Serie EMC VNXe. Configuración de hosts para el acceso a los sistemas de archivos CIFS. Versión 3.1 P/N REV. 03

(1)

Serie EMC

®

VNXe

®

Versión 3.1

Configuración de hosts para el acceso a los

sistemas de archivos CIFS

(2)

Publicado Junio, 2015

EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.

La información de esta publicación se proporciona "tal cual". EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y, específicamente, renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado.

EMC2_{, EMC y el logotipo de EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos o en}

otros países. Todas las otras marcas comerciales que aparecen aquí son propiedad de sus respectivos dueños.

Para consultar la documentación normativa más actualizada para su línea de productos, visite el sitio de soporte en línea de EMC (https://support.emc.com).

Dirección local de EMC

EMC Argentina (Cono Sur) Tel. +54-11-4021-3622 www.argentina.emc.com EMC México Tel. +52-55-5080-3700 www.mexico.emc.com

(3)

Configuración de un host para el almacenamiento CIFS 5

Requisitos para configurar un host... 6

Descripción General... 6

Requisitos del sistema VNXe... 6

Requisitos de la red... 7

Para servidores NAS de CIFS en un dominio de Windows Active Directory... 7

Servidor NAS CIFS de independiente... 7

Software de host en un ambiente CIFS...7

CAVA de VNX Common Event Enabler ... 8

Snap-ins de administración... 8

Instalación del software de host para CIFS... 9

Uso de la disponibilidad continua de Windows... 10

Uso de la alta disponibilidad de la red... 11

Agregaciones de enlaces...11

Configuración de una agregación de enlaces...12

Uso de cifrado CIFS... 14

Configuración del almacenamiento del sistema de archivos CIFS... 14

Configuración del acceso de usuario al recurso compartido CIFS... 14

Mapeo de un recurso compartido CIFS... 15

Migración de datos de CIFS a VNXe 17 Ambiente de migración y sus limitaciones...18

Migración de datos... 19

Configuración del acceso al recurso compartido de VNXe para el host CIFS... 19

Migración de los datos NFS mediante una copia manual... 19

Administración del almacenamiento de sistemas de archivos CIFS de mediante las herramientas de Windows 21 Apertura de la MMC de administración de equipos...22

Creación de recursos compartidos y configuración de ACL...22

Configuración de ACL en un recurso compartido existente...22

Creación de un recurso compartido y configuración de ACL... 23

Uso de la función home directory... 23

Restricciones del directorio principal... 24

Adición de un directorio principal a Active Directory... 24

Adición de un directorio principal con expresiones... 24

Uso de los objetos de políticas de grupos... 26

Compatibilidad con GPO en un servidor NAS de VNXe... 27

Configuración admitida de GPO...27

Uso de la firma de SMB... 28

Monitoreo del uso de recursos y de las conexiones del servidor NAS...28

Monitoreo de usuarios en un servidor NAS...29

Monitoreo del acceso a los recursos compartidos del servidor NAS ... 29

Monitoreo del uso de archivos en el servidor NAS... 29

Auditoría de objetos y usuarios de CIFS...30

Capítulo 1

Capítulo 2

Capítulo 3

CONTENIDO

(4)

Activación de la auditoría en un servidor NAS...31

Visualización de los eventos de auditoría...33

Deshabilitación de las auditorías... 33

Acceso al log de seguridad de un servidor NAS de ...34

Cómo copiar un snapshot de recurso compartido...34

Restauración de un snapshot de recurso compartido... 34

Uso de FLR con VNXe 37 Terminología y conceptos de FLR...38

Terminología de FLR... 38

Conceptos básicos de FLR... 39

Cómo funciona FLR...39

Restricciones de FLR...40

Requisitos del sistema para FLR ... 41

Requisito de Windows .NET Framework... 41

Requisitos de Windows para el monitor de FLR...41

Instalación del kit de herramientas de FLR en un host... 42

Configuración del monitor de FLR... 43

Uso del monitor de FLR...44

Confirmación del estado de FLR para un archivo de solo lectura... 44

Crear consultas de FLR... 44

Uso de CEE CAVA con VNXe 47 Descripción general de CAVA...48

Servidores NAS de VNXe... 48

Cliente de comprobación de virus CEE CAVA...48

Compatibilidad con el software antivirus de otros fabricantes...49

Software CEE CAVA...49

Snap-in de administración de CIFS de VNX... 49

Requisitos y limitaciones del sistema...49

Retención en el nivel de archivo... 49

Protocolos que no son CIFS... 50

Configuración de CEE CAVA para los servidores NAS de VNXe...50

Configuración de as cuenta de usuario de dominio... 50

Configuración de parámetros del programa antivirus... 52

Instalación del software antivirus de otros fabricantes... 55

Instalación de CEE CAVA... 55

Inicio del motor AV de CEE... 56

Capítulo 4

Capítulo 5

(5)

CAPÍTULO 1

Configuración de un host para el

almacenamiento CIFS

En este capítulo se incluyen los siguientes temas.

l Requisitos para configurar un host... 6

l Software de host en un ambiente CIFS...7

l Uso de la disponibilidad continua de Windows... 10

l Uso de la alta disponibilidad de la red... 11

l Uso de cifrado CIFS... 14

l Configuración del almacenamiento del sistema de archivos CIFS... 14

l Configuración del acceso de usuario al recurso compartido CIFS... 14

l Mapeo de un recurso compartido CIFS... 15

(6)

Requisitos para configurar un host

Este tema describe los requisitos de red y del sistema para configurar un host para utilizar almacenamiento VNXe.

Antes de que pueda configurar un host para utilizar almacenamiento VNXe, se deben cumplir los siguientes requisitos del sistema VNXe y de la red.

Descripción General

En este tema, se describe el propósito de este documento y el público al que va dirigido y se proporciona una lista de la documentación relacionada.

Este documento forma parte del conjunto de documentación de EMC VNXe. Describe cómo configurar los hosts Windows con clientes que necesitan acceder al

almacenamiento de sistemas de archivos Common Internet File System (CIFS) en un sistema VNXe con VNXe Operating Environment versión 3.0 o superior.

Este documento está dirigido a los responsables de configurar los hosts para obtener acceso al almacenamiento de VNXe.

Los lectores de este documento deben estar familiarizados con el almacenamiento de sistemas de archivos CIFS de VNXe y el sistema operativo Windows que se ejecuta en los hosts con clientes que tendrán acceso al almacenamiento de sistemas de archivos CIFS de VNXe.

Otros documentos de VNXe incluyen: l Guía de instalación

l Guía de información de hardware l Guía de ubicación de piezas

l Configuración de hosts para acceso a sistemas de archivos NFS l Configuración de hosts para acceso a LUN Fibre Channel (FC) o iSCSI

l Configuración de hosts para acceder a VMware NFS o áreas de almacenamiento de datos de VMware VMFS

l Guía del usuario de la interfaz de la línea de comandos de Unisphere

La ayuda de EMC Unisphere proporciona información específica acerca de las características, las funcionalidades y el almacenamiento de VNXe. La ayuda de Unisphere y un conjunto completo de documentación para clientes de VNXe se encuentran en el sitio web del servicio de soporte en línea de EMC (http:// mexico.emc.com/vnxesupport; visite el sitio web de su país correspondiente).

Requisitos del sistema VNXe

Este tema enumera los requisitos del sistema para VNXe.

l Haber instalado y configurado el sistema VNXe mediante el asistente de configuración, como se describe en la Guía de instalación de su sistema de almacenamiento.

l Haber utilizado Unisphere o la CLI de VNXe para realizar la configuración básica de uno o más servidores NAS en el sistema de almacenamiento.

(7)

Requisitos de la red

En este tema, se describen los requisitos de red para un host conectado a un sistema VNXe.

Asegúrese de cumplir con estos requisitos de red:

l El host (cliente) debe estar en un ambiente LAN con el servidor NAS de VNXe. l El servidor NAS de VNXe puede ser un miembro de un dominio de Windows Active

Directory o funcionar de manera autónoma respecto de cualquier dominio de Windows como un servidor CIFS independiente.

l Para los recursos compartidos CIFS que están en un dominio de Windows Active Directory, también debe configurar DNS y NTP.

l Si el servidor NAS está activado para multiprotocolo (CIFS y NFS), debe conectarlo a un servidor NIS o a un servidor LDAP.

l La ayuda en línea de Unisphere describe cómo configurar el servicio de directorio de Unix (NIS o LDAP) en VNXe.

l Los usuarios pueden almacenar archivos en un servidor NAS de VNXe en un ambiente de sistema de información de red (NIS), pero no pueden configurar un servidor NAS de VNXe como un cliente NIS.

Para servidores NAS de CIFS en un dominio de Windows Active Directory

servidor NAS CIFS en un dominio de Windows Active Directory

Un servidor NAS CIFS con Active Directory activado: l Utiliza autenticación Kerberos basada en dominio

l Mantiene su propia identidad (cuenta de computadora) en el dominio

l Aprovecha la información del sitio del dominio para localizar servicios, tales como controladores de dominio.

La asociación de un servidor NAS CIFS con un dominio de Windows permite que cualquier usuario del dominio se conecte al servidor CIFS. Además, los ajustes de autenticación y autorización mantenidos en el servidor Active Directory se aplican a los archivos y las carpetas del sistema de archivos CIFS.

Un servidor NAS CIFS con Active Directory activado requiere un dominio de Windows con un servidor Active Directory (AD) y un servidor DNS. También debe configurar NTP.

Servidor NAS CIFS de independiente

En este tema, se describe un servidor NAS CIFS independiente.

Un servidor NAS CIFS independiente no tienen acceso al dominio de Windows o a sus servicios asociados. Solo usuarios con cuentas de usuario local creados y administrados en el servidor NAS CIFS independiente pueden acceder al servidor, y el servidor CIFS realiza la autenticación del usuario.

Un servidor NAS CIFS independiente requiere un grupo de trabajo de Windows.

Software de host en un ambiente CIFS

En este tema, se proporciona una descripción general del software de host de EMC para un sistema VNXe en un ambiente CIFS.

Configuración de un host para el almacenamiento CIFS

(8)

En esta sección, se describe el software de host de EMC que está disponible para el sistema VNXe en un ambiente CIFS y se describe cómo instalar este software en un host que utilizará el almacenamiento de sistemas de archivos CIFS de VNXe.

CAVA de VNX Common Event Enabler

En este tema, se describe la solución antivirus para los clientes CIFS que utilizan sistemas VNXe.

El agente antivirus de Celerra (CAVA) de VNX Common Event Enabler (CEE) ofrece una solución de antivirus para los clientes CIFS que utilizan sistemas de EMC. Utiliza un software antivirus de otros fabricantes para identificar y eliminar virus conocidos antes de que infecten archivos en el sistema. CAVA forma parte del paquete de software VNX Common Event Enabler (CEE). La matriz de soporte de VNXe del sitio web de soporte en línea de EMC (http://mexico.emc.com/vnxesupport; visite el sitio web de su país correspondiente) brinda información sobre el software antivirus de otros fabricantes que admite CAVA. Utilización de VNX Event Enabler describe cómo instalar el activador.

Snap-ins de administración

En este tema, se especifican los snap-ins de administración que admite un servidor NAS de VNXe.

Un servidor NAS de VNXe admite los snap-ins de administración de CIFS de EMC VNX, que constan de los siguientes snap-ins de Microsoft Management Console (MMC) que pueden utilizarse para administrar directorios principales, configuraciones de seguridad y comprobaciones de virus en un servidor NAS de una computadora con Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8:

l Snap-in de administración de directorios principales l Snap-in de administración de Data Movers

l Snap-in de administración de antivirus

Snap-in de administración de directorios principales

En este tema, se describe cómo la función de directorio principal simplifica la administración de los recursos compartidos personales.

Puede utilizar el snap-in de administración de directorios principales para asociar un nombre de usuario con un directorio. Dicho directorio, luego, actúa como directorio principal del usuario. La función home directory simplifica la administración de recursos compartidos personales y el proceso de conexión de estos, debido a que permite utilizar un solo nombre de recurso compartido, llamado HOME, al que todos los usuarios pueden conectarse.

Snap-in de administración de Data Movers

En este tema, se describe cómo usar los nodos de política de auditoría y de asignación de derechos de usuario del snap-in de administración de desplazadores de datos.

Nodo de política de auditoría

Puede utilizar el nodo de política de auditoría de Celerra para determinar qué eventos relacionados con la seguridad del servidor NAS se registrarán en el registro de seguridad. Luego podrá ver el log de seguridad mediante el visor de eventos de Windows. Puede registrar intentos exitosos, intentos fallidos, ambos o ninguno. Las políticas de auditoría que aparecen en el nodo de políticas de auditoría son un subconjunto de las políticas disponibles como objetos de políticas de grupos (GPO) en usuarios y equipos de dominios activos. Las políticas de auditoría son políticas locales que se aplican al

(9)

servidor NAS seleccionado. No puede utilizar el nodo de políticas de auditoría para administrar políticas de auditoría de GPO.

Nodo de asignación de derechos de usuario

Puede utilizar el nodo de asignación de derechos de usuario para administrar qué usuarios y grupos tendrán privilegios de tareas e inicio de sesión para el servidor NAS. Las asignaciones de derechos de usuario que aparecen en el nodo de asignación de derechos de usuario son un subconjunto de las asignaciones de derechos de usuario disponibles como GPO en equipos y usuarios de dominios activos. Las asignaciones de derechos de usuario son políticas locales que se aplican al servidor NAS seleccionado. No puede utilizar el nodo de asignación de derechos de usuario para administrar políticas de GPO.

Snap-in de administración de antivirus de Celerra

Puede utilizar el snap-in de administración de antivirus de Celerra para administrar los parámetros de comprobación de virus (archivo viruschecker.conf) que se utilizan con el agente antivirus de Celerra (CAVA) y los programas antivirus de otros fabricantes.

Instalación del software de host para CIFS

En este tema, se proporciona una lista de los componentes de software de host que se pueden instalar para ambientes CIFS de VNXe, el propósito de cada paquete de software, los sistemas en los que puede instalar los paquetes y los pasos de instalación.

Consulte Tabla 1 en la página 9 para obtener información acerca del software de host que se debe instalar.

Tabla 1 Software de host para ambientes CIFS de VNXe

Software Instale el software si

desea Instálelo en Snap-in de administración de directorios principales Administrar directorios principales de usuarios.

El sistema Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8 desde el que administrará los servidores NAS de VNXe en el dominio. Snap-in de

administración de Data Movers

Auditar los eventos de seguridad del servidor NAS en el log de seguridad y administrar los accesos de usuario y de grupo y los privilegios de tareas para el servidor NAS.

El sistema Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8 desde el que administrará los servidores NAS de VNXe en el dominio.

Snap-in de administración del antivirus CEE

Administrar los parámetros de comprobación de virus utilizados junto con CAVA y los programas antivirus de otros fabricantes.

El host (cliente) Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8 de 32 bits que utiliza el almacenamiento de VNXe. Requiere un host Windows o más como servidor antivirus (AV). Estos servidores AV también pueden ser hosts que utilizan el almacenamiento de VNXe.

Para instalar el software de host para un ambiente CIFS en un host VNXe:

(10)

Procedimiento

1. Inicie sesión en el host a través de una cuenta con privilegios de administrador. 2. Descargue el paquete de software que desea instalar de la siguiente manera:

a. Desplácese hasta la sección de descarga de software del sitio web de soporte en línea de EMC (http://mexico.emc.com/vnxesupport; visite el sitio web de su país correspondiente).

b. Elija el paquete de software que desea instalar y seleccione la opción para guardar el software en el host.

3. En el directorio donde guardó el software, haga doble clic en el archivo ejecutable para iniciar el asistente de instalación.

4. En la página Instalación del producto, seleccione el paquete de software que desea instalar en el host.

5. Acepte la ubicación predeterminada de los archivos del programa haciendo clic en

Siguiente, o especifique una ubicación diferente escribiendo la ruta a la carpeta o haciendo clic en Cambiar para navegar hasta la carpeta y en Siguiente cuando haya finalizado.

6. En la página Bienvenido, haga clic en Siguiente. 7. En la página Acuerdo de licencia, haga clic en Sí.

8. En la página Seleccionar carpeta de instalación, verifique que el nombre de la carpeta que se muestra corresponda al sitio donde desea instalar los archivos del programa. Haga clic en Siguiente.

Para seleccionar una carpeta distinta, haga clic en Navegar, ubique la carpeta y haga clic en Siguiente.

9. En la página Seleccionar componentes, seleccione el paquete de software (componente) que desea instalar, borre los componentes que no desea instalar y haga clic en Siguiente.

10.En la página Iniciar copia de archivos, haga clic en Siguiente. 11.En la página Asistente InstallShield completo, haga clic en Finalizar. 12.Una vez finalizada la instalación, reinicie el host.

Uso de la disponibilidad continua de Windows

Los ambientes Windows 8 y Windows 2012 SMB3 ofrecen la posibilidad de agregar funcionalidades de alta disponibilidad para los recursos CIFS. Windows CA permite la ejecución de aplicaciones en hosts conectados a recursos compartidos con esta propiedad para admitir un failover de servidor transparente. Otras características, como I/O de mayor tamaño, descarga de operaciones de copia, I/O paralelos en la misma sesión y arrendamiento de directorio, ofrecen mejoras en el rendimiento y la experiencia del usuario.

Con CA activado, puede obtener un failover de servidor transparente para

implementaciones en las que la duración del failover no es mayor que el tiempo de espera de la aplicación. En dichas implementaciones, los hosts continúan accediendo al recurso CIFS sin una pérdida del estado de la sesión de CIFS, después de un evento de failover.

(11)

Uso de la alta disponibilidad de la red

Este tema describe cómo usar la agregación de vínculos para configuraciones de alta disponibilidad.

El sistema VNXe admite agregaciones de vínculos, lo que permite que un máximo de cuatro puertos Ethernet conectados al mismo switch físico o lógico se combinen en un solo vínculo lógico. Este comportamiento se denomina agregación de enlaces. Para configurar la agregación de vínculos en un sistema VNXe, cada procesador de

almacenamiento (SP) debe tener el mismo tipo y el mismo número de puertos Ethernet, ya que, en realidad, la configuración de la agregación de vínculos crea dos agregaciones de vínculos: una en cada SP. Esto proporciona alta disponibilidad como se explica a continuación. Si uno de los puertos de la agregación de enlaces falla, el sistema dirige el tráfico de red a uno de los otros puertos de la agregación. Si agrega un módulo de I/O Ethernet a cada SP en un sistema VNXe, puede crear un grupo de agregación de vínculos adicional en el conjunto de puertos del módulo de I/O.

Para obtener información adicional sobre la disponibilidad de datos en su sistema VNXe y su infraestructura de conectividad, consulte el informe técnico Análisis detallado de la alta disponibilidad de EMC VNXe3200 .

Agregaciones de enlaces

Este tema describe las ventajas y la función de agregaciones de vínculos.

Las agregaciones de enlaces usan el estándar Protocolo de control de agregación de enlaces (LACP) IEEE 802.3ad. Una agregación de vínculos aparece como un solo vínculo Ethernet y tiene las siguientes ventajas:

l Alta disponibilidad de rutas de red hacia y desde el sistema VNXe. Si falla un puerto físico en una agregación de vínculos, el sistema no pierde conectividad.

l Posible aumento del rendimiento general: esto se debe a que varios puertos físicos están vinculados a un puerto lógico y a que el tráfico de red se distribuye entre los múltiples puertos físicos.

Aunque las agregaciones de enlaces pueden proporcionar más ancho de banda general que un solo puerto, la conexión a un solo cliente se ejecuta a través de un puerto físico y, por lo tanto, está limitada por el ancho de banda del puerto. Si la conexión a un puerto falla, el switch cambia automáticamente el tráfico a los puertos restantes en el grupo. Cuando se restaura la conexión, el switch reanuda automáticamente el uso del puerto como parte del grupo.

En el sistema VNXe, puede configurar hasta cuatro puertos en una agregación de vínculos. Cuando configura una agregación de vínculos, está configurando dos

agregaciones de vínculos, una en cada SP. Si uno de los puertos en la agregación falla, el sistema dirige el tráfico de red a uno de los otros puertos del grupo.

Requisitos del switch

Este tema describe los requisitos de switch al utilizar agregación de vínculos.

Si los puertos de VNXe se conectan a distintos switches de red, es necesario configurar todos los puertos de switch conectados a los puertos de VNXe para que cambien de inmediato del modo de bloqueo al modo de desvío y para que no pasen por los estados del árbol de expansión de escucha y aprendizaje cuando se habilita una interfaz. En switches Cisco, esto significa que debe habilitar la funcionalidad portfast para cada puerto del switch conectado a un puerto de VNXe a fin de asegurarse de que el switch reenvíe el frame Ethernet que genera el sistema VNXe cuando se habilita un vínculo físico. La funcionalidad portfast se activa de puerto a puerto. Cuando está activada, la

(12)

variable portfast hace que el puerto cambie de inmediato del modo de bloqueo al modo de reenvío. No use portfast en conexiones de switch a switch.

Para agregación de enlaces, los switches de red deben tener soporte del protocolo IEEE 802.3ad y garantizar que los paquetes de una sola conexión TCP pasen siempre por el mismo enlace en una sola dirección.

Configuración de una agregación de enlaces

Este tema describe la configuración de la agregación de vínculos y enumera las tareas de configuración que son necesarias.

Nota

Windows 7 y Windows Server 2003 no proporcionan soporte para la agregación de enlaces (creación de equipos de NIC). Algunos proveedores de NIC proporcionan drivers que soportan la creación de equipos de NIC. Para obtener más información, póngase en contacto con el proveedor de la NIC. Windows Server 2008 soporta la creación de equipos de NIC.

Para la agregación de vínculos, debe contar por lo menos con un switch compatible con 802.3ad, cada uno con un puerto disponible para cada puerto del switch que desea conectar a un puerto de VNXe en la agregación.

El término creación de equipos de NIC hace referencia a todos los esquemas de redundancia de NIC, incluida la agregación de enlaces con 802.3a.

Para la agregación de enlaces, necesita ejecutar dos conjuntos de tareas de configuración:

l Configuración de la agregación de vínculos desde el switch al sistema VNXe l Configuración de agregación de vínculos desde el host al switch

Configuración de agregación de vínculos del switch a VNXe

Este tema describe cómo configurar los puertos del switch y cómo unirlos en una agregación de vínculos.

Procedimiento

1. Configure los puertos del switch, que están conectados a la VNXe, para LACP en modo activo. Consulte la documentación incluida con los switches.

2. Una los puertos de VNXe en una agregación de vínculos mediante la opción Configuración avanzada de Unisphere. Configuración > Más opciones de

configuración > Configuración de puertosPara obtener más información sobre el uso de la opción Configuración avanzada, consulte la ayuda en línea de Unisphere. Resultados

Se crean dos agregaciones de enlaces con los mismos puertos, una agregación en cada SP.

Configuración de agregación de vínculos del host al switch

En este tema, se describe cómo configurar la agregación de vínculos del host al switch. Los pasos incluyen la configuración de puertos de switch para la agregación de vínculos y la agrupación de NIC en el host. Estos pasos son para un controlador de interfaz de red Intel.

Procedimiento

1. Configure los puertos del switch, que están conectados al host, para la agregación de vínculos.

(13)

2. Configurar la creación de equipos de NIC en el host Windows Server 2008, Windows Server 2012 o Windows 8.

Nota

Los hosts Windows Server 2008, Windows Server 2012 y Windows 8 se refieren a la agregación de enlaces como creación de equipos de NIC. Windows 8 detecta automáticamente la agrupación de NIC en VNXe y configura el host para que utilice las mismas interfaces que VNXe. No es necesario realizar una configuración manual. a. En el Panel de control, seleccione Redes e Internet > Conexiones de red.

b. En el cuadro de diálogo Conexiones de red, haga clic con el botón secundario en una NIC que desee agregar al equipo y, a continuación, haga clic en Propiedades.

c. Haga clic en Configurar.

d. En el cuadro de diálogo Propiedades, seleccione la pestaña Creación de equipos.

3. En la pestaña Creación de equipos:

a. Seleccione Formar equipo con otros adaptadores. b. Haga clic en Nuevo equipo.

Se abrirá el Asistente para crear un nuevo equipo. 4. En el Asistente para crear un nuevo equipo:

a. Especifique el nombre del equipo y haga clic en Siguiente.

b. Seleccione las otras NIC que desea agregar al equipo y haga clic en Siguiente. c. Seleccione el tipo de equipo y haga clic en Siguiente. Para obtener información

sobre un tipo, seleccione el tipo y lea la información que aparece debajo del cuadro de selección.

d. Haga clic en Finalizar.

5. Si seleccionó Balanceo de carga adaptable como el tipo de equipo y desea usar el nuevo equipo de NIC para máquinas virtuales Hyper-V, deshabilite Recibir balanceo de carga:

a. Haga clic en la pestaña Opciones avanzadas.

b. En Configuración, seleccione Recibir balanceo de carga. c. En Valores, seleccione Desactivado.

d. Haga clic en Aceptar.

El nuevo equipo aparece en el cuadro de diálogo Conexiones de red como una Conexión de red de área local.

6. Para usar el nuevo equipo de NIC para una máquina virtual:

a. En Hyper-V Manager, bajo Virtual Machines, seleccione la máquina virtual. b. En Acciones, seleccione Administrador de redes virtuales.

c. En Administrador de redes virtuales, en Redes virtuales, seleccione NIC de VM -Red de máquinas virtuales.

d. En Tipo de conexión, seleccione el tipo de red y el equipo de NIC. e. Haga clic en Aplicar.

(14)

f. Cuando los cambios se hayan aplicado, haga clic en Aceptar.

Uso de cifrado CIFS

Los ambientes Windows 8 y Windows 12 SMB3 ofrecen la capacidad de cifrar datos almacenados en los sistemas de archivos CIFS de VNXe a medida que los datos migran entre VNXe y el host Windows.

El cifrado en el nivel de recurso compartido está activado en el recurso compartido determinado y se aplica cuando se accede al recurso compartido. De manera opcional, el cifrado puede aplicarse en el nivel de sistema (donde el cifrado se establece en el registro del servidor NAS), y todo acceso al recurso compartido requeriría cifrado. La configuración en el nivel de cliente no será necesaria.

El cifrado CIFS se establece en el nivel de servidor CIFS en Unisphere (primero) y mediante la modificación de la configuración del registro del host Windows.

Para obtener más información sobre el cifrado de SMB 3.0 y CIFS, consulte el documento Serie EMC VNX: Introducción al soporte de SMB 3.0 en el sitio web del servicio de soporte en línea de EMC (http://support.emc.com).

Configuración del almacenamiento del sistema de archivos CIFS

Procedimiento

1. Use Unisphere o la CLI de VNXe a fin de crear el almacenamiento del sistema de archivos CIFS de VNXe para el host (cliente).

2. Para obtener información sobre cómo realizar estas tareas, consulte la ayuda en línea de Unisphere.

Configuración del acceso de usuario al recurso compartido CIFS

En esta tarea, se describe cómo configurar el acceso de usuario para el recurso

compartido CIFS desde el host. Necesitará el nombre o la dirección IP del servidor NAS de VNXe.

El acceso de usuario a los recursos compartidos se configura por archivo con Active Directory:

Procedimiento

1. Inicie sesión en el host Windows con Active Directory desde una cuenta de administrador de dominio.

Nota

El host Windows debe tener acceso al dominio en el que se encuentra el servidor NAS de VNXe para el recurso compartido de CIFS.

2. Abra la ventana Administración de equipos:

a. Para Windows Server 2003: haga clic con el botón secundario en Mi PC o en PC y seleccione Administrar.

b. Para Windows Server 2008, Windows Server 2012, Windows 7 o Windows 8: haga clic en Inicio y seleccione Panel de control > Herramienta administrativas >

Administración de equipos.

3. En el árbol Administración de equipos, haga clic con el botón secundario en

Administración del equipo (local).

(15)

4. Seleccione Conectarse a otro equipo.

Se abrirá el cuadro de diálogo Seleccionar equipo.

5. En el cuadro de diálogo Seleccionar equipo, escriba el nombre o la dirección IP del servidor NAS de VNXe para proporcionar los recursos compartidos CIFS del cliente. 6. En el árbol Administración de equipos, seleccione Herramientas del sistema >

Sistemas de archivos > Recursos compartidos.

Los recursos compartidos disponibles aparecen a la derecha. Si los recursos

compartidos de VNXe no aparecen, asegúrese de haber iniciado sesión en el dominio correcto.

7. Haga clic con el botón secundario en el recurso compartido cuyos permisos desea cambiar y seleccione Propiedades.

8. Haga clic en la pestaña Permisos de los recursos compartidos.

9. Seleccione el usuario o grupo y los permisos para el usuario o grupo seleccionado. 10.Haga clic en OK.

Mapeo de un recurso compartido CIFS

En esta tarea, se proporcionan instrucciones para conectar el host al recurso compartido CIFS. También describe cómo obtener la ruta de exportación para el recurso compartido. Necesitará la ruta de exportación del recurso compartido (\\NASServer\share), que puede encontrar en el informe de configuración de VNXe para el sistema de archivos que posee el recurso compartido. Para obtener acceso a este informe, utilice el software EMC Unisphere.

Procedimiento

1. En el host Windows, utilice la función Unidad de red de asignación de Windows para conectar el host al recurso compartido CIFS y volver a reconectarlo opcionalmente al recurso compartido cada vez que inicie sesión en el host.

2. Si necesita la ruta de exportación para el recurso compartido, acceda al informe de configuración de VNXe para el sistema de archivos:

a. En EMC Unisphere, seleccione Almacenamiento > Sistemas de archivos. b. Seleccione el sistema de archivos CIFS que posee el recurso compartido y haga

clic en Detalles.

c. Haga clic en Ver detalles de acceso.

Si tiene acceso de lectura/escritura al recurso compartido, puede crear directorios en el recurso compartido y almacenar archivos en los directorios (después de mapear el recurso compartido).

(16)

(17)

CAPÍTULO 2

Migración de datos de CIFS a VNXe

Puede migrar los datos de CIFS al sistema VNXe mediante una copia manual. Una operación de copia manual interrumpe el acceso a los datos y es posible que no conserve las ACL y los permisos dentro de la estructura de archivos.

l Ambiente de migración y sus limitaciones...18 l Migración de datos...19

(18)

Ambiente de migración y sus limitaciones

Este tema describe los requisitos y las limitaciones para la migración de datos. Puede migrar datos NFS al sistema VNXe con una copia manual o una herramienta específica de una aplicación, si hay disponible.

Si la configuración de NFS que desea migrar incluye alguna de las opciones que se detallan a continuación, póngase en contacto con el proveedor de servicios de VNXe: l Más recursos compartidos de los que desea migrar.

l Permisos que no desea reasignar manualmente a los recursos compartidos de VNXe. l Cualquier recurso compartido que desea dividir entre recursos compartidos de VNXe. l Cualquier recurso compartido que desea combinar con otros recursos compartidos

en el mismo recurso compartido de VNXe.

Tabla 2 en la página 18 detalla el ambiente que se requiere para una migración de datos. Tabla 3 en la página 18 enumera las características de una migración de copia manual.

Tabla 2 Ambiente para migración de datos

Componente Requisito

Almacenamiento VNXe Sistema de archivos con un tamaño de recurso compartido que permita acomodar los datos en el recurso compartido que desea migrar y que permita el crecimiento de datos.

Host Host con acceso de lectura al recurso compartido que contiene los datos que desea migrar y con acceso de escritura al recurso compartido de VNXe para los datos migrados.

Recurso compartido Recurso compartido que migre en su totalidad al recurso compartido de VNXe

Tabla 3 Características de una migración de copia manual

Componente Característica

Permisos Es posible que no se conserven.

Tiempo fuera El tiempo fuera depende del tiempo necesario para:

l Copiar el contenido del recurso compartido en el recurso compartido de

VNXe

l _{Reconfigurar los hosts que deben conectarse al recurso compartido de VNXe} Para la migración de copia manual y la migración con una aplicación, el tiempo fuera depende del tiempo que se requiere para:

l Copiar el contenido del recurso compartido en el recurso compartido de VNXe l Reconfigurar los hosts que deben conectarse al recurso compartido de VNXe Migración de datos de CIFS a VNXe

(19)

Migración de datos

Este tema enumera las tareas de migración de datos a un recurso compartido de VNXe. Para migrar datos a un recurso compartido de VNXe, configure el acceso al recurso compartido. Luego, migre los datos.

Configuración del acceso al recurso compartido de VNXe para el host CIFS

En este tema, se describen los pasos para configurar el acceso de usuario al nuevo recurso compartido en Active Directory y luego mapear el recurso compartido. En el host que desee usar para la migración de datos:

Procedimiento

1. Configure el acceso del usuario al nuevo recurso compartido en Active Directory. Para obtener más información sobre estos pasos, consulte Configuración del acceso de usuario al recurso compartido CIFS en la página 14.

2. Mapee el nuevo recurso compartido.

Para obtener más información sobre estos pasos, consulte Mapeo de un recurso compartido CIFS en la página 15.

Migración de los datos NFS mediante una copia manual

Este tema proporciona los pasos para copiar manualmente un recurso compartido de datos en un momento (en lugar de utilizar una herramienta específica de la aplicación). Una copia manual minimiza el tiempo durante el cual un host no puede obtener acceso a un recurso compartido que se está migrando.

Procedimiento

1. Si algún cliente está usando activamente el recurso compartido NFS, desconecte dicho cliente y cualquier otro cliente que pueda obtener acceso a los datos que está migrando.

2. A su criterio, use el mejor método para copiar los datos de la ubicación de almacenamiento actual al nuevo recurso compartido de VNXe.

Este método puede ser una operación de cortar y pegar o una operación de arrastrar y soltar. Asegúrese de que el método elegido conserve los metadatos como atributos de archivos, los registros de fecha y hora, y los derechos de acceso que necesite conservar.

3. Una vez finalizada la operación de copia, vuelva a conectar los clientes al nuevo recurso compartido NFS exportado mediante el sistema VNXe y mapee una unidad a este recurso compartido según sea necesario.

Migración de datos de CIFS a VNXe

(20)

(21)

CAPÍTULO 3

Administración del almacenamiento de sistemas

de archivos CIFS de mediante las herramientas

de Windows

l Apertura de la MMC de administración de equipos...22

l Creación de recursos compartidos y configuración de ACL...22

l Uso de la función home directory... 23

l Uso de los objetos de políticas de grupos... 26

l Uso de la firma de SMB... 28

l Monitoreo del uso de recursos y de las conexiones del servidor NAS...28

l Auditoría de objetos y usuarios de CIFS...30

l Acceso al log de seguridad de un servidor NAS de ... 34

l Cómo copiar un snapshot de recurso compartido...34

l Restauración de un snapshot de recurso compartido... 34

(22)

Apertura de la MMC de administración de equipos

En este tema, Server. describe cómo abrir Microsoft Management Console (MMC) para administración de equipos para un servidor NAS específico.

Procedimiento

1. Inicie sesión en el host Windows que es parte de Active Directory con una cuenta de administrador de dominio.

El host Windows debe tener acceso al dominio que posee el servidor NAS de VNXe. 2. Abra la página Administración de equipos:

l Para Windows Server 2003: haga clic con el botón secundario en Mi PC o PC y seleccione Administrar.

l Para Windows Server 2008, Windows Server 2012 y Windows 8: haga clic en Inicio y seleccione Herramienta administrativas > Administración de equipos.

3. Haga clic con el botón secundario en Administración de equipos (local). 4. Seleccione Conectar a otro equipo.

5. Ingrese el nombre del servidor NAS de VNXe y haga clic en Aceptar.

Inicie sesión como administrador con derechos de administrador para utilizar los snap-ins de MMC.

Creación de recursos compartidos y configuración de ACL

EMC recomienda que utilice Unisphere para crear recursos compartidos CIFS, como se describe en la ayuda de Unisphere, y que utilice MMC para configurar el acceso (ACL) a los recursos compartidos. Como alternativa para el uso de Unisphere, una vez creado un sistema de archivos CIFS en el sistema VNXe, puede utilizar MMC para crear recursos compartidos dentro de la carpeta.

Para crear un recurso compartido de Windows con la MMC, debe: l Haber asignado identificadores globales (GID) a los usuarios de CIFS

l Haber montado el recurso compartido de VNXe del directorio raíz del sistema de archivos y haber creado los directorios que desea compartir allí.

l Ser administrador de VNXe.

Configuración de ACL en un recurso compartido existente

En este tema, se describe cómo configurar las ACL en un recurso compartido existente mediante la MMC de administración de equipos.

Procedimiento

1. Abra la MMC de administración de equipos como se describe en Apertura de la MMC de administración de equipos en la página 22.

2. En el árbol de consola, seleccione Sistemas de archivos > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha.

3. Haga clic con el botón secundario en el recurso compartido cuyos permisos desea cambiar y seleccione Propiedades.

4. Haga clic en la pestaña Permisos de los recursos compartidos.

(23)

5. Seleccione el usuario o grupo y los permisos para el usuario o grupo seleccionado. 6. Haga clic en Aceptar.

Creación de un recurso compartido y configuración de ACL

En este tema, se proporcionan los pasos para crear un recurso compartido y configurar sus ACL mediante la MMC de administración de equipos.

Procedimiento

1. Abra la MMC de administración de equipos como se describe en Apertura de la MMC de administración de equipos en la página 22.

2. En el árbol de consola, haga clic en Sistemas de archivos > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha.

3. Haga clic con el botón secundario en Recursos compartidos y seleccione Nuevo archivo compartido en el menú de acceso directo.

Aparece el asistente Compartir una carpeta.

4. Ingrese el nombre de la carpeta para compartir, el nombre de recurso compartido para la carpeta y la descripción del recurso compartido. Luego, haga clic en Siguiente. El asistente le indica los permisos del recurso compartido.

5. Establezca los permisos eligiendo una de las opciones.

Con la opción Personalizar permisos de carpetas y recursos compartidos o

Personalizar permisos, puede asignar permisos a grupos y usuarios individuales. 6. Haga clic en Finalizar.

Uso de la función home directory

La función home directory, incluida en el snap-in Home Directory, permite crear un único recurso compartido, llamado HOME, al que todos los usuarios se conectan. No es necesario crear recursos compartidos individuales para cada usuario.

La función home directory simplifica la administración de recursos compartidos personales y el proceso de conexión de estos, y permite asociar un nombre de usuario con un directorio que luego actúa como el directorio principal del usuario. El directorio principal se asigna al perfil de un usuario de manera que, después de iniciar sesión, se conecte de forma automática a una unidad de red.

Si un sistema cliente (como Citrix Metaframe o Windows Terminal Server) admite más de un usuario de Windows simultáneamente y almacena en caché información de acceso a los archivos, es posible que la función de directorio principal de VNXe no funcione como se desea. Con la función de directorio principal de VNXe, un cliente de VNXe ve la misma ruta al directorio principal para cada usuario. Por ejemplo, si un usuario escribe en un archivo de directorio principal y luego otro usuario lee el archivo de directorio principal, la solicitud del segundo usuario se completa con los datos almacenados en caché del directorio principal del primer usuario. Dado que los archivos tienen el mismo nombre de ruta, el sistema del cliente supone que se trata del mismo archivo.

La función home directory se desactiva de forma predeterminada. Primero debe crear un servidor NAS CIFS en el sistema VNXe antes de poder habilitar el directorio principal. En los sistemas Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8, puede habilitar y administrar directorios principales por medio del snap-in Home Directory para MMC. La ayuda en línea del snap-in describe los procedimientos de activación y administración de directorios principales.

Administración del almacenamiento de sistemas de archivos CIFS de mediante las herramientas de Windows

(24)

Restricciones del directorio principal

Para el directorio principal, se reserva un nombre de recurso compartido especial: HOME. Se aplican las siguientes restricciones. Si:

l Creó un recurso compartido llamado HOME, no podrá activar la función home directory.

l Activó la función home directory, no podrá crear el recurso compartido llamado HOME.

El directorio principal se configura en el perfil de usuario de Windows de un usuario usando la ruta de convención de nombre universal (UNC): \\NAS_server\HOME donde

NAS_server es la dirección IP, el nombre de la computadora o el nombre NetBIOS del servidor NAS de VNXe.

HOME es un recurso compartido especial que se reserva para la función home directory. Cuando se utiliza HOME en la ruta del directorio principal de un usuario y el usuario inicia sesión, automáticamente se asigna el directorio principal del usuario a una unidad de red y se establecen de forma automática las variables de ambiente HOMEDRIVE, HOMEPATH y HOMESHARE.

Adición de un directorio principal a Active Directory

En este tema, se enumeran los pasos para agregar un directorio principal a Windows Active Directory. Se requiere un servidor Windows y una cuenta de administrador de dominio.

Procedimiento

1. Inicie sesión en el servidor de Windows desde una cuenta de administrador de dominio.

2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramienta administrativas > Usuarios y equipos de Active Directory.

3. Haga clic en Usuarios para ver los usuarios en el panel de la derecha. 4. Haga clic con el botón secundario en un usuario y seleccione Propiedades.

Se abre la ventana Propiedades de usuario del usuario. 5. Haga clic en la pestaña Perfil y en la carpeta Inicio:

a. Seleccione Conectar.

b. Seleccione la letra de unidad que desea asignar al directorio principal.

c. En Para, escriba: \\NAS_server\HOME, donde NAS_server es la dirección IP, el nombre de la computadora o el nombre NetBIOS del servidor NAS de VNXe. 6. Haga clic en Aceptar.

Adición de un directorio principal con expresiones

Este tema enumeran los pasos para agregar un directorio principal mediante el uso de expresiones. Este procedimiento requiere una cuenta de administrador de dominio. Procedimiento

1. Inicie sesión en el servidor de Windows desde una cuenta de administrador de dominio.

2. Haga clic en Inicio y seleccione Programas o todos los programas > Herramientas administrativas > Celerra Manager.

(25)

3. Luego, haga clic con el botón secundario en la carpeta Hosts y seleccione New. New >

entrada de directorio principal.

Aparece la página de propiedades del directorio principal. 4. Introduzca la siguiente información:

a. En Dominio, escriba el nombre del dominio del usuario que utiliza el nombre NetBIOS.

AVISO

No utilice el nombre de dominio calificado.

Por ejemplo, si el nombre de dominio es Company.local, puede escribir una de las siguientes:empresa,comp, o.*(las expresiones regulares deben ser verdaderas para que funcione esta opción).

b. En Usuario, escriba el nombre del usuario o la cadena comodín.

Por ejemplo, si el nombre de usuario es “Tom”, puede escribir una de las opciones siguientes: T *para los nombres de usuario empiezan con T,para cualquier nombre de usuario, o[r-v]. *para los nombres de usuario a partir de r, s, t, u o v (expresiones regulares deben ser verdaderas para que funcione esta opción). c. En Ruta, escriba el nombre de la ruta con uno de los siguientes métodos:

Escriba la ruta de la carpeta.

Haga clic en Navegar y seleccione la carpeta o cree una.

Si desea crear automáticamente la carpeta, seleccione Crear directorio automáticamente.

Algunos ejemplos de directorio son: l \HomeDirShare\dir1\User1

l _{HomeDirShare\<d>\<u>}, que crea una carpeta con el nombre de dominiody un directorio con el nombre de usuariou.

5. Haga clic en Aceptar.

La Tabla 4 en la página 25 proporciona ejemplos de formatos de expresión para añadir un directorio principal.

Tabla 4 Ejemplos de formatos de expresiones

Dominio: Usuario Ruta Opciones Resultados

* * \HomeDirShare\ Ninguno Todos los usuarios

\HomeDirShare tienen \HomeDirShare como directorio principal.

* a* \HomeDirShare\ Ninguno Los usuarios cuyo nombre de usuario empieza con ‘a’ tienen \HomeDirShare como directorio principal.

* * \HomeDirShare \<d>\<u>\

Auto Create Directory = True

Cada usuario tiene su propio directorio. Por ejemplo, el

(26)

Tabla 4 Ejemplos de formatos de expresiones (continuación)

Dominio: Usuario Ruta Opciones Resultados

usuario Bob en el dominio company tiene

\HomeDirShare\company \Bob como directorio principal.

comp [a-d].* \HomeDirShare \FolksA-D\<d> \<u>\

Auto Create Directory = True Regexp=True

Los usuarios cuyos nombres de usuario empiezan con a, b, c o d en el dominio company tienen

\HomeDirShare\FolksA-D \company\\HomeDirShare \FolksA-D\company\<u> como directorio principal, donde u es el nombre de usuario.

Uso de los objetos de políticas de grupos

En Windows Server 2003, los administradores pueden utilizar la política de grupos para definir las opciones de configuración de grupos de usuarios y equipos. Los GPO de Windows pueden controlar elementos como configuraciones de seguridad, redes y dominios locales. La configuración de la política de grupos se almacena en los GPO que se enlazan a los contenedores del sitio, el dominio y la unidad organizacional (OU) en Active Directory. El controlador de dominio replica los GPO en todos los controladores de dominio dentro del dominio.

La política de auditoría es un componente del snap-in de administración de Data Movers, instalado como snap-in de Microsoft Management Console (MMC) en la consola de administración de un sistema Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8.

Puede utilizar las políticas de auditoría para determinar qué eventos relacionados con la seguridad de los servidores NAS se registrarán en el log de seguridad. Puede elegir registrar intentos exitosos, intentos fallidos, ambos o ninguno. Los eventos auditados se pueden ver en el log de seguridad del visor de eventos de Windows.

Las políticas de auditoría que aparecen en el nodo de políticas de auditoría son un subconjunto de las políticas disponibles como GPO en Usuarios y equipos de Active Directory (ADUC). Estas políticas de auditoría son políticas locales y se aplican únicamente al servidor NAS seleccionado. No puede utilizar el nodo de políticas de auditoría para administrar políticas de auditoría de GPO.

Si una política de auditoría se define como GPO en ADUC, la configuración de GPO sobrescribe la configuración local. Cuando el administrador de dominio cambia una política de auditoría en el controlador de dominio, dicho cambio se refleja en el servidor NAS y puede verse en el nodo de políticas de auditoría. Puede cambiar la política de auditoría local, pero no entrará en vigencia hasta que se desactive el GPO de dicha política de auditoría. Si se desactiva la auditoría, la configuración de GPO permanece en la columna de configuración Vigente.

(27)

No puede utilizar las herramientas de configuración de políticas locales de Microsoft Windows para administrar las políticas de auditoría en el servidor NAS debido a que en Windows Server 2003 y Windows XP las herramientas de configuración de políticas locales de Windows no permiten administrar las políticas de auditoría de forma remota.

Compatibilidad con GPO en un servidor NAS de VNXe

Un servidor NAS de VNXe admite los GPO mediante la recuperación y el almacenamiento de una copia de la configuración de GPO por cada servidor NAS que se une a un dominio de Windows Server 2003. El servidor NAS de VNXe almacena la configuración de GPO en la caché de GPO.

Cuando el sistema VNXe se enciende, lee la configuración almacenada en la caché de GPO y luego recupera la configuración de GPO más reciente del controlador de dominio de Windows. Después de recuperar la configuración de GPO, un servidor NAS de VNXe actualiza automáticamente la configuración en función del intervalo de actualización del dominio.

Configuración admitida de GPO

Un servidor NAS de VNXe actualmente admite los siguientes ajustes de seguridad de GPO:

Kerberos

l Máxima tolerancia para la sincronización del reloj de la computadora (desviación del reloj) La sincronización de tiempo se realiza en cada servidor NAS.

l Máxima duración de los tickets de usuario Política de auditoría

l Eventos de inicio de sesión de la cuenta de auditoría l Administración de la cuenta de auditoría

l Acceso a los servicios del directorio de auditoría l Eventos de inicio de sesión de auditoría

l Acceso a los objetos de auditoría l Cambio de política de auditoría l Uso de privilegios de auditoría l Rastreo de procesos de auditoría l Eventos del sistema de auditoría

Auditoría de objetos y usuarios de CIFS en la página 30 brinda más información.

Derechos de usuario

l Acceso al equipo desde la red l Directorios y archivos de respaldo l Comprobación de compleción de desvío l Denegación del acceso al equipo desde la red l Comprobación de virus de EMC

l Generación de auditorías de seguridad

l Administración del log de seguridad y auditoría l Restauración de archivos y directorios

(28)

l Propiedad de archivos u otros objetos Opciones de seguridad

l Firma digital de comunicación del cliente (siempre)

l Firma digital de comunicación del cliente (cuando sea posible) l Firma digital de comunicación del servidor (siempre)

l Firma digital de comunicación del servidor (cuando sea posible) l Nivel de autenticación del administrador de LAN

Logs de eventos

l Tamaño máximo del log de aplicación l Tamaño máximo del log de seguridad l Tamaño máximo del log de sistema

l Acceso de huésped restringido al log de aplicación l Acceso de huésped restringido al log de seguridad l Acceso de huésped restringido al log de sistema l Retención del log de aplicación

l Retención del log de seguridad l Retención del log de sistema

l Método de retención del log de aplicación l Método de retención del log de seguridad l Método de retención del log de sistema Política de grupos

l Desactivación de la actualización de antecedentes de la política de grupos l Intervalo de actualización de la política de grupos para los equipos

Uso de la firma de SMB

La firma de SMB garantiza que no se haya interceptado, cambiado o reproducido el paquete. La firma garantiza que ningún otro fabricante ha cambiado el paquete. La firma añade una firma a cada paquete. El cliente y los servidores NAS de VNXe utilizan esta firma para verificar la integridad del paquete. Los servidores NAS de VNXe admiten SMB1, SMB2 y SMB3.

Para que la firma de SMB funcione, el cliente y el servidor deben tener la firma de SMB activada en una transacción. La firma de SMB siempre se habilita en los servidores NAS de VNXe, aunque esto no es obligatorio. Como resultado, si la firma de SMB se activa en el cliente, se utiliza la firma. Si la firma de SMB se desactiva en el cliente, no se utiliza ninguna firma.

Monitoreo del uso de recursos y de las conexiones del servidor

NAS

Puede utilizar las herramientas administrativas de Windows para monitorear los usuarios, el acceso a recursos compartidos y el uso de archivos en los servidores NAS.

(29)

Monitoreo de usuarios en un servidor NAS

En este tema, se describen los pasos para monitorear la cantidad de usuarios conectados a un servidor NAS.

Procedimiento

1. Abra la MMC de Apertura de la MMC de administración de equipos en la página 22administración de equipos del servidor NAS que desea monitorear tal como se describe en .

2. En el árbol de consola, haga clic en Sistemas de archivos > Sessions.

Los usuarios actuales que están conectados al servidor NAS se muestran a la derecha.

3. Opcionalmente:

l Para forzar la desconexión del servidor NAS, haga clic con el botón secundario en el nombre de usuario y seleccione Cerrar sesión en el menú de acceso directo. l Para forzar la desconexión de todos los usuarios, haga clic con el botón

secundario en Sesiones y seleccione Desconectar todas las sesiones en el menú de acceso directo.

Monitoreo del acceso a los recursos compartidos del servidor NAS

En este tema, se describen los pasos para monitorear el acceso a los recursos compartidos en un servidor NAS.

Procedimiento

1. Abra la MMC de Apertura de la MMC de administración de equipos en la página 22administración de equipos del servidor NAS tal como se describe en .

2. En el árbol de consola, haga clic en Sistemas de archivos > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha.

3. Opcionalmente, para forzar la desconexión de un recurso compartido, haga clic con el botón secundario en el nombre del recurso compartido y seleccione Detener el uso compartido en el menú de acceso directo.

Monitoreo del uso de archivos en el servidor NAS

En este tema, se describen los pasos para monitorear el uso de archivos en un servidor NAS mediante la MMC de administración de equipos.

Procedimiento

1. Abra la MMC de Apertura de la MMC de administración de equipos en la página 22administración de equipos del servidor NAS tal como se describe en . 2. En el árbol de consola, haga clic en Sistemas de archivos > Open Files.

Los actuales archivos en uso se muestran a la derecha.

3. Opcionalmente, para cerrar un archivo abierto, haga clic con el botón secundario en el archivo y seleccione Cerrar el archivo abierto en el menú de acceso directo.

4. Para cerrar todos los archivos abiertos, haga clic con el botón secundario en la carpeta Archivos abiertos y seleccione Desconectar todos los archivos abiertos en el menú de acceso directo.

(30)

Auditoría de objetos y usuarios de CIFS

Para auditar un servidor NAS, utilice la administración de desplazadores de datos, que corresponde a un snap-in de MMC. Instalación del software de host para CIFS en la página 9 brinda información acerca de la instalación de los snap-ins de MMC. La auditoría se desactiva de forma predeterminada en todas las clases de objetos de Windows. Para activar la auditoría, debe activarla de forma explícita para los eventos específicos de un servidor NAS específico. Una vez activada, la auditoría se inicia en el servidor NAS pertinente. La ayuda en línea del snap-in de administración de Data Movers brinda información acerca del establecimiento de políticas de auditoría.

Si se configura el objeto de política de grupos (GPO) y se activa en el servidor NAS, se utiliza la configuración de GPO de la configuración de auditoría.

La auditoría solo está disponible para los eventos y las clases de objetos específicos que aparecen en la Tabla 5 en la página 30. Solo un administrador avanzado de VNXe puede configurar las auditorías en un servidor NAS.

Tabla 5 Auditoría de clases de objetos

Clase de objeto Evento Auditoría

Inicio de sesión/cierre de sesión

Nombre de inicio de sesión de usuario de CIFS Cierre de sesión de huésped de CIFS

satisfactoria El controlador de dominio devolvió un mensaje de error

de autenticación de contraseña

El controlador de dominio devolvió un código de error no procesado

DC no responde (recursos insuficientes o protocolo inválido)

Fallida

Acceso a objetos y archivos

Objeto abierto:

l _{Acceso a archivos y directorios; si la lista de control}

de acceso al sistema (SACL) está establecida para lectura, escritura, eliminación, ejecución, establecimiento de permisos, propiedad

l Modificación del grupo local de administración de

acceso de seguridad (SAM) Identificador cerrado:

l _{Acceso a archivos y directorios; si la SACL está}

establecida para lectura, escritura, eliminación, ejecución, establecimiento de permisos, propiedad

l Base de datos de SAM cerrada

Objeto abierto para su eliminación:

Acceso a archivos y directorios (si la SACL está establecida)

Eliminación de objeto:

Acceso a archivos y directorios (si la SACL está establecida)

satisfactoria

(31)

Tabla 5 Auditoría de clases de objetos (continuación)

Clase de objeto Evento Auditoría

Acceso a la base de datos de SAM (búsqueda) satisfactoria y fallida Rastreo de procesos No compatible N/D Apagado/reinicio del

sistema

Reinicio:

l Inicio del servicio de CIFS l _{Apagado del servicio de CIFS} l Log de auditoría borrado

satisfactoria

Políticas de seguridad Privilegios de sesión:

l Lista de privilegios de usuario l _{Derechos de usuario asignados} l Derechos de usuario eliminados

Cambio de política:

Lista de categorías de política y estados de auditoría asociados satisfactoria Uso de derechos de usuario No compatible N/D Administración de usuario y grupo

Creación de grupo local Eliminación de grupo local

Adición de un miembro al grupo local Eliminación de un miembro del grupo local

satisfactoria

Cuando se activa la auditoría, el visor de eventos crea un log de seguridad con la configuración predeterminada que se muestran en la Tabla 6 en la página 31.

Tabla 6 Configuración de log predeterminada

Tipo de log Tamaño máximo del archivo Retención

Seguridad 512 KB 10 días

Los servidores NAS de VNXe admiten la auditoría de archivos y carpetas individuales.

Activación de la auditoría en un servidor NAS

Complete los pasos a continuación para activar la auditoría en un servidor NAS: l Especificación de la política de auditoría en la página 31

l Establecer los parámetros del log de auditoría en la página 32

Especificación de la política de auditoría

En este tema, se describen los pasos necesarios para acceder al snap-in de administración de seguridad y especificar las políticas de auditoría. Después de instalar Celerra Management Console:

(32)

Procedimiento

2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramienta administrativas > EMC Celerra Management.

3. En la ventana Administración de Celerra, realice una de las siguientes acciones: l Si hay un servidor NAS seleccionado (aparece un nombre después de

Administración de Data Movers), vaya al paso 4. l Si no hay un servidor NAS seleccionado:

a. Haga clic con el botón secundario en Administración de Data Mover, y seleccione Conectar a Data Mover en el menú de acceso directo.

b. En el cuadro Seleccionar Data Mover, seleccione un servidor NAS con uno de los siguientes métodos:

n En la lista Buscar en, seleccione el dominio donde se ubica el servidor NAS que desea administrar y, a continuación, seleccione el servidor NAS de la lista.

n En el campo Nombre, escriba el nombre de la red o la dirección IP del servidor NAS.

4. Haga doble clic en Administración de Data Movers y, a continuación, en

Configuración de seguridad de Data Movers. 5. Seleccione Política de auditoría.

Aparecen las políticas de auditoría en el panel de la derecha.

6. Haga clic con el botón secundario en Política de auditoría y seleccione Activar auditoría en el menú de acceso directo.

7. Haga doble clic en el objeto de auditoría en el panel de la derecha para definir la política de auditoría del objeto.

La ayuda en línea del snap-in de administración de Data Movers brinda más información acerca de las políticas de auditoría.

Establecer los parámetros del log de auditoría

En este tema, se describen los pasos para establecer los parámetros de registro de auditoría mediante la MMC de administración de equipos para el servidor NAS. Procedimiento

2. Haga doble clic en Visor de eventos y, para Windows Server 2008 o Windows Server 2012, seleccione Registros de Windows.

Se muestran los archivos específicos del log.

3. Haga clic con el botón secundario en el archivo del log y seleccione Propiedades en el menú de acceso directo.

Se muestra la hoja de propiedades del log. Por lo general, el campo Tamaño máximo del log está bloqueado.

4. Cuando haya completado el procedimiento, vuelva al cuadro de diálogo Propiedades de la aplicación del log y haga clic en las flechas para aumentar o disminuir el tamaño del log.

(33)

5. En el área Tamaño del log del cuadro de diálogo, especifique que sucederá cuando se alcance el tamaño máximo del log:

l Sobrescritura de los eventos según sea necesario: especifica si todos los eventos nuevos se escriben en el log, aunque el log esté completo. Cuando el log está completo, cada evento nuevo reemplaza al evento anterior.

l Sobrescritura de los eventos anteriores a (n) días: sobrescribe los eventos anteriores a la cantidad de días especificada. Utilice las flechas para especificar el límite o haga clic en el campo para ingresar el límite. No debe superar el tamaño del archivo de log especificado en el paso 4. No se añaden eventos nuevos si se alcanza el tamaño máximo del log ni se muestran los eventos anteriores a este periodo.

l Sin sobrescritura de los eventos: Completa el registro hasta el límite especificado en el paso 4. Cuando el registro está completo, no se escriben eventos nuevos hasta que se vacía el registro.

6. Haga clic en Aceptar para guardar la configuración.

Visualización de los eventos de auditoría

En este tema, se describen los pasos para ver los eventos de auditoría. Procedimiento

1. Haga clic en Inicio y seleccione Todos los programas > Herramienta administrativas >

Visor de eventos.

2. Haga clic con el botón secundario en el icono del visor de eventos en el panel de la derecha y seleccione Conectar a otro equipo en el menú de acceso directo.

Se abre el cuadro de diálogo Seleccionar equipo.

3. En el cuadro de diálogo Seleccionar equipo, escriba directamente el nombre o la dirección IP del servidor de NAS. También puede seleccionar Explorar para buscar el servidor NAS.

4. Para Windows Server 2008 o Windows Server 2012, haga clic en Registros de Windows.

5. Haga clic en el log.

Aparecen las entradas del log en el panel de la derecha.

6. Haga doble clic en la entrada del log para ver el detalle del evento. Se abre la ventana Propiedades del evento.

Deshabilitación de las auditorías

En este tema, se describen los pasos para deshabilitar las auditorías. Procedimiento

1. Inicie sesión en el controlador de dominio de Windows Server 2003, Windows Server 2008 o Windows Server 2012 con privilegios de administrador de dominio. 2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramienta

administrativas > EMC Celerra Management. 3. Realice una de las siguientes acciones

l Si ya hay un servidor NAS seleccionado (el nombre aparece después de Administración de Data Movers), vaya al paso 4.

l Si no hay un servidor NAS seleccionado:

(34)

a. Haga clic con el botón secundario en Administración de Data Mover, y seleccione Conectar a Data Mover en el menú de acceso directo.

b. En el cuadro de diálogo Seleccionar Data Mover, seleccione un servidor NAS con uno de los siguientes métodos:

n En la lista Buscar en, seleccione el dominio donde se ubica el servidor NAS que desea administrar y, a continuación, seleccione el servidor NAS de la lista.

n En el campo Nombre, escriba el nombre de la red o la dirección IP del servidor NAS.

4. Haga doble clic en Administración de Data Movers y, a continuación, en

Configuración de seguridad de Data Movers.

5. Haga clic con el botón secundario en Política de auditoría y seleccione Desactivar auditoría en el menú de acceso directo.

Acceso al log de seguridad de un servidor NAS de

De forma predeterminada, cada servidor NAS almacena su log de seguridad de Windows en c:\security.evt, que tiene un límite de tamaño de 512 KB. Puede tener acceso directo a este log de seguridad a través del recurso compartido C$ de cada servidor NAS mediante:

\\storage_server_netbios_name\C$\security.evt

dondestorage_server_netbios_namees el nombre de NetBIOS del servidor NAS.

Cómo copiar un snapshot de recurso compartido

En este tema, se describen los pasos para copiar un snapshot de recurso compartido mediante el Explorador de Windows.

Procedimiento

1. Obtenga acceso al servidor NAS que tiene el recurso compartido que desea copiar, mediante uno de los siguientes métodos:

l Navegue hasta el servidor NAS en el Explorador de Windows. l Seleccionar Inicio_>Ejecutar_>\\NAS_server_name.

2. En el servidor NAS, haga clic con el botón secundario en el recurso compartido que tiene el snapshot que desea copiar y seleccione Propiedades.

3. Haga clic en la pestaña Versiones anteriores.

4. Seleccione el snapshot (de la versión anterior) que desea copiar y haga clic en Copiar. Se crea una copia del snapshot con capacidad de escritura en la ubicación

especificada.

Restauración de un snapshot de recurso compartido

En este tema, se describen los pasos para restaurar un snapshot de recurso compartido. La restauración de un recurso de almacenamiento a un snapshot devuelve (vuelve atrás) el recurso de almacenamiento al estado anterior capturado por el snapshot. Durante la restauración, el recurso de almacenamiento completo, incluidos todos sus archivos y datos almacenados, se sustituye por los contenidos del snapshot.