Administración de EMC Celerra para el entorno Windows · 2020. 11. 30. · Administración de...

1 de 88

Contenido

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Requisitos del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Opciones de la interfaz de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4Información relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7Snap-ins y programas de MMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Administración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9Comprobación de la configuración CIFS actual . . . . . . . . . . . . . . . .10Administración de interfaces de red. . . . . . . . . . . . . . . . . . . . . . . . . .11Administración de DNS en un Data Mover . . . . . . . . . . . . . . . . . . . . .11Modificación de la configuración de CIFS . . . . . . . . . . . . . . . . . . . . .11Unión de servidores CIFS a dominios de Windows . . . . . . . . . . . . .21Administración de file systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Re-exportación de todos los file systems de Celerra . . . . . . . . . . . .39Desactivación del acceso a todos los file systems en un Data Mover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41Eliminación de un servidor CIFS. . . . . . . . . . . . . . . . . . . . . . . . . . . . .42Activación de directorios principales . . . . . . . . . . . . . . . . . . . . . . . . .43Objetos de política de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49Soporte de flujos de datos alternativos . . . . . . . . . . . . . . . . . . . . . . .61Soporte de SMB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63Cambio automático de la contraseña del equipo . . . . . . . . . . . . . . .70Creación de un file system como log de seguridad . . . . . . . . . . . . .70Administración de dominios de Windows . . . . . . . . . . . . . . . . . . . . .72

Resolución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74Dónde obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74EMC E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . .74Problemas y limitaciones conocidos . . . . . . . . . . . . . . . . . . . . . . . . .75Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79Programas de capacitación para clientes . . . . . . . . . . . . . . . . . . . . .81

Apéndice A: Información adicional del directorio principal . . . . . . . . . .82Formato de base de datos del directorio principal . . . . . . . . . . . . . .82

Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85

Administración de EMC® Celerra®

para el entorno WindowsP/N 300-008-090

Rev A02

Versión 5.6.42Diciembre de 2008

Administración de EMC® Celerra® para el entorno Windows2 de 88 Versión 5.6.42

3 de 88Versión 5.6.42Administración de EMC® Celerra® para el entorno Windows

IntroducciónEMC® Celerra® Network Server soporta el protocolo Common Internet FileSystems (CIFS), que permite a los clientes Microsoft Windows acceder a archivos almacenados en Celerra Network Server. Después de haber configurado Celerra para soportar clientes Windows en la red, es posible que necesite realizar algunos de los procedimientos de configuración y administración adicionales descritos en este documento para mantener los servidores Celerra CIFS.

Este documento forma parte de la documentación de Celerra Network Server y está dirigido a los administradores de sistemas responsables de la administración de Celerra Network Server en su red de Windows.

Requisitos del sistemaEn la Tabla 1 en la página 3, se describen las configuraciones de software, hardware, red y almacenamiento de Celerra Network Server.

Opciones de la interfaz de usuarioCelerra Network Server ofrece flexibilidad para administración de networked storage en función de su entorno de servicio y sus preferencias de interfaz. Este documento describe cómo configurar CIFS en un Data Mover mediante la interfaz de línea de comandos (CLI). También podrá realizar varias de estas tareas con una de las aplicaciones de administración Celerra:

u Celerra Manager: Basic Edition

u Celerra Manager: Advanced Edition

u Snap-ins de Microsoft Management Console (MMC) (Windows 2000 y Windows Server 2003 únicamente)

u Extensiones de usuarios y computadoras de Active Directory (Windows 2000 y Windows Server 2003 únicamente)

Para obtener información adicional acerca de la administración de Celerra:

Tabla 1 Requisitos del sistema para CIFS

Software Celerra Network Server versión 5.6.42

Hardware Celerra Network Server

Red Dominio de Windows 2000, Windows Server 2003 o Windows NT.Se deben configurar los dominios con lo siguiente:

• Dominios de Windows 2000 o Windows Server 2003:Active Directory (AD)

DNS

Servidor NTP (Protocolo de Hora en Red)

• Dominios de Windows NT:Servidor WINS

Almacenamiento No tiene requisitos de almacenamiento específicos.


u Learning about EMC Celerra

u Celerra Manager Online Help

u El sistema de ayuda en línea de la aplicación incluido en el EMC Celerra Network Server Documentation CD

Installing Celerra Management Applications incluye instrucciones para iniciar Celerra Manager y para instalar los snap-ins de MMC y las extensiones de ADUC.

TerminologíaEl EMC Celerra Glossary proporciona una lista completa de terminología de Celerra.

Active Directory: un servicio de directorios avanzado incluido con los servidores Windows 2000. Almacena información de los objetos en una red y permite que dicha información esté disponible para los usuarios y los administradores de la red mediante un protocolo como LDAP.

Autenticación: proceso para verificar la identidad de un usuario que intenta acceder a un recurso u objeto, por ejemplo, un archivo o un directorio.

Common Internet File System (CIFS): protocolo de uso compartido de archivos basado en Microsoft Server Message Block (SMB). Permite a los usuarios compartir file systems mediante Internet e intranets.

Data Mover: en un Celerra Network Server, un componente del gabinete que ejecuta su propio sistema operativo que recupera archivos desde un dispositivo de almacenamiento y permite que estén disponibles para un cliente de la red.

Data Mover virtual (VDM): función del software Celerra que permite a los usuarios la separación administrativa de servidores CIFS, la replicación de entornos CIFS y la transferencia de servidores CIFS de un Data Mover a otro con facilidad.

Dominio: agrupación lógica de servidores de Microsoft Windows y de otras computadoras que comparten seguridad común e información de cuentas de usuarios. Todos los recursos como las computadoras y los usuarios son miembros del dominio y poseen una cuenta en el dominio que los identifica como exclusivos. El administrador de dominio crea una cuenta de usuario para cada usuario del dominio y los usuarios inician sesión en el dominio una vez. Los usuarios no inician sesión en cada servidor individual.

Dominio de Windows 2000 o Windows Server 2003: dominio de Microsoft Windows controlado y administrado por Microsoft Windows 2000 o por Windows Server 2003 mediante Active Directory para administrar todos los recursos del sistema. Emplea DNS para resolución de nombres.

Dominio de Windows NT: dominio de Microsoft Windows controlado y administrado por un servidor Microsoft Windows NT que utiliza una base de datos SAM (Storage Area Management) para administrar cuentas de usuarios y grupos y un espacio de nombres NetBIOS. En un dominio de Windows NT, existen un controlador de dominio primario (PDC) con una copia de lectura/escritura de SAM y, posiblemente, varios controladores de dominio de backup (BDCs) con copias de solo lectura de SAM.

Domain Name System (DNS): software de resolución de nombres que permite a los usuarios ubicar equipos y servicios en una red TCP/IP por su nombre. El servidor DNS mantiene una base de datos de los nombres de dominio, los nombre de host y sus direcciones de IP correspondientes, y los servicios que prestan estos hosts.

.. /mergedprojects/Concepts/Celerra_Product_Line.htm

../../HelpSystems/ManagerHelp/wwhelp/wwhimpl/java/html/wwhelp.htm

../InstallationManagement/index.htm

../../mergedprojects/Glossary/index.htm


File system: método para catalogar y administrar los archivos y los directorios en un sistema de almacenamiento.

Lista de control de acceso (ACL): lista de entradas de control de acceso (ACEs) que proporciona información sobre los usuarios y los grupos que pueden acceder a un objeto.

NetBIOS: sistema de entrada/salida básica de red. Interfaz y protocolo de programación de red desarrollado para equipos personales IBM.

Nombre de recurso compartido: nombre otorgado a un file system o a un recurso de un file system disponible desde un servidor CIFS específico para usuarios CIFS. Es posible contar con múltiples recursos compartidos con el mismo nombre, compartidos desde servidores CIFS diferentes.

Nombre NetBIOS: nombre reconocido por Windows Internet Name Service (WINS), que asigna el nombre a una dirección IP.

Objetos de política de grupo (GPO): en Windows 2000 o Windows Server 2003, los administradores pueden utilizar la política de grupo para definir las opciones de configuración para los grupos de usuarios y computadoras. Los objetos de políticas de grupo de Windows pueden controlar elementos como la configuración local, de dominio y de seguridad de red.

Server Message Block (SMB): protocolo subyacente utilizado por el protocolo Common Internet File System (CIFS), mejorado para uso en Internet para solicitud de servicios de comunicación, archivos e impresiones desde un servidor por medio de la red. El protocolo CIFS emplea SMB para brindar acceso y transferencia de archivos para varios tipos de hosts de red, como LANs, intranets e Internet.

Servicio de CIFS: Proceso del servidor CIFS que se ejecuta en el Data Mover y presenta recursos compartidos en una red y en computadoras basadas en Windows.

Servidor CIFS predeterminado: el servidor CIFS que se crea al agregar un servidor CIFS sin especificar ninguna interfaz (con la opción interfaces= del comando server_cifs -add). El servidor CIFS predeterminado utiliza todas las interfaces no asignadas a otros servidores CIFS en el Data Mover.

Información relacionadaPara obtener información específica relacionada con las características y funcionalidades que se describen en este documento, consulte:

u EMC Celerra Glossary

u Manual de referencia de comandos de EMC Celerra Network Server

u EMC Celerra Network Server Error Messages Guide

u EMC Celerra Network Server Parameters Guide

u Configuring EMC Celerra Naming Services

u Configuring EMC Celerra Time Services

u Configuring and Managing CIFS on EMC Celerra

u Configuración de Data Movers virtuales para EMC Celerra

u Installing Celerra Management Applications

u Administración de EMC Celerra para un entorno de múltiples protocolos

../../mergedprojects/Glossary/index.htm

../CommandReference/index.htm

../ErrorMsgs/index.htm

../Parameters/index.htm

../NameServices/index.htm

../TimeServices/index.htm

../ConfWindows/index.htm

../ConfiguringVDMs/index.htm


../ConfWinMulti/index.htm


u Managing EMC Celerra Volumes and File Systems Manually

u Replicating EMC Celerra CIFS Environments (V1)

u Using EMC Utilities for the CIFS Environment

u Using International Character Sets with EMC Celerra

u Uso de herramientas administrativas de Windows con EMC Celerra

El EMC Celerra Network Server Documentation CD, suministrado con Celerra y también disponible en Powerlink, proporciona el conjunto completo de publicaciones de clientes de EMC Celerra. Después de iniciar sesión en Powerlink®, vaya a Soporte > Documentación Técnica y Asesorías > Documentación de Hardware y Plataformas > Celerra Network Server. En esta página, haga clic en Agregar a Favoritos. La sección Favoritos de la página principal de Powerlink contiene un enlace que lo lleva directamente a esta página.

Documentación de múltiples protocolos y WindowsLos siguientes documentos de Celerra Network Server explican cómo configurar y administrar Celerra en un entorno Windows y en un entorno de múltiples protocolos:

u Configuring and Managing CIFS on EMC Celerra explica cómo establecer una configuración básica CIFS en Celerra Network Server mediante la interfaz de línea de comandos (CLI). También puede configurar este entorno inicial utilizando Celerra Manager.

u Configuring and Managing CIFS on EMC Celerra incluye procedimientos avanzados que quizás necesite realizar después de la configuración inicial de CIFS en Celerra Network Server. El módulo también proporciona instrucciones para modificar y administrar Celerra en un entorno Windows.

u Administración de EMC Celerra para un entorno de múltiples protocolos incluye procedimientos para configurar y administrar Celerra en un entorno mixto de clientes UNIX y Windows.

../VolFSManually/index.htm

../ReplicatingCIFSENvironments/index.htm

../EMCUtilities/index.htm

../i18N/index.htm

../WindowsAdminTools/index.htm

http://powerlink.emc.com


../ManCIFS/index.htm



ConceptosLa siguiente sección menciona los snap-ins y programas de MMC para la administración de Celerra en un entorno Windows.

Snap-ins y programas de MMCCelerra Network Server soporta un conjunto de snap-ins y programas de Microsoft Management Console (MMC) para la administración de usuarios de Celerra y de la configuración de seguridad de data Movers desde un equipo Windows 2000, Windows Server 2003 o Windows XP. La ayuda en línea de un snap-in o programa proporciona más información.

Celerra UNIX Attributes Migration toolCelerra UNIX Attributes Migration es una herramienta que puede utilizar para migrar usuarios UNIX existentes de Celerra Network Server a Windows Active Directory. Puede seleccionar los atributos de UNIX (UIDs y GIDs) para agregar al Active Directory. El Snap-in de Celerra UNIX User Management y las Extensiones de la página de propiedades Celerra UNIX en Active Directory Users and Computers (ADUC) proporcionan más información sobre cómo agregar nuevos usuarios o grupos, o modificar los atributos UNIX existentes.

Snap-in de Celerra UNIX User ManagementCelerra UNIX User Management es un snap-in de MMC en Celerra Management Console que puede utilizar para asignar, quitar o modificar atributos UNIX para un único usuario o grupo de Windows en el dominio local y en dominios remotos. Asimismo, este snap-in se puede utilizar para seleccionar la ubicación de la base de datos de atributos. Esta ubicación puede ser un dominio local o remoto.

Puede seleccionar almacenar la base de datos de atributos en Active Directory de un dominio local si:

u Tiene un dominio.

u No se permiten trusts.

u No se necesita centralizar la información de administración de usuarios de UNIX.

Puede seleccionar un dominio remoto si:

u Hay múltiples dominios.

u Ya existen trusts bidireccionales entre los dominios que necesiten acceder a la base de datos de atributos.

u Desea centralizar la administración de usuarios de UNIX.

Extensiones de página de propiedades de Celerra UNIX en ADUCLas páginas de propiedades de usuarios y grupos de Celerra UNIX son extensiones en ADUC. Puede utilizar estas páginas de propiedades para asignar, quitar o modificar atributos de UNIX para un único usuario o grupo en el dominio local. No puede utilizar esta función para administrar usuarios o grupos en un dominio remoto.


Snap-in de Celerra Data Mover ManagementLa administración de Data Movers de Celerra comprende varios snap-ins de MMC. Puede utilizar estos snap-ins para administrar la comprobación de virus, los directorios principales y la configuración de seguridad en los Data Movers de un equipo Windows 2000, Windows Server 2003 o Windows XP.

Celerra AntiVirus ManagementPuede utilizar el snap-in de Celerra AntiVirus Management para administrar los parámetros de comprobación de virus (viruschecker.conf file) utilizados con Celerra AntiVirus Agent (CAVA) y programas antivirus de terceros. Se debe instalar Celerra AntiVirus Agent y un programa antivirus de terceros en los servidores Windows NT, Windows 2000 o Windows Server 2003. En Uso de EMC Celerra AntiVirus Agent, se proporcionan más detalles sobre CAVA.

Snap-in de Celerra Home Directory ManagementPuede utilizar el snap-in de Celerra Home Directory Management para asociar un nombre de usuario con un directorio que luego actúa como el directorio principal del usuario. La función de directorio principal simplifica la administración de recursos compartidos personales y el proceso de conexión a ellos.

Snap-in de Data Mover Security SettingsCelerra Data Mover Security Settings comprende el nodo Audit Policy y el nodo User Rights Assignment.

Celerra Audit Policy

Puede utilizar el nodo Celerra Audit Policy para determinar los eventos de seguridad del Data Mover que se registran en el log Security. A continuación, puede ver el log Security utilizando el Visor de sucesos de Windows. Puede registrar intentos exitosos, intentos fallidos, ambos o ninguno. Las políticas de auditoría que aparecen en el nodo Audit Policy son un subconjunto de las políticas disponibles como GPOs en ADUC. Las políticas de auditoría son políticas locales y se aplican al Data Mover seleccionado. No puede usar el nodo Audit Policy para administrar las políticas de auditoría de GPO.

Celerra User Rights Assignment

Puede utilizar el nodo Celerra User Rights Assignment para administrar los usuarios y grupos que tienen privilegios de tareas e inicio de sesión en un Data Mover. Las asignaciones de derechos de usuarios que aparecen en el nodo User Rights Assignment son un subconjunto de las asignaciones de derechos de usuarios disponibles como GPOs en ADUC. Las asignaciones de derechos de usuarios son políticas locales que se aplican al Data Mover seleccionado. No puede utilizar el nodo User Rights Assignment para administrar políticas GPO.

La ayuda en línea de un snap-in o programa proporciona más información.

../CAVA/index.htm


AdministraciónLas tareas para administrar Celerra para el entorno Windows son:

u "Comprobación de la configuración CIFS actual" en la página 10

u "Administración de interfaces de red" en la página 11

u "Administración de DNS en un Data Mover" en la página 11

u "Modificación de la configuración de CIFS" en la página 11

u "Unión de servidores CIFS a dominios de Windows" en la página 21

u "Administración de file systems" en la página 35

u "Re-exportación de todos los file systems de Celerra" en la página 39

u "Desactivación del acceso a todos los file systems en un Data Mover" en la página 41

u "Eliminación de un servidor CIFS" en la página 42

u "Activación de directorios principales" en la página 43

u "Objetos de política de grupo" en la página 49

u "Soporte de flujos de datos alternativos" en la página 61

u "Firma de SMB" en la página 65

u "Cambio automático de la contraseña del equipo" en la página 70

u "Creación de un file system como log de seguridad" en la página 70

u "Administración de dominios de Windows" en la página 72

Comprobación de la configuración CIFS actual

Acción

Para mostrar la configuración de CIFS para un Data Mover, utilice la siguiente sintaxis de

comandos:$ server_cifs <movername>

donde:<movername> = nombre del Data Mover

Ejemplo:

Para mostrar la configuración de CIFS para server_2, escriba:$ server_cifs server_2

Salida

Si se inicia el servicio CIFSserver_2 :256 Cifs threads startedSecurity mode = NTMax protocol = NT1I18N mode = ASCIIHome Directory Shares DISABLEDUsermapper auto broadcast enabledUsermapper[0] = [127.0.0.1] state:active (auto discovered)Enabled interfaces: (All interfaces are enabled)Disabled interfaces: (No interface disabled)

Si no se inicia el servicio CIFS$ server_cifs server_2server_2 :Cifs NOT startedSecurity mode = NTMax protocol = NT1I18N mode = ASCIIHome Directory Shares DISABLEDUsermapper auto broadcast enabledUsermapper[0] = [127.0.0.1] state:active (auto discovered)Enabled interfaces: (All interfaces are enabled)Disabled interfaces: (No interface disabled)

Si no se inicia el servicio CIFSserver_2 :Cifs NOT startedSecurity mode = NTMax protocol = NT1I18N mode = UNICODEHome Directory Shares DISABLEDUsermapper[0] = [172.24.100.121] last access 0Enabled interfaces: (All interfaces are enabled)Disabled interfaces: (No interface disabled)CIFS Server DPDOVDM1[CIFS] RC=4 Full computer name=dpdovdm1.cifs.eng.fr realm=CIFS.ENG.FR Active directory usermapper's domain: "not yet located" Comment='EMC-SNAS:T5.4.2.9' if=dpdo:1 l=10.64.220.83 b=10.64.223.255 mac=0:0:92:a7:b0:24 FQDN=dpdovdm1.cifs.eng.fr (Updated to DNS)


Administración de interfaces de redEn Configuración y administración de EMC Celerra Networking, se proporciona información sobre la administración de interfaces de red.

Administración de DNS en un Data MoverDentro de un entorno Windows 2000 y Windows Server 2003, se requiere una configuración DNS en un Data Mover para agregar un nombre de equipo y unirlo a un dominio de Windows. Puede configurar un número ilimitado de dominios DNS por Data Mover, y cada dominio puede tener hasta tres servidores DNS.

En Configuring EMC Celerra Naming Services, se proporcionan procedimientos para configurar, iniciar, detener y administrar los servidores DNS.

Modificación de la configuración de CIFSDespués de crear la configuración CIFS inicial e iniciar el servicio CIFS, posiblemente necesite agregar o modificar varios elementos en la configuración de CIFS de un Data Mover.

Realice las siguientes tareas para agregar o modificar una configuración de CIFS:

u "Adición de un servidor WINS" en la página 11

u "Cambio de un nombre NetBIOS" en la página 12

u "Cambio de un nombre de equipo" en la página 13

u "Asignación de alias a nombres NetBIOS y nombres de equipos" en la página 14

u "Asociación de comentarios con servidores CIFS" en la página 17

u "Cambio de la contraseña del servidor CIFS" en la página 20

Nota: En Configuring and Managing CIFS on EMC Celerra, se explica cómo configurar servidores CIFS adicionales en un Data Mover.

Adición de un servidor WINSCelerra Network Server registra su nombre NetBIOS con el servidor Windows Internet Name Service (WINS) automáticamente. El servidor WINS distribuye el nombre NetBIOS a usuarios y proporciona la resolución de nombres NetBIOS de los usuarios y los equipos a las direcciones IP y al Data Mover. El servidor WINS no es obligatorio si la resolución de nombres se realiza por medio de DNS. No hay límite en relación con el número de servidores WINS que puede configurar para un Data Mover.

Si hay múltiples configuraciones CIFS (NetBIOS o nombre de equipo) en un Data Mover, tenga en cuenta la posibilidad de usar un servidor WINS por interfaz en lugar de por Data Mover. De esta forma, se elimina la posibilidad de que los clientes CIFS intenten resolver nombres NetBIOS del Data Mover no deseados sobre el servidor WINS.

Nota: Si solo hay un subconjunto alcanzado por cada interfaz IP, y el performance no es un problema, el servidor WINS no es obligatorio. Si hay más de un subconjunto, debe especificar un servidor WINS. No obstante, puede especificar más de un servidor WINS para proporcionar capacidades de networking más sólidas.

../Network/index.htm

../NameServices/index.htm


PrerrequisitoAntes de cambiar un nombre NetBIOS, agregue el nuevo nombre al dominio utilizando Windows NT Server Manager o el snap-in de MMC de Windows 2000 y Windows Server 2003 Users and Computers MMC.

Cambio de un nombre NetBIOSCuando cambia un nombre NetBIOS, el sistema hace lo siguiente:

u Suspende temporalmente la disponibilidad de NetBIOS y desconecta todos los clientes conectados a él.

u Actualiza los grupos locales relacionados con el nuevo nombre NetBIOS.

u Actualiza todos los recursos compartidos correspondientes al nuevo nombre NetBIOS.

u Mantiene la contraseña de la cuenta entre el servidor y el controlador de dominio.

u Anula el registro del nombre NetBIOS original y, a continuación, registra el nuevo nombre en todos los servidores WINS.

u Retiene todos los alias asociados con el nombre NetBIOS original.

u Reanuda la disponibilidad de NetBIOS con nombre cambiado.

En "Cambio de un nombre de equipo" en la página 13, se proporciona información sobre cómo cambiar el nombre de un equipo Windows 2000 o Windows 2003.

Acción

Para agregar un servidor WINS a la configuración CIFS a fin de que sea utilizada por todos los servidores CIFS de un Data Mover, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add wins=<ip_addr>[,wins=<ip_addr>,...]


<ip_addr> = dirección IP del servidor WINS

Nota: El sistema procesa una lista de servidores WINS en el orden en el que los agrega en la opción wins=, la primera es el servidor WINS de preferencia. Por ejemplo, si el tiempo de espera del servidor WINS finaliza después de 1.500 milisegundos, el sistema utiliza el siguiente servidor WINS de la lista. Utilice el parámetro wins.TimeOutMS para configurar el tiempo de espera de WINS.

Ejemplo:

Para agregar dos servidores WINS a server_2, escriba:$ server_cifs server_2 -add wins=172.31.255.255,wins=172.168.255.255

Salida

server_2: done

!PRECAUCIÓN!Los procedimientos server_cifs -Join y -Unjoin generan una nueva cuenta de equipo para el nombre de equipo, que ocasiona que el nombre del equipo pierda su cuenta original.

Cambio de un nombre de equipoEste procedimiento cambia el nombre de un Data Mover de Windows 2000 o Windows 2003 y preserva grupos locales, recursos compartidos y permisos de file systems para el nuevo nombre.

Acción

Para cambiar un nombre NetBIOS, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -rename -netbios <old_name> <new_name>


<old_name> = nombre del NetBIOS actual.

<new_name> = nombre del nuevo NetBIOS. Los nombres NetBIOS deben ser exclusivos y con un límite de 15 caracteres y no pueden comenzar con @ (arroba) ni - (guión). El nombre tampoco puede incluir espacios en blanco, caracteres de tabulación y los siguientes símbolos: / \ : ; , = * + | [ ] ? < > "

Ejemplo:

Para cambiar el nombre NetBIOS de dm102-cge0 a dm112-cge0 en server_2, escriba: $ server_cifs server_2 -rename -netbios dm102-cge0 dm112-cge0

Nota: El comando de cambio de nombre cambia el nombre NetBIOS del servidor, pero no el nombre de equipo de ese servidor.

Salida

server_2 : done

Paso Acción

1. Desuna el nombre de equipo original del dominio. Para ello, escriba:$ server_cifs server_2 -Unjoin compname=W2kTemp,domain=abc.com,admin=Administrator

2. Elimine el nombre de equipo de la configuración de CIFS del Data Mover. Para ello, escriba:$ server_cifs server_2 -delete compname=W2kTemp

3. Agregue el nombre de equipo nuevamente a la configuración de CIFS del Data Mover como un nombre NetBIOS. Para ello, escriba:$ server_cifs server_2 add NetBIOS=W2kTemp,domain=abc,interface=fsn01


Asignación de alias a nombres NetBIOS y nombres de equiposPuede asignar alias a nombres NetBIOS y nombres de equipos. Los alias proporcionan múltiples identidades alternativas para un determinado recurso.Los alias comparten el mismo conjunto de grupos locales y el nombre NetBIOS o nombre de equipo principal, dado que los alias actúan como nombres secundarios.

Un alias NetBIOS registra el nombre alternativo en WINS, no en DNS. Si desea que el alias NetBIOS aparezca en DNS, debe agregarlo a DNS.

El cliente se puede conectar con un alias a través de Network Neighborhood, Windows Explorer o mediante el uso de la ventana Map Network Drive.

Puede agregar alias a un servidor existente o al crear un nuevo servidor.

En función de los requisitos de Microsoft, los alias deben ser exclusivos en un dominio para el registro de WINS y la difusión de anuncios. Los alias también deben ser exclusivos en el mismo Data Mover para evitar conflictos de nombres de WINS.

Por motivos de performance, se recomienda que limite el número de alias a 10 por servidor CIFS.

Realice estas tareas para asignar alias:

u "Adición de un alias a un servidor CIFS" en la página 15

u "Adición de un alias NetBIOS al nombre NetBIOS" en la página 15

u "Eliminación de un alias de servidor CIFS" en la página 16

u "Eliminación de un alias NetBIOS" en la página 16

u "Visualización de alias" en la página 17

4. Cambie el nombre del servidor NetBIOS al nuevo nombre. Para ello, escriba:$ server_cifs server_2 rename -NetBIOS W2kTemp W2kProd

5. Elimine el nombre NetBIOS que cambió en el paso 4 de la configuración de CIFS del Data Mover. Para ello, escriba:$ server_cifs server_2 delete NetBIOS=W2kProd

6. Agregue el nuevo nombre de equipo a la configuración de CIFS y al dominio AD. Para ello, escriba:$ server_cifs server_2 add compname=W2kProd,domain=abc.com,interface=fsn01

7. Una el nuevo nombre de equipo a la configuración de CIFS y al dominio AD. Para ello, escriba:

$ server_cifs server_2 Join compname=W2kProd,domain=abc.com,admin=Administrator

Paso Acción

Adición de un alias a un servidor CIFS

Adición de un alias NetBIOS al nombre NetBIOS

Acción

Para agregar un alias a un servidor CIFS, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add compname=<comp_name>,domain=<full_domain_name>,alias=<alias_name>[,alias=<alias_name2>...]

donde:<movername> = nombre del Data Mover<comp_name> = nombre del servidor CIFS en el dominio designado<full_domain_name> = nombre de dominio completo para el entorno Windows, debe contener un punto (ejemplo: dominio.com)<alias_name> = alias para el nombre de equipo. El nombre de alias tiene un límite de 15 caracteres. No puede comenzar con el símbolo arroba (@) ni un guión (-) y tampoco puede incluir espacios, tabulaciones y los siguientes caracteres:/ \ : ; , = * + | [ ] ? < > "

Ejemplo:

Para declarar tres alias para el nombre de equipo big_comp, escriba:$ server_cifs server_2 -a compname=winserver1,domain=NASDOCS,alias=winserver1-a1,alias=winserver1-a2,alias=winserver-a3

Salida

server_2 : done

Acción

Para agregar un alias NetBIOS al nombre NetBIOS, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add netbios=<netbios_name>,domain=<domain_name>,alias=<alias_name>[,alias=<alias_name2>...]

donde:<movername> = nombre del Data Mover<netbios_name> = nombre NetBIOS para el servidor CIFS<domain_name> = nombre de dominio para el entorno Windows<alias_name> = alias para el nombre NetBIOS. El nombre de alias tiene un límite de 15 caracteres. No puede comenzar con el símbolo arroba (@) ni un guión (-) y tampoco puede incluir espacios, tabulaciones y los siguientes caracteres:/ \ : ; , = * + | [ ] ? < > "

Ejemplo:

Para declarar tres alias para NetBIOS dm102-cge0, escriba:$ server_cifs server_2 -a netbios=dm102-cge0,domain=NASDOCS,alias=dm102-cge0-a1,dm102-cge0-a2,dm102-cge0-a3

Salida

server_2: done

Eliminación de un alias de servidor CIFS

Eliminación de un alias NetBIOS

Acción

Para eliminar un alias de nombre de equipo, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -delete compname=<comp_name>,alias=<alias_name>[,alias=<alias_name2>,...]

donde:<movername> = nombre del Data Mover<comp_name> = nombre del servidor CIFS<alias_name> = alias para el nombre de equipo. El nombre de alias tiene un límite de 15 caracteres. No puede comenzar con el símbolo arroba (@) ni un guión (-) y tampoco puede incluir espacios, tabulaciones y los siguientes caracteres:/ \ : ; , = * + | [ ] ? < > "

PRECAUCIÓN!Si no especifica el nombre de alias en este comando, se eliminará toda la configuración de CIFS, según se identifica en su nombre de equipo.

Ejemplo:

Para eliminar el alias dm102-cge0-a1 asignado a winserver1, escriba:$ server_cifs server_2 -delete compname=winserver1,alias=winserver-a1

Salida

server_2: done

Acción

Para eliminar uno o más alias NetBIOS de un servidor CIFS, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -delete netbios=<netbios_name>,alias=<alias_name>[,alias=<alias_name2>,...]

donde:<movername> = nombre del Data Mover<netbios_name> = nombre NetBIOS para el servidor CIFS<alias_name> = alias para el nombre NetBIOS. El nombre de alias tiene un límite de 15 caracteres. No puede comenzar con el símbolo arroba (@) ni un guión (-) y tampoco puede incluir espacios, tabulaciones y los siguientes caracteres:/ \ : ; , = * + | [ ] ? < > "

PRECAUCIÓN!Si no especifica el nombre de alias en este comando, se eliminará toda la configuración de CIFS, según se identifica en su nombre NetBIOS.

Ejemplo:

Para eliminar el alias dm102-cge0-a2 asignado a dm102-cge0, escriba:$ server_cifs server_2 -delete netbios=dm102-cge0,alias= dm102-cge0-a2

Salida

server_2: done

Visualización de alias

Asociación de comentarios con servidores CIFSPuede asociar un comentario, encerrado entre comillas, con un servidor CIFS, utilizando el comando server_cifs -add. Los comentarios le permiten agregar información descriptiva a un servidor CIFS.

Realice estas tareas para asociar comentarios:

u "Adición de comentarios en Windows" en la página 18

u "Cambio de comentarios" en la página 19

u "Eliminación de comentarios" en la página 19

u "Visualización de comandos de CLI" en la página 19

u "Restricciones de comentarios para clientes Windows XP" en la página 20

Acción

Para enumerar los alias de un servidor, utilice la siguiente sintaxis de comandos:$ server_cifs <movername>


Ejemplo:

Para ver los alias de server_2, escriba:$ server_cifs server_2

Salida

CIFS Server (Default) dm102-cge0 [C1T1]Alias(es): dm102-cge0-a1,dm102-cge0-a2,dm102-cge0-a3Full computer name=dm2-cge0.c1t1.pt1.c3lab.nasdocs.emc.com realm=C1T1.PT1.C3LAB.NASDOCS.EMC.COMComment='EMC-SNAS:T5.2.7.2'if=cge0 l=172.24.100.55 b=172.24.100.255 mac=0:6:2b:4:0:7fFQDN=dm102-cge0.c1t1.pt1.c3lab.nasdocs.emc.com (Updated to DNS)

Adición de comentarios en Windows

Puede agregar comentarios al crear inicialmente el servidor CIFS o después de crearlo.

Soporte Unicode

Si está activado el soporte Unicode, -name y -comment aceptan cualquier carácter multibyte definido por el estándar Unicode 3.0. De lo contrario, estas opciones aceptan solo caracteres ASCII. La longitud del nombre del recurso compartido puede ser de hasta 12 caracteres, a menos que esté activo el soporte Unicode, en cuyo caso podrá ser de hasta 80 caracteres. Los nombres no pueden incluir los siguientes caracteres: /, \, %, ", NUL (carácter nulo), STX (inicio de encabezado), SOT (inicio de texto) y LF (salto de línea). Los nombres pueden incluir espacios y otros caracteres alfanuméricos, pero deben ir entre comillas si se utilizan espacios. No pueden comenzar con un - (guión). Distinguen entre mayúsculas y minúsculas. El límite de la longitud del comentario es de 256 caracteres. Un comentario no puede incluir los siguientes caracteres: NUL (carácter nulo), STX (inicio de encabezado) y SOT (inicio de texto). Los comentarios pueden incluir espacios y otros caracteres alfanuméricos, pero deben ir entre comillas si se utilizan espacios.

Acción

Para agregar comentarios en un entorno Windows NT, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add netbios=<netbios_name>,domain=<domain_name> -comment “<comment>”

Para agregar comentarios en un entorno Windows 2000, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add compname=<comp_name>,domain=<full_domain_name> -comment “<comment>”

Para agregar comentarios en un entorno Windows Server 2003, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add compname=<comp_name>,domain=<full_domain_name> -comment “<comment>”

donde:<movername> = nombre del Data Mover.<netbios_name> = nombre NetBIOS para el servidor CIFS. El nombre NetBIOS debe ser exclusivo y con un límite de 15 caracteres. No puede comenzar con @ (arroba) ni - (guión) ni puede incluir espacios, tabulaciones y los siguientes símbolos: / \ : ; , = * + | [ ] ? < > ".<comp_name> = servidor CIFS compatible con Windows 2000 o Windows Server 2003, puede tener hasta 63 caracteres UTF-8.<domain_name> = nombre de dominio para el entorno Windows<full_domain_name> = nombre de dominio completo para el entorno Windows, debe contener un punto (ejemplo: domain.com).<comment> = su comentario. Limite la longitud de los comentarios a 48 caracteres ASCII y enciérrelos entre comillas dobles. Actualmente, no se soportan caracteres internacionales para los comentarios.

• Caracteres restringidos: No se puede utilizar comillas dobles ("), puntos y coma (;), acentos (`) ni comas (,) dentro del cuerpo de un comentario. Si intenta utilizar estos caracteres especiales, aparecerá un mensaje de error. Además, solo se puede utilizar un signo de exclamación (!) si usa una comilla simple (’) como prefijo.

• Comentarios predeterminados: Si no agrega explícitamente un comentario, el sistema agrega un comentario predeterminado del tipo EMC-SNAS:T<x.x.x.x> donde <x.x.x.x> es la versión del software NAS.

Ejemplo:

Para agregar el comentario “EMC_Celerra_Network_Server” a server_2 en un entorno de Windows NT, escriba:$ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals -comment "EMC_Celerra_Network_Server"


Cambio de comentarios

Para cambiar un comentario, repita el comando server_cifs –add con el nuevo comentario. Puede advertir una demora en el cambio de comentario al explorar los equipos del dominio. Esta demora sucede cuando el Data Mover difunde su nombre y comentario aproximadamente cada 12 minutos (excepto al iniciarse, cuando los difunde cinco veces en el primer minuto).

Actualmente, no puede agregar ni cambiar comentarios mediante Server Manager o Computer Management MMC. Puede modificar comentarios solo mediante el comando server_cifs -add.

Eliminación de comentarios

Para borrar un comentario, ejecute el comando server_cifs -add con un comentario de un espacio, al igual que en el siguiente ejemplo:

$ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals -comment " "

Visualización de comandos de CLI

Puede ver un comentario de un servidor desde la CLI de Celerra Network Server. Además, los comentarios aparecen en determinadas partes de las distintas interfaces de Windows.

Visualización de comentarios desde Windows

Windows 2000, Windows Server 2003, Windows NT y Windows XP algunas veces usan comentarios en partes de la interfaz de Windows. Los comentarios pueden aparecer en las siguientes instancias:

u Como el nombre de las unidades de red asignadas en la ventana My Computer (Mi PC) o en el Explorador de Windows (solo Windows XP)

Acción

Para ver la información de configuración de server_2, escriba:$ server_cifs server_2

Salida

server_2 :32 Cifs threads startedSecurity mode = NT.(material eliminado).

DOMAIN CAPITALSSID=S-1-5-15-c6ab149b-92d87510-a3e900fb-ffffffff>DC=BOSTON(172.16.20.10) ref=2 time=0 msDC=NEWYORK(172.16.20.50) ref=1 time=0 ms

CIFS Server (Default) DM32-ANA0[CAPITALS] (Hidden)Alias(es): CFS32Comment=’EMCCelerraNetworkServer’if=ana0 l=172.16.21.202 b=172.16.21.255 mac=0:0:d1:1d:b7:25if=ana1 l=172.16.21.207 b=172.16.21.255 mac=0:0:d1:1d:b7:26

Nota: Cuando ve una configuración de servidor CIFS con el comando server_cifs de la CLI de Celerra Network Server, el comentario aparece con otra información sobre el servidor CIFS.

u Como el nombre de equipo en una ventana de dominio

Restricciones de comentarios para clientes Windows XP

Cuando cambia un comentario, el cambio se refleja solo en determinadas partes de la interfaz de Windows XP. Como el nombre de equipo en una ventana de dominio, el cambio se refleja inmediatamente en el cliente Windows XP. No obstante, en el Explorador de Windows XP, los nombres de las unidades de red asignadas no reflejan el cambio.

Cuando asigna por primera vez una unidad de red en un cliente Windows XP, el cliente almacena el comentario en el Registro local y muestra el comentario como el nombre de la unidad asignada. El cliente continúa utilizando el comentario almacenado como el nombre de unidad asignada hasta que cambia manualmente el Registro. Si cambia manualmente el nombre de la unidad de red asignada desde el Explorador de Windows o My Computer (Mi PC), el nombre cambiado se almacena en otra entrada del Registro, y el cliente utiliza este nombre hasta que se cambie nuevamente desde el Explorador o en el Registro.

Dadas las restricciones del cliente Windows XP anterior, se recomienda que configure el comentario como parte de la configuración inicial del servidor CIFS.

Cambio de la contraseña del servidor CIFSPor lo común, los equipos miembros de un Active Directory de Windows cambian la contraseña para su cuenta de dominio periódicamente (por ejemplo, cada 12 horas o 7 días).

Acción

Para restablecer la contraseña CIFS y las claves de encriptación, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -Join compname=<comp_name>, domain=<full_domain_name>,admin=<admin_name> -o resetserverpasswd

donde:<movername> = nombre del Data Mover.<comp_name> = nombre del servidor CIFS.<full_domain_name> = nombre de dominio completo para el entorno Windows, debe contener un punto (ejemplo: domain.com).<admin_name> = nombre de inicio de sesión del usuario con derechos administrativos en el dominio. El usuario debe escribir una contraseña para la cuenta de administrador.

Ejemplo:

Para restablecer la contraseña CIFS y las claves de encriptación para server_2, escriba:$ server_cifs server_2 -Join compname=winserver1,domain=nasdocs.emc.com,admin=compadmin -o resetserverpasswd

Salida

server_2: Enter Password: ******done

Nota

En "Cambio automático de la contraseña del equipo" en la página 70, se explica cómo configurar el intervalo de tiempo en el que el Data Mover cambia contraseñas con el controlador de dominio.

Nota: Al crear un servidor CIFS de modo Windows NT, se asigna una contraseña predeterminada. El Data Mover intenta cambiar la contraseña cuando se comunica con el controlador de dominio. Si el cambio de contraseña falla, el servidor CIFS continúa utilizando la contraseña predeterminada. Dado que la contraseña predeterminada es el nombre del servidor, debe restablecer la contraseña como se explica en "Cambio de la contraseña del servidor CIFS" en la página 20. Reinicie el servicio CIFS para forzar el Data Mover a que actualice la contraseña en su controlador de dominio. En "Detención del servicio de CIFS" en la página 41 y "Inicio del servicio CIFS" en la página 42, se explica el procedimiento.

Unión de servidores CIFS a dominios de WindowsEn esta sección, se describen los procedimientos para unir servidores CIFS a dominios de Windows en diferentes configuraciones.

Realice estas tareas para unir servidores CIFS a dominios de Windows:

u "Prerrequisitos" en la página 22

u "Unión de cuentas de equipo existentes" en la página 24

u "Delegación de unión" en la página 25

u "Creación y unión del servidor CIFS para el mismo namespace sin una unión delegada" en la página 27

u "Creación y unión del servidor CIFS para el mismo namespace y una unión delegada" en la página 29

u "Creación y unión del servidor CIFS para namespace desligado sin una unión delegada" en la página 31

u "Creación y unión de un servidor CIFS para un namespace desligado y una unión delegada" en la página 33

Al intentar resolver nombres NetBIOS del equipo en entornos con Windows 2000 o Windows Server 2003, es posible que Celerra Network Server intente resolver el nombre por medio de una difusión o mediante una consulta al servidor Windows Internet Name Service (WINS). Dado que los sistemas operativos de Windows limitan los nombres NetBIOS a 15 caracteres, la resolución de nombres por medio de difusión y consultas de WINS es posible solo para nombres de equipos con 15 caracteres o menos. Si especifica un nombre NetBIOS de más de 15 caracteres, se trunca. Los servidores de Windows NT se unen automáticamente a un dominio al crearse.

El método de autenticación del usuario para servidores CIFS en entornos Windows 2000 o Windows Server 2003 debe ser el modo Windows NT. El modo Windows NT es el método de autenticación de usuarios predeterminado.

Nota: Solo puede asignar un nombre de equipo y un nombre NetBIOS a un servidor CIFS. Si necesita asignar múltiples nombres de equipo o nombres NetBIOS a un servidor CIFS, debe crear alias. En "Asignación de alias a nombres NetBIOS y nombres de equipos" en la página 14, se proporciona más información.

Nota: Los nombres NetBIOS tienen un límite de 15 caracteres y no pueden comenzar con @ (arroba) ni - (guión). El nombre tampoco puede incluir espacios en blanco, caracteres de tabulación y los siguientes símbolos: / \ : ; , = * + | [ ] ? < > "


PrerrequisitosLos prerrequisitos de configuración están relacionados con los siguientes procedimientos:

u "Creación y unión del servidor CIFS para namespace desligado sin una unión delegada" en la página 31 (pasos 1 a 11)

u "Creación y unión de un servidor CIFS para un namespace desligado y una unión delegada" en la página 33 (pasos 1 a 14)

u "Creación y unión del servidor CIFS para el mismo namespace y una unión delegada" en la página 29 (pasos 12 a 14)

Los prerrequisitos de configuración incluyen los siguientes pasos:

u Los pasos 1 a 11 explican cómo configurar los permisos del nivel de dominio, que están basados en el artículo 258503 de Microsoft Knowledge Base: "DNS Registration Errors 5788 and 5789 when DNS Domain and Active Directory Domain Name Differ".

u Los pasos 11 a 14 muestran cómo crear una cuenta de equipo en el dominio AD.


Configuración de permisos de nivel de dominio

Paso Acción

1. Inicie el snap-in de Active Directory Users and Computers (Usuarios y equipos de Active Directory).

2. En el árbol de la consola, haga clic con el botón secundario en Active Directory Users and Computers (Usuarios y equipos de Active Directory) y seleccione Connect To Domain (Conectar a dominio).

3. En Domain (Dominio), escriba el nombre de dominio o haga clic en Browse (Examinar) para buscar el dominio en el cual permitir que el equipo utilice nombres DNS diferentes y haga clic en OK (Aceptar).

4. Haga clic con el botón secundario en Active Directory Users and Computers (Usuarios y equipos de Active Directory) y seleccione View (Ver) > Advanced Features (Funciones avanzadas).

5. Haga clic con el botón secundario en el nombre del dominio y seleccione Properties (Propiedades).

6. Haga clic en la ficha Security (Seguridad) y en Advanced (Avanzado).

7. Haga clic en Add (Agregar) y seleccione Self group (Auto grupo).

8. En la ficha Object (Objeto), en Apply onto (Aplicar en), seleccione Computer Objects (Objetos de equipo). En Permissions (Permisos), seleccione Validated write to DNS host name (Escritura validada para nombre de host de DNS) y Validated write to service principal name (Escritura validada para nombre de servicio principal).

9. En la ficha Properties (Propiedades), en Apply onto (Aplicar en), seleccione Computer Objects (Objetos de equipo).

10. En Permissions (Permisos), seleccione Write SPN (SPN de escritura) y Write dNSHostName (Nombre de host de DNS de escritura).

Nota: Al seleccionar o borrar Write dNSHostName (Nombre de host de DNS de escritura), el sistema selecciona o borra automáticamente Write dNSHostName Attributes (Atributos de nombre de host de DNS de escritura).

11. Haga clic en OK (Aceptar).

Nota: Los pasos 1 a 11 están basados en la interfaz de servidor Windows 2000 AD.

12. Para crear una cuenta de equipo en Active Directory, haga clic con el botón secundario en el contenedor en el que reside la cuenta y seleccione New (Nuevo) >Computer (Equipo).

a. En Computer Name (Nombre de equipo), escriba el nuevo nombre de la cuenta de equipo.

Nota: Puede configurar la operación de unión delegada aquí. En Figura 1 en la página 26, se proporcionan más detalles.

b. Haga clic en OK (Aceptar).


Unión de cuentas de equipo existentesCuando une un servidor CIFS a un dominio, Celerra Network Server:

u Busca una cuenta existente o crea una cuenta para el servidor CIFS en Active Directory y completa su configuración.

u Configura varios atributos en la cuenta de equipo, incluidos los atributos dnsHostName y servicePrincipalName.

Para unir cuentas de equipo existentes:

Creación y unión del servidor CIFS

Si está utilizando cuentas de equipo existentes al configurar servidores CIFS basados en Celerra, utilice este procedimiento para crear y unir el servidor CIFS.

Paso Acción

1. Si la cuenta del equipo Windows ya existe, Celerra Network Server comprueba el atributo servicePrincipalName para ver si el equipo ya está unido a la cuenta del equipo.

2. Si el atributo no está configurado, el Data Mover une el nuevo servidor CIFS a la cuenta existente. Si el atributo servicePrincipalName ya está configurado, el Data Mover emite un error y registra un mensaje que indica que la cuenta ya existe.

3. Si el atributo servicePrincipalName ya está configurado, aparece el siguiente mensaje de error durante la unión del dominio:

La cuenta ya existe.

Este error indica que la cuenta del equipo ya se unió a un dominio a través de un Data Mover u otro servidor.

4. Si aún desea unir el servidor CIFS a esta cuenta del equipo, puede volver a utilizar la cuenta escribiendo:

$ server_cifs server_2 -Join compname=dm32-ana0,domain=nsgprod.xyzcompany.com,admin=administrator -option reuse

Paso Acción

1. En Windows, vaya a Active Directory Users and Computers (Usuarios y equipos de Active Directory) y cree un nuevo equipo con el mismo nombre de equipo que utilizará para crear el servidor CIFS en el paso 2.

(Opcional) Si ya está delegando autoridad de unión, en User or Group, escriba o busque el usuario o grupo a quien desee delegar la autoridad de unión. En "Delegación de unión" en la página 25, se proporciona más información.

Nota: La cuenta del usuario debe pertenecer a un dominio en el mismo bosque de AD que el dominio al que se unirá el servidor CIFS.

2. Agregue el servidor CIFS al Data Mover con el comando server_cifs -add. En Tabla 11 en la página 73, se detalla la sintaxis que se usará para la relación de dominio aproximada.

3. Una el servidor CIFS al dominio con el comando server_cifs -Join. En Tabla 11 en la página 73, se detalla la sintaxis que se utilizará para la relación de dominio adecuada.


Delegación de uniónComo una alternativa a , la unión de un servidor CIFS por parte de un usuario predeterminado (miembro del grupo Domain Admins), donde el comando server_cifs -Join crea automáticamente una cuenta del equipo en Active Directory (AD), realice lo siguiente:

u Cree cuentas de equipo para servidores CIFS en Windows Active Directory.

u Delegue la autoridad para realizar la operación de unión a un usuario o grupo individual de otro dominio dentro del mismo bosque de AD.

Con estas opciones, la creación de cuentas de AD se puede separar de la acción de unión. Por lo tanto, una persona distinta de la que creó la cuenta en AD puede unir el servidor CIFS al dominio.

Adición del usuario que realiza la unión al grupo del administrador local

Cada servidor CIFS incluye un conjunto de grupos de usuarios incorporado: Administradores, Usuarios, Invitados, Nombres de energía, Operadores de cuentas, Operaciones de backup y Replicator. El grupo Administradores incluye los usuarios y grupos autorizados para administrar el servidor CIFS. De manera predeterminada, el grupo Administradores incluye una entrada para el grupo Administradores de dominio, que proporciona a cada miembro del grupo la autoridad para administrar el servidor CIFS.

Para agregar el usuario al grupo administrativo local a fin de que el usuario pueda administrar el servidor CIFS; configure el siguiente parámetro en 1:

cifs djAddAdminToLg=1

Puede hacerlo manualmente mediante MMC o automáticamente durante el proceso de unión del dominio.

Delegación de la autoridad de unión

Cuando delega autoridad de unión, cualquier usuario al que se proporcione autoridad puede unir el servidor CIFS a su dominio. El usuario no necesita permisos específicos de Windows, pero debe estar en el mismo bosque de AD que el servidor CIFS.

El EMC Celerra Network Server Parameters Guide proporciona información adicional sobre los parámetros de unión de dominio:

u djUseKpassword

u djAddAdminToLg

u djEnforceDhn.

Nota: Use djEnforceDhn como una medida temporal para los derechos de acceso, dado que el Data Mover autentica clientes Windows utilizando el modo NTLMSSP en lugar de Kerberos.



Tabla 2 en la página 26 muestra los valores del parámetro de unión de dominio que debe usar para realizar una unión delegada en el mismo dominio de AD de namespace o en uno desligado.

Los dominios del bosque que no tienen el mismo nombre de dominio jerárquico están en un árbol de dominio diferente. Cuando hay árboles de dominio diferentes en un bosque, los dominios de la raíz del árbol no son contiguos. El namespace desligado es la frase utilizada para describir la relación entre diferentes árboles de dominio del bosque.

Delegue la autoridad de unión al crear la cuenta del equipo en Active Directory, como se muestra en Figura 1 en la página 26.

Figura 1 Delegación de la autoridad de unión

Tabla 2 Combinaciones de parámetros de unión de dominio

djUseKpassword djAddAdminToLg djEnforceDhn

Unión delegada a

1 (predeterminado)

0 (predeterminado)

1 (predeterminado)

Miembro del grupo de administradores de dominio (predeterminado de Microsoft)

Cuenta de usuario de dominio

Grupo global de dominio

Grupo local de dominio 0


Creación y unión del servidor CIFS para el mismo namespace sin una unión delegadaRealice los siguientes procedimientos de adición y unión cuando:

u Los nombres de dominio de Active Directory y DNS sean iguales.

u Esté utilizando la cuenta de usuario predeterminada (miembro del grupo de administradores de dominio).

Realice estas tareas para los procedimientos de adición y unión:

u "Creación de un servidor CIFS para el mismo namespace sin una unión delegada" en la página 28

u "Unión de un servidor CIFS a un dominio de Windows para el mismo namespace sin una unión delegada" en la página 29

Creación de un servidor CIFS para el mismo namespace sin una unión delegada

Acción

Para crear el servidor CIFS para un entorno de Windows 2000 o Windows Server 2003 en el Data Mover, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add compname=<comp_name>,domain=<full_domain_name>[,hidden={y|n}][,netbios=<netbios_name>][,interface=<if_name>][,dns=<if_suffix>]

donde:<movername> = nombre del Data Mover o VDM.<comp_name> = servidor CIFS compatible con Windows 2000 o Windows Server 2003. <comp_name> puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS.

Nota: Cada <comp_name> dentro de Celerra Network Server debe ser exclusivo. Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM no pueden coexistir en el mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las interfaces. Los servidores CIFS de un VDM requieren interfaces especificadas. Si existe un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado.

<full_domain_name> = nombre completo del dominio para el entorno Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com o mydomain.).hidden={y|n}= de manera predeterminada, el nombre del equipo se muestra el Explorador de Windows. Si se especifica hidden=y, el nombre del equipo no aparece.<netbios_name> = (opcional) un nombre NetBIOS utilizado en lugar del nombre NetBIOS predeterminado. El nombre predeterminado se asigna automáticamente y se deriva de los primeros 15 caracteres del <comp_name>. Escriba un nombre NetBIOS opcional si los primeros 15 caracteres del <comp_name> no cumplen con las convenciones de asignación de nombres NetBIOS o si desea un nombre distinto del predeterminado.<if_name> = interfaz que utilizará el servidor CIFS que se está configurando. Si agrega un servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores CIFS en el Data Mover. Solo puede haber un servidor CIFS predeterminado por Data Mover.<if_suffix>= sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta a la configuración DNS del Data Mover.

Ejemplo:

Para crear el servidor CIFS dm32-ana0 en server_2, escriba:$ server_cifs server_2 -add compname=dm32-cge0,domain=universe.com,netbios=eng23b,interface=cge0

Salida

server_2 : done

Unión de un servidor CIFS a un dominio de Windows para el mismo namespace sin una unión delegada

Creación y unión del servidor CIFS para el mismo namespace y una unión delegadaRealice los siguientes procedimientos de adición y unión cuando:

u Los nombres de dominio de Active Directory y DNS sean iguales.

u Esté utilizando una cuenta de usuario delegada.


u "Creación de un servidor CIFS para el mismo namespace y una unión delegada" en la página 30

u "Unión de un servidor CIFS a un dominio de Windows para el mismo namespace y una unión delegada" en la página 31

Nota: Antes de realizar estas tareas, debe completar los pasos descritos en "Prerrequisitos" en la página 22 y "Delegación de unión" en la página 25.

Acción

Para unir el servidor CIFS al dominio de Windows, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -Join compname=<comp_name>,domain=<full_domain_name>,admin=<admin_name@domain_name>

donde:<movername> = nombre del Data Mover o VDM.<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name> puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS.Si el sufijo DNS primario del servidor CIFS es diferente del dominio de Windows, <comp_name> debe ser un nombre completamente calificado. Por ejemplo, si el dominio de Windows es win.com, el sufijo DNS primario es abc.net y el servidor CIFS es server1, el comando sería server_cifs <movername> -Join compname=server1.abc.net, domain=win.com.<full_domain_name> = nombre DNS para el dominio Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com).<admin_name@<domain_name> = nombre de inicio de sesión y nombre de dominio completo de un usuario con suficientes derechos para unir un servidor al dominio. Si omite @<domain_name>, el Data Mover supone que el usuario pertenece al dominio al que se unirá el servidor CIFS. El usuario debe ser de un dominio en el mismo bosque de AD.

Ejemplo:

Para unir el servidor CIFS dm32-ana0 al dominio universe.com, escriba:$ server_cifs server_2 -Join compname=dm32-cge0,domain=universe.com,admin=administrator

Salida Nota

server_2 : Enter Password: *******done

La cuenta y la contraseña de usuario se utilizan para crear la cuenta en Active Directory, y no se almacenan después de agregar la cuenta del equipo.

Creación de un servidor CIFS para el mismo namespace y una unión delegada

Acción



Nota: Cada <comp_name> dentro de Celerra Network Server debe ser único.

Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM no pueden coexistir en el mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las interfaces. Los servidores CIFS de un VDM requieren interfaces especificadas. Si existe un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado.

<full_domain_name> = nombre completo del dominio para el entorno Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com o mydomain.).hidden={y|n} = de manera predeterminada, el nombre del equipo se muestra en Windows Explorer. Si se especifica hidden=y, el nombre del equipo no aparece.<netbios_name> = (opcional) un nombre NetBIOS utilizado en lugar del nombre NetBIOS predeterminado. El nombre predeterminado se asigna automáticamente y se deriva de los primeros 15 caracteres del <comp_name>. Escriba un nombre NetBIOS opcional si los primeros 15 caracteres del <comp_name> no cumplen con las convenciones de asignación de nombres NetBIOS o si desea un nombre distinto del predeterminado.<if_name> = interfaz que utilizará el servidor CIFS que se está configurando. Si agrega un servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores CIFS en el Data Mover. Solo puede haber un servidor CIFS predeterminado por Data Mover.<if_suffix>= sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta a la configuración DNS del Data Mover.

Ejemplo:

Para crear el servidor CIFS dm32-ana0 en server_2, escriba:$ server_cifs server_2 -add compname=dm32-cge0,domain=universe.com,netbios=eng23b,interface=cge0

Salida

server_2 : done

Unión de un servidor CIFS a un dominio de Windows para el mismo namespace y una unión delegada

Creación y unión del servidor CIFS para namespace desligado sin una unión delegadaRealice los siguientes procedimientos de adición y unión cuando:

u Los nombres de dominio de Active Directory y DNS sean diferentes.

u Esté utilizando la cuenta de usuario predeterminada (miembro del grupo de administradores de dominio).


u "Creación de un servidor CIFS para un namespace desligado sin una unión delegada" en la página 32

u "Unión de un servidor CIFS a un dominio de Windows para un namespace desligado sin una unión delegada" en la página 33


Acción

Para unir el servidor CIFS al dominio de Windows, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -Join compname=<comp_name>,domain=<full_domain_name>,admin=<user_name@AD_name>

donde:<movername> = nombre del Data Mover o VDM.<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name> puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS.

Nota: Si el sufijo DNS primario del servidor CIFS es diferente del dominio de Windows, <comp_name> debe ser un nombre completamente calificado. Por ejemplo, si el dominio de Windows es win.com, el sufijo DNS primario es abc.net, y el servidor CIFS es server1, el comando sería server_cifs <movername> -Join compname=server1.abc.net,domain=win.com.

<full_domain_name> = nombre DNS para el dominio Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com).<user_name@<domain_name> = <user_name>[@AD_name>]= nombre de inicio de sesión del usuario delegado y el nombre del dominio de Active Directory.

Ejemplo:

Para unir el servidor CIFS dm32-ana0 al dominio universe.com, escriba:$ server_cifs server_2 -Join compname=dm32-cge0,domain=universe.com,[email protected]

Salida Nota

Creación de un servidor CIFS para un namespace desligado sin una unión delegada

Acción




Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM no pueden coexistir en el mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las interfaces. Los servidores CIFS de un VDM requieren interfaces especificadas. Si existe un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado.

<full_domain_name> = nombre completo del dominio para el entorno Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com o mydomain.).hidden={y|n}= de manera predeterminada, el nombre del equipo se muestra el Explorador de Windows. Si se especifica hidden=y, el nombre del equipo no aparece.<netbios_name> = (opcional) un nombre NetBIOS utilizado en lugar del nombre NetBIOS predeterminado. El nombre predeterminado se asigna automáticamente y se deriva de los primeros 15 caracteres del <comp_name>. Escriba un nombre NetBIOS opcional si los primeros 15 caracteres del <comp_name> no cumplen con las convenciones de asignación de nombres NetBIOS o si desea un nombre distinto del predeterminado.<if_name> = interfaz que utilizará el servidor CIFS que se está configurando. Si agrega un servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores CIFS en el Data Mover. Solo puede haber un servidor CIFS predeterminado por Data Mover.<if_suffix> = sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta a la configuración DNS del Data Mover.

Ejemplo:

Para crear el servidor CIFS dm32-ana0 en server_2, escriba:$ server_cifs server_2 -add compname=dm32-cge0, domain=universe.com,netbios=eng23b,interface=cge0,dns=nasdocs.emc.com

Salida

server_2 : done

Unión de un servidor CIFS a un dominio de Windows para un namespace desligado sin una unión delegada

Creación y unión de un servidor CIFS para un namespace desligado y una unión delegadaRealice los siguientes procedimientos de adición y unión cuando:

u Los nombres de dominio de Active Directory y DNS sean diferentes.

u Esté utilizando una cuenta de usuario delegada.


u "Creación de un servidor CIFS para un namespace desligado y una unión delegada" en la página 34

u "Unión de un servidor CIFS a un dominio de Windows para un namespace desligado y una unión delegada" en la página 35

Acción

Para unir el servidor CIFS al dominio de Windows, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -Join compname=<comp_name.FQDN>,domain=<full_domain_name>,admin=<admin_name@<domain_name>

donde:<movername> = nombre del Data Mover o VDM.<comp_name.FQDN> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name> puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS. Para namespaces desligados, debe escribir compname.FQDN. De lo contrario, no se actualizarán los atributos AD. Por ejemplo: compname=dm32-cge0.nasdocs.emc.com.


<full_domain_name> = nombre DNS para el dominio Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com).<admin_name@<domain_name> = nombre de inicio de sesión y nombre de dominio completo de un usuario con suficientes derechos para unir un servidor al dominio. Si omite @<domain_name>, el Data Mover supone que el usuario pertenece al dominio al que se unirá el servidor CIFS. El usuario debe ser de un dominio en el mismo bosque de AD.

Ejemplo:

Para unir el servidor CIFS dm32-ana0 al dominio universe.com, escriba:$ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com, domain=universe.com,admin=administrator

Salida Nota

Nota: Puede unir un servidor CIFS a un dominio en un entorno de Windows en el que el namespace de Active Directory recibe el nombre independientemente del namespace DNS.

Creación de un servidor CIFS para un namespace desligado y una unión delegada

Acción




Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM no pueden coexistir en el mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las interfaces, y los servidores CIFS de un VDM requieren interfaces específicas. Si existe un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado.

<full_domain_name> = nombre completo del dominio para el entorno Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com o mydomain).hidden={y|n}= de manera predeterminada, el nombre del equipo se muestra el Explorador de Windows. Si se especifica hidden=y, el nombre del equipo no aparece.<netbios_name> = (opcional) un nombre NetBIOS utilizado en lugar del nombre NetBIOS predeterminado. El nombre predeterminado se asigna automáticamente y se deriva de los primeros 15 caracteres del <comp_name>. Escriba un nombre NetBIOS opcional si los primeros 15 caracteres del <comp_name> no cumplen con las convenciones de asignación de nombres NetBIOS o si desea un nombre distinto del predeterminado.<if_name> = interfaz que utilizará el servidor CIFS que se está configurando. Si agrega un servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores CIFS en el Data Mover. Solo puede haber un servidor CIFS predeterminado por Data Mover.<if_suffix> = sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta a la configuración DNS del Data Mover.

Ejemplo:

Para crear el servidor CIFS dm32-ana0 en server_2, escriba:$ server_cifs server_2 -add compname=dm32-cge0, domain=universe.com,netbios=eng23b,interface=cge0,dns=nasdocs.emc.com

Salida

server_2 : done

Unión de un servidor CIFS a un dominio de Windows para un namespace desligado y una unión delegada

Administración de file systemsEn esta sección se describen conceptos y tareas asociados con la administración de file systems en un entorno de Windows de Celerra.

Realice estas tareas para administrar file systems:

u "Garantizar escrituras sincrónicas" en la página 35

u "Bloqueo oportunista de archivos" en la página 36

u "Notificación de cambio de archivos" en la página 37

Garantizar escrituras sincrónicasEsta opción de montaje especial garantiza que cualquier escritura en el file server se realice de manera sincrónica. Para Windows, es importante garantizar que esta opción esté especificada si se utilizará Celerra para almacenar determinados archivos de base de datos. Esta recomendación pretende evitar las posibilidades de pérdida de datos o corrupción de archivos en diversos escenarios de fallas, por ejemplo, la pérdida de energía.

Acción

Para unir el servidor CIFS al dominio de Windows, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -Join compname=<comp_name.FQDN>,domain=<full_domain_name>,admin=<user_name@AD_name>[,dns=<if_suffix>]

donde:<movername> = nombre del Data Mover o VDM<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. <comp_name> puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS. Para namespaces desligados, debe escribir compname.FQDN. De lo contrario, no se actualizarán los atributos AD. Por ejemplo: compname=dm32-cge0.nasdocs.emc.com.


<full_domain_name> = nombre DNS para el dominio Windows. <full_domain_name> debe incluir un punto (ejemplo: domain.com).<user_name@AD_name> = nombre de inicio de sesión del usuario delegado y el nombre del dominio de Active Directory.

Ejemplo:

Para unir el servidor CIFS dm32-ana0 al dominio universe.com, escriba:$ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com, domain=universe.com,[email protected]

Salida Nota

Bloqueo oportunista de archivosLos bloqueos oportunistas de archivos (oplocks) mejoran el performance de la red y permiten a los clientes CIFS almacenar en buffer localmente datos de archivos antes de enviarlos al servidor. Estos bloqueos se configuran por file system y están activados de manera predeterminada. A menos que utilice una aplicación de base de datos que recomiende la desactivación de oplocks, o si está administrando datos críticos y necesita evitar la pérdida de datos, deje oplocks activado.

Celerra Network Server soporta oplocks por batches, exclusivos y de nivel II y (el filtro de oplocks no se puede aplicar a un file server remoto) de las siguientes maneras:

u Oplocks de nivel II: Cuando se sostiene, un oplock de nivel II informa a un cliente que hay múltiples clientes actualmente accediendo a un archivo pero ninguno de ellos lo ha modificado aún. Un oplock de nivel II permite al cliente realizar una operación de lectura y búsquedas de atributos del archivo utilizando información local en caché o de lectura anticipada. Todas las otras solicitudes de acceso al archivo se deben enviar al servidor.

u Oplocks exclusivos: Cuando se sostiene, un oplock exclusivo informa a un cliente que es el único cliente que está abriendo el archivo. Un oplock exclusivo permite a un cliente realizar todas las operaciones de archivos mediante el uso de información en caché o de lectura anticipada hasta que cierra el archivo, momento en el que el servidor se debe actualizar con los cambios realizados al estado del archivo (contenido y atributos).

u Oplocks por batches Cuando se sostiene, un oplock por batches informa a un cliente que es el único cliente que está abriendo el archivo. Un oplock por batches permite a un cliente realizar todas las operaciones de archivos mediante el uso de información en caché o de lectura anticipada (incluidos apertura y cierre). El servidor puede conservar un archivo abierto para un cliente incluso a pesar de que el proceso local en la máquina del cliente haya cerrado el archivo. Este mecanismo reduce la cantidad de tráfico de red ahorrando a los clientes las molestas solicitudes de cierre y apertura.

Acción

Para montar un file system y garantizar escrituras sincrónicas, utilice la siguiente sintaxis de comandos:$ server_mount <movername> -o cifssyncwrite <fs_name> <mount_point>

donde:<movername> = nombre del Data Mover o VDM<fs_name> = nombre del file system que se monta<mount_point> = nombre del punto de montaje

Ejemplo:

Para montar el file system ufs1 con escrituras sincrónicas garantizadas, escriba:$ server_mount server_2 -o cifssyncwrite ufs1 /ufs1

Nota: No se recomienda utilizar la opción cifssyncwrite a menos que requiera acceso a la base de datos a través de Celerra Network Server.

Nota: Un <mount_point> debe comenzar con una barra diagonal (/).

Salida

server_2 : done

Desactivación de oplocks

Notificación de cambio de archivosLas aplicaciones que ejecutan plataformas Windows y utilizan la API Win32 se pueden registrar en el servidor CIFS (o SO local) para recibir una notificación si y cuando se tomen determinadas acciones contra el archivo o contenido del directorio (como creación de un archivo, cambio de nombre de un archivo, eliminación y demás). Por ejemplo, esta función puede indicar cuando se necesite actualizar una pantalla (Windows Explorer) o cuando se necesite actualizar la memoria caché (Microsoft Internet Information Server), sin tener que sondear constantemente el servidor CIFS (o SO local).

La API Win32 y, por lo tanto, el protocolo CIFS, soporta la posibilidad de especificar la raíz del árbol de directorios que requiere monitoreo. Si se especifica un subdirectorio, los cambios que sucedan por encima del directorio especificado no notificarán a la aplicación.

Para monitorear los cambios que sucedan en los directorios por debajo del directorio especificado, la aplicación también puede configurar el bit WatchSubTree. De manera predeterminada, se soporta el monitoreo de cambios que suceden en hasta 512 niveles de directorio por debajo de la raíz. Después de recibir una respuesta a la notificación de cambios, la aplicación debe volver a ejecutar o restablecer el proceso de monitoreo para recibir notificaciones sobre otras modificaciones.

Nota: Los cambios también se pueden almacenar en buffer y la notificación se puede llevar a cabo a través de una única respuesta al cliente que solicita el monitoreo.

Acción

Para desactivar oplocks para un file system específico, utilice la siguiente sintaxis de comandos:$ server_mount <movername> -o nooplock <fs_name> <mount_point>


Ejemplo:

Para montar el file system ufs1 con oplocks desactivados, escriba:$ server_mount server_2 -o nooplock ufs1 /ufs1

Nota: El performance puede llegar a disminuir mucho si se desactivan los oplocks.


PRECAUCIÓN!En una red de Microsoft, los bloqueos oportunistas pueden generar pérdida de datos si un cliente Windows o servidor Windows falla o si se presenta un problema en la red.

Salida

server_2 : done

Realice estas tareas para configurar la notificación de cambios de archivos:

u "Configuración de la notificación de cambios de archivos" en la página 38

u "Configuración de otras opciones de notificación de cambios de archivos" en la página 39

LimitacionesA continuación se incluyen las limitaciones para el uso de la notificación de cambios de archivos:

u La notificación de cambios de archivos solo se puede utilizar en un entorno CIFS puro. Por lo tanto, los cambios en los archivos o directorios no se notificarán si se realizan desde clientes NFS, FTP o MPFS.

u Esta funcionalidad solo se soporta cuando se configura el método de autenticación de usuario en el Data Mover en NT.

Configuración de la notificación de cambios de archivos

La opción de notificación está automáticamente activada de manera predeterminada. Se recomienda desactivar la opción de notificación si tiene problemas de performance.

Acción

Para desactivar la función de notificación de un file system, utilice la siguiente sintaxis de comandos:$ server_mount <movername> -o nonotify <fs_name> <mount_point>


Nota: Se debe abrir un archivo de directorio antes de utilizar este comando.


Ejemplo:

Para desactivar la función de notificación para el file system ufs1 en server_2, escriba:$ server_mount server_2 -o nonotify ufs1 /ufs1

Salida

server_2 : done

Configuración de otras opciones de notificación de cambios de archivos

Además, puede configurar opciones de notificación según se explica en Tabla 3 en la página 39.

Re-exportación de todos los file systems de CelerraPuede volver a exportar todos los file systems de Celerra de una vez desde Celerra Network Server mientras se está ejecutando el file server. La operación vuelve a exportar todas las entradas en la tabla de exportación del file server. Puede utilizar esta función para volver a exportar file systems cuya exportación ha anulado temporalmente.

Tabla 3 Opciones de notificación de cambio de archivos

Opción Descripción Ejemplo

triggerlevel=<value> Especifica la cantidad de niveles de directorio debajo del directorio monitoreado que se monitorean en busca de cambios.

<value> debe estar en formato hexadecimal.

Valor predeterminado: 512 niveles (0x00000200)

El siguiente ejemplo muestra una configuración de hasta 15 niveles de directorio:$ server_mount server_2 -o “triggerlevel=0x0000000f” ufs1 /ufs1

notifyonwrite Proporciona una notificación del acceso de escritura a un file system.

Valor predeterminado: desactivado

El siguiente ejemplo activa notifyonwrite:$ server_mount server_2 -o notifyonwrite ufs1 /ufs1

Esta opción resulta útil cuando se deba notificar una aplicación acerca de las escrituras de archivos antes de cerrar el archivo.

notifyonaccess Proporciona una notificación del tiempo de acceso de una modificación.

Valor predeterminado: desactivado

El siguiente ejemplo activa notifyonaccess y notifyonwrite:$ server_mount server_2 -o notifyonaccess,notifyonwrite ufs1 /ufs1

Nota: Las opciones notifyonwrite y notifyonaccess están desactivadas de manera predeterminada, por motivos de performance.

Acción

Para volver a exportar todos los file systems de Celerra exportados desde Celerra Network Server, utilice la siguiente sintaxis de comandos:$ server_export ALL -all


Salida

server_2 : doneserver_3 : doneserver_4 : done

Desactivación del acceso a todos los file systems en un Data Mover

Detención del servicio de CIFS

Acción

Para desactivar temporalmente todo el acceso a todos los file systems en un Data Mover, utilice la

siguiente sintaxis de comandos:$ server_export <movername> -unexport -perm -all


Ejemplo:

Para desactivar de forma permanente todo el acceso a todos los file systems en server_3, escriba:$ server_export server_3 -unexport -perm -all

PRECAUCIÓN!Esta operación elimina el contenido de la tabla de exportación y evita todo el acceso de clientes a file systems en el Data Mover. Para volver a establecer el acceso del cliente a file systems en el file server, debe volver a crear la tabla de exportación. Para ello, vuelva a exportar todos los recursos compartidos de CIFS y todos los paths NFS en el Data Mover.

Salida

server_3: done

Acción

Para detener el servicio CIFS de un Data Mover, utilice la siguiente sintaxis de comandos:$ server_setup <movername> -P cifs -option stop


Ejemplo:

Para detener el servicio CIFS en server_2, escriba:$ server_setup server_2 -P cifs -o stop

!PRECAUCIÓN!La detención del servicio CIFS en un Data Mover prohíbe a los usuarios acceder a todos los servidores CIFS en ese Data Mover.

Salida

server_2: done

Inicio del servicio CIFS

Eliminación de un servidor CIFSEn esta sección, se describe cómo eliminar un servidor CIFS de una configuración de Data Mover en un entorno Windows 2000, Windows Server 2003 y Windows NT.

Realice estas tareas para eliminar un servidor CIFS:

u "Eliminación de un servidor CIFS en un entorno Windows 2000 o Windows Server 2003" en la página 43

u "Eliminación de un servidor CIFS en un entorno Windows NT" en la página 43

PrerrequisitoAntes de eliminar un servidor CIFS de un Data Mover, asegúrese de que no haya sesiones activas asociadas con el servidor CIFS. Utilice las herramientas de administración de servidores (MMC o Server Manager) para cerrar todas las sesiones activas.

Si hay escrituras en proceso durante la eliminación de un servidor CIFS (Windows 2000, Windows 2003 o Windows NT), se pueden perder datos. Antes de realizar este procedimiento, notifique a todos los usuarios, con anticipación, que el servidor CIFS ya no estará disponible.

Acción

Para iniciar el servicio CIFS, utilice la siguiente sintaxis de comandos:$ server_setup <movername> -P cifs -o start[=<n>]

donde:<movername> = nombre del Data Mover-P cifs -o start = activa la configuración del protocolo para el Data Mover[=<n>] = cantidad de procesos para toda la actividad de CIFS en el Data Mover, no la cantidad de procesos por servidor CIFS. La cantidad predeterminada de procesos de CIFS depende del tamaño de la memoria del Data Mover. Si el tamaño de la memoria es menor a 1 GB, el valor predeterminado es 32 procesos. Para 510 Data Movers y sistemas Celerra serie NS con 3 GB o más de memoria, la cantidad predeterminada de procesos es 256.

Ejemplo:

Para iniciar el servicio CIFS en server_2, escriba:$ server_setup server_2 -P cifs -o start

Salida

server_2 : done

Eliminación de un servidor CIFS en un entorno Windows 2000o Windows Server 2003

Eliminación de un servidor CIFS en un entorno Windows NT

Activación de directorios principalesLa función de directorio principal de Celerra permite crear un único recurso compartido, llamado HOME, al que se pueden conectar los usuarios. No es necesario crear recursos compartidos individuales para cada usuario.

La función de directorio principal simplifica la administración de recursos compartidos personales y el proceso de conexión con ellos, permitiéndole asociar un nombre de usuario con un directorio que luego actúa como el directorio principal del usuario. El directorio principal se asigna en un perfil de usuario de modo que, al iniciar sesión, el directorio principal se conecta automáticamente con una unidad de red.

En sistemas de servidores Windows 2000 y Windows 2003, se puede activar y administrar directorios principales por medio del snap-in de administración de directorios principales de Celerra para MMC. En Installing Celerra Management Applications, se proporciona información sobre cómo instalar el snap-in. La ayuda en línea del snap-in describe los procedimientos para la activación y administración de directorios principales.

Paso Acción

1. Desuna el equipo del dominio utilizando la siguiente sintaxis de comandos:$ server_cifs <movername> -Unjoin compname=<comp_name>,domain=<full_domain_name>

donde:<movername> = nombre del Data Mover<comp_name> = nombre del equipo del servidor CIFS<full_domain_name> = nombre de dominio completo para el entorno Windows, debe contener un punto (ejemplo: domain.com)

2. Quite el servidor CIFS utilizando la siguiente sintaxis de comandos:$ server_cifs <movername> -delete compname=<comp_name>

donde:<movername> = nombre del Data Mover<comp_name> = nombre del equipo del servidor CIFS

Paso Acción

1. Quite el servidor CIFS utilizando la siguiente sintaxis de comandos:$ server_cifs <movername> -delete netbios=<netbios_name>

donde:<movername> = nombre del Data Mover<netbios_name> = nombre NetBIOS para el servidor CIFS

Nota: Este comando no elimina la entrada NetBIOS del PDC (controlador de dominio primario).

Nota: Si un sistema cliente (como Citrix Metaframe o Windows Terminal Server) soporta más de un usuario de Windows al mismo tiempo y almacena en la memoria caché información de acceso a archivos, es posible que la función de directorio principal de Celerra no funcione de la forma deseada. Con la capacidad de directorio principal de Celerra, el path al directorio principal de cada usuario es el mismo desde la perspectiva de un cliente Celerra. Por ejemplo, si un usuario escribe en un archivo en el directorio principal y luego otro usuario lee un archivo en él, la solicitud del segundo usuario se completa utilizando los datos en memoria caché del directorio principal del primer usuario. Dado que los archivos tienen el mismo path, el sistema cliente supone que son el mismo archivo.

Realice las siguientes tareas para activar el directorio principal:

1. "Creación de la base de datos" en la página 45

2. "Activación de directorios principales en el Data Mover" en la página 45

3. "Creación del archivo de directorio principal" en la página 45

4. "Adición de directorios principales a perfiles de usuario" en la página 46

Nota: La función de directorio principal está desactivada de manera predeterminada.

Nota: Debe haber creado e iniciado el servicio CIFS antes de activar el directorio principal.

En sistemas de servidores Windows 2000 y Windows 2003, se puede activar y administrar directorios principales por medio del snap-in de administración de directorios principales de Celerra para MMC. En Installing Celerra Management Applications, se proporciona información sobre cómo instalar el snap-in. La ayuda en línea del snap-in describe los procedimientos para la activación y administración de directorios principales.

Restricciones para usar el directorio principalEl nombre de recurso compartido especial HOME se reserva para la función de directorio principal. Dada esta limitación, se aplican las siguientes restricciones:

u La función de directorio principal no está disponible en servidores CIFS configurados con seguridad de nivel SHARE o UNIX.

u Si ha creado un recurso compartido denominado HOME, no podrá activar la función de directorio principal.

u Si ha activado la función de directorio principal, no puede crear un recurso compartido llamado HOME.

Un directorio principal se configura en el perfil de usuario de Windows de un usuario utilizando el path UNC:

\\<cifs_server>\HOME

donde:

<cifs_server> = dirección IP, nombre del equipo o nombre NetBIOS del servidor CIFS.

HOME = un recurso compartido especial reservado para la función de directorio principal. Cuando se utiliza HOME en el path del directorio principal de un usuario y el usuario inicia sesión, el directorio principal del usuario se asigna automáticamente a una unidad de red, y las variables de entorno HOMEDRIVE, HOMEPATH y HOMESHARE se configuran automáticamente.

Creación de la base de datos

Activación de directorios principales en el Data Mover

Creación del archivo de directorio principalNecesita crear un directorio principal para cada usuario especificado en la base de datos. Puede crear los directorios seleccionando la opción -create al crear o modificar entradas del directorio principal. La ayuda en línea del plug-in de MMC de administración de Celerra proporciona más información sobre la creación automática de directorios. En "Apéndice A: Información adicional del directorio principal" en la página 82, se proporciona más información sobre el archivo de la base de datos del directorio principal.

Paso Acción

1. Cree un archivo de base de datos llamado homedir para utilizar la función de directorio principal. Asigna cada combinación de dominio o nombre de usuario a la ubicación del directorio principal del usuario.

2. Cree una nueva base de datos en el Data Mover durante la creación de la entrada inicial utilizando el snap-in de MMC del directorio principal.

Nota: Se recomienda usar el plug-in de MMC de administración de Celerra para crear y modificar entradas del directorio principal del usuario. El plug-in de MMC valida las entradas a medidas que las escribe. Si crea o modifica el archivo homedir y escribe una entrada incorrecta, es posible que el entorno del directorio principal se vuelva inutilizable.

Acción

Para activar directorios principales en el Data Mover después de crear la base de datos, escriba:$ server_cifs <movername> -option homedir


Salida

server_2 : done

Acción

Para activar directorios principales en el Data Mover, escriba:$ server_cifs <movername> -option homedir


Salida

server_2 : done

Adición de directorios principales a perfiles de usuario

Realice estas tareas para agregar directorios principales para perfiles de usuario:

u "Adición de directorios principales desde Windows 2000 o Windows Server 2003" en la página 47

u "Adición de directorios principales desde Windows NT" en la página 48

u "Adición de directorios principales con expresiones regulares" en la página 48

Acción

Para permitir que los usuarios accedan a directorios principales individuales, debe asignar el directorio principal en cada perfil de usuario con el siguiente path:\\<cifs_server>\HOME

donde:<cifs_server> = dirección IP, nombre del equipo o nombre NetBIOS del servidor CIFS

HOME = nombre de recurso compartido especial reservado para la función de directorio principal


Adición de directorios principales desde Windows 2000 o Windows Server 2003

Paso Acción

1. Inicie sesión en un servidor Windows desde una cuenta de administrador de dominio.

2. Haga clic en Start (Inicio) y seleccione Programs (Programas) > Administrative Tools (Herramientas administrativas) > Active Directory Users and Computers (Usuarios y equipos de Active Directory).

3. Haga clic en Users (Usuarios) para mostrar los usuarios en el panel de la derecha.

4. Haga clic con el botón secundario en un usuario y seleccione Properties (Propiedades). Aparecerá la ventana Sample User Properties (Propiedades de usuario de ejemplo).

5. Haga clic en la ficha Profile (Perfil) y en Home folder (Carpeta principal):

a. Seleccione Connect (Conectar).

b. Seleccione la letra de unidad que desea asignar al directorio principal.c. En To (A), escriba:


donde:




Adición de directorios principales desde Windows NT

Adición de directorios principales con expresiones regulares

Paso Acción


2. Haga clic en Start (Inicio) y seleccione Programs (Programas) > Administrative Tools (Herramientas administrativas) > User Manager for Domains (Administrador de usuarios para dominios).

Aparecerá el User Manager for Domains (Administrador de usuarios para dominios).

3. Haga doble clic en un nombre de usuario.

Aparecerá la ventana Sample User Properties (Propiedades de usuario de ejemplo).

4. Haga clic en Profile (Perfil).

Aparecerá el cuadro de diálogo User Environment Profile (Perfil de entorno de usuario).

5. En Home Directory (Directorio principal):

a. Seleccione Connect (Conectar).

b. Seleccione la letra de unidad que desea asignar al directorio principal.c. En To (A), escriba:


donde:



Paso Acción


2. Haga clic en Start (Inicio) y seleccione Programs (Programas) > Administrative Tools (Herrramientas administrativas) > Celerra Management.

Objetos de política de grupoLas siguientes secciones presentan los GPOs de Microsoft y cómo Celerra Network Server proporciona soporte de GPO. Además, en esta sección, se aborda la administración del soporte de GPO en Celerra Network Server.

Realice estas tareas para administrar el soporte de GPO:

u "Visualización de la configuración del GPO" en la página 55

3. Haga clic con el botón secundario en el icono de la carpeta HomeDir y seleccione New > home directory entry (Nueva > entrada de directorio principal). Aparecerá la pantalla de propiedades del directorio principal.

4. a. En Domain (Dominio), escriba una expresión regular. En este ejemplo, la expresión coincide con cualquier nombre de dominio que comience con DOC.

b. En User (Usuario), escriba una expresión regular. En este ejemplo, el asterisco abarca cualquier nombre de usuario.

c. En Path (Ruta), escriba:\homedirs\

En este ejemplo, homedirs es el recurso compartido donde se almacenan los directorios principales.

 es el nombre de inicio de sesión del usuario. Se creará un directorio con el mismo nombre del nombre de inicio de sesión del usuario, si es que ya no existe.


Paso Acción


u "Actualización de la configuración del GPO" en la página 58

u "Desactivación del soporte de GPO" en la página 59

u "Desactivación del almacenamiento en memoria caché del GPO" en la página 60

Introducción a GPO de MicrosoftEn Windows 2000 o Windows Server 2003, los administradores pueden utilizar la política de grupo para definir las opciones de configuración para los grupos de usuarios y computadoras. Los GPOs de Windows pueden controlar elementos como la configuración local, de dominio y de seguridad de red. La configuración de Política de grupo se almacena en GPOs vinculados a los contenedores del sitio, el dominio y la unidad organizacional (OU) en Active Directory. Los controladores de dominio replican GPOs en todos los controladores de dominio dentro de él.

Política de auditoría es un componente del snap-in de Data Mover Security Settings que se instala como un snap-in de Microsoft Management Console (MMC) en Celerra Management Console en un sistema Windows 2000 y Windows Server 2003. En Installing Celerra Management Applications, se proporcionan instrucciones de instalación.

Puede utilizar políticas de auditoría para determinar los eventos de seguridad del Data Mover que se registran en el log Security. Puede registrar intentos exitosos, intentos fallidos, ambos o ninguno. Los eventos auditados se ven en el log Seguridad del Visor de sucesos de Windows.

Las políticas de auditoría que aparecen en el nodo Audit Policy son un subconjunto de las políticas disponibles como GPOs en Active Directory Users and Computers (Usuarios y equipos de Active Directory). Estas políticas de auditoría son políticas locales y se aplican solo al Data Mover seleccionado. No puede usar el nodo Audit Policy para administrar las políticas de auditoría de GPO.

Si se define una política de auditoría como GPO en ADUC, la configuración de GPO anula la configuración local. Cuando el administrador de dominio cambia una política de auditoría en el controlador de dominio, ese cambio se refleja en el Data Mover y se puede ver utilizando el nodo Audit Policy. Puede cambiar la política de auditoría local, pero no entrará en vigencia hasta que se desactive el GPO para esa política de auditoría. Si se desactiva la auditoría, la configuración de GPO permanece en la columna de configuración Effective.

Nota: No puede utilizar las herramientas de Configuración de directiva local de Microsoft Windows para administrar políticas de auditoría en un Data Mover, dado que en Windows 2000, Windows Server 2003 y Windows XP, las herramientas de configuración de directiva local no permiten administrar políticas de auditoría de manera remota.

Soporte GPO en Celerra Network ServerCelerra Network Server proporciona soporte para GPOs recuperando y almacenando una copia de la configuración del GPO para cada servidor CIFS unido a un dominio de Windows 2000 o Windows Server 2003. Celerra Network Server almacena la configuración del GPO en una memoria caché de GPO del Data Mover. Si bien es posible que haya múltiples servidores CIFS en un Data Mover, solo hay una memoria caché de GPO por Data Mover.



Cuando inicia el servicio CIFS en un Data Mover, Celerra Network Server lee la configuración almacenada en la memoria caché del GPO y luego recupera la configuración del GPO más reciente del controlador de dominio de Windows. Celerra Network Server también recupera la configuración del GPO siempre que un servidor CIFS de Celerra se une a un dominio con el comando server_cifs -Join.

Después de recuperar la configuración del GPO, Celerra Network Server actualiza automáticamente la configuración en función del intervalo de actualización del dominio. Si el intervalo de actualización no se define en el dominio, actualiza esta configuración cada 90 minutos (valor predeterminado de actualización del Data Mover).

Puede forzar una actualización en cualquier momento ejecutando el comando server_security. En "Actualización de la configuración del GPO" en la página 58, se proporcionan instrucciones.

Configuración soportadaCelerra Network Server soporta actualmente la siguiente configuración de seguridad del GPO:

Kerberos

u Tolerancia máxima para la sincronización de relojes de computadoras (desviación del reloj)

Nota: La sincronización de la hora se realiza por Data Mover, no por servidor CIFS. Si configura múltiples servidores CIFS en un Data Mover para múltiples dominios, todos los orígenes de hora de estos dominios se deben sincronizar.

u Vida máxima para ticket de usuario

Política de auditoría

u Auditar sucesos de inicio de sesión de cuenta.

u Auditar la administración de cuentas.

u Auditar el acceso del servicio de directorio.

u Auditar sucesos de inicio de sesión.

u Auditar el acceso a objetos.

u Auditar el cambio de directivas.

u Auditar el uso de privilegios.

u Auditar el seguimiento de procesos.

u Auditar sucesos del sistema.

Derechos de usuario

u Tener acceso a este equipo desde la red.

u Hacer copias de seguridad de archivos y directorios.

u Omitir comprobación de recorrido.

u Denegar el acceso desde la red a este equipo.

u Comprobación de virus de EMC.

u Generar auditorías de seguridad.


u Administrar registro de seguridad y auditoría.

u Restaurar archivos y directorios.

u Tomar posesión de archivos y otros objetos.

Opciones de seguridad

u Firmar digitalmente las comunicaciones del cliente (siempre).

u Firmar digitalmente las comunicaciones del cliente (cuando sea posible).

u Firmar digitalmente las comunicaciones del servidor (siempre).

u Firmar digitalmente las comunicaciones del servidor (cuando sea posible).

u Nivel de autenticación de LAN Manager.

Registros de eventos

u Tamaño máximo del registro de la aplicación.

u Tamaño máximo del registro de seguridad.

u Tamaño máximo del registro del sistema.

u Restringir el acceso de invitados al registro de la aplicación.

u Restringir el acceso de invitados al registro de seguridad.

u Restringir el acceso de invitados al registro del sistema.

u Conservar el registro de aplicaciones.

u Conservar el registro de seguridad.

u Conservar el registro del sistema.

u Método de retención del registro de la aplicación.

u Método de retención del registro de seguridad.

u Método de retención del registro del sistema.

Política de grupo

u Desactivación de la actualización en segundo plano de la política de grupo.

u Intervalo de actualización de la directiva de grupo para usuarios.

Múltiples servidores CIFS en un Data MoverLos servidores CIFS en un Data Mover pueden tener configuraciones del GPO diferentes si pertenecen a unidades organizacionales separadas. Cuando un Data Mover tiene más de un servidor CIFS, el sistema procesa la auditoría del GPO y la configuración del log de eventos, según se explica en la Tabla 4 en la página 53.

Las políticas de auditoría se resuelven mediante la combinación de la configuración de múltiples servidores en el Data Mover y el uso de la configuración más segura. Los servidores CIFS se procesan en el orden en que se unieron al dominio.

Las políticas del log de eventos se resuelven utilizando la configuración más segura de todas las configuraciones relacionadas en el servidor CIFS. Por ejemplo, para la configuración del tamaño máximo del log de aplicaciones, el sistema busca en la configuración del tamaño del log de cada servidor en el Data Mover y utiliza luego el tamaño más grande.


Tabla 4 Configuración del GPO que requiere resolución de conflictos (página 1 de 2)

Nombre de la configuración

Compartido enel servidor CIFS (Sí/No)

Requiere resolución de conflictos (Sí/No)

Valores posibles

Auditoría:

Audit account logon events (Auditar sucesos de inicio de sesión de cuenta)

Sí Sí “No Audit” (No hay auditoría), “Success” (Correcto), “Failure” (Error), “Success, Failure” (Correcto, erróneo)

Audit account management (Auditarla administración de cuentas)


Audit directory service access (Auditar el acceso del servicio de directorio)


Audit logon events (Auditar sucesosde inicio de sesión)


Audit object access (Auditar el acceso a objetos)


Audit policy change (Auditar el cambio de directivas)


Audit privilege use (Auditar el uso de privilegios)


Audit process tracking (Auditar el seguimiento de procesos)


Audit system events (Auditar sucesos del sistema)


Registros de eventos:

Maximum application log size (Tamaño máximo del registro de la aplicación)

Sí Sí 64 - 4194240

Maximum security log size (Tamaño máximo del registro de seguridad)

Sí Sí 64 - 4194240

Maximum system log size (Tamaño máximodel registro del sistema)

Sí Sí 64 - 4194240


Restrict guest access to application log (Restringir el acceso de invitados al registro de la aplicación)

Sí Sí “Enabled” (Activado), “Disabled” (Desactivado)

Restrict guest access to security log (Restringir el acceso de invitados al registro de seguridad)


Restrict guest access to system log (Restringir el acceso de invitados al registro del sistema)


Retain application log (Conservar el registrode aplicaciones)

Sí Sí “Overwrite events by days” (Sobrescribir sucesos por días), “Overwrite events as needed” (Sobrescribir sucesos cuando sea necesario), “Do not overwrite events” (No sobrescribir sucesos)

Retain security log (Conservar el registrode seguridad)


Retain system log (Conservar el registrodel sistema)


Retention method for application log (Método de retención del registro de la aplicación)

Sí Sí 0 - 365

Retention method for security log (Métodode retención del registro de seguridad)

Sí Sí 0 - 365

Retention method for system log (Método de retención del registrodel sistema)

Sí Sí 0 - 365

Tabla 4 Configuración del GPO que requiere resolución de conflictos (página 2 de 2)

Nombre de la configuración

Compartido enel servidor CIFS (Sí/No)

Requiere resolución de conflictos (Sí/No)

Valores posibles


Visualización de la configuración del GPO

Acción

Para mostrar la configuración del GPO actual para el Data Mover, utilice la siguiente sintaxis de comandos:$ server_security ALL -info -policy gpo

donde:ALL = todos los Data Movers

Ejemplo:

Para mostrar la configuración del GPO para todos los servidores CIFS en todos los Data Movers, escriba:$ server_security ALL -info -policy gpo

Nota: Si un Data Mover no tiene ningún servidor CIFS unido a un dominio de Windows, el comando server_security -info -policy gpo devuelve el siguiente mensaje de error: gpod isn’t running

Nota: Cuando una configuración de derechos de usuarios (como la toma de propiedad de archivos u otro objeto) está vacía, se configura, pero no se asigna a nadie para que tome la propiedad de los archivos u objetos.


Salida

server_2:Server compname: k10eqa19s2Server NetBIOS: K10EQA19S2Domain: dvt_f.celerraqa.emc.comKerberos Max Clock Skew (minutes): 5Digitally sign client communications (always): Not definedDigitally sign client communications (if server agrees): EnabledDigitally sign server communications (always): Not definedDigitally sign server communications (if client agrees): EnabledAudit account logon events: SuccessAudit account logon events server list: k10eqa19s2Audit account management: No auditingAudit account management server list: k10eqa19s2Audit directory service access: FailureAudit directory service access server list: k10eqa19s2Audit logon events: Success, FailureAudit logon events server list: k10eqa19s2Audit object access: SuccessAudit object access server list: k10eqa19s2,k10eqa19s3Audit policy change: SuccessAudit policy change server list: k10eqa19s3Audit privilege use: Not definedAudit process tracking: No auditingAudit process tracking server list: k10eqa19s3Audit system events: Success, FailureAudit system events server list: k10eqa19s2,k10eqa19s3Back up files and directories: *S-1-5-32-545,*S-1-5-21-602162358-1580818891-1957994488-1110,*S-1-5-21-602162358-1580818891-1957994488-1111,*S-1-5-21-602162358-1580818891-1957994488-1113,*S-1-5-21-602162358-1580818891-1957994488-1114,*S-1-5-21-602162358-1580818891-1957994488-1112,*S-1-5-32-552,*S-1-5-4,*S-1-5-32-546,*S-1-1-0,*S-1-5-9,*S-1-5-1,*S-1-3-0,*S-1-3-1,*S-1-5-3,*S-1-5-11,*S-1-5-7,*S-1-5-32-544Restore files and directories: *S-1-5-32-54Bypass traverse checking: Not definedGenerate security audits: *S-1-5-32-544,*S-1-5-32-545Manage auditing and security log: *S-1-5-11,*S-1-5-32-544Access this computer from the network: *S-1-5-32-544Deny access this computer from the network: Not definedTake ownership of files or other objects:EMC Virus Checking: *S-1-5-32-546Maximum security log size (Kilobytes): 576Maximum security log size server list: k10eqa19s2Restrict guest access to security log: EnabledRestrict guest access to security log server list: k10eqa19s2Retention period for security log: Not definedRetention method for security log: Overwrite events as neededRetention Method for security log server list: k10eqa19s2Maximum system log size (Kilobytes): 1024Maximum system log size server list: k10eqa19s2Restrict guest access to system log: EnabledRestrict guest access to system log server list: k10eqa19s2Retention period for system log: Not definedRetention method for system log: Do not overwrite eventsRetention Method for system log server list: k10eqa19s2,k10eqa19s3Maximum application log size (Kilobytes): 16384Maximum application log size server list: k10eqa19s3Restrict guest access to application log: DisabledRestrict guest access to application log server list: k10eqa19s2Retention period for application log (Days): 7Retention period for application log server list: k10eqa19s2Retention method for application log: Overwrite events by daysRetention Method for application log server list: k10eqa19s2Disable background refresh of Group Policy: Not definedGroup Policy Refresh interval (minutes): 60Refresh interval offset (minutes): 5GPO Last Update time (local): Wed Sep 10 14:47:42 EDT 2007GPO Next Update time (local): Wed Sep 10 15:50:42 EDT 2007


Visualización de la configuración del GPO para todos los servidores CIFS

Visualización de la configuración del GPO para el servidor CIFS

Acción

Para mostrar la configuración del GPO para todos los servidores CIFS en el Data Mover server_2, utilice la siguiente sintaxis de comandos:$ server_security server_2 -info -policy gpo

Salida

server_2:Server compname: l10efa19s2Domain: securitytest.xxx.comKerberos Max Clock Skew (minutes): 5Digitally sign client communications (always): Not definedDigitally sign client communications (if server agrees): Enabled...Refresh interval offset (minutes): 5GPO Last Update time (local): Wed Sep 22 14:47:42 EDT 2007GPO Next Update time (local): Wed Sep 22 15:50:42 EDT 2007...Server compname: 110efa19s3Domain: ex.xxx.comKerberos Max Clock Skew (minutes): 5Digitally sign client communications (always): Not definedDigitally sign client communications (if server agrees): Enabled...Refresh interval offset (minutes): 5GPO Last Update time (local): Wed Sep 22 14:47:42 EDT 2007GPO Next Update time (local): Wed Sep 22 15:50:42 EDT 2007

Acción

Para mostrar la configuración del GPO para el servidor CIFS cifs_test123 en el Data Mover server_2, utilice la siguiente sintaxis de comandos:$ server_security server_2 -info -policy gpo server=cifs_test123

Salida

server_2:Server: cifs_test123Server compname: k10eqa19s2Server NetBIOS: K10EQA19S2Domain: xptest.xxx.comKerberos Max Clock Skew (minutes): 5Digitally sign client communications (always): Not definedDigitally sign client communications (if server agrees): EnabledDigitally sign server communications (always): Not defined...Refresh interval offset (minutes): 5GPO Last Update time (local): Wed Sep 25 14:47:42 EDT 2007GPO Next Update time (local): Wed Sep 25 15:50:42 EDT 2007


Visualización de la configuración del GPO para todos los Data Movers

Actualización de la configuración del GPOMientras el servicio de CIFS se está ejecutando o después de reiniciar el servicio de CIFS, el Data Mover actualiza su configuración del GPO en función de uno de los siguientes intervalos de actualización:

u Si se define en el dominio, el intervalo de actualización se puede configurar desde cero (actualizaciones cada 10 segundos) hasta 64.800 minutos (actualizaciones cada 45 días).

u Si no se define en el dominio, el Data Mover utiliza su valor de actualización predeterminado de 90 minutos.

Realice estas tareas para las actualizaciones del GPO:

u "Desactivación de actualizaciones automáticas del GPO" en la página 58

u "Actualización de la configuración manual del GPO para todos los Data Movers" en la página 59

Desactivación de actualizaciones automáticas del GPO

Para desactivar las actualizaciones automáticas del GPO, active la configuración de desactivación de la actualización en segundo plano de la política de grupo.

Nota: Si esta política está activada, debe actualizar la política del GPO manualmente.

Acción

Para mostrar la configuración del GPO para todos los Data Movers en el dominio xptest.xxx.com, utilice la siguiente sintaxis de comandos:$ server_security ALL -info -policy gpo domain=xptest.xxx.com

Salida

server_2:Server compname: k10eqa19s2Domain: xptest.xxx.comKerberos Max Clock Skew (minutes): 5Digitally sign client communications (always): Not definedDigitally sign client communications (if server agrees): Enabled...Refresh interval offset (minutes): 5GPO Last Update time (local): Wed Sep 25 14:47:42 EDT 2007GPO Next Update time (local): Wed Sep 25 15:50:42 EDT 2007...Server compname: k10eqa19s3Domain: xptest.xxx.comKerberos Max Clock Skew (minutes): 5Digitally sign client communications (always): Not definedDigitally sign client communications (if server agrees): Enabled...Refresh interval offset (minutes): 5GPO Last Update time (local): Wed Sep 25 14:47:42 EDT 2007GPO Next Update time (local): Wed Sep 25 15:50:42 EDT 2007

Cuando esta política está configurada, aparecerá lo siguiente en la salida del GPO:

Disable background refresh of Group Policy: EnabledGroup Policy Refresh interval (minutes): 90Refresh interval offset (minutes): Not definedGPO Last Update time (local): Wed Sep 10 14:47:42 EDT 2007GPO Background Update disabled, must be updated manually

Actualización de la configuración manual del GPO para todos los Data Movers

Si cambia las políticas de grupo por medio de MMC o Server Manager, puede actualizar manualmente la configuración del GPO en Celerra Network Server, como se muestra en este ejemplo..

Actualización de la configuración manual del GPO para el dominio especificado

Desactivación del soporte de GPOEl soporte de GPO está activado por Data Mover y de forma predeterminada. Puede desactivar el soporte de GPO modificando los parámetros del sistema explicados en esta sección. Al desactivar el soporte de GPO, Celerra no puede acceder al controlador de dominio de Windows, y las funciones de Celerra relacionadas utilizan automáticamente su propia configuración predeterminada.

Acción

Para forzar una actualización de la configuración del GPO para el Data Mover, utilice la siguiente sintaxis de comandos:$ server_security ALL -update -policy gpodonde:ALL = todos los Data Movers

Ejemplo:

Para actualizar la configuración del GPO para todos los servidores CIFS en todos los Data Movers de Celerra Network Server, escriba:$ server_security ALL -update -policy gpo

Salida

server_2: done

Acción

Para forzar una actualización de la configuración del GPO para el Data Mover, utilice la siguiente sintaxis de comandos:$ server_security ALL -update -policy gpo domain=<domain_name>

donde:ALL = todos los Data Movers<domain_name> = nombre de dominio para el servidor CIFS

Ejemplos:

Para actualizar la configuración del GPO para todos los servidores CIFS en el dominio NASDOCS, escriba:$ server_security ALL -update -policy gpo domain=NASDOCS

Salida

server_2: done

El EMC Celerra Network Server Parameters Guide proporciona información adicional sobre el parámetro cifs gpo.

Desactivación del almacenamiento en memoria caché del GPOEl Data Mover almacena en caché la configuración del GPO recuperada del controlador de dominio de Windows. La memoria caché del GPO permite a un Data Mover recuperar rápidamente la configuración del GPO incluso cuando el controlador de dominio no está accesible.

Puede desactivar el almacenamiento en memoria caché del GPO si no desea que el Data Mover utilice la configuración en memoria caché. Si está desactivado el almacenamiento en memoria caché del GPO, el Data Mover debe recuperar la configuración del controlador de dominio de Windows.

EMC Celerra Network Server Parameters Guide proporciona información adicional sobre el parámetro cifs gpocache.

Nota: Si desactiva el almacenamiento en memoria caché del GPO, y Celerra Network Server no puede acceder al controlador de dominio de Windows, las funciones de Celerra relacionadas usan su propia configuración predeterminada. Por ejemplo, el valor predeterminado para Tolerancia máxima para la sincronización de relojes de computadoras es cinco minutos.

Acción

Para desactivar el soporte de GPO, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility cifs -modify gpo -value 0


Ejemplo:

Para desactivar el soporte de GPO en server_2, escriba lo siguiente:

$ server_param server_2 -facility cifs -modify gpo -value 0

Nota: Los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.

Salida

server_2 : done

Acción

Para desactivar el almacenamiento en memoria caché del GPO, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility cifs -modify gpocache -value 0


Ejemplo:

Para desactivar el almacenamiento en memoria caché del GPO en server_2, escriba lo siguiente:$ server_param server_2 -facility cifs -modify gpocache -value 0

Nota: Los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.


Soporte de flujos de datos alternativosCon el lanzamiento de Windows NT, Microsoft introdujo Windows NT File System (NTFS) y el concepto de flujos de datos alternativos (ADS). Esta función también se conoce como múltiples flujos de datos (MDS). Los flujos de datos son recursos independientes que almacenan datos de un archivo y también información sobre él. A diferencia del sistema de archivos FAT; en el que un archivo comprende solo un flujo de datos, NTFS utiliza flujos de datos diferentes para almacenar el archivo y los metadatos del archivo (por ejemplo, derechos de acceso del archivo, encriptación, información de fecha y hora e información gráfica).

Microsoft creó originalmente ADS para que un servidor que use NTFS pueda actuar como un file server para clientes Macintosh. El sistema de archivos jerárquicos (HFS) de Macintosh usa dos elementos básicos para representar archivos, como se muestra en la Tabla 5 en la página 61.

Los archivos de NTFS contienen un flujo de datos primario y, opcionalmente, uno o más flujos de datos alternativos. El flujo de datos primario actúa como la bifurcación de datos, y los flujos de datos alternativos actúan como las bifurcaciones de recursos.

Para los archivos, puede ver y configurar esta información adicional desde la ficha Summary, en el cuadro de diálogo Properties del archivo, como se muestra en Figura 2 en la página 62.

Salida

server_2 : done

Tabla 5 Elementos de HFS

Elemento Propósito

Bifurcación de datos Almacena datos para un archivo

Bifurcación de recursos Almacena información sobre un archivo


Figura 2 Cuadro de diálogo Properties: ficha Summary (Resumen)

Soporte de ADS en Celerra Network ServerCelerra Network Server soporta ADS para archivos y directorios.

La siguiente lista proporciona información adicional sobre el soporte de ADS en Celerra Network Server:

u Los flujos de directorios son soportados en puntos de montaje. Si un file system se monta en un punto de montaje, solo los flujos de directorios del directorio raíz del file system montado están visibles. Si no se monta un file system, los flujos del punto de montaje están visibles.

u Hay un límite de 64.000 flujos por archivo o directorio. Esto es varias veces el límite al que se llegó experimentalmente en Windows NTFS.

Desactivación del soporte de ADS

El soporte de ADS está controlado por el parámetro del sistema shadow stream y está activado de manera predeterminada. Si bien hay casos extraños en que posiblemente sea mejor desactivar el soporte de ADS, se recomienda que lo deje activado.

El EMC Celerra Network Server Parameters Guide proporciona información adicional sobre el parámetro shadow stream.

Soporte de SMBSMB es el protocolo subyacente utilizado por el protocolo CIFS para solicitar servicios de archivos, impresión y comunicaciones de un servidor a través de una red mediante puertos TCP. El nivel de protocolo es negociado por el cliente y el servidor al establecer una nueva conexión SMB. Celerra soporta SMB1 y SMB2. De manera predeterminada, SMB1 está activado. Utilice el comando server_cifs para activar el soporte de SMB2.

Nota: El soporte del protocolo SMB2 está disponible a través de sistemas Microsoft Windows Vista y Microsoft Windows 2008. SMB2 es compatible con Unicode.

Acción

Para desactivar el soporte de ADS, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility shadow -modify stream -value 0


Ejemplo:

Para desactivar el soporte de ADS en server_2, escriba lo siguiente:$ server_param server_2 -facility shadow -modify stream -value 0

Salida

server_2 : done

Activación del protocolo SMB2

Desactivación del protocolo SMB2.

Enlace simbólicoEl protocolo SMB2 soporta enlaces simbólicos como UNIX. El cliente SMB2 puede crear un enlace simbólico utilizando el comando mklink de Microsoft Vista. Este enlace es transparente para la aplicación y permite el acceso al objeto del file system de destino (archivo o directorio).

Los diferentes tipos de enlaces disponibles para utilizar el enlace simbólico en un sistema son:

u El destino del enlace puede ser un archivo o un directorio. Ambos se soportan. La creación de un enlace en un destino no existente también se soporta.

u Los enlaces simbólicos absolutos son enlaces que señalan al path absoluto del archivo o la carpeta, por ejemplo, C:\windows.

u Los enlaces simbólicos relativos son enlaces que señalan a un archivo o directorio utilizando el path relativo, por ejemplo, ..\..\file.txt.

u Los enlaces simbólicos de Universal Naming Conventions (UNC) son enlaces que señalan a un archivo o directorio de red, por ejemplo, \\server\share1\dir\foobar.txt.

Acción

Para activar el protocolo SMB2, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add security=NT,dialect=SMB2


Ejemplo:

Para activar el protocolo SMB2 en server_2, escriba lo siguiente:$ server_cifs server_2 -add security=NT,dialect=SMB2

Salida

done

Acción

Para desactivar el protocolo SMB2 y activar el protocolo SMB1, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add security=NT,dialect=NT1


Ejemplo:

Para desactivar el protocolo SMB2 y activar el protocolo SMB1, en server_2, escriba:$ server_cifs server_2 -add security=NT,dialect=NT1

Salida

done

Creación de un enlace simbólico a un archivo con un path relativo

Nota: La creación del enlace simbólico con un path absoluto o un path de UNC funciona de la misma forma. Al crear un enlace simbólico a un directorio, utilice mklink /d para indicar un directorio.

Firma de SMBLa firma de SMB es un mecanismo utilizado para garantizar que un paquete no haya sido interceptado, cambiado o reproducido. El proceso de firma solo garantiza que el paquete no haya sido modificado por un tercero. El proceso de firma no garantiza la intercepción ni la reproducción. El proceso de firma agrega una firma de 8 bytes a cada paquete de SMB1. SMB2 usa una firma de 16 bytes. El cliente y el servidor usan esta firma para verificar la integridad del paquete.

Para que el proceso de firma de SMB funcione, el cliente y el servidor de una transacción deben tener activada la firma de SMB. De manera predeterminada, los controladores de dominio de Windows Server 2003 requieren que los clientes usen la firma de SMB. La firma de SMB está activada de manera predeterminada en todos los servidores CIFS creados en Data Movers.

Nota: La firma de SMB es una opción en dominios de Windows NT (SP 4 o posterior), Windows 2000 y Windows Server 2003.

Los Data Movers usan la firma de SMB del lado del cliente y del servidor en función de la situación. A continuación se encuentran algunos ejemplos de cuándo un Data Mover usa cada tipo de firma:

u El Data Mover actúa como servidor:

• Cuando un cliente asigna un recurso compartido.

• Con CDMS.

u El Data Mover actúa como cliente:

• Cuando recupera la configuración del GPO.

• Con CDMS.

Acción

Para crear un enlace simbólico que señale a un archivo con un pathname relativo desde una consola de MS DOS en el cliente SMB2, escriba:cd foobarmklink target0 file0.txtmklink target1 myData\applicationData\file1.txtmklink target2.log ..\otherData\file2.log

Salida

d:\temp>mklink link0.txt report.txtsymbolic link created for link0.txt <<===>> report.txtd:\temp>


Resolución de firma de SMBEn dominios de Windows, puede configurar de manera independiente las firmas de SMB del lado del servidor y del cliente. Las tres posibles configuraciones para las firmas del lado del servidor y del cliente son las siguientes:

u Obligatoria: el cliente o el servidor requiere que se utilice la firma de todas las transacciones.

u Habilitada: el cliente o el servidor soporta la firma de SMB, pero no la para las transacciones.

u Deshabilitada: el cliente o el servidor no soporta ninguna firma de SMB.

La firma de SMB está activada en una conexión CIFS según los criterios en el servidor DART y en el cliente CIFS. Los criterios son una adición a los dos bits: enabled y required. Los criterios se calculan de acuerdo con la siguiente secuencia de los tres parámetros en DART:

1. El parámetro cifs.smbSigning

2. La configuración del GPO

3. Los valores del registro

El cliente CIFS ejecuta su propio algoritmo para definir sus propios bits: enabled y required. La matriz explicada en Tabla 6 en la página 66 y Tabla 7 en la página 66 se aplica para determinar si la firma está activada para esa conexión o no.

Nota: El valor predeterminado del parámetro cifs.smbSigning no se debe modificar.

Puede administrar las firmas de SMB con las siguientes tareas:

u "Configuración de la firma de SMB con el parámetro smbsigning" en la página 67

Tabla 6 Matriz de resolución para la firma de SMB1

Cliente

Serv

idor

SMB1 Obligatoria Activada Desactivada

Obligatoria Firmada Firmada Error

Activada Firmada Firmada No firmada

Desactivada Error No firmada No firmada

Tabla 7 Matriz de resolución para la firma de SMB2

Cliente

Serv

idor

SMB2 Obligatoria Activada

Obligatoria Firmada Firmada

Activada Firmada No firmada

SMB en

requiere

u "Desactivación de la firma de SMB en un Data Mover" en la página 67

u "Configuración de firma de SMB con GPOs" en la página 67

u "Configuración de la firma de SMB con el Registro de Windows" en la página 68

Configuración de la firma de SMB con el parámetro smbsigningEl parámetro cifs smbsigning controla las firmas de SMB en el Data Mover y afecta a todos los servidores CIFS en él. Este parámetro se configura en el Data Mover individual o Celerra Network Server. Este parámetro controla las firmas del lado del cliente y del servidor y anula cualquier GPO de firma de SMB configurado para el dominio.

El EMC Celerra Network Server Parameters Guide proporciona información adicional sobre el parámetro smbsigning.

Nota: La firma de SMB está activada de manera predeterminada en Celerra Network Server y en los dominios de Windows Server 2003.

Desactivación de la firma de SMB en un Data Mover

Configuración de firma de SMB con GPOsSi desea controlar de manera independiente la firma de SMB del lado del servidor y del cliente, puede configurar los GPOs como se muestra en la Tabla 8 en la página 68. Estos GPOs se encuentran debajo de la Figura 3 en la página 68, Configuración de seguridad de dominios predeterminada, y se pueden configurar desde cualquier controlador de dominio. La política de grupo se configura en Active Directory y afectaa todas las máquinas en el dominio.


Nota: La configuración de firma de SMB por medio de GPOs afecta a todos los clientes y servidores dentro del dominio y anula la configuración individual del Registro.

Acción

Para desactivar la firma de SMB, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility cifs -modify smbsigning -value 0


Ejemplo:

Para desactivar el soporte de la firma de SMB en server_2, escriba lo siguiente:$ server_param server_2 -facility cifs -modify smbsigning -value 0

Salida

server_2: done


Los cuatros GPOs relevantes están resaltados en Figura 3 en la página 68.

Figura 3 Los GPOs con firma de SMB en la configuración de seguridad del dominio predeterminada

Configuración de la firma de SMB con el Registro de Windows

También puede configurar la firma de SMB por medio del Registro de Windows. Si no hay un servicio de GPO disponible, como en un entorno Windows NT, se utiliza la configuración del Registro.

Tabla 8 GPOs con firma de SMB

Nombre del GPO Qué controlaConfiguración predeterminada para Data Mover

Microsoft network server: Digitally sign communications (always) (Servidor de red Microsoft: firmar digitalmente las comunicaciones [siempre])

Si el componente SMB del lado del servidor requiere firma

Disabled (Desactivado)

Microsoft network server: Digitally sign communications (if client agrees) (Servidor de red Microsoft: firmar digitalmente las comunicaciones [si el cliente lo permite])

Si el componente SMB del lado del servidor tiene activada la firma


Microsoft network client: Digitally sign communications (always) (Cliente de redes de Microsoft: firmar digitalmente las comunicaciones [siempre])

Si el componente SMB del lado del cliente requiere firma


Microsoft network client: Digitally sign communications (if server agrees) (Cliente de redes de Microsoft: firmar digitalmente las comunicaciones [si el servidor lo permite])

Si el componente SMB del lado del cliente tiene activada la firma

Enabled (Activado)


La configuración del registro afecta solo al servidor o al cliente individual que configure. La configuración del registro se establece en estaciones de trabajo y servidores de Windows individuales y afecta estaciones de trabajo y servidores de Windows individuales. Hay cuatro configuraciones del Registro: dos para las firmas del lado del servidor y dos para las firmas del lado del cliente, y funcionan de la misma forma que los GPOs con firma de SMB.

Nota: La siguiente configuración del Registro pertenece a Windows NT con SP 4 o posterior. Estas entradas del Registro existen en Windows 2000 y Windows Server 2003, pero se deben configurar por medio de GPOs.


Firma del lado del servidor

La configuración del lado del servidor se encuentra en:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\

La Tabla 9 en la página 69 muestra las entradas del Registro de la firma de SMB del lado del servidor.

Firma del lado del cliente.

La configuración del lado del cliente se encuentra en:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanworkstation\parameters\

La Tabla 10 en la página 69 muestra las entradas del Registro de la firma de SMB del lado del cliente.

Tabla 9 Entradas del Registro de la firma de SMB del lado del servidor

Entrada del Registro Valores Propósito

enablesecuritysignature 0 disabled (default)

1 enabled

Determina si está activadala firma de SMB.

requiresecuritysignature 0 disabled (default)

1 enabled

Determina si se requierela firma de SMB.

Tabla 10 Entradas del Registro de la firma de SMB del lado del cliente

Entrada del Registro Valores Propósito

enablesecuritysignature 0 disabled

1 enabled (default)

Determina si está activadala firma de SMB.

requiresecuritysignature 0 disabled (default)

1 enabled

Determina si se requierela firma de SMB.

Cambio automático de la contraseña del equipoUn administrador de sistema pueda activar cambios de contraseña del equipo realizando una de las siguientes acciones:

u Configuración de un GPO a un intervalo de cambio de contraseña. El Data Mover recupera esta política y la aplica a todos los servidores CIFS del dominio.

u Configuración del parámetro cifs srvpwd.updtMinutes, que se anula mediante la política del GPO.

u La modificación del intervalo de cambio de contraseña para un servidor CIFS en particular utilizando la interfaz srvpwd, que se anula mediante una política del GPO.

El parámetro del sistema cifs srvpwd.updtMinutes permite configurar el intervalo de tiempo en el que el Data Mover cambia contraseñas con el controlador de dominio.

El EMC Celerra Network Server Parameters Guide proporciona información adicional sobre el parámetro cifs srvpwd.updtMinutes.

Modificación del intervalo de tiempo para los cambios de contraseñas

Creación de un file system como log de seguridadDe manera predeterminada, cada Data Mover almacena su log de seguridad de Windows en c:\security.evt, cuyo límite de tamaño es de 512 KB. Puede acceder directamente a este log de seguridad mediante el recurso compartido C$ de cada Data Mover, como se muestra a continuación:

\\<netbiosnameofdatamover>\C$\security.evt

Acción

Para modificar el intervalo de tiempo del cambio de contraseña, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility cifs -modify srvpwd.updtMinutes -value <new_value>


<new_value> = intervalo de tiempo mínimo entre los cambios de contraseña del servidor CIFS = 0 (permite cambiar la contraseña del servidor después de 7 días menos 1 hora) = 720 (permite cambiar la contraseña del servidor después de 12 horas) = 1440 (permite cambiar la contraseña del servidor después de 24 horas)

Ejemplo:

Para configurar el intervalo de contraseña a un día (1.440 minutos), escriba:$ server_param server_2 -facility cifs -modify srvpwd.updtMinutes -value 1440

Salida

server_2: done

En un servidor de Windows, la ubicación predeterminada es C:\WINNT\System32\config\security.evt. Si una aplicación intenta acceder al log de seguridad de Windows de un Data Mover en esa ubicación, fallará. No obstante, puede cambiar la ubicación y el límite de tamaño del log de seguridad de Windows del Data Mover.

Puede acceder al log de seguridad de Windows de un Data Mover de una de las siguientes maneras:

u Uso del Visor de sucesos de Microsoft

u Uso de una aplicación que permita la lectura del formato de log de sucesos de Microsoft

Paso Acción

1. Cree un file system para almacenar el log de seguridad en su nueva ubicación.

2. Monte el file system en el Data Mover en un punto de montaje llamado /WINNT y compártalo.

3. Desde un cliente CIFS, conecte el nuevo recurso compartido WINNT en el Data Mover y cree lo siguiente en el directorio WINNT:System32\config

Esto le permite acceder al siguiente path:\\<netbiosnameofdatamover>\C$\WINNT\System32\config

4. Como administrador de dominio, realice los siguientes pasos utilizando el Editor del Registro de Windows:

ADVERTENCIA

La modificación incorrecta del Registro puede provocar problemas serios en todo el sistema, que posiblemente requieran una nueva instalación. Utilice esta herramienta con prudencia.

a. Ejecute el Registry Editor (Editor del Registro) (regedt32.exe).b. En el menú Registry (Registro), seleccione Select Computer (Seleccionar

equipo) y elija el nombre NetBIOS del Data Mover.c. Desde el menú Window (Ventana), seleccione el subárbol Hkey Local Machine

on Local Machine y vaya a la siguiente clave:System\CurrentControlSet\Services\Eventlog\Security

d. Seleccione la siguiente cadena:[File: REG_EXPAND_SZ:c:\security.evt]

e. En el menú Edit (Edición), seleccione String (Cadena).f. Edite la cadena con la siguiente información:

c:\WINNT\System32\config\security.evt

g. Haga clic en OK (Aceptar) y salga del Registry Editor (Editor del Registro).

Todos los eventos de seguridad de Windows en el Data Mover se registran ahora en la nueva ubicación del log de eventos de seguridad.


Administración de dominios de WindowsLos servidores CIFS de Celerra actúan como servidores miembros en dominios de Windows y proporcionan almacenamiento de datos para usuarios de dominios. Los datos almacenados en los file systems CIFS de Celerra incluyen metadatos de seguridad (DACLs, SACLs y propiedad) asociados con los SIDs de dominio (IDs de seguridad) desde los que se derivan las cuentas CIFS.

Soporte de migración de dominiosDada la política de fin del ciclo de vida de Microsoft, es posible que necesite realizar la migración de dominios de una versión del dominio a otra. Durante y después del proceso de migración de dominios de Windows, los datos generados por cuentas de usuario en el dominio de origen deben ser accesibles para las cuentas de usuarios en el dominio de destino.

Nota: La migración de dominios es una tarea compleja que no se trata en este documento. La documentación de Microsoft proporciona información detallada sobre la migración de dominios.

Para cumplir los requisitos de disponibilidad de datos durante y después de la migración de dominios, Celerra Network Server proporciona dos opciones del comando server_cifs: -Migrate y -Replace. Estas opciones actualizan los IDs de seguridad generados para recursos creados por usuarios CIFS en un dominio de Windows (origen) a otro dominio de Windows (destino) de las siguientes formas:

u server_cifs -Migrate: Actualiza todos los SIDs desde un dominio de origen a los SIDs de un dominio de destino haciendo coincidir los nombres de cuenta del usuario y del grupo en el dominio de origen con los nombres de cuenta del usuario y del grupo en el dominio de destino. La interfaz que se especifica en esta opción consulta al servidor local y luego a sus controladores de dominio de origen y destino correspondientes para buscar el SID de cada objeto.

u server_cifs -Replace: Actualiza todos los SIDs de un file system con los SIDs de dominio del destino correspondiente. La interfaz que especifica en esta opción consulta al servidor local y luego a su controlador de dominio de destino correspondiente para buscar el SID de cada objeto y el SID histórico.

El Manual de referencia de comandos de EMC Celerra Network Server proporciona una descripción detallada del comando server_cifs.



La Tabla 11 en la página 73 muestra las opciones que puede usar con los diferentes dominios durante el proceso de migración de dominios de Windows y después de él.

Consideraciones operativasRevise lo siguiente antes de utilizar las opciones del comando server_cifs -migrate y -replace:

u Se debe establecer una relación de confianza entre los dominios de origen y de destino. Es un requisito de Microsoft para la migración de dominios.

u Las cuentas de usuario y de grupo deben coincidir con los dominios de origen y de destino:

• La opción de migración no requiere la ejecución de ningún tipo de herramienta de migración de dominios con anterioridad.

• La opción de reemplazo requiere que primero realice la migración de cuentas utilizando una herramienta de migración de dominios.

u Para la opción de migración:

• Deben existir los controladores de dominios de origen y destino.

• Siempre y cuando se establezca una relación de confianza entre el dominio de origen y de destino, puede especificar la misma interfaz o nombre NetBIOS en el comando server_cifs.

• Para usar interfaces o nombres NetBIOS diferentes, debe configurar dos servidores CIFS distintos en el Data Mover para los dominios de origen y destino.

u La opción de reemplazo proporciona una cuota por usuario o grupo.

u Después de ejecutar una actualización del grupo local, detenga e inicie el servicio de CIFS en el Data Mover para asegurarse de que se hayan realizado todos los cambios en el dominio de destino. En "Detención del servicio de CIFS" en la página 41 y "Inicio del servicio CIFS" en la página 42, se proporciona más información.

Tabla 11 Opciones de soporte de seguridad para migración de dominios de Windows

Dominio de origen Dominio de destino

Windows NT Windows NT:2003:

Windows 2000 o Windows Server

Opción de migración Opciones de migración y reemplazo

Opción de migración Opciones de migración y reemplazo


Resolución de problemas

Como parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de sus líneas de productos, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las versiones de hardware y software que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto, consulte las notas de la versión del producto correspondiente.

Si un producto no funciona correctamente o de la manera que se describe en este documento, póngase en contacto con su representante de EMC.

Dónde obtener ayudaInicie sesión en el sitio Web de EMC Powerlink, vaya a Soporte > Solicitar Soporte. Para abrir una solicitud de servicio, debe contar con un acuerdo de servicio válido. Comuníquese con su representante del Servicio al Cliente de EMC para obtener detalles sobre cómo obtener un acuerdo de servicio o para formular preguntas sobre su cuenta.

Resolución de problemas: para obtener información sobre la resolución de problemas, vaya a Powerlink, busque Celerra Tools y seleccione Celerra Troubleshooting en el panel de navegación de la izquierda.

Servicio técnico: para obtener servicio técnico, visite Servicio al Cliente de EMC en Powerlink. Inicie sesión en el sitio Web de EMC Powerlink, vaya a Soporte > Solicitar Soporte. Para abrir una solicitud de servicio por medio de Powerlink, debe contar con un acuerdo de servicio válido. Comuníquese con un representante del Servicio al Cliente de EMC para obtener detalles sobre cómo obtener un acuerdo de servicio válido o para formular preguntas sobre su cuenta.

Nota: No solicite un representante de servicio específico a menos que ya se le haya asignado uno para su problema específico del sistema.

Problem Resolution Roadmap for EMC Celerra contiene información adicional sobre el uso de Powerlink y la resolución de problemas.

EMC E-Lab Interoperability NavigatorEMC® EMC E-LabTM Interoperability Navigator es una aplicación basada en Web en la que se pueden realizar búsquedas y que brinda acceso a matrices de soporte de interoperabilidad de EMC. Se encuentra disponible en el sitio Web de EMC Powerlink® en http://Powerlink.EMC.com. Inicie sesión en Powerlink y haga clic en Soporte > Información de Interoperabilidad y de Ciclo de Vida de Productos > E-Lab Interoperability Navigator.




../ProblemResolutionRoadmap/index.htm




Problemas y limitaciones conocidosLa Tabla 12 en la página 75 describe los problemas conocidos que pudieran ocurrir al administrar Celerra para un entorno Windows y presenta soluciones alternativas.

Tabla 12 Problemas conocidos del entorno de Windows y soluciones alternativas (página 1 de 5)

Problema conocido Efecto Solución alternativa

Con la autenticación de usuario NT, algunos clientes de Windows 95 tal vez no podrían asignar unidades de disco desde el Data Mover.

El nombre de dominio enviado por el cliente al Data Mover se especificó incorrectamente, o el username.domain no fue asignado en el archivo de contraseña en el Data Mover.

Verifique que el cliente está enviando el nombre de dominio correcto al archivo de contraseña en el Data Mover.

Para verificar que el cliente esté enviando el dominio correcto:

1. En la opción Network del Panelde control, haga doble clic en el cliente de la red (Cliente para Redes Microsoft).

2. En las propiedades generales, compruebe que se muestra el nombre de dominio correcto.

Con la autenticación de usuario NT, aparecen los siguientes mensajes de error "Incorrect password" o "unknown username" después de intentar conectarse al servidor; aparecerá la ventana de nombre de usuario y contraseña.

Es posible que falte la cuenta de usuario Windows NT del dominio PDC, o que el Data Mover no haya podido determinar un UID para este usuario.

Agregue el usuario Windows NT al PDC del dominio y asigne el usuario a un UID y nombre de usuario UNIX.

No se pueden crear archivos ni directorios en un recurso compartido que se asigna a un cliente.

Los bits de permisos de UNIX no están configurados para otorgar permiso para que el usuario escriba en un directorio compartido.

Nota: Esta situación se dasi la política de acceso está configurada de manera incorrecta. En Administración de EMC Celerra para un entorno de múltiples protocolos, se proporciona más información.

Cambie la política de acceso o monte el directorio a través de NFS en la Control Station o en cualquier otro cliente UNIX, y utilice chmod para configurar el permiso UNIX adecuado para permitir al usuario escribir en él.




Los clientes Windows no se pueden conectar con un servidor utilizando contraseñas de texto claras. (Por ejemplo, esto puede suceder cuando Celerra Network Server está en el modo UNIX).

Es posible que aparezca el siguiente mensaje de error:

The Account is not authorized to login from this station

El redirector de SMB administra contraseñas no encriptadas de manera diferente a las versiones anteriores de Windows NT. El redirector de SMB no envía una contraseña no encriptada a menos que agregue una entrada del Registro para permitir el uso de contraseñas no encriptadas.

Debe modificar el Registro para activar las contraseñas no encriptadas.

ADVERTENCIA

La modificación incorrecta del Registro puede provocar problemas serios en todo el sistema, que posiblemente requieran una nueva instalación. Utilice esta herramienta con prudencia.

1. Ejecute el Registry Editor (Editor del Registro) (Regedt32.exe).

2. En el subárbol HKEY_LOCAL_MACHINE, vaya a la siguiente clave:System\CurrentControlSet\Services\rdr\parameters

a. Debajo de esta clave, cree una nueva clave del Registro DWORD llamada EnablePlainTextPassword

b. Configure su valor en 1c. Reinicie el equipo4. Seleccione Add Value (Agregar

valor) en el menú Edit (Edición).5. Agregue lo siguiente:Value Name (Nombre de valor): EnablePlainTextPassword

Data Type (Tipo de datos): REG_DWORD

Data (Datos): 1

6. Haga clic en OK (Aceptar) y salga del Registry Editor (Editor del Registro).

7. Apague y reinicie Windows NT.

Nota: Utilice GPOs para clientes Windows 2000 y Windows Server 2003.

Este procedimiento se adaptó desde el ID del artículo: Q166730 de Microsoft Knowledge Base.




Con la autenticación de usuario NT, el cliente no se puede conectar al servidor, por lo que no aparecerá la ventana de nombre de usuario y contraseña en el lado del cliente.

No se encontró el controlador de dominiopara el dominio.

o

Controle si el PDC o el BDC está activado. Controle si el Data Mover puede acceder a un servidor WINS que conozca el dominio PDC o que tenga el PDC o el BDC en la misma subred local del Data Mover.

El nombre NetBIOS del servidor no se registró como una cuenta para computadora en el dominio PDC, o no se ha establecido una relación de confianza entre los dominios cliente y servidor.

Es posible que aparezca el siguiente mensaje en el server_log:

The SAM database on the Windows NT server does not have a complete account for this workstation trust relationship.

Agregue una cuenta de equipo al PDC. Si la cuenta para computadora ya existe, quítela y agréguela nuevamente antes de volver a ingresar el comando. La documentación del servidor 4.0 de Microsoft NT proporciona información acerca de la configuración de una relación de confianza entre los dominios.

Después de unir un servidor CIFS a un dominio, aparecerá el siguiente error en la salida de server_cifs, que indica que el sistema no puede actualizar el registro DNS:

FQDN=dm4-a140-ana0.c1t1.pt1.c3lab.nsgprod.emc.com (Update of "A" record failed during update: Operation refused for policy or security reasons)

Es posible que la zona del servidor DNS incluya el mismo FQDN para otra cuenta de computadora.

Compruebe que la zona del servidor DNS no tenga el mismo FQDN con una dirección de IP distinta para otra cuenta de computadora.



Cuando intente unir un servidor CIFS a un dominio, aparecerá el siguiente mensaje de error:Error 4020: server_2 : failed to complete commandPossible server_log error messages:2004-03-11 13:42:29: SMB: 3: DomainJoin::getAdminCreds: gss_acquire_cred_ext failed: Miscellaneous failure. Clients credentials have been revoked.2004-03-11 13:42:29: ADMIN: 3: Command failed: domjoin compname=dm3-A121-ana0 domain=c1t1.pt1.c3lab.nsgprod.emc.com admin=c1t1admin password=6173399D179D3999673D init

Se bloqueó la cuenta del administrador de dominio. Comúnmente, esto sucede cuando otro usuario ha iniciado sesión en otro sistema con la misma cuenta de administrador.

Desmarque la casilla de verificación Account is locked out (La cuenta está bloqueada) en la ficha Account (Cuenta) de la ventana User Account Properties (Propiedades de la cuenta de usuario).

Si crea el equipo sin activar la opción Allow pre-Windows 2000 computers to use this account (Permitir a equipos con versiones anteriores a Windows 2000 utilizar esta cuenta), aparecerá el siguiente mensaje de error:0xC00000222004-04-26 10:49:40: SMB: 3: Srv=<Celerra_netbios_name> buildSecureChanel=Authenticate2InvalidReply E=0xc0000022

Se deniega el acceso porque, cuando el equipo se creó en el controlador de dominio, no se activó la opción Allow pre-Windows 2000 computers to use this account (Permitir a equipos con versiones anteriores a Windows 2000 utilizar esta cuenta) en el cuadro de diálogo Windows New Object - Computer (Nuevo objeto/equipo de Windows).

Elimine el equipo y vuelva a crearlo con la opción Allow pre-Windows 2000 computers to use this account (Permitir a equipos con versiones anteriores a Windows 2000 utilizar esta cuenta) activada.

Mensajes de errorA partir de la versión 5.6, todos los mensajes de estado, las alertas y los nuevos eventos proporcionan información detallada y acciones recomendadas para ayudarlo a resolver problemas.

Para ver información detallada de los mensajes, utilice alguno de los siguientes métodos:

u Celerra Manager:

• Haga clic con el botón secundario sobre un mensaje de estado, alerta o evento, y seleccione ver Event Details, Alert Details o Status Details.

u Celerra CLI:

• Utilice el comando nas_message -info <message_id> para recuperar información detallada sobre un error específico.

u EMC Celerra Network Server Error Messages Guide:

• Utilice esta guía para hallar información sobre mensajes que se encuentren en formato de mensaje de una versión anterior.

u Powerlink:

Utilice el texto de la descripción breve del mensaje de error o el ID del mensaje para realizar búsquedas en Knowledgebase, en Powerlink. Inicie sesión en Powerlink y haga clic en Soporte > Búsqueda en Knowledgebase > Búsqueda de Soluciones de Soporte.

Al actualizar de un dominio Windows NT a Windows 2000, no se puede cambiar el sufijo del dominio original durante la instalación de Windows 2000.

No hay posibilidad de cambiar el sufijo del dominio porque fue codificado de manera indeleble en DDNS.

Antes de la actualización, cambieel sufijo del dominio.

Se deniega el acceso a Servicios de Información de Internet 6.0 (IIS) al intentar conectarse al directorio Web en un recurso compartido Celerra.

En el log web de IIS, el error: bad user name or password se muestra incluso a pesar de que el nombre de usuario y la contraseña estén en la base de datos del usuario local.

Para un servidor CIFS independiente con el soporte de usuario local activado,el nombre de usuario y la contraseña deberán ser los mismos en IIS 6.0, en el Data Mover y en el cliente.

Especifique idénticos nombres de usuario y contraseñas en IIS 6.0,en el Data Mover y en el cliente.



../ErrorMsgs/index.htm


Construcción de mensajes de error de server_logEl formato del código de evento puede ayudar a reducir el rango de búsqueda de un mensaje. Existen varios componentes en el comienzo de cada línea que, por lo general, son consistentes en todo el log de eventos. Por ejemplo, los mensajes de eventos típicos presentan el siguiente formato:

2007-09-16 18:27:21: NFS: 3: commit failed, status = NoPermission2007-09-16 18:27:23: CFS: 3: Failed to open file, status NoPermission2007-09-16 18:27:23: LIB: 6: last message repeated 1 times

El Manual de referencia de comandos de EMC Celerra Network Server proporciona información detallada sobre server_log. Este mecanismo de log usa las siguientes funcionalidades de log típicas de varios sistemas:

u La primera parte indica la fecha y la hora del evento de log.

u La segunda parte es el subsistema del código Celerra que informó el evento (por ejemplo, NFS, CFS y LIB).

u La tercera parte es un código de clasificación, que es típico en funcionalidades de log de eventos. La información acerca de los códigos de clasificación se puede encontrar en la mayoría de los sistemas UNIX bajo el archivo de encabezado syslog.h, en el directorio /usr/include/sys.

Las definiciones de los códigos de clasificación posibles que soporta Celerra Network Server son las siguientes:

#define LOG_EMERG 0 /* system is unusable */#define LOG_ALERT 1 /* action must be taken immediately */#define LOG_CRIT 2 /* critical conditions */#define LOG_ERR 3 /* error conditions */#define LOG_WARNING 4 /* warning conditions */#define LOG_NOTICE 5 /* normal but signification condition */#define LOG_INFO 6 /* informational */#define LOG_DEBUG 7 /* debug-level messages */

u La cuarta parte describe la condición de error. La condición de error en las primeras dos líneas de los ejemplos no necesita explicación. Las operaciones que se realizan son "commit" y "open", con la condición de error NoPermission. Otros tipos de eventos no son tan descriptivos.

Códigos de error KerberosLos códigos de error Kerberos son estados que generalmente muestra el subsistema SMB. Estos se pueden reconocer en los eventos registrados por la existencia de un número negativo elevado.

Ejemplo2007-07-24 16:29:35: SMB: 3: SSXAK=c0020030 origin=401 stat=e0000,-1765328160

Debido a que Kerberos está estandarizado, existen recursos públicos donde buscar los significados de la mayoría de estos códigos de estado.

Códigos de estado NTLos códigos de estado NT se reportan para las funciones de emulación de CIFS o de Microsoft Windows en los productos Celerra. Los códigos de estado NT son valores de 32 bits sin firmar que se separan en subgrupos de datos binarios que identifican las particularidades del estado de un evento. Los valores de 32 bits se distribuyen de la siguiente manera:



3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 +---+-+-+-----------------------+-------------------------------+ |Sev|C|R| Facility | Code | +---+-+-+-----------------------+-------------------------------+

donde:

Sev es el código de severidad:

00 - Success

01 - Informational

10 - Warning

11 - Error

C es el indicador del código de cliente.

R es un bit reservado.

Facility es el código de la funcionalidad.

Code es el código de estado de la funcionalidad.

Por lo común, los códigos de estado NT aparecen en el server_log con una especificación de subsistema SMB. El código de estado NT se presenta de diferentes maneras en los eventos de sistemas registrados. Entre los más frecuentes, se encuentran:

u Un número hexadecimal precedido por Em=0x:

SMB: 4: authLogon=SamLogonInvalidReply Es=0x0 Em=0xc0000064

u Un número hexadecimal simple sin prefijo ni indicación de su formato:

SMB: 4: SSXAuth_SERVER_EXT13 aT=3 mT=1 c0000016

u Un número hexadecimal simple con prefijo reply= sin indicación del formato:

SMB: 4: lookupNames:bad reply=c0000073

u Un número hexadecimal simple con prefijo failed= sin indicación del formato:

SMB: 4: SessSetupX failed=c0000016

u Un número hexadecimal marcado claramente como NTStatus= pero sin indicación del formato:

SMB: 4: MsError sendLookupNames=21 NTStatus=c0000073

Programas de capacitación para clientesLos programas de capacitación para clientes de EMC están diseñados para ayudarlo a aprender la manera en que interoperan los productos de almacenamiento de EMC y se integran en el entorno para maximizar toda la inversión en infraestructura. Los programas de capacitación para clientes de EMC incluyen capacitación en línea y práctica en los laboratorios de última generación, que se encuentran distribuidos en todo el mundo para brindar gran comodidad. Los programas de capacitación para clientes de EMC son desarrollados e impartidos por expertos de EMC. Para obtener más información sobre los programas y registrarse, inicie sesión en Powerlink, nuestro sitio Web para clientes y partners, y seleccione el menú Capacitación.


Apéndice A: Información adicional del directorio principalEn esta sección, se proporciona información adicional relacionada con la función de directorio principal opcional que se describe en "Activación de directorios principales" en la página 43. La información incluida en esta sección está dirigida a los usuarios que crean o mantengan configuraciones de directorios principales.

Formato de base de datos del directorio principalEsta sección describe el formato de las entradas en la base de datos del directorio principal.

Se recomienda usar el snap-in de MMC del directorio principal para crear y mantener el directorio principal. El snap-in valida entradas y ayuda a garantizar que las entradas sean correctas y completas.

La tabla que se incluye a continuación incluye el formato básico de la base de datos del directorio principal.

Formato

La base de datos incluye una entrada para cada usuario y utiliza el siguiente formato:<domain>:<username>:</path> [:regex][:create][:ro][:<umask>]

donde: <domain> = nombre de dominio de Windows (debe ser el nombre NetBIOS y no el FQDN)

<username> = nombre de usuario de Windows del usuario

</path> = path UNIX del directorio principal primario

create = directorio de destino que se creará en caso de que no exista

regex = el dominio y el nombre de usuario son expresiones regulares

ro = acceso de archivos de solo lectura (el valor predeterminado es lectura/escritura)

<umask> = user file-creation <mask> para que umask determine permisos NFS para el recurso compartido

La base de datos puede incluir comentarios. Los comentarios comienzan con un # en una nueva línea.

Ejemplo:

El siguiente es un ejemplo de una base de datos:# Comment - These entries specify users in the galaxy domain.galaxy:glenn:/mnt1/usr1galaxy:grissom:/mnt2/usr2galaxy:armstrong:/mnt2/usr3

donde:# = carácter que precede el texto de comentarios

galaxy = dominio de Windows

glenn, grissom, and armstrong = nombres de usuario

/mnt1/usr1,/mnt/usr2, and /mnt/usr3 = directorios principales individuales para glenn, grissom y armstrong, respectivamente.

ComodinesLos archivos de mapa pueden incluir comodines (*) para los campos de dominio y nombre de usuario. Los comodines permiten asignar directorios principales a múltiples usuarios sin realizar entradas individuales para cada usuario en la base de datos.

Por ejemplo, si el campo de nombre de usuario incluye un comodín, todos los usuarios del dominio especificado coinciden con la entrada del comodín. En esta situación, un directorio con el nombre de usuario de Windows del usuario en su path se convierte en el directorio principal del usuario.

Por lo tanto, si la base de datos incluye la siguiente entrada:galaxy:*:/mnt3/CIFS/

todos los usuarios en el dominio galaxy pueden acceder a directorios principales en /mnt3/CIFS/ que coincidan con sus nombres de usuario. Por ejemplo, user1 en el dominio galaxy puede acceder al directorio principal /mnt3/CIFS/user1, y user2 puede acceder al directorio principal /mnt3/CIFS/user2.

Las entradas de comodines se deben colocar al comienzo de la base de datos, seguidas de las entradas específicas. En "Orden de análisis" en la página 84, se proporciona más información.

Formato

ComodinesLos archivos de mapa pueden incluir entradas de comodines. En "Comodines" en la página 83, se proporciona más información.

Ejemplo:

El siguiente ejemplo es una base de datos con entradas de comodines:*:*:/mnt3/guestgalaxy:*:/mnt3/CIFSgalaxy:glenn:/mnt1/usr1galaxy:grissom:/mnt2/usr2galaxy:armstrong:/mnt2/usr3

CreaciónLos archivos de mapa pueden indicar que los directorios se deben crear automáticamente. El directorio primario debe existir. En el siguiente ejemplo, las ventas del directorio deben existir antes de que se pueda crear el directorio usr1.

Ejemplo:

El siguiente es un ejemplo de una base de datos con una entrada de directorio que se creará automáticamente:

galaxy:glenn:/mnt1/sales/usr1:create

Expresiones regularesLas entradas de archivos de mapa pueden incluir expresiones regulares. La ayuda en línea del plug-in de Celerra Management MMC proporciona una completa explicación sobre expresiones regulares.

Ejemplo:

El siguiente es un ejemplo de una base de datos con entradas de expresiones regulares:nasdocs:*:/ufs/user4/<d>/:regex:createnasdocs:^[a-g]:/ufs/user1/<d>/:regex:createnasdocs:^[h-p]:/ufs/user2/<d>/:regex:createnasdocs:^[q-z]:/ufs/user3//:regex:create

UmaskLos archivos de mapa pueden incluir una máscara de permisos NFS que configura los permisos sobre directorios y archivos recientemente creados. Esta máscara no afecta la ACL de CIFS.

Nota

Cada campo de la base de datos debe estar separado por “:” delimitador.

Expresiones regularesPuede utilizar expresiones regulares cuando especifica los nombres de usuario y los directorios.

Nota: Se recomienda que utilice el plug-in de Celerra Management MMC para crear y editar nombres de usuario y directorios al utilizar expresiones regulares. El plug-in de MMC valida las expresiones regulares a medida que las escribe. Si crea o modifica el archivo .homedir y escribe expresiones regulares incorrectas, es posible que el entorno del directorio principal se vuelva inutilizable.

La ayuda en línea del plug-in de Celerra Management MMC proporciona información adicional sobre la implementación de expresiones regulares en Celerra.

Orden de análisisEl Data Mover analiza la base de datos de principio a fin. Si utiliza comodines, posiblemente haya múltiples coincidencias para un par dominio:usuario. Cuando el Data Mover encuentra una coincidencia para un par dominio:usuario, busca luego el path para el directorio del usuario. Si hay un directorio del usuario en el path, ese directorio se asigna como el directorio principal del usuario. Si no hay un directorio coincidente, el Data Mover continúa analizando la base de datos en busca del directorio principal del usuario.

Por ejemplo, hay una base de datos que incluye las siguientes entradas de comodín:

galaxy:*:/homes1/galaxy:*:/homes2/galaxy:*:/homes3/

Está intentando asignar un directorio HOME para user1, y las estructuras de directorio son las siguientes:

/homes1/user1 – does not exist/homes2/user1 – does exist/homes3/user1 – does not exist

Si el Data Mover buscó solo una coincidencia galaxy:user1, detendría el análisis en la primera entrada del mapa. No obstante, el Data Mover, después de encontrar una coincidencia galaxy:user1, busca el path para un directorio user1. Si no encuentraun directorio de user1, el Data Mover continúa el análisis de la base de datos. En los ejemplos anteriores, el Data Mover buscaría la coincidencia en la segunda entrada y después asignaría ese directorio como el directorio principal para user1.

Cuentas de invitadosPara usuarios ocasionales o invitados, puede especificar un directorio de invitados en la base de datos. Los usuarios que inician sesión en los dominios no mencionados en la base de datos se dirigen al directorio de invitados. Una entrada del directorio de invitados incluye comodines para el dominio y el nombre de usuario, como se muestra en el siguiente ejemplo:

*:*:/mnt3/guest

Desactivación de directorios principales en el Data MoverUtilice la siguiente sintaxis de comandos para desactivar directorios principales en el Data Mover:

$ server_cifs <movername> -option homedir=no

donde:

<movername> = nombre del Data Mover


Índice

Aacceso, desactivación total 41Active Directory

adición del servidor CIFS a 29, 31, 33, 35creación de cuentas de equipo en 25

adiciónalias 15servidor WINS 11

aliasasignación a un nombre NetBIOS 15asignación a un servidor CIFS 15convenciones de nombres 14definición de 14eliminación 16visualización 17

alias, nombre de equipo 21autoridad de unión, delegación 25

Bbase de datos del directorio principal

formato 82bloqueos oportunistas de archivos 36

Ccambio de archivos

opciones de notificación 39seguimiento 37

Celerra Manager: Advanced Edition 3Celerra Manager: Basic Edition 3CIFS

comprobación de la configuración actual 10, 11detención 41inicio 42resolución de problemas 74

cifs.smbsigning 67comando server_mount 35comentarios

modificación 19visualización de la CLI 19visualización desde Windows 19

configuracióncomprobación de CIFS 10, 11DNS 11unión del servidor al dominio 29, 31, 33, 35

configuración, GPOs 51contraseña de equipo, cambio automático de 70contraseña, cambio automático de 70

Ddesactivación

todo el acceso 41directorios principales

adición a perfiles de usuario 46adición desde Windows NT 48

creación 45descripción general 43restricciones 44

DNSadministración 11cambio de la configuración 11

Eeliminación

servidor CIFS para Windows 2000 43servidor CIFS para Windows NT 43

escrituras sincrónicas, garantía 35expresiones regulares 84Extensiones 3

Ffile system

garantía de escrituras sincrónicas 35oplocks 36re-exportación 39

Firma de SMBconfiguración 67descripción general 65

firma de SMBconfiguración 67, 69configuración con GPOs 67

firma, SMB 65formato, base de datos del directorio principal 82

GGPOs

actualización de la configuración 58actualización manual de la configuración del GPO 59configuración CNS soportada 51configuración con firma de SMB 67configuración soportada 51desactivación del almacenamiento en memoria caché 60desactivación del soporte 59servicio 50visualización de la configuración 58

Iinformación relacionada 5

Llista, configuración de CIFS 10, 11log de seguridad, creación 71

MMDS

descripción general 61en Celerra 62

mensajes de error 79migración de dominios, soporte de 72

86 de 88 Administración de EMC® Celerra® para el entorno WindowsVersión 5.6.42

Nnamespace desligado 26, 33NetBIOS

adición de alias a 15cambio de nombre 12

nombre NetBIOSocultación 28, 30, 32, 34

notificación, de cambios de archivos 37

Oopción cifssyncwrite 35oplocks 36

Pparámetros

djAddAdminToLg 25perfiles de usuario, adición de directorios principales 46

Rrecursos compartidos

restricciones de nombres 18re-exportación de file systems 39resolución de nombres, WINS 11resolución de problemas 74

Sservicio de CIFS

definición 5detención 41inicio 42

servidor CIFSdefinición 4delegación de la autoridad de unión 25eliminación para Windows 2000 43eliminación para Windows NT 43

SIDs, actualización de dominio de destino 72Snap 3soporte de múltiples flujos de datos 61

WWINS, adición de un servidor 11


Notas

Acerca de este documentoComo parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de la línea de productos Celerra Network Server, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las versiones de las herramientas de hardware y software Celerra que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto, consulte las notas de la versión del producto correspondiente. Si su sistema Celerra no cuenta con alguna de las funciones que se describen en este documento, póngase en contacto con su representante de Servicio al Cliente de EMC para obtener una actualización de hardware o software.

Comentarios y sugerencias acerca de la documentaciónSus sugerencias nos ayudarán mejorar la exactitud, organización y calidad general de la documentación para usuarios. Envíe un mensaje de correo electrónico a [email protected] para darnos su opinión acerca de este documento.

Copyright © 1998-2008 EMC Corporation. Todos los derechos reservados.

EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA "TAL CUAL". EMC CORPORATION NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO.

El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente.

Para consultar el documento regulatorio más actualizado para su línea de productos, visite la sección Documentación Técnica y Asesorías en EMC Powerlink.

Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en argentina.emc.com.

Todas las otras marcas comerciales incluidas en este documento pertenecen a sus respectivos propietarios.

Versión 5.6.42 88 de 88

Administración de EMC Celerra para el entorno Windows · 2020. 11. 30. · Administración de...

Documents

Transcript of Administración de EMC Celerra para el entorno Windows · 2020. 11. 30. · Administración de...