*:/mnt3/cifs galaxy:glenn:/mnt1/usr1 galaxy:grissom:/mnt2/usr2 galaxy:armstrong:/mnt2/usr3 创建映射文件可以指明应该自动创建的目录父目录必须存在在下列示例中, 必须存在目录 sales 才能创建目录 urs1 示例 : 下面是一个数据库示例, 系统将自动创建其目录条目 : galaxy:glenn:/mnt1/sales/usr1:create 正则表达式映射文件条目可以包含正则表达式 Celerra 管理 MMC 插件联机帮助提供了有关正则表达式的完整讨论示例 : 下面是含有正则表达式条目的数据库的示例 : nasdocs:*:/ufs/user4/<d>/<u>:regex:create nasdocs:^[a-g]:/ufs/user1/<d>/<u>:regex:create nasdocs:^[h-p]:/ufs/user2/<d>/<u>:regex:create nasdocs:^[q-z]:/ufs/user3/<u>/<u>:regex:create Umask 映射文件可以包含在新创建的目录和文件上设置权限的 NFS 权限掩码此掩码对 CIFS ACL 没有任何影响注意数据库中的每个字段都必须用 : 分隔符分隔通配符映射文件可以在域和用户名字段中包含通配符 (*) 通配符使您可以向多个用户分配主目录, 而无需为数据库中的每个用户分别创建单个条目例如, 如果用户名字段包含一个通配符, 则指定域中的所有用户均与此通配符条目匹配在这种情况下, 路径中包含用户的 Windows 用户名的目录将变成该用户的主目录因此, 如果数据库包含下列条目 : galaxy:*:/mnt3/cifs/ galaxy 域中的所有用户都可以访问 /mnt3/cifs/ 下与其用户名匹配的主目录例如, galaxy 域中的 user1 可以访问主目录 /mnt3/cifs/user1, 而 user2 可以访问主目录 /mnt3/cifs/user2 通配符条目应置于数据库的开头, 后面紧跟特定的条目第 83 页上的解析顺序提供了详细信息 82 / 88

正则表达式在指定用户名和目录时, 您可以使用正则表达式注意 : 建议您在使用正则表达式时, 使用 Celerra 管理 MMC 插件创建和编辑用户名和目录 MMC 插件将在您键入正则表达式时对它们进行验证如果在创建或编辑.homedir 文件时键入了错误的正则表达式, 主目录环境可能会变成不可用 Celerra 管理 MMC 插件联机帮助提供了有关在 Celerra 上实施正则表达式的其他信息解析顺序数据移动器按从上到下的顺序解析数据库如果您使用通配符, 可能会出现多个匹配的域 : 用户对当数据移动器找到一个匹配的域 : 用户对时, 它将会搜索用户目录的路径如果在此路径下存在一个用户目录, 此目录将映射为用户的主目录如果没有匹配的目录, 数据移动器将继续解析数据库, 以查找用户的主目录例如, 您具有一个包含下列通配符条目的数据库 : galaxy:*:/homes1/ galaxy:*:/homes2/ galaxy:*:/homes3/ 您要尝试为 user1 映射 HOME 目录, 并且您具有下列目录结构 : /homes1/user1 不存在 /homes2/user1 存在 /homes3/user1 不存在如果数据移动器仅查找 galaxy:user1 的匹配项, 它将在第一个映射条目停止解析但是, 数据移动器在找到一个 galaxy:user1 匹配项后, 将会搜索 user1 目录的路径如果找不到 user1 目录, 数据移动器将继续解析数据库在上面的示例中, 假设数据移动器在第二个条目下找到匹配项, 则会将该目录映射为 user1 的主目录 Guest 帐户对于临时或来宾用户, 您可以在数据库中指定一个来宾目录对于通过未在数据库中列出的域登录的用户, 系统会将其导引至来宾目录来宾目录条目包含域和用户名的通配符, 如下列示例所示 : *:*:/mnt3/guest 在数据移动器上禁用主目录请使用下列命令语法以在数据移动器上禁用主目录 : $ server_cifs < 移动器名称 > -option homedir=no < 移动器名称 > = 数据移动器的名称 83 / 88

84 / 88

索引 A Active 3 Active Directory 创建计算机帐户 25 将 CIFS 服务器添加到 28, 30, 32, 34 安全日志, 创建 70 B 备注 CLI 查看 19 从 Windows 查看 19 更改 19 别名查看 17 定义 14 分配给 CIFS 服务器 15 分配给 NetBIOS 名称 15 命名约定 14 删除 16 别名, 计算机名 21 C Celerra Manager - Advanced Edition 3 Celerra Manager - Basic Edition 3 CIFS 检查当前配置 10, 11 启动 40 停止 39 疑难解答 73 CIFS 服务定义 4 启动 40 停止 39 CIFS 服务器定义 4 委派加入授权 25 在 Windows 2000 下删除 41 在 Windows NT 下删除 41 cifs.smbsigning 66 cifssyncwrite 选项 34 参数 djaddadmintolg 25 重新导出文件系统 38 错误消息 78 D DNS 更改配置 11 管理 11 多数据流支持 60 F 访问, 全部禁用 39 非连续的命名空间 26, 32 G GPO 更新设置 57 禁用缓存 59 禁用支持 59 使用 SMB 签名进行配置 66 手动更新 GPO 设置 58 显示设置 57 支持 49 支持的 CNS 设置 49 支持的设置 49 格式, 主目录数据库 81 共享名称限制 18 J 计算机密码, 自动更改 69 加入授权, 委派 25 禁用所有访问 39 L 列出, CIFS 配置 10, 11 M MDS 概述 60 在 Celerra 上 61 Microsoft 3 密码, 自动更改 69 名称解析, WINS 11 N NetBIOS 重命名 12 将别名添加到 15 NetBIOS 名称隐藏 27, 29, 31, 33 O oplock 35 P 配置 DNS 11 检查 CIFS 10, 11 将服务器加入到域中 28, 30, 32, 34 85 / 88

Q 签名, SMB 64 S server_mount 命令 34 SID, 更新目标域 71 SMB 签名概述 64 配置 66, 68 使用 GPO 进行配置 66 删除 Windows 2000 环境下的 CIFS 服务器 41 Windows NT 环境下的 CIFS 服务器 41 设置, GPO 49 伺机文件锁定 35 T 添加别名 15 WINS 服务器 11 同步写入, 确保 34 通知, 文件更改 36 W WINS, 添加服务器 11 文件更改跟踪 36 通知选项 38 文件系统 oplock 35 重新导出 38 确保同步写入 34 X 相关信息 5 Y 疑难解答 73 用户配置文件, 添加主目录 44 域迁移, 支持 71 Z 正则表达式 83 主目录创建 43 从 Windows NT 添加 46 概述 41 添加到用户配置文件 44 限制 42 主目录数据库格式 81 86 / 88

说明 87 / 88

关于本文档作为持续改善和增强 Celerra Network Server 产品线性能和功能的工作的一部分, EMC 会定期发布新版本的 Celerra 硬件和软件因此, 对于当前使用的某些 Celerra 软件或硬件版本, 本文档中介绍的一些功能可能不受支持有关产品功能的最新信息, 请参阅相关产品的发行说明如果您的 Celerra 系统未提供本文档所描述的功能, 请联系 EMC 客户支持代表获取硬件升级或软件更新关于文档的意见和建议您的建议有助于我们提高用户文档的准确性组织结构和整体质量请通过邮件将您对本文档的意见发送到 techpubcomments@emc.com 版权所有 1998-2008 EMC Corporation 保留所有权利 EMC 确信本出版物中的内容截至发布时是准确的如有更改, 恕不另行通知本出版物的内容按原样提供 EMC CORPORATION 对本出版物的内容不提供任何形式的陈述或担保, 明确拒绝对有特定目的的适销性或适用性进行默示担保使用复制或发布本出版物所描述的任何 EMC 软件都要有相应的软件许可证有关您的产品系列的最新法规文档, 请转至 EMC Powerlink 上的技术文档和咨询部分有关 EMC 产品名称的最新清单, 请参见 www.emc2.com.cn 上的 EMC Corporation 商标本文涉及的所有其他商标均属于各自所有者的财产 88 / 88