Come usare i namespace DFS con Azure Files

Spazi dei nomi dei file system distribuiti, comunemente definiti spazi dei nomi DFS o DFS-N, è un ruolo del server Windows Server usato per semplificare la distribuzione e la manutenzione delle condivisioni file SMB nell'ambiente di produzione. Gli spazi dei nomi DFS offrono la virtualizzazione dello spazio dei nomi di archiviazione, consentendo di fornire un livello di riferimento indiretto tra il percorso UNC della condivisione file e la condivisione file effettiva. Gli spazi dei nomi DFS funzionano con le condivisioni file SMB, indipendentemente da dove queste sono ospitate. Può essere usato con condivisioni SMB ospitate in un file server Windows locale con o senza Sincronizzazione file di Azure, condivisioni file di Azure direttamente, condivisioni file SMB ospitate in Azure NetApp Files o altre offerte di terze parti e anche con condivisioni file ospitate in altri cloud.

Fondamentalmente, i Namespace DFS forniscono una mappatura tra un percorso UNC intuitivo, come \\contoso\shares\ProjectX, e il percorso UNC sottostante della condivisione SMB, come \\Server01-Prod\ProjectX o \\storageaccount.file.core.windows.net\projectx. Quando l'utente finale vuole navigare alla propria condivisione file, digita il percorso UNC intuitivo, ma il client SMB accede al percorso SMB sottostante della mappatura. È anche possibile estendere questo concetto di base per assumere il nome di un file server esistente, ad esempio \\MyServer\ProjectX. È possibile usare questa funzionalità per ottenere gli scenari seguenti:

• Specificare un nome resistente alla migrazione per un set logico di dati. Ad esempio, è possibile eseguire il mapping \\contoso\shares\Engineering a \\OldServer\Engineering. Quando si completa la migrazione ad Azure Files, è possibile modificare il mapping in \\storageaccount.file.core.windows.net\engineering, in modo che quando un utente finale accede al percorso UNC descrittivo, venga reindirizzato senza problemi al percorso della condivisione file di Azure.

• Stabilire un nome comune per un set logico di dati distribuito a più server in siti fisici diversi, ad esempio tramite Sincronizzazione file di Azure. In questo esempio, un nome come \\contoso\shares\FileSyncExample viene mappato a più percorsi UNC, come \\FileSyncServer1\ExampleShare, \\FileSyncServer2\DifferentShareName, \\FileSyncServer3\ExampleShare. Quando l'utente accede all'UNC facile da usare, viene fornito un elenco dei possibili percorsi UNC, scegliendo quello più vicino in base alle definizioni dei siti di Windows Server Active Directory (AD).

• Estendere un set logico di dati tra dimensioni, I/O o altre soglie di scalabilità. Ciò può essere utile quando si gestiscono le directory utente, in cui ogni utente ottiene la propria cartella in una condivisione o con condivisioni scratch, in cui gli utenti ottengono spazio arbitrario per gestire le esigenze temporanee dei dati. Con gli spazi dei nomi DFS, è possibile unire più cartelle in uno spazio dei nomi coeso. Ad esempio, \\contoso\shares\UserShares\user1 esegue il mapping a \\storageaccount.file.core.windows.net\user1, \\contoso\shares\UserShares\user2 esegue il mapping a \\storageaccount.file.core.windows.net\user2e così via.

È possibile vedere un esempio di come usare i DFS Namespaces con l'implementazione di Azure Files nel seguente video.

Se hai già uno spazio dei nomi DFS, non sono necessari passaggi speciali per utilizzarlo con Azure Files e File Sync. Se accedi alla condivisione file di Azure dall'on-premise, si applicano le normali considerazioni di rete. Per altre informazioni , vedere Considerazioni sulla rete di File di Azure .

Modello di gestione	Modello di fatturazione	Livello supporti	Ridondanza	Piccole e Medie Imprese (PMI)	NFS (Network File System)
Microsoft.Storage	Con provisioning v2	HDD (standard)	Locale
Microsoft.Storage	Con provisioning v2	HDD (standard)	Della zona
Microsoft.Storage	Con provisioning v2	HDD (standard)	Geografica
Microsoft.Storage	Con provisioning v2	HDD (standard)	GeoZone (GZRS)
Microsoft.Storage	Con provisioning v1	SSD (Premium)	Locale
Microsoft.Storage	Con provisioning v1	SSD (Premium)	Della zona
Microsoft.Storage	Pagamento in base al consumo	HDD (standard)	Locale
Microsoft.Storage	Pagamento in base al consumo	HDD (standard)	Della zona
Microsoft.Storage	Pagamento in base al consumo	HDD (standard)	Geografica
Microsoft.Storage	Pagamento in base al consumo	HDD (standard)	GeoZone (GZRS)

DFS Namespaces fornisce due tipi principali di namespace:

• Spazio dei nomi basato su dominio: spazio dei nomi ospitato come parte del dominio di Windows Server AD. Gli spazi dei nomi ospitati come parte di Active Directory avranno un percorso UNC contenente il nome del dominio, ad esempio \\contoso.com\shares\myshare, se il dominio è contoso.com. Gli spazi dei nomi basati su dominio supportano limiti di scala più estesi e ridondanza integrata tramite AD. Lo spazio dei nomi basato su dominio non può essere una risorsa in cluster in un cluster di failover.
• Spazio dei nomi autonomo: spazio dei nomi ospitato in un singolo server, non ospitato come parte di Windows Server AD. Gli spazi dei nomi autonomi avranno un nome basato sul nome del server autonomo, ad esempio \\MyStandaloneServer\shares\myshare, dove il server autonomo è denominato MyStandaloneServer. Gli spazi dei nomi autonomi supportano livelli di scalabilità inferiori rispetto agli spazi dei nomi basati su dominio, ma possono essere ospitati come risorsa clusterizzata in un cluster di failover.

Per usare i Namespace DFS con File di Azure e Sincronizzazione dei file, è necessario disporre delle risorse seguenti:

• Un dominio di Active Directory. Può essere ospitato ovunque si desideri, ad esempio in locale, in una macchina virtuale (VM) di Azure o anche in un altro cloud.
• Windows Server che può ospitare lo spazio dei nomi. Un modello di distribuzione comune per gli spazi dei nomi DFS consiste nell'usare il controller di dominio Active Directory per ospitare gli spazi dei nomi, ma gli spazi dei nomi possono essere configurati da qualsiasi server con il ruolo del server Spazi dei nomi DFS installato. Le namespace DFS sono disponibili su tutte le versioni supportate di Windows Server.
• Una condivisione file SMB ospitata in un ambiente aggiunto a un dominio, ad esempio una condivisione file di Azure ospitata all'interno di un account di archiviazione aggiunto a un dominio o una condivisione file ospitata in un file server windows aggiunto a un dominio tramite Sincronizzazione file di Azure. Per altre informazioni sull'aggiunta a un dominio dell'account di archiviazione, vedere Autenticazione basata su identità. I file server Windows sono aggiunti a un dominio allo stesso modo indipendentemente dal fatto che si stia usando Sincronizzazione file di Azure.
• Le condivisioni file SMB che desideri utilizzare con DFS Namespaces devono essere raggiungibili dalle reti locali interne. Per altre informazioni, vedere Considerazioni sulla rete per l'accesso diretto.

Se si usano già spazi dei nomi DFS o si desidera configurare spazi dei nomi DFS nel controller di dominio, è possibile ignorare questi passaggi in modo sicuro.

Install-WindowsFeature -Name "FS-DFS-Namespace", "RSAT-DFS-Mgmt-Con"

Un utilizzo importante per i namespace DFS è sostituire un nome di server esistente ai fini della ristrutturazione dell'architettura fisica delle condivisioni file. Ad esempio, è possibile consolidare le condivisioni file da più file server precedenti in un singolo file server durante una migrazione di modernizzazione. Tradizionalmente, la familiarità con l'utente finale e il collegamento di documenti limitano la possibilità di consolidare condivisioni file da file server diversi in un unico host. Tuttavia, la funzionalità di consolidamento della radice degli spazi dei nomi DFS consente di utilizzare un singolo server con più nomi di server e indirizzare alla condivisione appropriata.

Sebbene sia utile per vari scenari di migrazione del data center, il consolidamento della radice è particolarmente utile per l'adozione di condivisioni file Azure nativamente cloud perché:

• Le condivisioni file di Azure non consentono di mantenere i nomi dei server locali esistenti.
• È necessario accedere alle condivisioni file di Azure tramite il nome di dominio completo (FQDN) dell'account di archiviazione. Ad esempio, una condivisione file di Azure denominata share nell'account storageaccount di archiviazione è sempre accessibile tramite il \\storageaccount.file.core.windows.net\share percorso UNC. Questo può confondere gli utenti finali che si aspettano un nome breve (ad \\MyServer\shareesempio ) o un nome che è un sottodominio del nome di dominio dell'organizzazione ( ad esempio \\MyServer.contoso.com\share).

Il consolidamento della radice può essere usato solo con namespace autonomi. Se si dispone già di uno spazio dei nomi basato su dominio esistente per le condivisioni file, non è necessario creare uno spazio dei nomi radice consolidato.

Abilitare il consolidamento radice impostando le seguenti chiavi del Registro di sistema tramite una sessione di PowerShell con privilegi amministrativi (o usando la funzionalità di remoting di PowerShell).

New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs" `
    -Type Registry `
    -ErrorAction SilentlyContinue
New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters" `
    -Type Registry `
    -ErrorAction SilentlyContinue
New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated" `
    -Type Registry `
    -ErrorAction SilentlyContinue
Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated" `
    -Name "ServerConsolidationRetry" `
    -Value 1

Per consentire agli spazi dei nomi DFS di rispondere ai nomi dei file server esistenti, creare record alias (CNAME) per i file server esistenti che puntano al nome del server degli spazi dei nomi DFS. La procedura esatta per l'aggiornamento dei record DNS può dipendere dai server usati dall'organizzazione e se l'organizzazione usa strumenti personalizzati per automatizzare la gestione del DNS. La procedura seguente riguarda il server DNS incluso in Windows Server e viene usato automaticamente da Windows AD.

# Variables
$oldServer = "MyServer"
$domain = Get-CimInstance -ClassName "Win32_ComputerSystem" | `
    Select-Object -ExpandProperty Domain
$dfsnServer = "CloudDFSN.$domain"

# Create CNAME record
Import-Module -Name DnsServer
Add-DnsServerResourceRecordCName `
    -Name $oldServer `
    -HostNameAlias $dfsnServer `
    -ZoneName $domain

L'unità di base della gestione per i namespace DFS è il namespace. La radice dello spazio dei nomi o il nome è il punto iniziale dello spazio dei nomi, in modo che nel percorso \\contoso.com\Public\UNC la radice dello spazio dei nomi sia Public.

Se si utilizzano gli spazi dei nomi DFS per assumere il nome di un server esistente tramite il consolidamento della radice, il nome dello spazio dei nomi deve essere il nome del server che si desidera acquisire, preceduto dal carattere #. Ad esempio, se si vuole assumere il controllo di un server esistente denominato MyServer, si creerebbe uno spazio dei nomi DFS-N denominato #MyServer. L'esempio di PowerShell si occupa della pre-attesa di #, ma se si crea tramite la console di gestione DFS, è necessario anteporre le impostazioni appropriate.

# Variables
$namespace = "Public"
$type = "DomainV2" # "Standalone"
$takeOverName = $false # $true

$namespace = if ($takeOverName -and $type -eq "Standalone" -and $namespace[0] -ne "#") { 
    "#$namespace" 
} else { $namespace }
$dfsnServer = $env:ComputerName
$namespaceServer = if ($type -eq "DomainV2") { 
    Get-CimInstance -ClassName "Win32_ComputerSystem" | `
    Select-Object -ExpandProperty Domain
} else { $dfsnServer }

# Create share for DFS-N namespace
$smbShare = "C:\DFSRoots\$namespace"
if (!(Test-Path -Path $smbShare)) { New-Item -Path $smbShare -ItemType Directory }
New-SmbShare -Name $namespace -Path $smbShare -FullAccess Everyone

# Create DFS-N namespace
Import-Module -Name DFSN
$namespacePath = "\\$namespaceServer\$namespace"
$targetPath = "\\$dfsnServer\$namespace"
New-DfsnRoot -Path $namespacePath -TargetPath $targetPath -Type $type

Affinché un namespace sia utile, deve avere cartelle e target delle cartelle. Ogni cartella può avere una o più destinazioni di cartella, ovvero puntatori alle condivisioni file SMB che ospitano tale contenuto. Quando gli utenti esplorano una cartella con destinazioni di cartella, il computer client riceve una segnalazione che reindirizza in modo trasparente il computer client a una delle destinazioni della cartella. È anche possibile avere cartelle senza destinazioni di cartella per aggiungere struttura e gerarchia allo spazio dei nomi.

È possibile considerare le cartelle dei namespace DFS come analoghe alle condivisioni di file.

# Variables
$shareName = "MyShare"
$targetUNC = "\\storageaccount.file.core.windows.net\myshare"

# Create folder and folder targets
$sharePath = "$namespacePath\$shareName"
New-DfsnFolder -Path $sharePath -TargetPath $targetUNC

Dopo aver creato uno spazio dei nomi, una cartella e una destinazione di cartella, dovresti essere in grado di montare la condivisione file tramite DFS Namespace. Se si usa uno spazio dei nomi basato su dominio, il percorso completo della condivisione deve essere \\<domain-name>\<namespace>\<share>. Se si usa uno spazio dei nomi autonomo, il percorso completo della condivisione deve essere \\<DFS-server>\<namespace>\<share>. Se si usa uno spazio dei nomi autonomo con consolidamento radice, è possibile accedere direttamente tramite il nome del server precedente, ad esempio \\<old-server>\<share>.

L'uso di ABE per controllare la visibilità dei file e delle cartelle nelle condivisioni file di Azure SMB non è attualmente uno scenario supportato. ABE è una funzionalità di DFS-N, quindi è possibile configurare l'autenticazione basata su identità e abilitare la funzionalità ABE. Tuttavia, questo vale solo per i target delle cartelle DFS-N; non si applica retroattivamente alle condivisioni di file mirate. Ciò è dovuto al fatto che DFS-N funziona in base alla segnalazione, anziché come proxy davanti alla destinazione della cartella.

Ad esempio, se l'utente digita nel percorso \\mydfsnserver\share, il client SMB ottiene la segnalazione di \\mydfsnserver\share => \\server123\share e effettua il montaggio su quest'ultimo.

Per questo motivo, ABE funzionerà solo nei casi in cui il server DFS-N ospita l'elenco di nomi utente prima del reindirizzamento:

\\DFSServer\users\contosouser1 => \\SA.file.core.windows.net\contosouser1

\\DFSServer\users\contosouser1 => \\SA.file.core.windows.net\users\contosouser1

(Dove contosouser1 è una sottocartella della cartella condivisa utenti)

Se ogni utente è una sottocartella dopo il reindirizzamento, ABE non funzionerà:

\\DFSServer\SomePath\users --> \\SA.file.core.windows.net\users

• Distribuzione di una condivisione file di Azure: pianificazione di una distribuzione di File di Azure e Come creare una condivisione file.
• Configurazione dell'accesso alla condivisione file: Autenticazione basata su identità e considerazioni sulla rete per l'accesso diretto.
• Spazi dei nomi del file system distribuito di Windows Server