Использование пространств имен DFS с Файлами Azure

Распределенные пространства имен файловых систем, часто называемые пространствами имен DFS или DFS-N, — это роль сервера Windows Server, которая широко используется для упрощения развертывания и обслуживания общих папок S МБ в рабочей среде. Пространства имен DFS — это технология виртуализации пространства имен хранилища. Благодаря этому оно позволяет предоставить уровень косвенного обращения между UNC-путем к общим файловым ресурсам и фактическими общими папками. Пространства имен DFS работают с общими папками S МБ, не зависят от размещения этих общих папок. Его можно использовать с общими папками S МБ, размещенными на локальном файловом сервере Windows с Синхронизация файлов Azure, общими папками Azure напрямую, S МБ файловыми ресурсами, размещенными в Azure NetApp Files или другими сторонними предложениями, и даже с общими папками, размещенными в других облаках.

По сути, пространства имен DFS обеспечивают сопоставление между понятным пользователю UNC-путем, например \\contoso\shares\ProjectX, и базовым UNC-путем к общей папке SMB, например \\Server01-Prod\ProjectX или \\storageaccount.file.core.windows.net\projectx. Когда пользователь хочет перейти к общей папке, он должен ввести удобный для него UNC-путь, но его клиент SMB будет использовать для доступа базовый путь SMB в сопоставлении. Можно также расширить эту базовую концепцию, взяв имеющееся имя файлового сервера, например \\MyServer\ProjectX. Эту возможность можно использовать для реализации следующих сценариев:

• Предоставление имени подтверждения миграции для логического набора данных. В этом примере используется сопоставление, аналогичное сопоставлению \\contoso\shares\Engineering с \\OldServer\Engineering. Когда вы завершите миграцию в службу "Файлы Azure", вы можете изменить сопоставление, чтобы удобный для пользователя UNC-путь указывал на \\storageaccount.file.core.windows.net\engineering. Когда пользователь получает доступ к понятному для него UNC-пути, он будет прозрачно перенаправляться по пути к общей папке Azure.

• Установка общего имени для логического набора данных, которые распределяются среди нескольких серверов на разных физических сайтах, например с помощью Синхронизации файлов Azure. В этом примере такое имя, как \\contoso\shares\FileSyncExample, сопоставляется с несколькими UNC-путями, например \\FileSyncServer1\ExampleShare, \\FileSyncServer2\DifferentShareName, \\FileSyncServer3\ExampleShare. Когда пользователь обращается к удобному для него UNC, ему предоставляется список возможных UNC-путей и он выбирает ближайший к нему путь в соответствии с определениями сайтов Windows Server Active Directory (AD).

• Расширение логического набора данных по размеру, числу операций ввода-вывода или другим пороговым значениям, допускающим масштабирование. Эта возможность часто используется при работе с пользовательскими каталогами, когда каждый пользователь получает собственную папку в общей папке или возможность использовать общую папку временных файлов, в которой пользователи получают произвольное пространство для обработки временных данных. С помощью пространств имен DFS можно объединить несколько папок в единое пространство имен. Например, \\contoso\shares\UserShares\user1 сопоставляется с \\storageaccount.file.core.windows.net\user1, \\contoso\shares\UserShares\user2 сопоставляется с \\storageaccount.file.core.windows.net\user2 и т. д.

Пример использования пространств имен DFS с развертыванием Файлов Azure см. в следующем видеообзоре. Обратите внимание, что Azure Active Directory теперь является идентификатором Microsoft Entra. Дополнительные сведения см. в статье "Новое имя" для Azure AD.

Если у вас уже есть пространство имен DFS, специальные действия не требуются для использования с Файлы Azure и Синхронизация файлов. Если вы обращаетесь к общей папке Azure из локальной среды, применяются обычные рекомендации по работе с сетями. Дополнительные сведения см. в разделе Рекомендации по работе с сетями в службе "Файлы Azure".

Применяется к

Тип общей папки	SMB	NFS
Стандартные общие папки (GPv2), LRS/ZRS
Стандартные общие папки (GPv2), GRS/GZRS
Общие папки уровня "Премиум" (FileStorage), LRS/ZRS

Типы пространств имен

В пространствах имен DFS предоставляется два основных типа пространств имен:

• Пространство имен на основе домена. Пространство имен, размещенное в составе домена Windows Server AD. Пространства имен, размещенные в составе AD, будут иметь UNC-путь, содержащий имя вашего домена, например \\contoso.com\shares\myshare для домена contoso.com. Пространства имен на основе домена поддерживают более высокие предельные значения для масштабирования и встроенную избыточность через AD. Они не могут быть кластерными ресурсами в отказоустойчивом кластере.
• Изолированное пространство имен. Пространство имен, размещенное на отдельном сервере, не входящем в состав Windows Server AD. Изолированные пространства имен будут иметь имя на основе имени изолированного сервера, например \\MyStandaloneServer\shares\myshare, где имя изолированного сервера — MyStandaloneServer. Автономные пространства имен поддерживают целевые объекты меньшего масштаба, чем пространства имен на основе домена, но могут размещаться как кластерные ресурсы в отказоустойчивом кластере.

Требования

Чтобы использовать пространства имен DFS со службами "Файлы Azure" и "Синхронизация файлов", необходимы следующие ресурсы:

• Домен Active Directory. Они могут размещаться в любом месте, например в локальной среде, на виртуальной машине Azure или даже в другом облаке.
• Сервер Windows, на котором может размещаться пространство имен. Распространенная схема развертывания для пространств имен DFS — использование контроллера домена Active Directory для размещения пространств имен, однако пространства имен могут быть настроены с любого сервера, на котором установлена роль сервера пространства имен DFS. Пространства имен DFS доступны во всех поддерживаемых версиях Windows Server.
• Общая папка SMB, размещенная в среде, присоединенной к домену, например общая папка Azure, размещенная в присоединенной к домену учетной записи хранения, или общая папка, размещенная на присоединенном к домену файловом сервере Windows, использующем Синхронизацию файлов Azure. Дополнительные сведения о присоединении к домену учетной записи хранения см. в статье Проверка подлинности на основе удостоверений. Файловые серверы Windows присоединены к домену так же, независимо от того, используется ли вы Синхронизация файлов Azure.
• Общие папки SMB, которые вы хотите использовать с пространствами имен DFS, должны быть доступны из локальных сетей. Это в первую очередь касается общих папок Azure, однако она технически применяется к любой общей папке, размещенной в облаке. Дополнительные сведения см . в рекомендациях по работе с сетями для прямого доступа.

Установка роли сервера "Пространства имен DFS"

Если вы уже используете пространства имен DFS или хотите настроить пространства имен DFS на контроллере домена, вы можете безопасно пропустить эти действия.

Install-WindowsFeature -Name "FS-DFS-Namespace", "RSAT-DFS-Mgmt-Con"

Принятие имеющихся имен серверов с помощью корневой консолидации

Важное использование пространств имен DFS заключается в принятии имеющегося имени сервера в целях рефакторинга физической структуры общих папок. Например, вы можете объединить общие папки с нескольких старых файловых серверов на одном файловом сервере во время миграции для модернизации. Традиционно знакомство конечных пользователей и связывание документов ограничивает возможность консолидации общих папок с разрозненных файловых серверов вместе на одном узле. Однако функция консолидации пространств имен DFS позволяет стоять на одном сервере до нескольких имен серверов и направлять их в соответствующее имя общей папки.

Хотя и полезно для различных сценариев миграции центра обработки данных, консолидация корней особенно полезна для внедрения общих папок Azure в облаке, так как:

• Общие папки Azure не позволяют сохранить имеющиеся локальные имена серверов.
• Доступ к общим папкам Azure должен осуществляться с помощью полного доменного имени (FQDN) учетной записи хранения. Например, общая папка Azure с именем share в учетной записи хранения storageaccount всегда доступна по UNC-пути \\storageaccount.file.core.windows.net\share. Это может быть запутано для конечных пользователей, которые ожидают короткое имя (например \\MyServer\share) или имя, которое является поддоменом доменного имени организации (например \\MyServer.contoso.com\share).

Корневую консолидацию можно использовать только с автономными пространствами имен. Если у вас уже есть пространство имен на основе домена для общих папок, вам не нужно создавать корневое консолидированное пространство имен.

Включение корневой консолидации

Включите консолидацию корней, задав следующие разделы реестра из сеанса PowerShell с повышенными привилегиями (или с помощью удаленного взаимодействия PowerShell).

New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs" `
    -Type Registry `
    -ErrorAction SilentlyContinue
New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters" `
    -Type Registry `
    -ErrorAction SilentlyContinue
New-Item `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated" `
    -Type Registry `
    -ErrorAction SilentlyContinue
Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Services\Dfs\Parameters\Replicated" `
    -Name "ServerConsolidationRetry" `
    -Value 1

Создание записей DNS для имеющихся имен файловых серверов

Чтобы пространства имен DFS реагировали на имеющиеся имена файловых серверов, создайте для них записи псевдонимов (CNAME), которые указывают на имя сервера в пространстве имен DFS. Точная процедура обновления записей DNS может зависеть от того, какие серверы использует ваша организация и использует ли она пользовательские средства для автоматизации управления DNS. Следующие шаги предназначены для DNS-сервера, включенного в Windows Server, и автоматически используются Windows AD.

# Variables
$oldServer = "MyServer"
$domain = Get-CimInstance -ClassName "Win32_ComputerSystem" | `
    Select-Object -ExpandProperty Domain
$dfsnServer = "CloudDFSN.$domain"

# Create CNAME record
Import-Module -Name DnsServer
Add-DnsServerResourceRecordCName `
    -Name $oldServer `
    -HostNameAlias $dfsnServer `
    -ZoneName $domain

Создание пространства имен

Основной единицей управления для пространств имен DFS является пространство имен. Корень пространства имен (или имя) является начальной точкой пространства имен, как в UNC-пути \\contoso.com\Public\. Корневым пространством имен является Public.

Если вы используете пространства имен DFS для принятия существующего имени сервера с консолидацией корня, имя пространства имен должно быть именем сервера, которое вы хотите взять на себя, предопределенным символом # . Например, если вы хотите взять на себя существующий сервер с именем MyServer, создайте пространство #MyServerимен DFS-N. В разделе PowerShell ниже описана предварительная настройка #, но если вы создаете с помощью консоли управления DFS, вам потребуется заранее присвоить необходимые компоненты.

# Variables
$namespace = "Public"
$type = "DomainV2" # "Standalone"
$takeOverName = $false # $true

$namespace = if ($takeOverName -and $type -eq "Standalone" -and $namespace[0] -ne "#") { 
    "#$namespace" 
} else { $namespace }
$dfsnServer = $env:ComputerName
$namespaceServer = if ($type -eq "DomainV2") { 
    Get-CimInstance -ClassName "Win32_ComputerSystem" | `
    Select-Object -ExpandProperty Domain
} else { $dfsnServer }

# Create share for DFS-N namespace
$smbShare = "C:\DFSRoots\$namespace"
if (!(Test-Path -Path $smbShare)) { New-Item -Path $smbShare -ItemType Directory }
New-SmbShare -Name $namespace -Path $smbShare -FullAccess Everyone

# Create DFS-N namespace
Import-Module -Name DFSN
$namespacePath = "\\$namespaceServer\$namespace"
$targetPath = "\\$dfsnServer\$namespace"
New-DfsnRoot -Path $namespacePath -TargetPath $targetPath -Type $type

Настройка папок и целевых объектов папок

Чтобы пространство имен было полезным, оно должно иметь папки и целевые объекты папок. Каждая папка может иметь один или несколько целевых объектов папок, являющихся указателями на общие папки SMB, в которых размещается содержимое. Когда пользователи просматривают папку с целевыми объектами папки, клиентский компьютер получает ссылку, которая прозрачно перенаправляет клиентский компьютер к одному из целевых объектов папки. Можно также использовать папки без целевых объектов папки. Такие папки используются для структурирования пространства имен и создания в нем иерархии.

Папки пространств имен DFS можно рассматривать как аналог общих папок.

# Variables
$shareName = "MyShare"
$targetUNC = "\\storageaccount.file.core.windows.net\myshare"

# Create folder and folder targets
$sharePath = "$namespacePath\$shareName"
New-DfsnFolder -Path $sharePath -TargetPath $targetUNC

Теперь, когда вы создали пространство имен, папку и целевой объект папки, вы сможете подключить общую папку через пространства имен DFS. Если вы используете пространство имен на основе домена, полный путь к общей папке должен быть \\<domain-name>\<namespace>\<share>. При использовании изолированного пространства имен полный путь к общей папке должен иметь такой вид: \\<DFS-server>\<namespace>\<share>. Если вы используете автономное пространство имен с корневой консолидацией, вы можете получить доступ непосредственно через старое имя сервера, например \\<old-server>\<share>.

Перечисление на основе доступа (ABE)

Использование ABE для управления видимостью файлов и папок в общих папках SMB Azure в настоящее время не поддерживается. ABE — это функция DFS-N, поэтому вы можете настроить аутентификацию на основе удостоверений и включить функцию ABE. Но это относится только к целевым объектам папки DFS-N и не применяется ретроактивно к целевым общим файловым папкам. Это связано с тем, что DFS-N работает по рефералам, а не в качестве прокси-сервера перед целевым объектом папки.

Например, если пользователь вводит путь\\mydfsnserver\share, клиент S МБ получает ссылку \\mydfsnserver\share => \\server123\share и делает подключение к последнему.

Из-за этого ABE будет работать только в тех случаях, если сервер DFS-N размещает список имен пользователей перед перенаправлением:

\\DFSServer\users\contosouser1 => \\SA.file.core.windows.net\contosouser1

\\DFSServer\users\contosouser1 => \\SA.file.core.windows.net\users\contosouser1

(Где contosouser1 — это вложенная папка общего ресурса users)

Если каждый пользователь имеет вложенную папку уже после перенаправления, ABE не будет работать:

\\DFSServer\SomePath\users --> \\SA.file.core.windows.net\users

См. также

• Развертывание общей папки Azure: Планирование развертывания службы "Файлы Azure" и Создание общей папки.
• Настройка доступа к общей папке: Проверка подлинности на основе удостоверений и Рекомендации по работе с сетями для обеспечения прямого доступа.
• Пространства имен распределенной файловой системы Windows Server