Conectar a almacenamiento
Uso de un sistema VNXe con
carpetas compartidas CIFS
VNXe Operating Environment versión 2.4
NÚMERO DE REFERENCIA 300-010-548
REV 04
EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.
La información de esta publicación se proporciona tal cual. EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y, específicamente, renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado. El uso, la copia y la distribución de todo software de EMC descrito en esta publicación requiere una licencia de software correspondiente.
EMC2, EMC y el logotipo de EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros
países. Todas las demás marcas comerciales incluidas en este documento pertenecen a sus respectivos propietarios. Para consultar el documento regulatorio más actualizado para su línea de productos, visite la sección Documentación técnica y asesorías en el sitio web del servicio de soporte en línea de EMC.
Uso de un sistema VNXe con carpetas compartidas CIFS 3
Prefacio
Capítulo 1
Configuración de un host para utilizar almacenamiento de carpetas
compartidas CIFS de VNXe
Requerimientos para configurar un host para utilizar almacenamiento
CIFS de VNXe ... 10
Requerimientos del sistema VNXe... 10
Requisitos de la red ... 10
Servidor de carpetas compartidas VNXe CIFS en un dominio de Windows Active Directory ... 10
Servidor de carpetas compartidas VNXe CIFS independiente ... 10
Software de host Celerra para hosts VNXe en un ambiente CIFS ... 11
Descripción general del software para los hosts de VNXe en un ambiente CIFS... 11
Instalación del software de host para un ambiente CIFS ... 12
Uso de Windows Continuous Availability (CA) ... 13
Uso de la alta disponibilidad de la red ... 14
Redes a prueba de falla... 15
Agregaciones de enlaces... 16
Configuración de una agregación de enlaces... 17
Usar cifrado CIFS... 19
Configuración del almacenamiento de carpetas compartidas CIFS VNXe para el host (cliente) ... 19
Configuración del acceso de usuario a los recursos compartidos CIFS en Active Directory ... 19
Mapeo del recurso compartido CIFS en el host ... 20
Capítulo 2
Migración de datos CIFS al sistema VNXe
Ambiente y limitaciones de una migración de CIFS... 22Migración de datos CIFS... 23
Capítulo 3
Administrar el almacenamiento de carpetas compartidas CIFS de VNXe
mediante las herramientas de Windows
Apertura de la MMC de administración de equipos ... 26Antes de utilizar los snap-ins de la MMC ... 26
Creación de recursos compartidos y establecimiento de las ACL con la MMC... 26
Antes de crear recursos compartidos o establecer accesos (ACL) ... 26
Establecimiento de las ACL en un recurso compartido existente en un servidor de carpetas compartidas... 27
Creación de un recurso compartido y establecimiento de sus ACL en el servidor de carpetas compartidas ... 27
Uso de la función home directory... 28
Restricciones de uso del home directory ... 28
Adición de un home directory a Active Directory ... 29
Adición de un home directory con expresiones... 29
Uso de los objetos de políticas de grupos (GPO) ... 31
Soporte de GPO en un servidor de carpetas compartidas de VNXe... 31
Monitoreo del uso de recursos y las conexiones del servidor de carpetas
compartidas con la MMC... 33
Monitoreo de usuarios en el servidor de carpetas compartidas ... 34
Monitoreo del acceso a los recursos compartidos del servidor de carpetas compartidas... 34
Monitoreo del uso de archivos del servidor de carpetas compartidas .... 34
Auditoría de objetos y usuarios de CIFS ... 35
Activación de la auditoría en el servidor de carpetas compartidas... 36
Visualización de los eventos de auditoría... 38
Desactivación de la auditoría ... 38
Acceso al log de seguridad del servidor de carpetas compartidas de VNXe... 39
Copia de un snapshot del recurso compartido con Windows Explorer... 39
Restauración de un snapshot del recurso compartido con Windows Explorer ... 40
Capítulo 4
Usar FLR VNXe con el sistema
Terminología y conceptos de FLR... 42Terminología de FLR ... 42
Conceptos básicos de FLR ... 42
Cómo funciona FLR... 43
Restricciones de FLR... 44
Requerimientos del sistema para retención de archivos ... 44
Requerimiento de Windows .NET Framework ... 45
Requerimientos de privilegios de cuenta de servicio y servicios de Windows para el monitor de FLR ... 45
Instalación del kit de herramientas de FLR en un host ... 46
Configuración del monitor de FLR ... 47
Uso del monitor de FLR ... 47
Confirmar el archivo de solo lectura al estado de FLR ... 47
Crear consultas de FLR ... 48
Capítulo 5
Usar la solución común VNX Event Enabler con el sistema VNXe
Descripción general de CAVA ... 50Servidores de carpetas compartidas de VNXe... 50
Cliente de comprobación de virus VEE CAVA... 51
Soporte del software antivirus de otros fabricantes ... 51
Software VEE CAVA... 51
Software snap-in de MMC Celerra AntiVirus Management... 51
Requerimientos y limitaciones del sistema ... 52
Retención en el nivel de archivo ... 52
Protocolos que no son CIFS ... 52
Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe... 52
Uso de un sistema VNXe con carpetas compartidas CIFS 5 Como parte de un esfuerzo por mejorar sus líneas de productos, EMC lanza revisiones periódicas de su hardware y software. Por lo tanto, es posible que no todas las versiones de hardware y software soporten algunas funciones que se describen en este documento. Las notas de la versión del producto proporcionan la información más actualizada acerca de las características del producto.
En caso de que un producto no funcione adecuadamente o no funcione como lo describe este documento, póngase en contacto con un representante de EMC.
Nota: La información de este documento era precisa en el momento de la publicación. Nuevas versiones de este documento podrían lanzarse en el sitio web del servicio de soporte en línea de EMC. Revise el sitio web del servicio de soporte en línea de EMC para asegurarse de utilizar la versión más reciente de este documento.
Propósito
Este documento forma parte del conjunto de documentación de EMC VNXe. Describe cómo configurar hosts de Windows con clientes que necesitan obtener acceso a Common Internet File System (CIFS) en un sistema VNXe con el ambiente operativo VNXe versión
1.7.0 o superior.
Audiencia
Este documento está dirigido al o a los responsables de configurar los hosts para obtener acceso al almacenamiento de VNXe.
Los lectores de este documento deben estar familiarizados con el almacenamiento de carpetas compartidas CIFS de VNXe y el sistema operativo Windows que se ejecuta en hosts con clientes que tendrán acceso al almacenamiento de carpetas compartidas CIFS de VNXe.
Documentación relacionada
Otros documentos de VNXe incluyen:
◆ Guía de información del hardware de EMC VNXe3100 ◆ Guía de instalación del sistema EMC VNXe3100 ◆ Guía de información del hardware de EMC VNXe3150 ◆ Guía de instalación del sistema EMC VNXe3150 ◆ Guía de información del hardware de EMC VNXe3300 ◆ Guía de instalación del sistema EMC VNXe3300 ◆ Uso del sistema VNXe con carpetas compartidas NFS
◆ Uso del sistema VNXe con Microsoft Exchange 2007 o Microsoft Exchange 2010 ◆ Uso del sistema VNXe con almacenamiento iSCSI genérico
◆ Uso del sistema VNXe con Microsoft Windows Hyper-V ◆ Uso del sistema VNXe con VMware NFS o VMware VMFS
La ayuda de EMC Unisphere proporciona información específica acerca de funciones, funcionalidad y almacenamiento de VNXe. La ayuda de Unisphere y un conjunto completo de documentación del cliente de VNXe se encuentran en el sitio web del servicio de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país
correspondiente)).
Convenciones utilizadas en este documento
EMC usa las siguientes convenciones para notificaciones especiales:
PELIGRO
PELIGRO indica una situación peligrosa que, si no se evita, provocará la muerte o lesiones graves.
ADVERTENCIA
ADVERTENCIA indica una situación peligrosa que, si no se evita, podría provocar la muerte o lesiones graves.
PRECAUCIÓN
PRECAUCIÓN, junto con el símbolo de alerta de seguridad, indica una situación peligrosa que, si no se evita, podría provocar lesiones menores o moderadas.
ATENCIÓN
ATENCIÓN se usa para abordar prácticas no relacionadas con daños personales. Nota: Una nota presenta información que es importante, pero no relacionada con peligros.
IMPORTANTE
Un aviso importante contiene información esencial para la operatividad del software o hardware.
Uso de un sistema VNXe con carpetas compartidas CIFS 7
Convenciones tipográficas
EMC usa las siguientes convenciones de estilo de letras en este documento: Normal Utilizada en texto corrido (no de procedimiento) para:
• Nombres de elementos de interfaz, como nombres de ventanas, cuadros de diálogo, botones, campos y menús
• Nombres de recursos, atributos, pools, expresiones booleanas, botones, informes DQL, palabras clave, cláusulas, variables de ambiente, funciones y utilerías
• URL, nombres de rutas, nombres de archivos, nombres de directorios, nombres de equipos, enlaces, grupos, claves de servicio, sistemas de archivos y notificaciones
En negritas Se utiliza en texto corrido (no de procedimiento) para nombres de comandos, demonios, opciones, programas, procesos, servicios, aplicaciones, utilerías, kernels, notificaciones, llamadas del servicio y páginas de los manuales
Utilizada en procedimientos para:
• Nombres de elementos de interfaz, como nombres de ventanas, cuadros de diálogo, botones, campos y menús
• Lo que el usuario específicamente selecciona, hace clic, presiona o escribe
Cursiva Utilizada en todos los textos (incluso procedimientos) para:
• Títulos completos de publicaciones a las que se hace referencia en el texto
• Énfasis, por ejemplo, un término nuevo • Variables
Courier Utilizada para:
• Salida del sistema, como un mensaje de error o script
• URL, rutas completas, nombres de archivos, indicadores y sintaxis cuando se muestran fuera del texto corrido
Courier negrita Se utiliza para entrada de usuario, como comandos Courier cursiva Utilizada en procedimientos para:
• Variables en la línea de comandos • Variables de entrada de usuario
< > Los paréntesis angulares encierran parámetros o valores de variables suministrados por el usuario
[ ] Los corchetes encierran valores opcionales
| La barra vertical indica selecciones alternativas; la barra significa “o” { } Las llaves encierran contenido que debe especificar el usuario, como x, y o z ... Los puntos suspensivos indican información no esencial omitida del ejemplo
Dónde obtener ayuda
La información sobre soporte, productos y licencias de VNXe puede obtenerse de la siguiente manera:
Información de productos — Para obtener documentación, notas de la versión, actualizaciones de software o información acerca de productos, licencias y servicio de EMC, visite el sitio web del servicio de soporte en línea de EMC (registro obligatorio) en:
http://www.emc.com/vnxesupport
Soporte técnico — para obtener soporte técnico, visite el servicio de soporte en línea de EMC. En Centro de servicio, verá varias opciones, incluida una para crear una solicitud de servicio. Tenga en cuenta que para abrir una solicitud de servicio, debe contar con un acuerdo de servicio válido. Póngase en contacto con un representante de ventas de EMC para obtener detalles acerca de cómo obtener un acuerdo de soporte válido o para formular preguntas sobre su cuenta.
Sus comentarios
Sus sugerencias nos ayudarán a continuar mejorando la exactitud, organización y calidad general de la documentación para usuarios. Envíe sus opiniones sobre este documento a: [email protected]
Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe 9
Configuración de un host para utilizar
almacenamiento de carpetas compartidas CIFS
de VNXe
Este capítulo describe cómo configurar un host de Windows o una máquina virtual para utilizar almacenamiento de carpetas compartidas CIFS de EMC VNXe.
Se abordarán los siguientes temas:
◆ Requerimientos para configurar un host para utilizar almacenamiento
CIFS de VNXe ... 10 ◆ Software de host Celerra para hosts VNXe en un ambiente CIFS... 11 ◆ Configuración del almacenamiento de carpetas compartidas CIFS VNXe
para el host (cliente) ... 19 ◆ Configuración del acceso de usuario a los recursos compartidos CIFS en Active
Directory ... 19 ◆ Mapeo del recurso compartido CIFS en el host ... 20
Requerimientos para configurar un host para utilizar
almacenamiento CIFS de VNXe
Antes de que pueda configurar un host para utilizar almacenamiento CIFS de VNXe, se deben cumplir los siguientes requerimientos del sistema VNXe y de la red descritos en esta sección.
Requerimientos del sistema VNXe
◆ Instaló y configuró el sistema VNXe usando el asistente de configuración de VNXe,
como se describe en la Guía de instalación del sistema EMC VNXe3100, la Guía de instalación de EMC VNXe3150 o la Guía de instalación del sistema EMC VNXe3300.
◆ Ha utilizado Unisphere o la CLI de VNXe para ejecutar la configuración básica de uno
o más servidores de carpetas compartidas VNXe en el sistema VNXe.
Requisitos de la red
El host (cliente) debe estar en un ambiente LAN con el servidor de almacenamiento de carpetas compartidas VNXe. El servidor de carpetas compartidas VNXe puede ser un miembro de un dominio de Windows Active Directory u operar por separado de cualquier dominio de Windows como un servidor CIFS independiente.
Servidor de carpetas compartidas VNXe CIFS en un dominio de Windows Active
Directory
Un servidor de carpetas compartidas CIFS con Active Directory activado:
◆ Utiliza autenticación Kerberos basada en dominio
◆ Mantiene su propia identidad (cuenta de computadora) en el dominio
◆ Aprovecha la información del sitio del dominio para localizar servicios, tales como
controladores de dominio.
La asociación de un servidor de carpetas compartidas CIFS con un dominio de Windows permite que cualquier usuario del dominio se conecte al servidor CIFS. Además, los ajustes de la autenticación y la autorización mantenidos en el servidor Active Directory se aplican a los archivos y las carpetas de la carpeta compartida CIFS.
Un servidor de carpetas compartidas CIFS con Active Directory activado requiere un dominio de Windows con un servidor Active Directory (AD) y un servidor DNS.
Servidor de carpetas compartidas VNXe CIFS independiente
Un servidor de carpetas compartidas CIFS independiente no tiene acceso a un dominio de Windows ni a sus servicios asociados. Solo los usuarios con cuentas de usuario locales creadas y administradas en el servidor de carpetas compartidas CIFS independiente pueden obtener acceso al servidor, y el servidor CIFS realiza la autenticación del usuario. Un servidor de carpetas compartidas CIFS independiente requiere un grupo de trabajo de Windows.
Software de host Celerra para hosts VNXe en un ambiente CIFS 11
Software de host Celerra para hosts VNXe en un ambiente CIFS
Esta sección describe el software de host EMC Celerra® que está disponible para el
sistema VNXe en un ambiente CIFS, e indica cómo instalar este software en un host que utilizará el almacenamiento de carpetas compartidas VNXe CIFS .
Descripción general del software para los hosts de VNXe en un ambiente CIFS
El software de host de EMC Celerra® que está disponible para un sistema VNXe en unambiente CIFS es:
◆ Common AntiVirus Agent de VNX Event Enabler (VEE) ◆ Snap-ins de administración
Agente antivirus común de VNX Event Enabler
El Common AntiVirus Agent (CAVA) de VNX Event Enabler (VEE) ofrece una solución de antivirus para clientes CIFS que utilizan los sistemas de EMC. Utiliza un software antivirus de otros fabricantes para identificar y eliminar virus conocidos antes de que infecten archivos en el sistema. CAVA forma parte del paquete de software VNX Event Enabler (VEE). La matriz de soporte de VNXe del sitio webde soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)) brinda información sobre el software antivirus de otros fabricantes que soporta CAVA.
Snap-ins de administración
El servidor de carpetas compartidas de VNXe soporta los snap-ins de administración de Celerra, que constan de los siguientes snap-ins de Microsoft Management Console (MMC) que pueden utilizarse para administrar home directories, configuraciones de seguridad y comprobaciones de virus en el servidor de carpetas compartidas de un equipo con Windows Server 2003, Windows Server 2008 o Windows 8:
◆ Snap-in de administración de home directories de Celerra ◆ Snap-in de configuración de seguridad de Data Movers de Celerra ◆ Snap-in de administración de antivirus de Celerra
Snap-in de administración de home directories de Celerra
Puede utilizar el snap-in de administración de home directory de Celerra para asociar un nombre de usuario con un directorio. Dicho directorio, luego, actúa como home directory del usuario. La función de home directory simplifica la administración de recursos compartidos personales y el proceso de conexión de estos, debido a que permite utilizar un solo nombre de recurso compartido, llamado HOME, al que todos los usuarios pueden conectarse.
Snap-in de configuración de seguridad de Data Movers de Celerra
El snap-in de configuración de seguridad de Data Movers de Celerra consta de un nodo de política de auditoría y un nodo de asignación de derechos de usuario.
Nodo de política de auditoría de Celerra
Puede utilizar el nodo de política de auditoría de Celerra para determinar qué eventos relacionados con la seguridad del servidor de carpetas compartidas se registrarán en el log de seguridad. Luego podrá ver el log de seguridad mediante el visor de eventos de Windows. Puede registrar intentos exitosos, intentos fallidos, ambos o ninguno. Las políticas de auditoría que aparecen en el nodo de políticas de auditoría son un subconjunto de las políticas disponibles como objetos de políticas de grupos (GPO) en usuarios y equipos de dominios activos. Las políticas de auditoría son políticas locales que se aplican al servidor de carpetas compartidas seleccionado. No puede utilizar el nodo de políticas de auditoría para administrar políticas de auditoría de GPO.
Nodo de asignación de derechos de usuario de Celerra
Puede utilizar el nodo de asignación de derechos de usuario de Celerra para administrar qué usuarios y grupos tendrán privilegios de tareas e inicio de sesión para el servidor de carpetas compartidas. Las asignaciones de derechos de usuario que aparecen en el nodo de asignación de derechos de usuario son un subconjunto de las asignaciones de derechos de usuario disponibles como GPO en equipos y usuarios de dominios activos. Las asignaciones de derechos de usuario son políticas locales que se aplican al servidor de carpetas compartidas seleccionado. No puede utilizar el nodo de asignación de derechos de usuario para administrar políticas de GPO.
Snap-in de administración de antivirus de Celerra
Puede utilizar el snap-in de administración de antivirus de Celerra para administrar los parámetros de comprobación de virus (archivo viruschecker.conf) que se utilizan con el agente antivirus (CAVA) de Celerra y los programas antivirus de otros fabricantes.
Instalación del software de host para un ambiente CIFS
La Tabla 1 describe el software de host en un ambiente CIFS de VNXe, las ventajas por las que debería instalarlo y los hosts en que debería instalarlo.
Tabla 1 Software de host para ambientes CIFS de VNXe Software Instale el software si desea Instálelo en
Snap-in de
administración de home directory de Celerra
Administrar home directories de usuarios. El sistema Windows Server 2003, Windows Server 2008 o Windows 8 desde el que administrará los servidores de carpetas compartidas de VNXe en el dominio.
Snap-in de configuración de seguridad de Data Movers de Celerra
Auditar los eventos de seguridad del servidor de carpetas compartidas en el log de
seguridad y administrar los accesos de usuario y grupo y los privilegios de tareas para el servidor de carpetas compartidas.
El sistema Windows Server 2003, Windows Server 2008 o Windows 8 desde el que administrará los servidores de carpetas compartidas de VNXe en el dominio.
Snap-in de administración de antivirus VEE
Administrar los parámetros de comprobación de virus utilizados junto con CAVA y los programas antivirus de otros fabricantes.
El host (cliente) Windows Server 2003, Windows Server 2008 o Windows 8 de 32 bits que utiliza el almacenamiento de VNXe. Requiere un host Windows o más como servidor antivirus (AV). Estos servidores AV también pueden ser hosts que utilizan el
Uso de Windows Continuous Availability (CA) 13
Para instalar el software de host para un ambiente CIFS en un host VNXe:
1. Inicie sesión en el host a través de una cuenta con privilegios de administrador. 2. Descargue el paquete de software que desea instalar de la siguiente manera:
a. Desplácese hasta la sección de descarga de software del sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)).
b. Elija el paquete de software que desea instalar y seleccione la opción para guardar el software en el host.
3. En el directorio donde guardó el software, haga doble clic en el archivo ejecutable para iniciar el asistente de instalación.
4. En la página Instalación del producto, seleccione el paquete de software que desea instalar en el host.
5. Acepte la ubicación predeterminada de los archivos del programa haciendo clic en Siguiente, o especifique una ubicación diferente escribiendo la ruta a la carpeta o haciendo clic en Cambiar para navegar hasta la carpeta y en Siguiente cuando haya finalizado.
6. En la página Bienvenido, haga clic en Siguiente. 7. En la página Acuerdo de licencia, haga clic en Sí.
8. En la página Seleccionar carpeta de instalación, verifique que el nombre de la carpeta que se muestra corresponda al sitio donde desea instalar los archivos del programa. Haga clic en Siguiente.
Para seleccionar una carpeta distinta, haga clic en Navegar, ubique la carpeta y haga clic en Siguiente.
9. En la página Seleccionar componentes, seleccione el paquete de software (componente) que desea instalar, borre los componentes que no desea instalar y haga clic en Siguiente.
10. En la página Iniciar copia de archivos, haga clic en Siguiente. 11. En la página Asistente InstallShield completo, haga clic en Finalizar. 12. Una vez finalizada la instalación, reinicie el host.
Uso de Windows Continuous Availability (CA)
Los ambientes de Windows 8/SMB3 ofrecen la posibilidad de agregar funcionalidad de alta disponibilidad para los recursos de CIFS. Windows CA permite la ejecución de aplicaciones en hosts conectados a recursos compartidos con esta propiedad para admitir un failover de servidor transparente.
Otras características, como I/O de mayor tamaño, descarga de operaciones de copia, I/O paralelos en la misma sesión y arrendamiento de directorio, ofrecen mejoras en el rendimiento y la experiencia del usuario.
Con CA activado, puede obtener un failover de servidor transparente para
implementaciones en las que la duración del failover no es mayor que el tiempo de espera de la aplicación. En dichas implementaciones, los hosts continúan accediendo al recurso CIFS sin una pérdida del estado de la sesión de CIFS, después de un evento de failover.
Uso de la alta disponibilidad de la red
El sistema VNXe proporciona alta disponibilidad de la red o redundancia con redes a prueba de falla (FSN) que amplían el failover de enlaces hacia la red proporcionando redundancia a nivel de switch. En un sistema VNXe, cada puerto en un procesador de almacenamiento (SP) se configura en una FSN con el puerto correspondiente en el SP par. Cuando asigna un puerto a una interfaz de servidor de carpetas compartidas VNXe, VNXe designa automáticamente ese puerto en el SP donde reside el servidor de carpetas compartidas como el puerto primario en la FSN, y el puerto en el SP par como el puerto secundario en la FSN. No puede crear, eliminar ni cambiar la configuración de la FSN VNXe. Por estos motivos, para aprovechar una FSN en un sistema VNXe3100 con dos SP o un sistema VNXe3150 con dos SP o un sistema VNXe3300, los puertos Ethernet (eth) en cada SP se deben cablear de manera idéntica. Por ejemplo, si cablea los puertos eth2 y eth4 del SP A y crea un servidor de almacenamiento por separado en cada puerto, debe cablear los puertos eth2 y eth4 del SP B de la misma manera.
Además, el sistema VNXe soporta agregaciones de enlaces, lo que permite que un máximo de cuatro puertos Ethernet conectados al mismo switch físico o lógico se combinen en un solo enlace lógico. Este comportamiento se denomina agregación de enlaces. Para configurar la agregación de enlaces en un sistema VNXe, cada procesador de almacenamiento (SP) debe tener el mismo tipo y el mismo número de puertos Ethernet, ya que, en realidad, la configuración de la agregación de enlaces crea dos agregaciones de enlaces: una en cada SP. Esto proporciona alta disponibilidad como se explica a continuación. Si uno de los puertos de la agregación de enlaces falla, el sistema dirige el tráfico de red a uno de los otros puertos de la agregación. Si todos los puertos de la agregación fallan, la FSN realiza un failover a la agregación de enlaces correspondiente en el SP par, de modo que el tráfico de red continúe. Si agrega un módulo de Ethernet I/O a cada SP en un sistema VNXe 3100, 3150 o 3300, puede crear un grupo de agregación de enlaces adicional en el conjunto de puertos en el módulo de I/O.
El resto de esta sección describe:
◆ “Redes a prueba de falla” en la página 15 ◆ “Agregaciones de enlaces” en la página 16
◆ “Configuración de una agregación de enlaces” en la página 17
Para obtener información adicional sobre la disponibilidad de datos en un sistema VNXe y la infraestructura de conectividad, consulte la Descripción general de alta disponibilidad de EMC VNXe en la sección Informes técnicos del sitio web de soporte de VNXe, en
Uso de la alta disponibilidad de la red 15
Redes a prueba de falla
Una red a prueba de falla (FSN) es una característica de alta disponibilidad que amplía el failover de enlaces hacia la red proporcionando redundancia a nivel de switch. Una FSN aparece como un solo enlace con una sola dirección MAC y posiblemente múltiples direcciones IP. En un sistema VNXe, una FSN consta de un puerto en un SP y el puerto correspondiente en el otro SP. Cada puerto se considera una sola conexión. Ambas conexiones que componen la FSN comparten una sola dirección de hardware (MAC). Si el sistema VNXe detecta que la conexión activa falla, cambia automáticamente a la conexión en standby en la FSN y esa conexión asume la identidad de red de la conexión que falló. Para asegurar la conectividad del host al sistema VNXe en caso de un failover de hardware, conecte el sistema VNXe a distintos switches que estén conectados a dispositivos de la FSN en varias NIC en el host. En consecuencia, los componentes de la FSN se conectan a distintos switches. Si el switch de la conexión activa falla, la FSN realiza un failover a una conexión utilizando otro switch, con lo que se amplía el failover de enlaces hacia la red. Como se muestra en la Figura 1, cuando el SP de VNXe detecta la pérdida del enlace de comunicaciones activo a la FSN, la conexión realiza automáticamente un failover a una conexión en standby operativa. Esta acción es independiente de cualquier característica del switch. Si se interrumpe una conexión en la FSN, el enlace realiza un failover al enlace que permanece activo. Si fallan ambas conexiones en una FSN, el enlace está inactivo.
Agregaciones de enlaces
Las agregaciones de enlaces usan el estándar Protocolo de control de agregación de enlaces (LACP) IEEE 802.3ad. Una agregación de enlaces aparece como un solo enlace Ethernet y tiene las siguientes ventajas:
◆ Alta disponibilidad de rutas de red hacia y desde el sistema VNXe. Si falla un puerto
físico en una agregación de enlaces, el sistema no pierde conectividad.
◆ Posible aumento del rendimiento general: esto se debe a que varios puertos físicos
están vinculados a un puerto lógico y a que el tráfico de red se distribuye entre los múltiples puertos físicos.
Aunque las agregaciones de enlaces pueden proporcionar más ancho de banda general que un solo puerto, la conexión a un solo cliente se ejecuta a través de un puerto físico y, por lo tanto, está limitada por el ancho de banda del puerto. Si la conexión a un puerto falla, el switch cambia automáticamente el tráfico a los puertos restantes en el grupo. Cuando se restaura la conexión, el switch reanuda automáticamente el uso del puerto como parte del grupo.
En el sistema VNXe, puede configurar hasta cuatro puertos en una agregación de enlaces. Cuando configura una agregación de enlaces, en realidad está configurando dos
agregaciones de enlaces, una en cada SP. Si uno de los puertos en la agregación falla, el sistema dirige el tráfico de red a uno de los otros puertos del grupo. Si todos los puertos del grupo fallan, la FSN realiza un failover a la agregación de enlaces correspondiente en el SP par.
Requerimientos del switch
Si los puertos VNXe están conectados a distintos switches de red, debe configurar todos los puertos del switch conectados a los puertos VNXe para que cambien de inmediato del modo de bloqueo al modo de reenvío y para que no pasen por estados del árbol de expansión de escucha y aprendizaje cuando se activa una interfaz. En switches Cisco, esto significa que debe activar la funcionalidad portfast para cada puerto del switch conectado a un puerto VNXe para asegurarse de que el switch reenvíe el frame Ethernet que genera el sistema VNXe cuando se activa un enlace físico. La funcionalidad portfast se activa puerto a puerto. La variable portfast, cuando se activa, hace que el puerto cambie de inmediato del modo de bloqueo al de reenvío. No use portfast en conexiones de switch a switch.
Para agregación de enlaces, los switches de red deben tener soporte del protocolo IEEE 802.3ad y garantizar que los paquetes de una sola conexión TCP pasen siempre por el mismo enlace en una sola dirección.
Uso de la alta disponibilidad de la red 17
Configuración de una agregación de enlaces
Windows 7 y Windows Server 2003 no proporcionan soporte para la agregación de enlaces (creación de equipos de NIC). Algunos proveedores de NIC proporcionan drivers que soportan la creación de equipos de NIC. Para obtener más información, póngase en contacto con el proveedor de la NIC. Windows Server 2008 soporta la creación de equipos de NIC.
Para la agregación de enlaces, debe contar por lo menos con un switch compatible con 802.3ad, cada uno con un puerto disponible para cada puerto del switch que desea conectar al puerto VNXe en la agregación.
Para la agregación de enlaces, necesita ejecutar dos conjuntos de tareas de configuración:
◆ “Configuración de la agregación de enlaces desde el switch al sistema VNXe” en la página 17
◆ “Configuración de agregación de enlaces desde el host al switch” en la página 17
Configuración de la agregación de enlaces desde el switch al sistema VNXe
1. Configure los puertos del switch, que están conectados al VNXe, para LACP en modo activo, como se describe en la documentación proporcionada con los switches. 2. Una los puertos de VNXe en una agregación de enlaces mediante la opción
Configuración avanzada de Unisphere (Configuración > Más configuraciones > Configuración avanzada). Para obtener más información sobre el uso de la opción Configuración avanzada, consulte la ayuda en línea de Unisphere. Se crean dos agregaciones de enlaces con los mismos puertos, una agregación en cada SP.
Configuración de agregación de enlaces desde el host al switch
Para configurar la agregación de enlaces desde el host al switch, ejecute las siguientes tareas:
◆ “Tarea 1: Configure los puertos del switch para la agregación de enlaces” en la página 17
◆ “Tarea 2: Configure la creación de equipos de NIC en el host Windows Server 2008 o Windows 8” en la página 17
Tarea 1: Configure los puertos del switch para la agregación de enlaces
Configure los puertos del switch, que están conectados al host para la agregación de enlaces.
Tarea 2: Configure la creación de equipos de NIC en el host Windows Server 2008 o Windows 8
Nota: El host Windows Server 2008 y Windows 8 se refiere a la agregación de enlaces como creación de equipos de NIC.
Nota: Windows 8 detecta automáticamente la agrupación de NIC en VNXe y configura el host para que utilice las mismas interfaces que VNXe. No es necesario configurarlo manualmente.
El siguiente procedimiento se aplica a un driver de interfaz de red Intel. 1. En el Panel de control, seleccione Red e Internet > Conexiones de red.
2. En el cuadro de diálogo Conexiones de red, haga clic con el botón secundario en una NIC que desee agregar al equipo y, a continuación, haga clic en Propiedades.
3. Haga clic en Configure.
4. En el cuadro de diálogo Propiedades, seleccione la pestaña Creación de equipos. 5. En la pestaña Creación de equipos:
a. Seleccione Formar equipo con otros adaptadores. b. Haga clic en Nuevo equipo.
Se abrirá el Asistente para crear un nuevo equipo. 6. En el Asistente para crear un nuevo equipo:
a. Especifique el nombre del equipo y haga clic en Siguiente.
b. Seleccione las otras NIC que desea agregar al equipo y haga clic en Siguiente. c. Seleccione el tipo de equipo y haga clic en Siguiente.
Para obtener información sobre un tipo, seleccione el tipo y lea la información que aparece debajo del cuadro de selección.
d. Haga clic en Finalizar.
7. Si seleccionó Balanceo de carga adaptable como el tipo de equipo y desea usar el nuevo equipo de NIC para máquinas virtuales Hyper-V, desactive Recibir balanceo de carga:
a. Haga clic en la pestaña Avanzado.
b. En Configuración, seleccione Recibir balanceo de carga. c. En Valores, seleccione Desactivado.
d. Haga clic en OK (Aceptar).
El nuevo equipo aparece en el cuadro de diálogo Conexiones de red como una Conexión de red de área local.
8. Para usar el nuevo equipo de NIC para una máquina virtual:
a. En Hyper-V Manager, bajo Virtual Machines, seleccione la máquina virtual. b. En Acciones, seleccione Administrador de redes virtuales.
c. En Administrador de redes virtuales, bajo Redes virtuales, seleccione NIC de VM - Red de máquinas virtuales.
d. En Tipo de conexión, seleccione el tipo de red y el equipo de NIC. e. Haga clic en Aplicar.
Usar cifrado CIFS 19
Usar cifrado CIFS
Los ambientes de Windows 8/SMB3 ofrecen la capacidad de cifrar datos almacenados en las carpetas compartidas de CIFS de VNXe a medida que los datos se migran entre VNXe y el host Windows.
El cifrado CIFS también puede configurarse a nivel del servidor CIFS modificando la configuración del registro del host Windows.
Configuración del almacenamiento de carpetas compartidas CIFS
VNXe para el host (cliente)
Use Unisphere para la CLI VNXe con el fin de crear almacenamiento de carpetas compartidas CIFS VNXe para el host (cliente).
Para obtener información sobre cómo realizar estas tareas, consulte la ayuda en línea de Unisphere.
Configuración del acceso de usuario a los recursos compartidos
CIFS en Active Directory
El acceso de usuario a los recursos compartidos siempre se configura por archivo con Active Directory:
1. Inicie sesión en el host Windows con Active Directory desde una cuenta de administrador de dominio.
El host Windows debe tener acceso al dominio que posee el servidor de carpetas compartidas de VNXe para los recursos compartidos CIFS.
2. Abra la ventana Administración de equipos:
Para Windows Server 2003: haga clic con el botón secundario en Mi equipo o en Equipo y seleccione Administrar.
Para Windows Server 2008, Windows 7 o Windows 8: haga clic en Inicio y seleccione Panel de control > Herramientas administrativas > Administración de equipos. 3. En el árbol Administración de equipos, haga clic con el botón secundario en
Administración de equipos (local). 4. Seleccione Conectar a otro equipo.
Se abre el cuadro de diálogo Seleccionar equipo.
5. En el cuadro de diálogo Seleccionar equipo, escriba el nombre del servidor de carpetas compartidas de VNXe para proporcionar al cliente recursos compartidos de CIFS. 6. En el árbol Administración de equipos, haga clic en Herramientas del sistema >
Carpetas compartidas > Recursos compartidos.
7. Los recursos compartidos disponibles aparecen a la derecha.
Si los recursos compartidos de VNXe no aparecen, asegúrese de haber iniciado sesión en el dominio correcto.
8. Haga clic con el botón secundario en el recurso compartido cuyos permisos desea cambiar y seleccione Propiedades.
9. Haga clic en la pestaña Permisos de recursos compartidos.
10. Seleccione el usuario o grupo y los permisos para el usuario o grupo seleccionado. 11. Haga clic en OK (Aceptar).
Mapeo del recurso compartido CIFS en el host
En el host Windows, utilice la función Unidad de red de asignación de Windows para conectar el host al recurso compartido CIFS y volver a reconectarlo opcionalmente al recurso compartido cada vez que inicie sesión en el host.
Necesitará la ruta de exportación del recurso compartido (\\SharedFolderServer\share), que puede encontrar en el informe de configuración de VNXe para la carpeta compartida que posee el recurso compartido. Para obtener acceso a este informe, utilice el software EMC Unisphere™.
1. Seleccione Almacenamiento > Almacenamiento de carpetas compartidas.
2. Seleccione la carpeta compartida CIFS que posee el recurso compartido y haga clic en Detalles.
3. Haga clic en Ver detalles de acceso.
Si tiene acceso de lectura/escritura al recurso compartido, después de mapear el recurso compartido, puede crear directorios en él y almacenar archivos en los directorios.
Migración de datos CIFS al sistema VNXe 21
Migración de datos CIFS al sistema VNXe
Puede migrar datos CIFS al sistema VNXe con una copia manual. Una operación de copia manual interrumpe el acceso a los datos y es posible que no conserve las ACL y los permisos dentro de la estructura de archivos.
Este capítulo contiene los siguientes temas:
◆ Ambiente y limitaciones de una migración de CIFS ... 22 ◆ Migración de datos CIFS... 23
Ambiente y limitaciones de una migración de CIFS
Si la configuración de CIFS que desea migrar incluye alguna de las opciones que se detallan a continuación, póngase en contacto con el proveedor de servicios de VNXe:
◆ Más recursos compartidos de los que desea migrar.
◆ Permisos que no desea reasignar manualmente a los recursos compartidos de VNXe. ◆ Cualquier recurso compartido que desea dividir entre recursos compartidos de VNXe. ◆ Cualquier recurso compartido que desea combinar con otros recursos compartido en
el mismo recurso compartido de VNXe.
Tabla 2 detalla el ambiente que se requiere para una migración de datos CIFS y Tabla 3
enumera las características de una migración de copia manual.
Tabla 2 Ambiente para la migración de datos CIFS Componente Requisito
Almacenamiento
VNXe Carpeta compartida con un tamaño de recurso compartido que permita acomodar los datos en el recurso compartido que desea migrar y que facilite el crecimiento de datos.
Host Host con acceso de lectura al recurso compartido que contiene los datos que desea migrar y con acceso de escritura al recurso compartido de VNXe para los datos migrados.
Compartir Recurso compartido que migre en su totalidad al recurso compartido de VNXe.
Tabla 3 Características de una migración de copia manual Componente Requisito
Permisos Es posible que no se conserven. Tiempo fuera Con relación al tiempo necesario para:
• Copiar el contenido del recurso compartido en el recurso compartido de VNXe
• Reconfigurar los hosts que deben conectarse al recurso compartido de VNXe
Migración de datos CIFS 23
Migración de datos CIFS
Para migrar datos CIFS a un recurso compartido VNXe CIFS, ejecute las siguientes tareas:
◆ “Tarea 1: Configure el acceso al recurso compartido VNXe para el host CIFS” en la página 23.
◆ “Tarea 2: Migre los datos CIFS mediante una copia manual” en la página 23.
Tarea 1: Configure el acceso al recurso compartido VNXe para el host CIFS
En el host que desee usar para la migración de datos:1. Configure el acceso del usuario al nuevo recurso compartido en Active Directory, según se describe en “Uso de la alta disponibilidad de la red” en la página 14. 2. Mapee el nuevo recurso compartido CIFS como se describe en “Mapeo del recurso
compartido CIFS en el host” en la página 20.
Tarea 2: Migre los datos CIFS mediante una copia manual
Para minimizar el tiempo durante el cual un host no puede obtener acceso a un recurso compartido CIFS que se está migrando, migre los datos desde un recurso compartido a la vez:
1. Si algún cliente está usando activamente el recurso compartido CIFS, desconecte dicho cliente y cualquier otro cliente que pueda obtener acceso a los datos que está migrando.
2. A su criterio, use el mejor método para copiar los datos de la ubicación de almacenamiento actual al nuevo recurso compartido VNXe CIFS.
Este método puede ser una simple operación de cortar y pegar o arrastrar y soltar. Asegúrese de que el método elegido conserve los metadatos como atributos de archivos, las indicaciones de hora y los derechos de acceso que necesite conservar. 3. Una vez finalizada la operación de copia, vuelva a conectar los clientes al nuevo
recurso compartido CIFS exportado mediante el sistema VNXe y mapee una unidad a este recurso compartido según sea necesario.
Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows 25
Administrar el almacenamiento de carpetas
compartidas CIFS de VNXe mediante las
herramientas de Windows
Después de haber configurado el sistema VNXe para el almacenamiento de carpetas compartidas CIFS, puede utilizar las herramientas de Windows y Unisphere, como los snap-ins de Celerra MMC, para administrar el almacenamiento y los servidores de carpetas compartidas. En este capítulo, se describe cómo realizar ciertas tareas de administración típicas con las herramientas de Windows.La ayuda en línea de Unisphere brinda información sobre la realización de tareas de administración con Unisphere. Nota: “Instalación del software de host para un ambiente CIFS” en la página 12 brinda información sobre la instalación de snap-ins de la MMC de administración de CIFS de Celerra.
Este capítulo contiene los siguientes temas:
◆ Apertura de la MMC de administración de equipos... 26 ◆ Creación de recursos compartidos y establecimiento de las ACL con la MMC... 26 ◆ Uso de la función home directory ... 28 ◆ Uso de los objetos de políticas de grupos (GPO) ... 31 ◆ Uso de la firma de SMB ... 33 ◆ Monitoreo del uso de recursos y las conexiones del servidor de carpetas
compartidas con la MMC... 33 ◆ Auditoría de objetos y usuarios de CIFS... 35 ◆ Acceso al log de seguridad del servidor de carpetas compartidas de VNXe... 39 ◆ Copia de un snapshot del recurso compartido con Windows Explorer ... 39 ◆ Restauración de un snapshot del recurso compartido con Windows Explorer... 40
Apertura de la MMC de administración de equipos
Puede realizar muchas tareas administrativas de Windows Server 2003, Windows Server 2008 y Windows 8 desde Microsoft Management Console (MMC) de administración de equipos. Siga el procedimiento a continuación para abrir la MMC para un servidor de carpetas compartidas específico:
1. Inicie sesión en el host Windows con Active Directory desde una cuenta de administrador de dominio.
El host Windows debe tener acceso al dominio que posee el servidor de carpetas compartidas de VNXe.
2. Abra la página Administración de equipos:
Para Windows Server 2003: haga clic con el botón secundario en Mi equipo o en Equipo y seleccione Administrar.
Para Windows Server 2008 y Windows 8: haga clic en Inicio y seleccione Herramientas administrativas > Administración de equipos.
3. Haga clic con el botón secundario en Administración de equipos (local). 4. Seleccione Conectar a otro equipo.
5. Escriba el nombre del servidor de carpetas compartidas de VNXe y haga clic en Aceptar.
Antes de utilizar los snap-ins de la MMC
Debe iniciar sesión como administrador con derechos de administrador para utilizar los snap-ins de la MMC.
Creación de recursos compartidos y establecimiento de las ACL
con la MMC
EMC recomienda que utilice Unisphere para crear recursos compartidos CIFS, como se describe en la ayuda de Unisphere, y que utilice la MMC para configurar el acceso (ACL) a los recursos compartidos. Como alternativa de uso de Unisphere, una vez creada la carpeta compartida CIFS en el sistema VNXe, puede utilizar la MMC para crear recursos compartidos dentro de esta carpeta.
Antes de crear recursos compartidos o establecer accesos (ACL)
Para crear un recurso compartido de Windows con la MMC, debe:◆ Haber asignado identificadores globales (GID) a los usuarios de CIFS.
◆ Haber montado el recurso compartido de VNXe del directorio raíz del sistema de
archivos y creado los directorios que desea compartir allí.
Creación de recursos compartidos y establecimiento de las ACL con la MMC 27
Establecimiento de las ACL en un recurso compartido existente en un servidor de
carpetas compartidas
1. Abra la MMC de administración de equipos como se describe en “Apertura de la MMC de administración de equipos” en la página 26.
2. En el árbol de la consola, seleccione Carpetas compartidas > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha.
3. Haga clic con el botón secundario en el recurso compartido cuyos permisos desea cambiar y seleccione Propiedades.
4. Haga clic en la pestaña Permisos de recursos compartidos.
5. Seleccione el usuario o grupo y los permisos para el usuario o grupo seleccionado. 6. Haga clic en OK (Aceptar).
Creación de un recurso compartido y establecimiento de sus ACL en el servidor de
carpetas compartidas
1. Abra la MMC de administración de equipos como se describe en “Apertura de la MMC de administración de equipos” en la página 26.
2. En el árbol de la consola, haga clic en Carpetas compartidas > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha.
3. Haga clic con el botón secundario en Recursos compartidos y seleccione Nuevo archivo compartido en el menú de acceso directo.
Aparece el asistente Compartir una carpeta. 4. Proporcione la siguiente información:
• Nombre de la carpeta que desea compartir. • Nombre del recurso compartido de la carpeta. • Descripción del recurso compartido.
5. Haga clic en Siguiente.
El asistente le indica los permisos del recurso compartido. 6. Establezca los permisos eligiendo una de las opciones.
Con la opción Personalizar permisos de carpetas y recursos compartidos
o Personalizar permisos, puede asignar permisos a grupos y usuarios individuales. 7. Haga clic en Finalizar.
Uso de la función home directory
La función home directory de Celerra, incluida en el snap-in Celerra Home Directory, permite crear un único recurso compartido, llamado HOME, al que todos los usuarios se conectan. No es necesario crear recursos compartidos individuales para cada usuario. La función home directory simplifica la administración de recursos compartidos
personales y el proceso de conexión de estos, y permite asociar un nombre de usuario con un directorio que luego actúa como el home directory del usuario. El home directory se asigna al perfil de un usuario de manera que, después de iniciar sesión, se conecte de forma automática a una unidad de red.
Nota: Si el sistema del cliente (como Citrix Metaframe o Windows Terminal Server) soporta más de un usuario de Windows simultáneamente y almacena en caché información de acceso a los archivos, es posible que la función home directory de VNXe no funcione como se desea. Con la capacidad de home directory de VNXe, un cliente de VNXe ve la misma ruta al home directory de cada usuario. Por ejemplo, si un usuario escribe en un archivo de home directory y luego otro usuario lee el archivo de home directory, la solicitud del segundo usuario se completa con los datos almacenados en caché del home directory del primer usuario. Dado que los archivos tienen el mismo nombre de ruta, el sistema del cliente supone que se trata del mismo archivo.
La función home directory se desactiva de forma predeterminada. Primero debe crear un servidor de carpetas compartidas CIFS en el sistema VNXe antes de poder activar el home directory. En los sistemas Windows Server 2003, Windows Server 2008 o Windows 8, puede activar y administrar home directories por medio del snap-in Celerra Home Directory para MMC. La ayuda en línea del snap-in describe los procedimientos de activación y administración de home directories.
Restricciones de uso del home directory
Para el home directory, se reserva un nombre de recurso compartido especial: HOME. Como resultado, se aplican las siguientes restricciones:
◆ Si creó un recurso compartido llamado HOME, no podrá activar la función home
directory.
◆ Si activó la función home directory, no podrá crear el recurso compartido llamado
HOME.
El home directory se configura en el perfil de usuario de Windows de un usuario a través de la ruta de convención de nombre universal (UNC):
\\shared_folder_server\HOME donde:
shared_folder_serveres la dirección IP, el nombre del equipo o el nombre NetBIOS
del servidor de carpetas compartidas de VNXe.
HOME es un recurso compartido especial que se reserva para la función home directory.
Uso de la función home directory 29
Adición de un home directory a Active Directory
1. Inicie sesión en el servidor de Windows desde una cuenta de administrador de dominio. 2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas
administrativas > Equipos y usuarios de Active Directory.
3. Haga clic en Usuarios para ver los usuarios en el panel de la derecha. 4. Haga clic con el botón secundario en un usuario y seleccione Propiedades.
Se abre la ventana Propiedades de usuario del usuario. 5. Haga clic en la pestaña Perfil y en la carpeta Inicio:
a. Seleccione Conectar.
b. Seleccione la letra de unidad que desea asignar al home directory. c. En Para, escriba:
\\shared_folder_server\HOME donde:
shared_folder_server es la dirección IP, el nombre del equipo o el nombre
NetBIOS del servidor de carpetas compartidas de VNXe. 6. Haga clic en Aceptar.
Adición de un home directory con expresiones
1. Inicie sesión en el servidor de Windows desde una cuenta de administrador de dominio.
2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Administración de Celerra.
3. Haga clic con el botón secundario en el icono de la carpeta HomeDir y seleccione Nueva > entrada de home directory.
Aparece la página de propiedades del home directory. 4. Introduzca la siguiente información:
a. En Dominio, escriba el nombre del dominio del usuario que utiliza el nombre NetBIOS.
ATENCIÓN
No utilice el nombre de dominio calificado.
Por ejemplo, si el nombre del dominio es “Company.local”, puede escribir una de las opciones siguientes:
– red de la – comp
– .* (Para que funcione esta opción, las expresiones regulares deben ser
b. En Usuario, escriba el nombre del usuario o la cadena comodín.
Por ejemplo, si el nombre de usuario es “Tom”, puede escribir una de las opciones siguientes:
– T* para los nombres de usuario que empiezan con T
– * para cualquier nombre de usuario
– [r-v].* para los nombres de usuario que empiezan con r, s, t, u o v (para que
funcione esta opción, las expresiones regulares deben ser verdaderas). c. En Ruta, escriba el nombre de la ruta con uno de los siguientes métodos:
– Escriba la ruta de la carpeta.
Por ejemplo, \HomeDirShare\dir1
– Haga clic en Navegar y seleccione la carpeta o cree una.
Si desea crear automáticamente la carpeta, seleccione Crear directorio automáticamente. Algunos ejemplos de directorio son:
\HomeDirShare\dir1\User1
\HomeDirShare\<d>\<u>, que crea una carpeta con el nombre de dominio d y un directorio con el nombre de usuario u.
5. Haga clic en Aceptar.
Ejemplos de formatos de expresiones
La Tabla 4 proporciona ejemplos de formatos de expresión para añadir un home directory.
Tabla 4 Ejemplos de formatos de expresión para añadir un home directory
Domain Usuario Ruta Opciones Resultados
* * \HomeDirShare\ Ninguno Todos los usuariostienen
\HomeDirShare como home directory. * a* \HomeDirShare\ Ninguno Los usuarios cuyo nombre de usuario empieza con ‘a’ tienen \HomeDirShare como home directory.
* * \HomeDirShare\<d>\<u>\ Auto Create Directory = True Cada usuario tiene su propio directorio. Por ejemplo, el usuario Bob en el dominio company tiene
\HomeDirShare\company\Bob como home directory.
comp [a-d].* \HomeDirShare\FolksA-D\<d>\<u>\ Auto Create Directory = True Regexp=True
Los usuarios cuyos nombres de usuario empiezan con a, b, c o d en el dominio company tienen
\HomeDirShare\FolksA-D\company\<u> como home directory, donde u es el nombre de usuario.
Uso de los objetos de políticas de grupos (GPO) 31
Uso de los objetos de políticas de grupos (GPO)
En Windows Server 2003, los administradores pueden utilizar la política de grupos para definir las opciones de configuración de grupos de usuarios y equipos. Los GPO de Windows pueden controlar elementos como configuraciones de seguridad, redes y dominios locales. La configuración de la política de grupos se almacena en los GPO que se enlazan a los contenedores del sitio, el dominio y la unidad organizacional (OU) en Active Directory. El controlador de dominio replica los GPO en todos los controladores de dominio dentro del dominio.
La política de auditoría es un componente del snap-in de configuración de seguridad de Data Mover, instalado como snap-in de Microsoft Management Console (MMC) en Celerra Management Console en un sistema Windows Server 2003, Windows Server 2008 o Windows 8.
Puede utilizar las políticas de auditoría para determinar qué eventos relacionados con la seguridad del servidor de carpetas compartidas se registrarán en el log de seguridad. Puede elegir registrar intentos exitosos, intentos fallidos, ambos o ninguno. Los eventos auditados se pueden ver en el log de seguridad del visor de eventos de Windows. Las políticas de auditoría que aparecen en el nodo de políticas de auditoría son un subconjunto de las políticas disponibles como GPO en Usuarios y equipos de Active Directory (ADUC). Estas políticas de auditoría son políticas locales y se aplican únicamente al servidor de carpetas compartidas seleccionado. No puede utilizar el nodo de políticas de auditoría para administrar políticas de auditoría de GPO. Si una política de auditoría se define como GPO en ADUC, la configuración de GPO sobrescribe la configuración local. Cuando el administrador de dominio cambia una política de auditoría en el controlador de dominio, dicho cambio se refleja en el servidor de carpetas compartidas y puede verse en el nodo de políticas de auditoría. Puede cambiar la política de auditoría local, pero no entrará en vigencia hasta que se desactive el GPO de dicha política de auditoría. Si se desactiva la auditoría, la configuración de GPO permanece en la columna de configuración Vigente.
No puede utilizar las herramientas de configuración de políticas locales de Microsoft Windows para administrar las políticas de auditoría en el servidor de carpetas
compartidas debido a que en Windows Server 2003 y Windows XP las herramientas de configuración de políticas locales de Windows no permiten administrar las políticas de auditoría de forma remota.
Soporte de GPO en un servidor de carpetas compartidas de VNXe
El servidor de carpetas compartidas de VNXe soporta los GPO recuperando y almacenando una copia de la configuración de los GPO por cada servidor de carpetas compartidas unido a un dominio de Windows Server 2003. El servidor de carpetas compartidas de VNXe almacena la configuración de los GPO en la memoria caché de los GPO.
Cuando el sistema VNXe se enciende, lee la configuración almacenada en la memoria caché de los GPO y recupera la configuración de los GPO más reciente del controlador de dominio de Windows. Después de recuperar la configuración de los GPO, el servidor de carpetas compartidas de VNXe actualiza automáticamente la configuración en función del intervalo de actualización del dominio.
Configuración soportada
Un servidor de carpetas compartidas deVNXe soporta actualmente los siguientes ajustes de seguridad de GPO:
Kerberos
◆ Máxima tolerancia para la sincronización del reloj del equipo (desviación del reloj)
La sincronización de la hora se hace por servidor de carpetas compartidas.
◆ Máxima duración de los tickets de usuario
Política de auditoría
◆ Eventos de inicio de sesión de la cuenta de auditoría ◆ Administración de la cuenta de auditoría
◆ Acceso a los servicios del directorio de auditoría ◆ Eventos de inicio de sesión de auditoría
◆ Acceso a los objetos de auditoría ◆ Cambio de política de auditoría ◆ Uso de privilegios de auditoría ◆ Rastreo de procesos de auditoría ◆ Eventos del sistema de auditoría
“Auditoría de objetos y usuarios de CIFS” en la página 35 brinda más información.
Derechos de usuario
◆ Acceso al equipo desde la red ◆ Directorios y archivos de respaldo ◆ Comprobación de compleción de desvío ◆ Denegación del acceso al equipo desde la red ◆ Comprobación de virus de EMC
◆ Generación de auditorías de seguridad
◆ Administración del log de seguridad y auditoría ◆ Restauración de archivos y directorios
◆ Propiedad de archivos u otros objetos
Opciones de seguridad
◆ Firma digital de comunicación del cliente (siempre)
◆ Firma digital de comunicación del cliente (cuando sea posible) ◆ Firma digital de comunicación del servidor (siempre)
Uso de la firma de SMB 33
Logs de eventos
◆ Tamaño máximo del log de aplicación ◆ Tamaño máximo del log de seguridad ◆ Tamaño máximo del log de sistema
◆ Acceso de huésped restringido al log de aplicación ◆ Acceso de huésped restringido al log de seguridad ◆ Acceso de huésped restringido al log de sistema ◆ Retención del log de aplicación
◆ Retención del log de seguridad ◆ Retención del log de sistema
◆ Método de retención del log de aplicación ◆ Método de retención del log de seguridad ◆ Método de retención del log de sistema
Política de grupos
◆ Desactivación de la actualización de antecedentes de la política de grupos ◆ Intervalo de actualización de la política de grupos para los equipos
Uso de la firma de SMB
La firma de SMB garantiza que no se haya interceptado, cambiado o reproducido el paquete. La firma garantiza que ningún otro fabricante ha cambiado el paquete. La firma añade una firma a cada paquete. El cliente y los servidores de carpetas compartidas de VNXe utilizan esta firma para verificar la integridad del paquete. Los servidores VNXe de carpetas compartidas admiten SMB1, SMB2 y SMB3.
Para que la firma de SMB funcione, el cliente y el servidor deben tener la firma de SMB activada en una transacción. La firma de SMB siempre se activa en los servidores de carpetas compartidas de VNXe, aunque esto no es obligatorio. Como resultado, si la firma de SMB se activa en el cliente, se utiliza la firma. Si la firma de SMB se desactiva en el cliente, no se utiliza ninguna firma.
Monitoreo del uso de recursos y las conexiones del servidor de
carpetas compartidas con la MMC
Puede utilizar las herramientas administrativas de Windows para monitorear lo siguiente en los servidores de carpetas compartidas de VNXe:
◆ “Monitoreo de usuarios en el servidor de carpetas compartidas” en la página 34 ◆ “Monitoreo del acceso a los recursos compartidos del servidor de carpetas
compartidas” en la página 34
Monitoreo de usuarios en el servidor de carpetas compartidas
Utilice este procedimiento para monitorear la cantidad de usuarios conectados al servidor de carpetas compartidas:
1. Abra la MMC de administración de equipos del servidor de carpetas compartidas que desea monitorear tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26.
2. En el árbol de la consola, haga clic en Carpetas compartidas > Sesiones.
Los usuarios actuales que están conectados al servidor de carpetas compartidas se muestran a la derecha.
Opcionalmente:
• Para forzar la desconexión del servidor de carpetas compartidas, haga clic con el botón secundario en el nombre de usuario y seleccione Cerrar sesión en el menú de acceso directo.
• Para forzar la desconexión de todos los usuarios, haga clic con el botón
secundario en Sesiones y seleccione Desconectar todas las sesiones en el menú de acceso directo.
Monitoreo del acceso a los recursos compartidos del servidor de carpetas compartidas
Utilice este procedimiento para monitorear el acceso a los recursos compartidos del servidor de carpetas compartidas:1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26.
2. En el árbol de la consola, haga clic en Carpetas compartidas > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha.
Opcionalmente, para forzar la desconexión de un recurso compartido, haga clic con el botón secundario en el nombre del recurso compartido y seleccione Detener el uso compartido en el menú de acceso directo.
Monitoreo del uso de archivos del servidor de carpetas compartidas
Utilice este procedimiento para monitorear los archivos abiertos en el servidor de carpetas compartidas:
1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. En el árbol de la consola, haga clic en Carpetas compartidas > Archivos abiertos.
Los actuales archivos en uso se muestran a la derecha.
Opcionalmente, para cerrar un archivo abierto, haga clic con el botón secundario en el archivo y seleccione Cerrar el archivo abierto en el menú de acceso directo.
Auditoría de objetos y usuarios de CIFS 35
Auditoría de objetos y usuarios de CIFS
Para auditar un servidor de carpetas compartidas, utilice la consola de administración de seguridad de Data Mover de Celerra, un snap-in de Celerra MMC. “Instalación del software de host para un ambiente CIFS” en la página 12 brinda información sobre la instalación de los snap-ins de la MMC de Celerra.
La auditoría se desactiva de forma predeterminada en todas las clases de objetos de Windows. Para activar la auditoría, debe activarla de forma explícita para los eventos específicos de un servidor de carpetas compartidas específico. Una vez activada, la auditoría se inicia en el servidor de carpetas compartidas pertinente. La ayuda en línea del snap-in de administración de seguridad de Data Mover de Celerrabrinda información sobre el establecimiento de políticas de auditoría.
Si se configura el objeto de política de grupos (GPO) y se activa en el servidor de carpetas compartidas, se utiliza la configuración de GPO de la configuración de auditoría.
La auditoría sólo está disponible para los eventos y las clases de objetos específicos que figuran en la Tabla 5. Sólo un administrador avanzado de VNXe puede establecer auditorías en un servidor de carpetas compartidas.
Tabla 5 Auditoría de clases de objetos
Clase de objeto Evento Auditoría
Inicio de sesión/Cierre
de sesión • Nombre de inicio de sesión de usuario de CIFS• Cierre de sesión de huésped de CIFS satisfactoria • El controlador de dominio devolvió un mensaje de error de
autenticación de contraseña
• El controlador de dominio devolvió un código de error no procesado • DC no responde (recursos insuficientes o protocolo inválido)
Fallido
Acceso a objetos
y archivos Objeto abierto:• Acceso a archivos y directorios; si la lista de control de acceso al sistema (SACL) está establecida para lectura, escritura,
eliminación, ejecución, establecimiento de permisos, propiedad • Modificación del grupo local de administración de acceso de
seguridad (SAM) Identificador cerrado:
• Acceso a archivos y directorios; si la SACL está establecida para lectura, escritura, eliminación, ejecución, establecimiento de permisos, propiedad
• Base de datos de SAM cerrada Objeto abierto para su eliminación:
Acceso a archivos y directorios (si la SACL está establecida) Eliminación de objeto:
Acceso a archivos y directorios (si la SACL está establecida)
satisfactoria
Acceso a la base de datos de SAM (búsqueda) satisfactoria y falla
Rastreo de procesos No es compatible N/D
Apagado/Reinicio del
sistema Reinicio:• Inicio del servicio de CIFS • Apagado del servicio de CIFS • Log de auditoría borrado
Cuando se activa la auditoría, el visor de eventos crea un log de seguridad con la configuración predeterminada que se muestran en la Tabla 6.
Los servidores de carpetas compartidas de VNXe soportan la auditoría de archivos y carpetas individuales.
Activación de la auditoría en el servidor de carpetas compartidas
Complete los pasos a continuación para activar la auditoría en el servidor de carpetas compartidas:
◆ “Tarea 1: Especificación de la política de auditoría” en la página 36.
◆ “Tarea 2: Establecimiento de los parámetros del log de auditoría” en la página 37.
Tarea 1: Especificación de la política de auditoría
Una vez instalada la consola de administración de Celerra, utilice este procedimiento para tener acceso al snap-in de administración de seguridad y especificar las políticas de auditoría:
1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26.
2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Administración de EMC Celerra.
3. En la ventana Administración de Celerra, realice una de las siguientes acciones: • Si selecciona un servidor de carpetas compartidas (aparece un nombre después
de Administración de Data Movers), vaya al paso 4. Políticas de seguridad Privilegios de sesión:
• Lista de privilegios de usuario • Derechos de usuario asignados • Derechos de usuario eliminados Cambio de política:
Lista de categorías de política y estados de auditoría asociados
satisfactoria
Uso de derechos de
usuario No es compatible N/D
Administración de
usuario y grupo • Creación de grupo local• Eliminación de grupo local
• Adición de un miembro al grupo local • Eliminación de un miembro del grupo local
satisfactoria
Tabla 5 Auditoría de clases de objetos (continuación)
Clase de objeto Evento Auditoría
Tabla 6 Configuración de log predeterminada
Tipo de log Tamaño máximo del archivo Retención
