Usando um sistema VNXe com Pastas compartilhadas

Transcrição

Série EMC VNXe
Usando um sistema VNXe com
Pastas compartilhadas CIFS
®
™
Ambiente operacional VNXe versão 2.4
NÚMERO DA PEÇA 300-010-548
REV 04
Conectar-se ao armazenamento
Copyright © 2013 EMC Corporation. Todos os direitos reservados.
Publicado em maio de 2013
A EMC atesta que as informações apresentadas nesta publicação são precisas e estão de acordo com suas práticas comerciais a partir
da data de divulgação. As informações estão sujeitas a alterações sem prévio aviso.
As informações nesta publicação são fornecidas no estado em que se encontram. A EMC Corporation não garante nem representa
nenhum tipo de informação contida nesta publicação e especificamente se isenta das garantias implícitas de comercialização ou uso
para um propósito específico. O uso, a cópia e a distribuição de qualquer software da EMC descrito nesta publicação exige uma
licença de software.
EMC2, EMC e o logotipo da EMC são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países.
Todas as outras marcas comerciais utilizadas neste documento pertencem a seus respectivos proprietários.
Para obter a documentação normativa mais atualizada para sua linha de produtos, acesse a seção de documentação técnica
e conselhos no site de suporte on-line da EMC.
2
Usando um sistema VNXe com Pastas compartilhadas CIFS
Conteúdo
Prefácio
Capítulo 1
Configurando um host para usar o armazenamento de VNXe pasta
compartilhada CIFS
Requisitos para configurar um host para usar o VNXe armazenamento CIFS..... 10
Requisitos do sistema VNXe.................................................................. 10
Requisitos de rede ................................................................................ 10
Servidor de pasta compartilhada CIFS do VNXe em um domínio
Active Directory do Windows ................................................................. 10
Servidor de pasta compartilhada CIFS do VNXe independente............... 10
Software do host do Celerra para hosts VNXe em um ambiente CIFS............. 10
Visão geral do software para hosts VNXe em um ambiente CIFS ............ 11
Instalando o software de host para um ambiente CIFS........................... 12
Usando o Windows CA (Continuous Availability, disponibilidade contínua)...... 13
Usando a alta disponibilidade da rede......................................................... 13
FSNs (Fail-Safe Network, redes fail-safe) ............................................... 14
Agregações de links .............................................................................. 15
Configurando uma agregação de links................................................... 15
Usando a criptografia de CIFS ...................................................................... 17
Configurando o armazenamento de Pasta compartilhada VNXe CIFS
para o host (cliente)..................................................................................... 17
Configurando o acesso de usuário ao compartilhamento CIFS
no Active Directory....................................................................................... 17
Mapeando o compartilhamento CIFS no host .............................................. 18
Capítulo 2
Migrando dados CIFS para o sistema VNXe
Limitações e ambiente de migração de CIFS................................................. 20
Migrando dados CIFS ................................................................................... 20
Capítulo 3
Gerenciando o armazenamento de pasta compartilhada CIFS
do VNXe com ferramentas do Windows
Abrindo o MMC Gerenciamento do computador ...........................................
Antes de usar os snap-ins do MMC........................................................
Criando compartilhamentos e definindo ACLs com MMC..............................
Antes de criar compartilhamentos ou definir acesso (ACLs)...................
Configurando ACLs em um compartilhamento existente de um
servidor de pasta compartilhada...........................................................
Criando um compartilhamento e definindo suas ACLs em um servidor
de pasta compartilhada ........................................................................
Usando o recurso de diretório base..............................................................
Restrições ao usar o diretório base........................................................
Adicionando um diretório base ao Active Directory................................
Adicionando um diretório base com expressões....................................
Usando GPOs (Group Policy Objects, objetos de política de grupo) ..............
Suporte ao GPO em um VNXe servidor de pasta compartilhada .............
Usando assinatura SMB ...............................................................................
Monitorando as conexões do servidor de pasta compartilhada e o uso
do recurso com o MMC ................................................................................
Monitorando usuários em um servidor de pasta compartilhada ............
Monitorando o acesso a compartilhamentos no servidor
de pasta compartilhada ........................................................................
Monitorando o uso de arquivos no servidor de pasta compartilhada .....
24
24
24
24
25
25
26
26
27
27
29
29
31
31
32
32
32
3
Conteúdo
Auditando objetos e usuários de CIFS .......................................................... 33
Habilitando a auditoria em um servidor de pasta compartilhada ........... 34
Exibindo os eventos de auditoria .......................................................... 36
Desabilitando a auditoria...................................................................... 36
Acessando o registro de segurança de um VNXe servidor de pasta
compartilhada ............................................................................................. 37
Copiando um snapshot de compartilhamento usando o Windows Explorer...... 37
Restaurando um snapshot de compartilhamento usando o Windows Explorer.... 38
Capítulo 4
Usando a Retenção no Nível do Arquivo com o Sistema VNXe
Terminologia e conceitos de FLR...................................................................
Terminologia da FLR ..............................................................................
Conceitos básicos de FLR ......................................................................
Como a retenção no nível do arquivo funciona ......................................
Restrições de FRL ..................................................................................
Requisitos do sistema para a retenção em nível de arquivo..........................
Requisito do Windows .NET Framework .................................................
Requisitos de serviços e privilégio de conta de serviço do Windows
para o Monitor FLR ................................................................................
Instalação do Kit de ferramentas FLR em um host.........................................
Configuração do monitor FLR........................................................................
Como usar o monitor FLR..............................................................................
Confirmar um arquivo somente leitura no estado FLR ............................
Criar consultas FLR ................................................................................
Capítulo 5
43
43
44
45
45
45
Usando a Solução Comum VNX Event Enabler com o Sistema VNXe
Visão geral do CAVA .....................................................................................
Servidores de pasta compartilhada VNXe ..............................................
Cliente de verificação de vírus VEE CAVA ...............................................
Suporte ao software antivírus de terceiros.............................................
Software VEE CAVA................................................................................
Software AntiVirus Management do snap-in MMC Celerra......................
Limitações e requisitos do sistema ..............................................................
Retenção em nível de arquivo ...............................................................
Protocolos não CIFS ..............................................................................
Configurando o VEE CAVA para servidores de pasta compartilhada VNXe .....
4
40
40
40
40
41
42
42
48
48
49
49
49
49
49
50
50
50
PREFÁCIO
Como parte do esforço para melhorar suas linhas de produto, a EMC lança periodicamente
revisões de seu software e hardware. Por isso, algumas das funções descritas neste
documento podem não ser compatíveis com todas as versões de software ou hardware
usadas no momento. As notas da versão do produto contêm as informações mais recentes
sobre os recursos do produto.
Entre em contato com um representante da EMC se um produto não funcionar
adequadamente nem funcionar conforme descrito neste documento.
Observação: este documento foi preciso na ocasião da publicação. Novas versões deste
documento podem ser lançadas no site de suporte on-line da EMC. Consulte o site de
suporte on-line da EMC para verificar se você está usando a versão mais recente deste
documento.
Finalidade
Este documento faz parte da documentação do EMC VNXe. Ele descreve como configurar hosts
do Windows com clientes que precisam acessar o armazenamento de Pasta compartilhada
(CIFS) do sistema de arquivos de rede em um sistema VNXe com o ambiente operacional VNXe
versão 1.7.0 ou posterior.
Público
Este documento foi criado para que as pessoas responsáveis pela configuração de hosts
acessem o armazenamento VNXe.
Os leitores deste documento devem estar familiarizados com o armazenamento de Pasta
compartilhada do VNXe e com o sistema operacional Windows em execução nos hosts com
clientes que acessarão o armazenamento de Pasta Compartilhada CIFS doVNXe.
Documentação relacionada
Os outros documentos do VNXe incluem:
◆
Guia de Informações de Hardware do EMC VNXe3100
◆
Guia de Instalação do Sistema EMC VNXe3100
◆
◆
◆
◆
◆
Usando o sistema VNXe com pastas compartilhadas NFS
◆
Usando o sistema VNXe com o Microsoft Exchange 2007 ou o Microsoft Exchange 2010
◆
Usando o sistema VNXe com armazenamento iSCSI genérico
◆
Usando o sistema VNXe com o Microsoft Windows Hyper-V
◆
Usando o sistema VNXe com VMware NFS ou VMware VMFS
◆
Guia do Usuário do VNXe CLI
5
Prefácio
A ajuda do EMC Unisphere fornece informações específicas sobre o armazenamento,
os recursos e a funcionalidade do VNXe. É possível encontrar a ajuda do Unisphere
e o conjunto completo da documentação do cliente do VNXe no site de Suporte on-line
da EMC (http://www.emc.com/vnxesupport).
Convenções usadas neste documento
A EMC usa as convenções a seguir para avisos especiais.
PERIGO
PERIGO indica uma situação perigosa que, se não evitada, resultará em lesões graves
ou morte.
ADVERTÊNCIA
ADVERTÊNCIA indica uma situação perigosa que, se não evitada, poderá resultar em
lesões graves ou morte.
CUIDADO
CUIDADO, usado com um símbolo de alerta de segurança, indica uma situação perigosa
que, se não for evitada, poderá resultar em lesões moderadas ou menos graves.
OBSERVAÇÃO
OBSERVAÇÃO é usado para determinar práticas não relacionadas a lesões pessoais.
Observação: apresenta informações que são importantes, mas que não estão relacionadas
a perigos.
IMPORTANTE
Contém informações essenciais para operação do software ou hardware.
6
Prefácio
Convenções tipográficas
A EMC usa as seguintes convenções de estilo de formatação neste documento:
Normal
Usada no corpo do texto (sem procedimentos) para:
• Nomes de elementos de interface, como nomes de janelas, caixas de
diálogo, botões, campos e menus
• Nomes de recursos, atributos, pools, expressões boolianas, botões,
instruções DQL, palavras-chave, cláusulas, variáveis de ambiente,
funções e utilitários
• URLs, nomes de caminho, nomes de arquivo, nomes de diretório,
nomes de computador, links, grupos, chaves de serviço, sistemas de
arquivos e notificações
Negrito
Usada em texto em execução (sem procedimentos) para nomes
de comandos, daemons, opções, programas, processos, serviços,
aplicativos, utilitários, kernels, notificações, chamadas de sistema
e páginas de manual ( “man pages”).
Usada em procedimentos para:
• Nomes de elementos de interface, como nomes de janelas, caixas de
diálogo, botões, campos e menus
• Aquilo que o usuário, especificamente, seleciona, clica, pressiona ou digita
Itálico
Usada em todos os textos (incluindo procedimentos) para:
• Títulos inteiros de publicações referidos no texto
• Ênfase, por exemplo, um novo termo
• Variáveis
Courier
Usada para:
• Saída de sistema, como uma mensagem de erro ou script
• URLs, caminhos completos, nomes de arquivo, prompts e sintaxe
quando mostrados fora do corpo do texto
Courier bold
Usada para entrada específica do usuário, como comandos
Courier italic
Usada em procedimentos para:
• Variáveis na linha de comando
• Variáveis de interação do usuário
<>
Sinais de maior e menor englobam valores de parâmetro ou variável
fornecidos pelo usuário
[]
Colchetes englobam valores opcionais
|
Barra vertical indica seleções alternativas - a barra significa “ou”
{}
Chaves incluem o conteúdo que o usuário deve especificar, como x ou y ou z
...
Reticências indicam informações não essenciais omitidas do exemplo
Onde obter ajuda
Você pode encontrar informações sobre licenciamento, suporte e o produto VNXe em:
Informações sobre produtos — Para obter documentos, notas da versão, atualizações de
software ou informações sobre produtos, licenciamento e serviços EMC, visite o site de
suporte on-line da EMC (registro obrigatório) em:
http://www.emc.com/vnxesupport
Suporte técnico — Para obter suporte técnico, visite o site de suporte on-line da EMC.
Em Centro de serviço, você verá várias opções, inclusive uma para criar um chamado.
Observe que, para abrir um chamado, é necessário ter um contrato de suporte válido.
Entre em contato com o representante de vendas da EMC para saber como obter um
acordo de suporte válido ou para tirar dúvidas sobre sua conta.
7
Prefácio
Seus comentários
Suas sugestões nos ajudarão a melhorar ainda mais a precisão, a organização e a qualidade
geral das publicações para usuários. Envie sua opinião sobre este documento para:
[email protected]
8
CAPÍTULO 1
Configurando um host para usar o armazenamento
de VNXe pasta compartilhada CIFS
Este capítulo descreve como configurar um host do Windows ou uma máquina virtual para
usar o armazenamento deVNXe pasta compartilhada CIFS da EMC.
Tópicos principais:
◆
◆
◆
◆
◆
Requisitos para configurar um host para usar o VNXe armazenamento CIFS.............
Software do host do Celerra para hosts VNXe em um ambiente CIFS........................
Configurando o armazenamento de Pasta compartilhada VNXe CIFS para
o host (cliente)........................................................................................................
Configurando o acesso de usuário ao compartilhamento CIFS no Active Directory ...
Mapeando o compartilhamento CIFS no host ..........................................................
10
10
17
17
18
Configurando um host para usar o armazenamento de VNXe pasta compartilhada CIFS
9
Requisitos para configurar um host para usar o VNXe
armazenamento CIFS
Antes de configurar um host para usar o armazenamento VNXe CIFS, os requisitos de
sistema e redeVNXe descritos a seguir nesta seção devem ser atendidos.
Requisitos do sistema VNXe
◆
Você instalou e configurou o sistema VNXe usando o Assistente de configuração do
VNXe, como descrito no Guia de Instalação do Sistema EMC VNXe3100, no Guia de
Instalação do EMC VNXe3150 ou no Guia de Instalação do Sistema EMC VNXe3300.
◆
Você usou o Unisphere ou a CLI do VNXe para executar a configuração básica em um
ou mais Servidores de pastas compartilhadas do VNXe no sistema VNXe.
Requisitos de rede
O host (cliente) deve estar em um ambiente de LAN com o Servidor de armazenamento de
pasta compartilhada do VNXe. O servidor de pasta compartilhada do VNXe pode ser um
membro de um domínio Active Directory do Windows ou operar independentemente de
qualquer domínio do Windows como um servidor CIFS independente.
Servidor de pasta compartilhada CIFS do VNXe em um domínio Active Directory
do Windows
Um servidor de pasta compartilhada CIFS com Active Directory habilitado:
◆
Utiliza autenticação Kerberos baseada em domínio.
◆
Mantém sua própria identidade (conta no computador) no domínio.
◆
Aproveita informações do site do domínio para localizar serviços, como controladores
de domínio.
Associar um servidor de pasta compartilhada CIFS com um domínio do Windows permite
que qualquer usuário desse domínio estabeleça uma conexão com o servidor CIFS.
Além disso, as configurações de autenticação e autorização mantidas no servidor Active
Directory se aplicam a arquivos e pastas na Pasta compartilhada CIFS.
Um servidor de pasta compartilhada CIFS com Active Directory habilitado requer um
domínio do Windows com um servidor AD (Active Directory) e um servidor DNS.
Servidor de pasta compartilhada CIFS do VNXe independente
Um servidor de pasta compartilhada CIFS independente não tem acesso a um domínio do
Windows nem a seus serviços associados. Somente usuários com contas de usuário
locais criadas e gerenciadas no servidor de pasta compartilhada CIFS independente
podem acessar o servidor que, por sua vez, realiza a autenticação do usuário.
Um servidor de pasta compartilhada CIFS independente requer um grupo de trabalho
do Windows.
Software do host do Celerra para hosts VNXe em um ambiente CIFS
Esta seção descreve o software do host EMC Celerra® disponível para o sistema VNXe em
um ambiente CIFS e descreve como instalar esse software em um host que usará
o armazenamento de Pasta compartilhada CIFS VNXe.
10
Visão geral do software para hosts VNXe em um ambiente CIFS
O software do host EMC Celerra® disponível para um sistema VNXe em um ambiente CIFS é:
◆
VNX Event Enabler (VEE) Common AntiVirus Agent
◆
Snap-ins de gerenciamento
VNX Event Enabler Common AntiVirus Agent
O VNX Event Enabler (VEE) Common AntiVirus Agent (CAVA) fornece uma solução antivírus
para os clientes CIFS que usam os sistemas EMC. Ele usa software antivírus de terceiros
para identificar e eliminar vírus conhecidos antes que eles infectem arquivos no sistema.
O CAVA faz parte do pacote de software VEE (VNX Event Enabler). A matriz de suporte do
VNXe no site de Suporte on-line da EMC (http://www.emc.com/vnxesupport) apresenta
informações sobre o software antivírus de terceiros compatível com o CAVA.
Snap-ins de gerenciamento
Um servidor de pasta compartilhada do VNXe aceita os snap-ins de gerenciamento do
Celerra, que consistem nos seguintes snap-ins do MMC (Microsoft Management Console,
console de gerenciamento Microsoft) que você pode usar para gerenciar diretórios base,
configurações de segurança e verificação de vírus em um servidor de pasta compartilhada
de um computador Windows Server 2003, Windows Server 2008 ou Windows 8:
◆
Snap-in Gerenciamento de diretório base do Celerra
◆
Snap-in Configurações de segurança do Data Mover para o Celerra
◆
Snap-in Gerenciamento de antivírus do Celerra
Snap-in Gerenciamento de diretório base do Celerra
Você pode usar o snap-in Gerenciamento de diretório base do Celerra para associar um
nome de usuário a um diretório; esse diretório então atua como o diretório base do
usuário. O recurso de diretório base simplifica a administração de compartilhamentos
pessoais e o processo de conectar-se a eles, pois permite usar um único nome de
compartilhamento, chamado HOME, ao qual todos os usuários podem se conectar.
Snap-in Configurações de segurança do Data Mover para o Celerra
O snap-in Configurações de segurança do Data Mover para o Celerra consiste no nó
Política de auditoria e no nó Atribuição de direitos de usuário.
Nó Política de auditoria do Celerra
Você pode usar o nó Política de auditoria do Celerra para determinar quais eventos de segurança
do servidor de pasta compartilhada serão gravados no registro de segurança. Assim, é possível
exibir o registro de segurança usando o Visualizador de eventos do Windows. É possível registrar
tentativas bem-sucedidas, tentativas que falharam, ambas ou nenhuma. As políticas de
auditoria que aparecem no nó Política de auditoria são um subconjunto das políticas
disponíveis como GPOs (Group Policy Objects, objetos de política de grupo) em Usuários
e computadores do domínio ativo. As políticas de auditoria são locais e se aplicam ao servidor
de pasta compartilhada selecionado. Não é possível usar o nó Política de auditoria para
gerenciar políticas de auditoria do GPO.
Nó Atribuição de direitos de usuário do Celerra
Você pode usar o nó Atribuição de direitos de usuário do Celerra para gerenciar quais
usuários e grupos possuem privilégios de tarefa e log-in para um servidor de pasta
compartilhada. As atribuições de direitos de usuário que aparecem no nó Atribuição de
direitos de usuário são um subconjunto das atribuições de direitos de usuário disponíveis
como GPOs em Usuários e computadores do Active Domain. As atribuições de direitos de
usuário são locais e se aplicam ao servidor de pasta compartilhada selecionado. Não
é possível usar o nó Atribuição de direitos de usuário para gerenciar políticas do GPO.
Software do host do Celerra para hosts VNXe em um ambiente CIFS
11
Snap-in Gerenciamento de antivírus do Celerra
Você pode usar o snap-in Gerenciamento de antivírus do Celerra para gerenciar os
parâmetros de verificação de vírus (arquivo viruschecker.conf) usados com o Celerra
AntiVirus Agent (CAVA) e programas antivírus de terceiros.
Instalando o software de host para um ambiente CIFS
A Tabela 1 lista o software de host em um ambiente CIFS VNXe, explica o motivo pelo qual
você o instalaria e lista os hosts nos quais o instalaria.
Tabela 1 Software de host para ambientes CIFS do VNXe
Software
Instale o software se desejar
Instale
Snap-in Gerenciamento
de diretório base
do Celerra
Gerenciar diretórios base do usuário.
Os sistemas Windows Server 2003, Windows Server 2008
ou Windows 8 nos quais você gerenciará os servidores de
pasta compartilhada do VNXe no domínio.
Snap-in Configurações de
segurança do Data Mover
para o Celerra
Auditar eventos de segurança do servidor de
pasta compartilhada no registro de segurança
e gerenciar o acesso de usuário e grupo, bem
como privilégios de tarefa para um servidor de
pasta compartilhada.
Os sistemas Windows Server 2003, Windows Server 2008
ou Windows 8 nos quais você gerenciará os servidores de
pasta compartilhada do VNXe no domínio.
Snap-in Gerenciamento
de antivírus VEE
Gerenciar os parâmetros de verificação
de vírus usados juntamente com o CAVA
e programas antivírus de terceiros.
O host (cliente) Windows Server 2003 de 32 bits,
Windows Server 2008 ou Windows 8 que usa
o armazenamento VNXe. Exige um ou mais hosts
Windows que sejam servidores AV (antivírus). Esses
servidores AV também podem ser hosts que usam
o armazenamento VNXe.
Para instalar o software de host para um ambiente CIFS em um host VNXe:
1. Faça log-in no host usando uma conta com privilégios de administrador.
2. Faça download do pacote de software que deseja instalar, como segue:
a. Navegue até a seção de download de software no site de Suporte on-line da EMC
(http://www.emc.com/vnxesupport).
b. Escolha o pacote de software que deseja instalar e selecione a opção para salvar
o software no host.
3. No diretório onde você salvou o software, clique duas vezes no arquivo executável
para iniciar o assistente de instalação.
4. Na página Instalação do produto, selecione o pacote de software que deseja instalar
no host.
5. Aceite o local padrão dos arquivos do programa. Para isso, clique em Avançar. Você
também pode especificar outro local. Para isso, digite o caminho para a pasta ou
clique em Alterar para procurar a pasta e em Avançar quando tiver terminado.
6. Na página Bem-vindo, clique em Avançar.
7. Na página Contrato de licença, clique em Sim.
8. Na página Selecionar pasta de instalação, verifique se o nome de pasta exibido
é o local em que você deseja instalar os arquivos do programa e clique em Avançar.
Para selecionar outra pasta, clique em Procurar, localize a pasta e clique em Avançar.
12
9. Na página Selecionar componentes, selecione o pacote de software (componente)
que deseja instalar, desmarque os componentes que não deseja instalar e clique
em Avançar.
10. Na página Iniciar cópia de arquivos, clique em Avançar.
11. Na página Assistente do InstallShield concluído, clique em Concluir.
12. Quando a instalação estiver concluída, reinicie o host.
Usando o Windows CA (Continuous Availability, disponibilidade
contínua)
Os ambientes Windows 8/SMB3 possibilitam a adição de funcionalidade de alta
disponibilidade aos recursos CIFS. O Windows CA permite que os aplicativos em execução
em hosts conectados a compartilhamentos com essa propriedade deem suporte a failover
de servidor transparente.
Outros recursos, como maior tamanho de I/O, cópia de transmissão, I/O paralelo na mesma
sessão e leasing de diretório, fornecem melhor desempenho e experiência do usuário.
Com o Windows CA habilitado, você pode obter um failover de servidor transparente para
implementações em que o tempo de failover não é maior do que o timeout do aplicativo.
Nessas implementações, os hosts podem continuar acessando um recurso CIFS sem
perder o estado da sessão CIFS, após um evento de failover.
Usando a alta disponibilidade da rede
O sistema VNXe fornece alta disponibilidade ou redundância de rede com FSNs (Fail-Safe
Networks, redes Fail-safe), que estendem o failover de link para a rede fornecendo
redundância em nível de switch. Em um sistema VNXe, cada porta de uma controladora
de armazenamento é configurada em uma FSN com a porta correspondente no par da
controladora de armazenamento. Quando você atribui uma porta à interface de um
servidor de pasta compartilhada do VNXe, o VNXe designa automaticamente essa porta
da controladora de armazenamento em que o servidor de pasta compartilhada reside
como a porta principal na FSN e a porta do par da controladora de armazenamento como
a porta secundária na FSN. Não é possível criar, excluir nem alterar a configuração das
FSNs do VNXe. Por esses motivos, para aproveitar as vantagens de FSNs em um sistema
VNXe3100 ou VNXe3150 com duas controladoras ou um sistema VNXe3300, as portas
Ethernet (eth) em cada controladora de armazenamento devem ser cabeadas de forma
idêntica. Por exemplo, se você conectar as portas eth2 e eth4 da controladora de
armazenamento A e criar um servidor de armazenamento separado em cada porta, deverá
conectar as portas eth2 e eth4 da controladora de armazenamento B da mesma maneira.
Além disso, o sistema VNXe é compatível com agregações de links que permitem que até
quatro portas Ethernet conectadas ao mesmo switch físico ou lógico sejam combinadas em
um único link lógico. Esse comportamento é chamado agregação de links. Para configurar
uma agregação de links em um sistema VNXe, cada controladora de armazenamento deve
ter o mesmo número de portas Ethernet pois a configuração da agregação de links cria duas
agregações de link, uma em cada controladora de armazenamento. Isso fornece alta
disponibilidade, como segue. Se uma das portas da agregação de links falhar, o sistema
direcionará o tráfego de rede para uma das outras portas da agregação. Se todas as portas
na agregação falharem, ocorrerá failover de FSN para a agregação de links correspondente
no par da controladora de armazenamento, de forma que o tráfego de rede continue.
Se você adicionar um módulo de I/O Ethernet a cada controladora de armazenamento em
um sistema VNXe 3100, 3150 ou 3300, poderá criar um grupo de agregação de links adicional
no conjunto de portas no módulo de I/O.
Usando o Windows CA (Continuous Availability, disponibilidade contínua)
13
O restante desta seção descreve:
◆
“FSNs (Fail-Safe Network, redes fail-safe)” na página 14
◆
“Agregações de links” na página 15
◆
“Configurando uma agregação de links” na página 15
Para obter informações adicionais sobre disponibilidade de dados no sistema VNXe e na
infraestrutura de conectividade, consulte a Visão geral da alta disponibilidade do EMC VNXe
na seção White papers do site de Suporte do VNXe (http://www.emc.com/vnxesupport).
FSNs (Fail-Safe Network, redes fail-safe)
Uma FSN é um recurso de alta disponibilidade que estende o failover de links para a rede
ao fornecer redundância no nível do switch. Uma FSN aparece como um único link com um
único endereço MAC e possivelmente vários endereços IP. Em um sistema VNXe, uma FSN
consiste em uma porta em uma controladora de armazenamento e na porta correspondente
na outra controladora de armazenamento. Cada porta é considerada como uma única
conexão. Ambas as conexões que constituem a FSN compartilham um único endereço
(MAC) de hardware. Se o sistema VNXe detectar uma falha na conexão ativa, ele alternará
automaticamente para a conexão standby na FSN, e essa conexão assumirá a identidade
de rede da conexão com falha.
Para garantir a conectividade do host com o sistema VNXe em caso de failover de hardware,
conecte o sistema VNXe a switches diferentes conectados a dispositivos da FSN em várias
NICs no host. Como resultado, os componentes da FSN são conectados a switches diferentes.
Se o switch da conexão ativa falhar, ocorrerá o failover da FSN para uma conexão que usa
um switch diferente, estendendo, assim, o failover de link pela rede.
Como mostrado em Figura 1, quando a controladora de armazenamento VNXe detectar
perda do link de comunicações ativas com a FSN, a conexão automaticamente sofrerá
failover para uma conexão operacional standby. Essa ação é independente de qualquer
recurso do switch. Se uma conexão na FSN cair, o link fará failover para o link sobrevivente.
Quando ambas as conexões de uma FSN falham, significa que o link está inativo.
Figura 1 Failover com Fail-Safe Networking
14
Agregações de links
As agregações de links usam o LACP (Link Aggregation Control Protocol, protocolo de
controle de agregação de links) IEEE 802.3ad padrão. Uma agregação de links aparece
como um único link Ethernet e tem as seguintes vantagens:
◆
Alta disponibilidade dos caminhos de rede para e do sistema VNXe — se uma porta
física de uma agregação de links falhar, o sistema não perderá a conectividade.
◆
Throughput geral possivelmente maior, pois várias portas físicas são combinadas em
uma porta lógica com tráfego de rede distribuído entre as várias portas físicas.
Embora agregações de links possam proporcionar mais largura de banda em geral do que
uma única porta, a conexão com qualquer cliente único passa por uma porta física
e é, portanto, limitada pela largura de banda da porta. Se a conexão com uma porta
apresentar falha, o switch alternará automaticamente o tráfego para as portas restantes
do grupo. Quando a conexão é restaurada, o switch é retomado automaticamente usando
a porta como parte do grupo.
No sistema VNXe, você pode configurar até quatro portas em uma agregação de links.
Quando você configura uma agregação de links, na realidade está configurando duas
agregações de link, uma em cada controladora de armazenamento. Se uma das portas de
uma agregação falhar, o sistema direcionará o tráfego de rede para uma das outras portas
do grupo. Se todas as portas do grupo falharem, a FSN fará failover para a agregação de
links correspondente no par da controladora de armazenamento.
Requisitos de switch
Se as portas do VNXe estiverem conectadas a switches de rede diferentes, você deverá
configurar todas as portas do switch conectadas às portas do VNXe para alternar
imediatamente do modo de bloqueio para o de encaminhamento e não passar por estados
de spanning tree de escuta e aprendizado quando uma interface aparecer. Em switches
Cisco, isso significa que você deve habilitar o recurso portfast para cada porta de switch
conectada a uma porta VNXe para garantir que o switch encaminhe o quadro Ethernet que
o sistema VNXe gera quando um link físico é habilitado. Você habilita o recurso portfast
de porta a porta. A variável portfast, quando habilitada, faz com que a porta seja
imediatamente alternada do modo de bloqueio para o modo de encaminhamento.
Não use portfast em conexões entre switches.
Para a agregação de links, os switches de rede devem ter o suporte de protocolo IEEE 802.3ad
e garantir que os pacotes de uma única conexão TCP passem sempre pelo mesmo link em
uma única direção.
Configurando uma agregação de links
O Windows 7 e o Windows Server 2003 não oferecem suporte à agregação de links
(agrupamento de NICs). Alguns fornecedores de NICs fornecem drivers compatíveis com
agrupamento de NICs. Para obter mais informações, entre em contato com o fornecedor
de NICs. O Windows Server 2008 é compatível com o agrupamento de NICs.
Para agregação de links, você tem pelo menos um switch compatível com 802,3ad, cada
um com uma porta disponível para cada porta de switch que você quer conectar à porta
VNXe na agregação.
Para agregação de links, você precisa executar dois conjuntos de tarefas de configuração:
◆
“Configurando a agregação de links do switch para o sistema VNXe” na página 16
◆
“Configurando a agregação de links do host para o switch” na página 16
Usando a alta disponibilidade da rede
15
Configurando a agregação de links do switch para o sistema VNXe
1. Configure as portas de switch, que estão conectadas ao VNXe, para LACP no modo
ativo, conforme descrito na documentação fornecida com os switches.
2. Adicione as portas do VNXe a uma agregação de links usando a opção Configurações
avançadas do Unisphere (Configurações > Mais configurações > Configurações avançadas).
Para obter informações sobre como usar a opção Configurações avançadas, consulte
a ajuda on-line do Unisphere. Duas agregações de links são criadas com as mesmas portas,
uma agregação em cada controladora de armazenamento.
Configurando a agregação de links do host para o switch
Para configurar a agregação de links do host para o switch, execute estas tarefas:
◆
“Tarefa 1: Configurar portas de switch para agregação de links” na página 16.
◆
“Tarefa 2: Configurar o agrupamento de NICs no host Windows Server 2008 ou
Windows 8” na página 16.
Tarefa 1: Configurar portas de switch para agregação de links
Configurar as portas de switch, que estão conectadas ao host para agregação de links.
Tarefa 2: Configurar o agrupamento de NICs no host Windows Server 2008 ou Windows 8
Observação: o host Windows Server 2008 ou Windows 8 refere-se à agregação de links
como agrupamento de NICs.
Observação: o Windows 8 detecta automaticamente o agrupamento de NIC no VNXe
e configura o host para usar as mesmas interfaces que o VNXe. Não é necessária
a configuração manual.
O procedimento abaixo destina-se a um driver de interface de rede Intel.
1. No Painel de controle, selecione Rede e Internet > Conexões de rede.
2. Na caixa de diálogo Conexões de rede, clique com o botão direito do mouse na NIC
que deverá fazer parte do agrupamento e clique em Propriedades.
3. Clique em Configurar.
4. Na caixa de diálogo Propriedades, selecione a guia Agrupamento.
5. Na guia Agrupamento:
a. Selecione Agrupar este adaptador com outros adaptadores.
b. Clique em Novo agrupamento.
O Assistente para novo agrupamento será aberto.
6. No Assistente para novo agrupamento:
a. Especifique o nome do agrupamento e clique em Avançar.
b. Selecione as outras NICs que deverão fazer parte do agrupamento e clique em Avançar.
c. Selecione o tipo de agrupamento e clique em Avançar.
Para obter informações sobre um tipo, selecione-o e leia as informações abaixo da
caixa de seleção.
d. Clique em Concluir.
16
7. Se você tiver selecionado Balanceamento de carga adaptável como tipo de agrupamento
e quiser usar o novo agrupamento de NICs para máquinas virtuais Hyper-V, desabilite
Receber balanceamento de carga:
a. Clique na guia Avançado.
b. Em Configurações, selecione Receber balanceamento de carga.
c. Em Valores, selecione Desabilitado.
d. Clique em OK.
O novo agrupamento é mostrado na caixa de diálogo Conexões de rede como uma
Conexão de rede de área local.
8. Para usar o novo agrupamento de NICs para uma máquina virtual:
a. No Gerenciador do Hyper-V, em Máquinas virtuais, selecione a máquina virtual.
b. Em Ações, selecione Gerenciador de rede virtual.
c. No Gerenciador de rede virtual, em Redes virtuais, selecione VM NIC - Rede de
máquina virtual.
d. Em Tipo de conexão, selecione o tipo de rede e o agrupamento de NICs.
e. Clique em Aplicar.
f. Quando as alterações tiverem sido aplicadas, clique em OK.
Usando a criptografia de CIFS
Os ambientes Windows 8/SMB3 possibilitam a criptografia de dados armazenados em
pastas compartilhadas CIFS do VNXe à medida que os dados são movidos entre o VNXe
e o host Windows.
A criptografia de CIFS também pode ser definida no nível do servidor CIFS, modificando
as configurações de registro do host Windows.
Configurando o armazenamento de Pasta compartilhada VNXe
CIFS para o host (cliente)
Use o Unisphere para a CLI do VNXe para criar o armazenamento de Pasta compartilhada
CIFS VNXe para o host (cliente).
Para obter informações sobre como executar essas tarefas, consulte a ajuda on-line
do Unisphere.
Configurando o acesso de usuário ao compartilhamento CIFS no
Active Directory
O acesso do usuário ao compartilhamento sempre é configurado por arquivo usando
o Active Directory:
1. Faça log-in no host Windows com o Active Directory de uma conta de administrador
de domínio.
O host Windows deve ter acesso ao domínio com o servidor de pasta compartilhada
VNXe para o compartilhamento CIFS.
Usando a criptografia de CIFS
17
2. Abra a janela Gerenciamento do computador:
Para Windows Server 2003: clique com o botão direito do mouse em Meu computador
ou Computador e selecione Gerenciar.
Para Windows Server 2008, Windows 7 ou Windows 8: clique em Iniciar e selecione
Painel de controle > Ferramentas administrativas > Gerenciamento do computador.
3. Na árvore Gerenciamento do computador, clique com o botão direito do mouse em
Gerenciamento do computador (local).
4. Selecione Conectar a outro computador.
A caixa de diálogo Selecionar computador é exibida.
5. Na caixa de diálogo Selecionar computador, digite o nome do servidor de pasta
compartilhada VNXe para fornecer compartilhamentos CIFS ao cliente.
6. Na árvore Gerenciamento do computador, clique em Ferramentas do sistema > Pastas
compartilhadas > Compartilhamentos.
7. Os compartilhamentos disponíveis aparecem à direita.
Se os compartilhamentos VNXe não aparecerem, verifique se você está conectado ao
domínio correto.
8. Clique com o botão direito do mouse no compartilhamento cujas permissões deseja
alterar e selecione Propriedades.
9. Clique na guia Permissões de compartilhamento.
10. Selecione o usuário ou grupo e as permissões para o usuário ou grupo selecionado.
11. Clique em OK.
Mapeando o compartilhamento CIFS no host
No host Windows, use a função Mapear unidade de rede do Windows para conectar o host
ao compartilhamento CIFS e, se desejar, reconectar ao compartilhamento sempre que
fizer log-in no host.
Você precisará do caminho de exportação para o compartilhamento
(\\SharedFolderServer\share), que pode ser localizado no relatório de configuração do
VNXe de pasta compartilhada com o compartilhamento. Para acessar esse relatório,
use o software EMC Unisphere™.
1. Selecione Armazenamento > Armazenamento de pasta compartilhada.
2. Selecione a pasta compartilhada CIFS com o compartilhamento e clique em Detalhes.
3. Clique em Exibir detalhes de acesso.
Se você tiver acesso de leitura/gravação ao compartilhamento, depois que
o compartilhamento for mapeado, você poderá criar diretórios no compartilhamento
e armazenar arquivos nos diretórios.
18
CAPÍTULO 2
Você pode migrar dados CIFS para o sistema VNXe usando uma cópia manual. Uma operação
de cópia manual interrompe o acesso aos dados e pode não preservar as ACLs e as permissões
dentro da estrutura de arquivos.
Este capítulo apresenta os tópicos a seguir:
◆
◆
Limitações e ambiente de migração de CIFS............................................................ 20
Migrando dados CIFS .............................................................................................. 20
19
Limitações e ambiente de migração de CIFS
Se a configuração de CIFS que você quer migrar apresentar qualquer uma das seguintes
especificações, entre em contato com o provedor de serviços do VNXe:
◆
Mais compartilhamentos do que você deseja migrar.
◆
Permissões que você não deseja reatribuir manualmente aos compartilhamentos do VNXe.
◆
Qualquer compartilhamento que você deseja dividir entre os compartilhamentos VNXe.
◆
Qualquer compartilhamento que você deseja combinar com outros
compartilhamentos no mesmo compartilhamento VNXe.
A Tabela 2 descreve o ambiente necessário para a migração de dados CIFS, e a Tabela 3
lista as características da migração de uma cópia manual.
Tabela 2 Ambiente para a migração de dados CIFS
Componente
Requisito
Armazenamento
VNXe
Pasta compartilhada com compartilhamento dimensionado para acomodar os
dados no compartilhamento que você deseja migrar e permitir o aumento
de dados
Host
Host com acesso de leitura ao compartilhamento contendo os dados
a serem migrados e com acesso de gravação ao compartilhamento VNXe
para os dados migrados
Compartilhamento
Compartilhamento que você migra na sua totalidade para
o compartilhamento VNXe
Tabela 3 Características da migração de cópia manual
Componente
Requisito
Permissões
Podem não ser preservadas
Tempo de
inatividade
Relativo ao tempo necessário para:
• Copiar o conteúdo do compartilhamento no compartilhamento VNXe
• Reconfigurar os hosts para conexão com o compartilhamento VNXe
Migrando dados CIFS
Para migrar dados CIFS para um compartilhamento CIFS do VNXe, realize estas tarefas:
20
◆
“Tarefa 1: Configure o acesso a um compartilhamento do VNXe para o host CIFS” na
página 20.
◆
“Tarefa 2: Migrar os dados CIFS com uma cópia manual” na página 21.
Tarefa 1: Configure o acesso a um compartilhamento do VNXe para o host CIFS
No host que deseja usar para a migração de dados:
1. Configure o acesso de usuário ao novo compartilhamento no Active Directory,
conforme descrito em “Usando a alta disponibilidade da rede” na página 13.
2. Mapeie o novo compartilhamento CIFS conforme descrito em
“Mapeando o compartilhamento CIFS no host” na página 18.
Tarefa 2: Migrar os dados CIFS com uma cópia manual
Para minimizar o tempo durante o qual um host não pode acessar um compartilhamento
CIFS que está sendo migrado, migre os dados de um compartilhamento por vez:
1. Se algum cliente estiver usando ativamente o compartilhamento CIFS, desconecte
esse cliente e todos os outros clientes que possam acessar os dados que você está
migrando.
2. Use o método que você achar melhor para copiar dados do local atual de armazenamento
para o novo compartilhamento VNXe CIFS.
Esse método pode ser uma simples operação de recortar e colar ou de arrastar-e-soltar.
Assegure-se de que o método escolhido preserve todos os metadados, como atributos
de arquivo, registros de data e hora e direitos de acesso que você precisa preservar.
3. Quando a operação de cópia estiver concluída, reconecte os clientes ao novo
compartilhamento CIFS exportado pelo sistema VNXe e mapeie um drive para esse
compartilhamento conforme a necessidade.
Migrando dados CIFS
21
22
CAPÍTULO 3
Gerenciando o armazenamento de pasta
compartilhada CIFS do VNXe com ferramentas
do Windows
Depois de ter configurado o sistema VNXe para armazenamento de Pasta compartilhada
CIFS, você poderá usar o Unisphere e as ferramentas do Windows, como os snap-ins do
MMC do Celerra, para gerenciar os servidores de pasta compartilhada e o armazenamento.
Este capítulo descreve como realizar algumas tarefas comuns de gerenciamento usando
ferramentas do Windows. A ajuda on-line do Unisphere fornece informações sobre como
realizar tarefas de gerenciamento com o Unisphere.
Observação: “Instalando o software de host para um ambiente CIFS” na página 12
fornece informações sobre como instalar os snap-ins do MMC de gerenciamento de CIFS
do Celerra.
◆
◆
◆
◆
◆
◆
◆
◆
◆
◆
Abrindo o MMC Gerenciamento do computador ......................................................
Criando compartilhamentos e definindo ACLs com MMC .........................................
Usando o recurso de diretório base.........................................................................
Usando GPOs (Group Policy Objects, objetos de política de grupo)..........................
Usando assinatura SMB ..........................................................................................
Monitorando as conexões do servidor de pasta compartilhada e o uso do recurso
com o MMC.............................................................................................................
Auditando objetos e usuários de CIFS .....................................................................
Acessando o registro de segurança de um VNXe servidor de pasta compartilhada...
Copiando um snapshot de compartilhamento usando o Windows Explorer .............
Restaurando um snapshot de compartilhamento usando o Windows Explorer.........
Gerenciando o armazenamento de pasta compartilhada CIFS do VNXe com ferramentas do Windows
24
24
26
29
31
31
33
37
37
38
23
Abrindo o MMC Gerenciamento do computador
Você pode realizar muitas tarefas administrativas do Windows Server 2003 Windows
Server 2008 e Windows 8 no MMC (Microsoft Management Console, console de
gerenciamento Microsoft) de Gerenciamento do computador. Use o procedimento abaixo
para abrir o MMC de um servidor de pasta compartilhada específico:
1. Faça log-in no host Windows com o Active Directory de uma conta de administrador
de domínio.
O host Windows deve ter acesso ao domínio com o servidor de pasta compartilhada VNXe.
2. Abra a página Gerenciamento do computador.
Para Windows Server 2003: clique com o botão direito do mouse em Meu computador
ou Computador e selecione Gerenciar.
Para Windows Server 2008 e o Windows 8: clique em Iniciar e selecione Ferramentas
administrativas > Gerenciamento do computador.
3. Clique com o botão direito do mouse em Gerenciamento do computador (local).
4. Selecione Conectar a outro computador.
5. Digite o nome do servidor de pasta compartilhada do VNXe e clique em OK.
Antes de usar os snap-ins do MMC
Você deve estar conectado como o Administrador com direitos de Administrador para usar
os snap-ins do MMC.
Criando compartilhamentos e definindo ACLs com MMC
A EMC recomenda o uso do Unisphere para criar compartilhamentos CIFS, conforme
descrito na ajuda do Unisphere, e o uso do MMC para definir acesso (ACLs) para os
compartilhamentos. Como uma alternativa ao uso do Unisphere, após criar uma pasta
compartilhada CIFS no sistema VNXe, você poderá usar o MMC para criar compartilhamentos
dentro dessa pasta.
Antes de criar compartilhamentos ou definir acesso (ACLs)
Para criar um compartilhamento do Windows com o MMC, você deve:
24
◆
Ter GIDs (Global Identifiers, identificadores globais) atribuídos aos usuários de CIFS.
◆
Ter montado o compartilhamento do VNXe do diretório raiz do sistema de arquivos
e criado os diretórios que deseja compartilhar nele.
◆
Ser um administrador do VNXe.
Configurando ACLs em um compartilhamento existente de um servidor de pasta
compartilhada
1. Abra o MMC Gerenciamento do computador, conforme descrito em “Abrindo o MMC
Gerenciamento do computador” na página 24.
2. Na árvore do console, selecione Pastas compartilhadas > Compartilhamentos.
Os compartilhamentos atuais em uso aparecem à direita.
3. Clique com o botão direito do mouse no compartilhamento cujas permissões deseja
alterar e selecione Propriedades.
4. Clique na guia Permissões de compartilhamento.
5. Selecione o usuário ou grupo e as permissões para o usuário ou grupo selecionado.
6. Clique em OK.
Criando um compartilhamento e definindo suas ACLs em um servidor de pasta
compartilhada
1. Abra o MMC Gerenciamento do computador, conforme descrito em “Abrindo o MMC
Gerenciamento do computador” na página 24.
2. Na árvore do console, clique em Pastas compartilhadas > Compartilhamentos.
3. Clique com o botão direito do mouse em Compartilhamentos e selecione Novo
compartilhamento de arquivo no menu de atalho.
O Assistente para compartilhar uma pasta é exibido.
4. Forneça as seguintes informações:
• Nome da pasta para compartilhamento.
• Nome do compartilhamento para a pasta.
• Descrição do compartilhamento.
5. Clique em Avançar.
O assistente solicita as permissões de compartilhamento.
6. Defina as permissões escolhendo uma das opções.
Com a opção Personalizar permissões de compartilhamento e pasta ou Personalizar
permissões, você pode atribuir permissões a grupos e usuários individuais.
7. Clique em Concluir.
Criando compartilhamentos e definindo ACLs com MMC
25
Usando o recurso de diretório base
O recurso de diretório base do Celerra, que é fornecido pelo snap-in Diretório base do Celerra,
permite criar um único compartilhamento, chamado HOME, ao qual todos os usuários se
conectam. Você não precisa criar compartilhamentos individuais para cada usuário.
O recurso de diretório base simplifica a administração de compartilhamentos pessoais
e o processo de conectar-se a eles, permitindo que você associe um nome de usuário
a um diretório que atua como o diretório base do usuário. O diretório base é mapeado
no perfil de um usuário para que, mediante o log-in, o diretório base seja conectado
automaticamente a um drive de rede.
Observação: se um sistema cliente (como Citrix Metaframe ou Windows Terminal Server)
suportar mais de um usuário do Windows simultaneamente e armazenar em cache as
informações de acesso ao arquivo, o recurso de diretório base do VNXe poderá não
funcionar como desejado. Com o recurso de diretório base do VNXe, um cliente VNXe
visualiza o mesmo caminho para o diretório base de cada usuário. Por exemplo, se um
usuário gravar um arquivo no diretório base e, em seguida, outro usuário ler um arquivo
no diretório base, a solicitação do segundo usuário será concluída usando os dados
armazenados em cache do diretório base do primeiro usuário. Como os arquivos possuem
o mesmo nome de caminho, o sistema cliente supõe que eles sejam o mesmo arquivo.
O recurso de diretório base é desabilitado por padrão. Você deve ter criado um servidor
de pasta compartilhada CIFS no sistema VNXe para poder habilitar o diretório base. Nos
sistemas Windows Server 2003, Windows Server 2008 ou Windows 8, você pode habilitar
e gerenciar diretórios base por meio do snap-in Diretório base do Celerra do MMC. A ajuda
on-line do snap-in descreve os procedimentos para habilitar e gerenciar diretórios base.
Restrições ao usar o diretório base
Um nome especial de compartilhamento, HOME, é reservado para o diretório base.
Como consequência, se aplicam as seguintes restrições:
◆
Se você tiver criado um compartilhamento chamado HOME, não será possível
habilitar o recurso de diretório base.
◆
Se você tiver habilitado o recurso de diretório base, não será possível criar um
compartilhamento chamado HOME.
Um diretório base é configurado no perfil de usuário do Windows de um usuário usando
o caminho UNC (Universal Naming Convention, convenção de nomeação universal):
\\shared_folder_server\HOME
em que:
shared_folder_server é o endereço IP, nome do computador ou nome do NetBIOS
do servidor de pasta compartilhada do VNXe.
HOME é um compartilhamento especial que é reservado para o recurso de diretório base.
Quando HOME é usado no caminho para o diretório base de um usuário e o usuário faz
log-in, o diretório base do usuário é mapeado automaticamente para um drive de rede
e as variáveis de ambiente HOMEDRIVE, HOMEPATH e HOMESHARE são definidas
automaticamente.
26
Adicionando um diretório base ao Active Directory
1. Faça log-in no servidor Windows de uma conta de administrador de domínio.
2. Clique em Iniciar e selecione Programas ou Todos os programas > Ferramentas
administrativas > Usuários e computadores do Active Directory.
3. Clique em Usuários para exibir os usuários no painel direito.
4. Clique com o botão direito do mouse em um usuário e selecione Propriedades.
A janela Propriedades do usuário é exibida.
5. Clique na guia Perfil e em Pasta base:
a. Selecione Conectar.
b. Selecione a letra do drive que deseja mapear para o diretório base.
c. Em Para, digite:
\\shared_folder_server\HOME
em que:
shared_folder_server é o endereço IP, nome do computador ou nome do
NetBIOS do servidor de pasta compartilhada do VNXe.
6. Clique em OK.
Adicionando um diretório base com expressões
1. Faça log-in no servidor Windows de uma conta de administrador de domínio.
administrativas > Gerenciamento do Celerra.
3. Clique com o botão direito do mouse no ícone de pasta HomeDir e selecione Nova >
entrada do diretório base.
A página de propriedade do diretório base é exibida.
4. Insira as seguintes informações:
a. Em Domínio, digite o nome do domínio do usuário usando o nome do NetBIOS.
OBSERVAÇÃO
Não use o nome do domínio completo.
Por exemplo, se o nome do domínio for “Company.local”, você poderá digitar um
dos seguintes:
– company
– comp
– .* (As expressões regulares devem ser verdadeiras para que essa opção funcione.)
Usando o recurso de diretório base
27
b. Em Usuário, digite o nome do usuário ou a string coringa.
Por exemplo, se o nome de usuário for “Tom”, você poderá digitar um dos seguintes:
– T* para nomes de usuário que começam com T
– * para qualquer nome de usuário
– [r-v].* para nomes de usuário que começam com r, s, t, u ou v (As
expressões regulares devem ser verdadeiras para que essa opção funcione.)
c. No Caminho, digite o nome do caminho usando um dos seguintes métodos:
– Digite o caminho da pasta.
Por exemplo, \HomeDirShare\dir1
– Clique em Procurar e selecione a pasta ou crie uma.
Se desejar criar a pasta automaticamente, selecione Criar diretório
automaticamente. Os exemplos de diretórios são:
\HomeDirShare\dir1\User1
\HomeDirShare\<d>\<u>, que cria uma pasta com o nome do domínio
d e um diretório com o nome de usuário u.
5. Clique em OK.
Exemplos de formatos de expressão
A Tabela 4 fornece exemplos de formatos de expressão para adicionar um diretório base.
Tabela 4 Exemplos de formatos de expressão para adicionar um diretório base
Domínio
Usuário
Caminho
Opções
Resultados
*
*
\HomeDirShare\
Nenhum
Todos os usuários têm \HomeDirShare
como seu diretório base.
*
a*
\HomeDirShare\
Nenhum
Os usuários cujo nome de usuário começa
com ‘a’ possuem \HomeDirShare como
o diretório base.
*
*
\HomeDirShare\<d>\<u>\
Criar diretório
automaticamente =
Verdadeiro
Todos os usuários possuem seus próprios
diretórios. Por exemplo, o usuário Bob na
empresa do domínio possui
\HomeDirShare\company\Bob como seu
diretório base.
comp
[a-d].*
\HomeDirShare\FolksA-D\<d>\<u>\
Criar diretório
automaticamente =
Verdadeiro
Regexp=Verdadeiro
Os usuários cujo nome de usuário começa
com a, b, c ou d na empresa do domínio
têm \HomeDirShare\FolksA-D\company\<u>
como seu diretório base, onde u é o nome
de usuário.
28
Usando GPOs (Group Policy Objects, objetos de política de grupo)
No Windows Server 2003, os administradores podem usar a Política de grupo para definir
opções de configuração para grupos de usuários e computadores. O GPO do Windows
pode controlar elementos como configurações de local, domínio e segurança de rede. As
configurações de Política de grupo são armazenadas em GPOs que são vinculados ao site,
domínio e contêineres de OU (Organizational Unit, unidade organizacional) no Active
Directory. O controlador de domínio replica GPOs em todos os controladores de domínio
no domínio.
A Política de auditoria é um componente do snap-in Configurações de segurança do Data
Mover, que é instalado como um snap-in do MMC (Microsoft Management Console,
console de gerenciamento Microsoft) no Console de gerenciamento do Celerra em um
sistema Windows Server 2003, Windows Server 2008 ou Windows 8.
Você pode usar políticas de auditoria para determinar quais eventos de segurança do servidor
de pasta compartilhada são feitos no registro de segurança. É possível optar por registrar
tentativas bem-sucedidas, tentativas que falharam, ambas ou nenhuma. Os eventos
auditados são exibidos no registro de segurança do Visualizador de eventos do Windows.
As políticas de auditoria que aparecem no nó Política de auditoria são um subconjunto
das políticas disponíveis como GPO no ADUC (Active Directory Users and Computers,
usuários e computadores do Active Directory). Essas políticas de auditoria são locais e se
aplicam apenas ao servidor de pasta compartilhada selecionado. Não é possível usar o nó
Política de auditoria para gerenciar políticas de auditoria do GPO.
Se uma política de auditoria for definida como um GPO no ADUC, a configuração do GPO
substituirá a configuração local. Quando o administrador do domínio altera uma política
de auditoria no controlador de domínio, essa alteração é refletida no servidor de pasta
compartilhada, e você pode exibi-la usando o nó Política de auditoria. É possível alterar
a política de auditoria local, mas ela não entra em vigor até que o GPO para essa política
de auditoria seja desabilitado. Se a auditoria for desabilitada, a configuração do GPO
permanecerá na coluna de configuração Efetivo.
Não é possível usar as ferramentas de Configuração de política local do Microsoft Windows
para gerenciar políticas de auditoria em um servidor de pasta compartilhada, pois no
Windows Server 2003 e Windows XP, essas ferramentas não permitem gerenciar políticas de
auditoria remotamente.
Suporte ao GPO em um VNXe servidor de pasta compartilhada
Um servidor de pasta compartilhada VNXe fornece suporte para GPOs recuperando
e armazenando uma cópia das configurações do GPO para cada servidor de pasta
compartilhada associado a um domínio Windows Server 2003. Um servidor de pasta
compartilhada VNXe armazena as configurações do GPO em seu cache de GPO.
Quando o sistema VNXe é ligado, ele lê as configurações armazenadas no cache de GPO
e recupera as configurações do GPO mais recentes do controlador de domínio do Windows.
Após recuperar as configurações do GPO, um servidor de pasta compartilhada VNXe atualiza
automaticamente as configurações com base no intervalo de atualização do domínio.
Usando GPOs (Group Policy Objects, objetos de política de grupo)
29
Configurações aceitas
Um servidor de pasta compartilhada do VNXe é compatível com as seguintes configurações
de segurança do GPO:
Kerberos
◆
Tolerância máxima para sincronização de relógio do computador (precisão do relógio)
A sincronização de hora é feita por servidor de pasta compartilhada.
◆
Vida útil máxima do tíquete do usuário
Política de auditoria
◆
Eventos de log-on da conta de auditoria
◆
Gerenciamento da conta de auditoria
◆
Acesso ao serviço do diretório de auditoria
◆
Eventos de log-on de auditoria
◆
Acesso ao objeto de auditoria
◆
Alteração da política de auditoria
◆
Uso do privilégio de auditoria
◆
Rastreamento do processo de auditoria
◆
Eventos do sistema de auditoria
“Auditando objetos e usuários de CIFS” na página 33 fornece mais informações.
Direitos do usuário
◆
Acessar este computador da rede
◆
Fazer backup de arquivos e diretórios
◆
Ignorar verificação transversal
◆
Negar acesso a este computador da rede
◆
Verificação de vírus da EMC
◆
Gerar auditorias de segurança
◆
Gerenciar registro de segurança e auditoria
◆
Restaurar arquivos e diretórios
◆
Assumir a propriedade de arquivos ou outros objetos
Opções de segurança
30
◆
Assinar digitalmente a comunicação do cliente (sempre)
◆
Assinar digitalmente a comunicação do cliente (quando possível)
◆
Assinar digitalmente a comunicação do servidor (sempre)
◆
Assinar digitalmente a comunicação do servidor (quando possível)
◆
Nível de autenticação do gerenciador de LAN
Registros de eventos
◆
Tamanho máximo do registro de aplicativos
◆
Tamanho máximo do registro de segurança
◆
Tamanho máximo do registro de sistema
◆
Restringir acesso do guest ao registro de aplicativos
◆
Restringir acesso do guest ao registro de segurança
◆
Restringir acesso do guest ao registro de sistema
◆
Manter registro de aplicativos
◆
Manter registro de segurança
◆
Manter registro de sistema
◆
Método de retenção para registro de aplicativos
◆
Método de retenção para registro de segurança
◆
Método de retenção para registro de sistema
Política de grupo
◆
Desabilitar atualização em segundo plano da Política de grupo
◆
Intervalo de atualização da Política de grupo para computadores
Usando assinatura SMB
A assinatura SMB garante que um pacote não foi interceptado, alterado nem reproduzido.
A assinatura garante que o pacote não foi alterado por terceiros. Uma assinatura
é adicionada para cada pacote. O cliente e os servidores de pasta compartilhada VNXe
usam essa assinatura para verificar a integridade do pacote. Os servidores de pasta
compartilhada do VNXe dão suporte a SMB1, SMB2 e SMB3.
Para que a assinatura SMB funcione, o cliente e o servidor em uma transação devem ter
a assinatura SMB habilitada. A assinatura SMB sempre é habilitada nos servidores de pasta
compartilhada VNXe, mas não é obrigatória. Como consequência, se a assinatura SMB for
habilitada no cliente, a assinatura será usada, e se a assinatura SMB for desabilitada no
cliente, não será usada nenhuma assinatura.
Monitorando as conexões do servidor de pasta compartilhada
e o uso do recurso com o MMC
Você pode usar ferramentas administrativas do Windows para monitorar os seguintes
itens nos servidores de pasta compartilhada VNXe:
◆
“Monitorando usuários em um servidor de pasta compartilhada” na página 32
◆
“Monitorando o acesso a compartilhamentos no servidor de pasta compartilhada”
na página 32
◆
“Monitorando o uso de arquivos no servidor de pasta compartilhada” na página 32
Usando assinatura SMB
31
Monitorando usuários em um servidor de pasta compartilhada
Use este procedimento para monitorar o número de usuários conectados a um servidor de
pasta compartilhada:
1. Abra o MMC Gerenciamento do computador do servidor de pasta compartilhada que
deseja monitorar, conforme descrito em “Abrindo o MMC Gerenciamento do
computador” na página 24.
2. Na árvore do console, clique em Pastas compartilhadas > Sessões.
Os usuários atuais conectados ao servidor de pasta compartilhada aparecem à direita.
Se desejar:
• Para forçar desconexões do servidor de pasta compartilhada, clique com o botão
direito do mouse no nome de usuário e selecione Fechar sessão no menu de atalho.
• Para forçar a desconexão de todos os usuários, clique com o botão direito do
mouse em Sessões e selecione Desconectar todas as sessões no menu de atalho.
Monitorando o acesso a compartilhamentos no servidor de pasta compartilhada
Use este procedimento para monitorar o acesso aos compartilhamentos no servidor de
pasta compartilhada:
1. Abra o MMC Gerenciamento do computador do servidor de pasta compartilhada,
conforme descrito em “Abrindo o MMC Gerenciamento do computador” na página 24.
2. Na árvore do console, clique em Pastas compartilhadas > Compartilhamentos.
Se desejar, para forçar desconexões de um compartilhamento, clique com o botão
direito do mouse no nome do compartilhamento e selecione Interromper
compartilhamento no menu de atalho.
Monitorando o uso de arquivos no servidor de pasta compartilhada
Use este procedimento para monitorar arquivos abertos no servidor de pasta compartilhada:
2. Na árvore do console, clique em Pastas compartilhadas > Arquivos abertos.
Os arquivos em uso aparecem à direita.
Se desejar, para fechar um arquivo aberto, clique nele com o botão direito do mouse
e selecione Fechar arquivo aberto no menu de atalho.
Para fechar todos os arquivos abertos, clique com o botão direito do mouse na pasta
Arquivos abertos e selecione Desconectar todos os arquivos abertos no menu de atalho.
32
Auditando objetos e usuários de CIFS
Para auditar um servidor de pasta compartilhada, use o Console de gerenciamento de
segurança do Celerra Data Mover, que é um snap-in do MMC do Celerra. “Instalando o
software de host para um ambiente CIFS” na página 12 fornece informações sobre como
instalar os snap-ins do MMC do Celerra.
Por padrão, a auditoria é desabilitada para todas as classes de objeto do Windows.
Para habilitar a auditoria, você deve ativá-la explicitamente para eventos específicos em
um servidor de pasta compartilhada específico. Depois que ela é habilitada, a auditoria
é iniciada no servidor de pasta compartilhada pertinente. A ajuda on-line do snap-in
Celerra Data Mover Security Management fornece informações sobre como configurar as
políticas de auditoria.
Se o GPO for configurado e habilitado no servidor de pasta compartilhada, será usada
a configuração do GPO das definições de auditoria.
A auditoria está disponível apenas nos eventos e classes de objeto especificados listados
na Tabela 5. Somente um administrador avançado do VNXe pode definir a auditoria em
um servidor de pasta compartilhada.
Tabela 5 Classes de objeto de auditoria
Classe do objeto
Evento
Auditado para
Log-on/log-off
• Log-in do usuário de CIFS
• Log-in do guest de CIFS
sucesso
• Controlador de domínio retornou um erro de autenticação de senha
• Controlador de domínio retornou um código de erro não processado
• Nenhuma resposta do DC (recursos insuficientes ou protocolo inválido)
com falha
Acesso a arquivo e objeto
Objeto aberto:
sucesso
• Acesso a arquivo e diretório; se a SACL (System Access Control List, lista
de controle de acesso do sistema) for definida para leitura, gravação,
exclusão, execução, definir permissões, assumir propriedade
• Modificação do grupo local SAM (Security Access Manager,
gerenciador de acesso de segurança)
Fechar manipulação:
• Acesso a arquivo e diretório; se a SACL for definida para leitura,
gravação, exclusão, execução, definir permissões, assumir propriedade
• Banco de dados do SAM fechado
Objeto aberto para exclusão:
Acesso a arquivo e diretório (se SACL definida)
Excluir objeto:
Acesso a arquivo e diretório (se SACL definida)
Acesso ao banco de dados do SAM (pesquisa)
sucesso ou falha
Rastreamento do processo Não compatível
N/D
Reinício/desligamento
do sistema
sucesso
Reiniciar:
• Inicialização do serviço CIFS
• Desligamento do serviço CIFS
• Log de auditoria limpo
33
Tabela 5 Classes de objeto de auditoria (continuação)
Classe do objeto
Evento
Auditado para
Políticas de segurança
Privilégios da sessão:
• Listar privilégios do usuário
• Direitos do usuário atribuídos
• Direitos do usuário excluídos
Alteração da política:
Listar categorias da política e estado de auditoria associado
sucesso
Uso dos direitos do usuário Não compatível
N/D
Gerenciamento
de usuário e grupo
sucesso
•
•
•
•
Criar grupo local
Excluir grupo local
Adicionar membro ao grupo local
Remover membro do grupo local
Quando a auditoria é habilitada, o Visualizador de eventos cria um registro de segurança
com as configurações padrão, mostrado na Tabela 6.
Tabela 6 Configurações de registro padrão
Tipo de registro
Tamanho máximo do arquivo
Retenção
Segurança
512 KB
10 dias
Os servidores de pasta compartilhada VNXe suportam a auditoria nos arquivos e pastas
individuais.
Habilitando a auditoria em um servidor de pasta compartilhada
Conclua as seguintes etapas para habilitar a auditoria em um servidor de pasta compartilhada:
◆
“Tarefa 1: Especificando a política de auditoria” na página 34.
◆
“Tarefa 2: Configurando os parâmetros de registro de auditoria” na página 35.
Tarefa 1: Especificando a política de auditoria
Depois que o Gerenciamento do console do Celerra estiver instalado, use este procedimento
para acessar o snap-in Gerenciamento de segurança e especifique as políticas de auditoria:
administrativas > Gerenciamento do EMC Celerra.
34
3. Na janela Gerenciamento do Celerra, realize uma das seguintes ações:
• Se um servidor de pasta compartilhada estiver selecionado (um nome aparece
depois do Gerenciamento do Data Mover), vá para a etapa 4.
ou
• Se um servidor de pasta compartilhada não estiver selecionado:
a. Clique com o botão direito do mouse em Gerenciamento do Data Mover
e selecione Conectar ao Data Mover no menu de atalho.
b. Na caixa Selecionar Data Mover, selecione um servidor de pasta compartilhada
usando um dos seguintes métodos:
– Na lista Examinar, selecione o domínio no qual o servidor de pasta compartilhada
que deseja gerenciar está localizado e selecione-o na lista.
– No campo Nome, digite o nome da rede ou o endereço IP do servidor de pasta
compartilhada.
4. Clique duas vezes em Gerenciamento do Data Mover e em Configurações de segurança
do Data Mover.
5. Selecione Política de auditoria.
As políticas de auditoria aparecem no painel direito.
6. Clique com o botão direito do mouse em Política de auditoria e selecione Habilitar
auditoria no menu de atalho.
7. Clique duas vezes em um objeto de auditoria no painel direito para definir a política
de auditoria para esse objeto.
A ajuda on-line do snap-in Gerenciamento de segurança do Celerra Data Mover
fornece mais informações sobre política de auditoria.
Tarefa 2: Configurando os parâmetros de registro de auditoria
2. Clique duas vezes em Visualizador de eventos e, para o Windows Server 2008,
selecione Registros do Windows.
Os arquivos de registro específicos são exibidos.
3. Clique com o botão direito do mouse no arquivo de registro e selecione Propriedades
no menu de atalho.
A folha de propriedade do registro é exibida.
Normalmente, o campo Tamanho máximo do registro é bloqueado.
4. Depois de concluir o procedimento, retorne à caixa de diálogo Propriedades do
aplicativo e clique nas setas para aumentar ou diminuir o tamanho do registro.
35
5. Na área Tamanho do registro da caixa de diálogo, especifique o que acontece quando
o tamanho máximo do registro é atingido:
• Sobregravar eventos conforme a necessidade: especifica se todos os eventos
novos são gravados no registro, mesmo que ele esteja cheio. Quando o registro
estiver cheio, todos os eventos novos substituem os antigos.
• Sobregravar eventos com mais de (n) dias: sobregrava eventos que passaram do
número de dias especificados. Use as setas para especificar o limite ou clique no campo
para informar o limite. O tamanho do arquivo de registros especificado na etapa 4 não foi
excedido. Os novos eventos não serão adicionados se o tamanho máximo do registro for
atingido e não houver eventos mais antigos do que esse período.
• Não sobregravar eventos: preenche o registro até o limite especificado na etapa 4.
Quando o registro estiver cheio, nenhum novo evento será gravado nele até que
você o limpe.
6. Clique em OK para salvar as configurações.
Exibindo os eventos de auditoria
administrativas > Visualizador de eventos.
2. Clique com o botão direito do mouse no ícone do Visualizador de eventos no painel
direito e selecione Conectar a outro computador no menu de atalho.
A caixa de diálogo Selecionar computador é exibida.
3. Digite o nome do servidor de pasta compartilhada no campo Digitar o nome do objeto
a ser selecionado ou clique em Avançado para procurar um computador e em OK para
fechar a caixa de diálogo Selecionar computador.
4. Para o Windows Server 2008, clique em Registros do Windows.
5. Clique no registro.
As entradas do registro aparecem no painel direito.
6. Clique duas vezes na entrada do registro para exibir os detalhes do evento.
A janela Propriedades do evento é exibida.
Desabilitando a auditoria
1. Faça log-in no controlador de domínio do Windows Server 2003 ou Windows Server
2008 com privilégios de administrador do domínio.
administrativas > Gerenciamento do EMC Celerra.
36
3. Siga um destes procedimentos:
• Se um servidor de pasta compartilhada já estiver selecionado (um nome aparece
depois do Gerenciamento do Data Mover), vá para a etapa 4.
• Se um servidor de pasta compartilhada não estiver selecionado:
a. Clique com o botão direito do mouse em Gerenciamento do Data Mover
e selecione Conectar ao Data Mover no menu de atalho.
b. Na caixa de diálogo Selecionar Data Mover, selecione um servidor de pasta
compartilhada usando um dos seguintes métodos:
– Na lista Examinar, selecione o domínio no qual o servidor de pasta
compartilhada que deseja gerenciar está localizado e selecione-o na lista.
– No campo Nome, digite o nome da rede ou o endereço IP do servidor de
pasta compartilhada.
4. Clique duas vezes em Gerenciamento do Data Mover e em Configurações de
segurança do Data Mover.
5. Clique com o botão direito do mouse em Política de auditoria e selecione Desabilitar
auditoria no menu de atalho.
Acessando o registro de segurança de um VNXe servidor de pasta
compartilhada
Por padrão, cada servidor de pasta compartilhada armazena seu registro de segurança do
Windows em c:\security.evt, que tem um limite de tamanho de 512 KB. Você pode acessar
esse registro de segurança diretamente por meio do compartilhamento C$ de cada
servidor de pasta compartilhada com:
\\storage_server_netbios_name\C$\security.evt
onde storage_server_netbios_name é o nome do NetBIOS do servidor de pasta
compartilhada.
Copiando um snapshot de compartilhamento usando
o Windows Explorer
1. Acesse o servidor de pasta compartilhada que tem o compartilhamento que você
deseja copiar:
• Procurando-os no Windows Explorer
ou
• Usando Iniciar > Executar > \\shared_folder_server_name.
2. No servidor de pasta compartilhada, clique com o botão direito do mouse no
compartilhamento com o snapshot que deseja copiar e selecione Propriedades.
3. Clique na guia Versões anteriores.
4. Selecione o snapshot (versão anterior) que deseja copiar e clique em Copiar.
Uma cópia gravável do snapshot é criada no local que você especifica.
Acessando o registro de segurança de um VNXe servidor de pasta compartilhada
37
Restaurando um snapshot de compartilhamento usando
o Windows Explorer
A restauração de um recurso de armazenamento para um snapshot retorna (reverte)
o recurso de armazenamento para o estado anterior capturado pelo snapshot. Durante
a restauração, todo o recurso de armazenamento, abrangendo todos os arquivos e dados
armazenados nele, é substituído pelo conteúdo do snapshot.
IMPORTANTE
Para impedir a perda de dados, assegure-se de que todos os clientes concluíram todas as
operações de leitura e gravação para o recurso de armazenamento que deseja restaurar.
Para restaurar um snapshot de compartilhamento usando o Windows Explorer:
1. Acesse o servidor de pasta compartilhada que tem a pasta compartilhada com os
snapshots que você deseja recuperar
• Procurando-os no Windows Explorer
ou
• Usando Iniciar > Executar > \\shared_folder_server_name.
2. No servidor de pasta compartilhada, clique com o botão direito do mouse no
compartilhamento com o conteúdo que deseja restaurar e selecione Propriedades.
3. Clique na guia Versões anteriores.
4. Selecione o snapshot (versão anterior) que deseja restaurar e clique em Restaurar.
A operação de restauração executa as seguintes ações:
• Para os arquivos que estão na versão atual, mas não na versão anterior que está
sendo restaurada — deixa esses arquivos inalterados no compartilhamento.
• Para arquivos que estão na versão anterior que está sendo restaurada e na versão
atual — sobregrava os arquivos no compartilhamento com o conteúdo desses
arquivos na versão anterior.
• Para os arquivos que estão na versão anterior que está sendo restaurada, mas não
na versão atual — adiciona esses arquivos ao compartilhamento.
Por exemplo, suponha o seguinte:
• A versão atual possui os arquivos a, b e f.
• A versão anterior que está sendo restaurada possui os arquivos a, f e g.
A versão restaurada terá o arquivo b com o conteúdo da versão atual e os arquivos a,
f e g com o conteúdo da versão anterior.
38
CAPÍTULO 4
Usando a Retenção no Nível do Arquivo com
o Sistema VNXe
O VNXe servidor de pasta compartilhada permite a FLR (file-level retention, retenção no
nível do arquivo) para o Armazenamento de pasta compartilhada. A FLR permite que você
defina permissões com base em arquivo em um sistema de arquivos para limitar o acesso
de gravação por um período de retenção específico. Um sistema de arquivos habilitado
para FLR:
◆
Protege os dados e, ao mesmo tempo, garante sua integridade e facilidade de acesso
permitindo que você crie um conjunto permanente de arquivos e diretórios que não
podem ser alterados pelos usuários por meio de CIFS ou FTP.
◆
Simplifica a tarefa de arquivar dados em discos magnéticos regraváveis padrão por
meio de operações CIFS padrão.
◆
Melhora a flexibilidade de gerenciamento de armazenamento.
OBSERVAÇÃO
Depois de ativar a FLR para um sistema de arquivos, não é possível desativá-la. Quando
a FLR está ativada, você talvez enfrente situações nas quais não consegue excluir arquivos
que precisam ser excluídos. Só use a FLR se você tiver certeza de que deseja usá-la
e souber o que está fazendo.
Não use o Windows Explorer para bloquear arquivos em um sistema de arquivos habilitado
para FLR. O Windows Explorer define a hora do arquivo como a data e hora atuais,
transformando-o em um arquivo somente leitura, o que bloqueia o arquivo para sempre.
Se desejar usar o Windows Explorer para definir ou gerenciar datas de retenção ou para
bloquear arquivos em um sistema de arquivos habilitado para FLR, instale o kit de
ferramentas de FLR.
◆
◆
◆
◆
◆
Terminologia e conceitos de FLR..............................................................................
Requisitos do sistema para a retenção em nível de arquivo.....................................
Instalação do Kit de ferramentas FLR em um host....................................................
Configuração do monitor FLR...................................................................................
Como usar o monitor FLR.........................................................................................
40
42
43
44
45
39
Terminologia e conceitos de FLR
Esta seção define termos que são importantes para entender os recursos de retenção no
nível do arquivo nos VNXe servidores de pasta compartilhada.
Terminologia da FLR
Estado CLEAN
Estado inicial de um arquivo quando ele é criado. Um arquivo CLEAN é tratado da mesma
maneira que qualquer arquivo de um sistema de arquivos que não esteja habilitado para
a retenção no nível do arquivo. Isso significa que clientes e usuários podem renomear,
modificar e excluir o arquivo CLEAN até ele ser habilitado para FLR.
Estado EXPIRED
Estado de um arquivo cujo período de retenção expirou. Clientes e usuários podem
reverter um arquivo no estado EXPIRED para o estado FLR ou excluir um arquivo no estado
EXPIRED do sistema de arquivos FLR.
Estado FLR
Estado de um arquivo cuja permissão de leitura/gravação foi alterada para somente leitura em
um sistema de arquivos habilitado para retenção no nível do arquivo. Clientes e usuários não
podem excluir arquivos no estado FLR enquanto o período de retenção não expirar.
Conceitos básicos de FLR
Você pode ativar a retenção no nível do arquivo em um sistema de arquivos específico
somente no momento da criação. Quando você cria um novo sistema de arquivos com
a retenção no nível do arquivo ativada, o sistema de arquivos é marcado permanentemente
como um sistema de arquivos FLR, e clientes e usuários podem aplicar a proteção FLR
somente a arquivos individuais.
Um arquivo em um sistema de arquivos FLR está em um de três estados possíveis: CLEAN,
FLR ou EXPIRED. Para gerenciar arquivos no estado FLR, defina a retenção por diretório ou
processo em lote, ou seja, você gerencia os arquivos por sistema de arquivos ou executa
um script para localizar e excluir arquivos no estado EXPIRED.
Você pode excluir um sistema de arquivos FLR, mas não pode excluir nem modificar
arquivos que estejam no estado FLR. O caminho até um arquivo no estado FLR também
é protegido contra modificação, ou seja, você não pode renomear nem excluir um diretório
em um sistema de arquivos FLR, a não ser que ele esteja vazio.
Como a retenção no nível do arquivo funciona
Um arquivo em um sistema de arquivos FLR transita entre os três estados possíveis:
CLEAN, FLR ou EXPIRED. A transição entre esses estados baseia-se na LAT (last access
time, hora do último acesso) e na permissão somente leitura do arquivo.
Quando um arquivo é criado, ele está no estado CLEAN. Um arquivo CLEAN é tratado
exatamente como um arquivo de um sistema de arquivos que não está habilitado para
a retenção em nível de arquivo; clientes e usuários podem renomear, modificar ou excluir
o arquivo.
40
Observação: o estado atual do arquivo não fica visível para o usuário. Além disso,
o acesso a um arquivo no estado CLEAN provoca a alteração da LAT do arquivo.
Por exemplo, realizar a verificação antivírus, fazer backup ou pesquisar o conteúdo
do arquivo modifica a LAT de um arquivo.
Quando você altera as permissões em um arquivo CLEAN de leitura/gravação para
somente leitura, o arquivo transita do estado CLEAN para o estado FLR e fica habilitado
para FLR. Clientes e usuários não podem modificar nem excluir um arquivo no estado FLR.
Além disso, o caminho para qualquer arquivo no estado FLR é protegido contra modificação.
Assim, clientes e usuários de um diretório em um sistema de arquivos FLR não podem
renomear nem excluir o diretório, a não ser que ele esteja vazio, e eles só podem excluir
arquivos FLR depois que o período de retenção expirar.
Um período de retenção especifica a data e a hora em que a proteção FLR de um arquivo
expira.A EMC recomenda especificar um período de retenção antes de confirmar um
arquivo para FLR. Caso contrário, o sistema adota um período de retenção infinito como
padrão. Nesse caso, você pode definir explicitamente um período de retenção menor.
Para definir o período de retenção de um arquivo, modifique a hora do último acesso
do arquivo por meio de operações CIFS para uma data e uma hora de expiração futuras.
Essas data e hora futuras representam o fim do período de retenção do arquivo.
Um arquivo transita do estado FLR para o estado EXPIRED quando atinge seu período de
retenção. Somente o proprietário ou administrador do arquivo pode excluir um arquivo no
estado EXPIRED. A retenção em nível de arquivo não realiza a exclusão automática de
arquivos no estado EXPIRED. Você deve excluir os arquivos EXPIRED explicitamente
usando o kit de ferramentas FLR.
Se necessário, você pode reverter um arquivo do estado EXPIRED para o estado FLR
estendendo seu período de retenção para uma data posterior à data de expiração da
retenção original. Para estender um período de retenção, altere a LAT do arquivo para um
momento posterior à data de vencimento original. Embora você possa estender o período
de retenção de um arquivo, não é possível diminuí-lo. Se você especificar uma nova hora
de acesso que seja anterior à hora de acesso atual para o arquivo, o Servidor VNXe da
pasta compartilhada rejeitará o comando. Com exceção da extensão do período de retenção
de um arquivo e da modificação das permissões de leitura de um usuário ou grupo para
o arquivo, você não pode editar os metadados do arquivo durante o período de retenção.
Quando você copia um arquivo somente leitura de um sistema de arquivos normal para
um sistema de arquivos FLR, o arquivo não fica com o estado FLR confirmado. Quando
a cópia é concluída, o arquivo fica no estado CLEAN.
Restrições de FRL
Aplicam-se as seguintes restrições à FLR:
◆
Você deve definir o nível da retenção no nível do arquivo ao criar o sistema de
arquivos. Não será possível alterá-lo depois.
◆
Os clientes ou usuários do VNXe não podem modificar nem excluir arquivos que estão
no estado FLR. O caminho até um arquivo no estado locked também está protegido
contra modificação, ou seja, um diretório em um sistema de arquivos habilitado para
FLR só poderá ser renomeado ou excluído se não tiver nenhum arquivo protegido.
Terminologia e conceitos de FLR
41
◆
Se você estiver usando o EMC Celerra AntiVirus Agent (CAVA), a EMC recomenda
a atualização de todos os arquivos de definição de vírus em todos os mecanismos
antivírus (AV) residentes nos pools de CAVA e a execução periódica de uma varredura
completa do sistema de arquivos para detectar arquivos FLR infectados. Quando um
arquivo locked infectado é descoberto, o AV residente não pode reparar ou remover
esse arquivo. Embora seja possível excluir o arquivo somente depois que a data de
retenção passar, você pode alterar os bits de permissão do arquivo para restringir
o acesso de leitura e deixar o arquivo indisponível para os usuários. A função de
leitura na primeira varredura do CAVA não detecta um vírus em arquivos locked.
A documentação do CAVA no site de Suporte on-line da EMC
(http://www.emc.com/vnxesupport) fornece informações sobre o CAVA.
◆
Embora a retenção no nível do arquivo seja compatível com todos os recursos de
backup, o atributo FLR não é preservado no backup do NDMP (Network Data Management
Protocol, protocolo de gerenciamento de dados de rede). Devido a isso, ao usar
o backup do NDMP, você deve verificar se os arquivos são restaurados em um VNXe
sistema de arquivos com a retenção no nível do arquivo ativada. Se você restaurar um
arquivo a partir de um backup do NDMP cuja data de retenção tenha expirado,
o sistema de arquivos terá uma data de retenção infinita após a restauração. Se
desejar proteger o arquivo, mas não quiser uma data de retenção infinita para ele,
restaure o arquivo para um sistema de arquivos não FLR e, em seguida, copie-o
novamente em um sistema FLR.
◆
O sistema de arquivos raiz de um esquema aninhado não pode ser um sistema de
arquivos com a retenção no nível do arquivo ativada.
Requisitos do sistema para a retenção em nível de arquivo
Esta seção descreve as configurações de software, hardware, rede e armazenamento
necessárias para usar a retenção no nível do arquivo com o Servidor VNXe da pasta
compartilhada. A Tabela 7 lista os requisitos de sistema de FLR.
Tabela 7 Requisitos de sistema da retenção no nível do arquivo
Componente
Requisito
Software
Kit de ferramentas FLR, versão 3.5 Enterprise (FLR-E).
Hardware
Host em execução em um sistema operacional Windows suportado pelo Kit
de ferramentas FLR. A matriz de suporte no site de Suporte on-line da EMC
(http://www.emc.com/vnxesupport) fornece informações sobre os sistemas
operacionais compatíveis.
Rede
Não há requisitos específicos de rede.
Armazenamento
Não há requisitos específicos de armazenamento.
Requisito do Windows .NET Framework
O Windows .NET Framework 2.0 deve ser instalado no host para que a instalação do Kit de
ferramentas FLR seja bem-sucedida.
42
Requisitos de serviços e privilégio de conta de serviço do Windows para o Monitor FLR
A Tabela 8 lista os cenários para as relações de confiança de domínio e conta de serviço
do Monitor FLR. Cada cenário descreve as ações de privilégio necessárias que você deve
realizar para garantir que o Monitor possa ser executado com um serviço no host do
Windows. Nas relações de confiança de domínio do Windows, a direção da confiança
é muito importante. Os termos “confiado” e “confiante” e as direções definidas na tabela
são usados da mesma maneira descrita pela Microsoft.
Tabela 8 Cenários e ações necessárias de concessão de privilégios
A conta de serviço
é um membro do grupo
Administradores de
domínio de seu
domínio?
O host é um membro
de um domínio que
é confiado pelo domínio
da conta de serviço?
O host é um
membro do
mesmo domínio
da conta de
serviço?
Sim
Sim
Não
Adicione o grupo Administradores de domínio ou a conta de
serviço ao grupo de administradores locais do host. Por
exemplo, se a conta do servidor for domain A\someuser,
adicione domainA/Domain Admins ou domainA\someuser.
Sim
Não
Sim
Adicione o grupo Administradores de domínio ou a conta
de serviço ao grupo de administradores locais do host.
Por exemplo, se a conta do servidor for domain A\someuser,
adicione domainA/Domain Admins ou domainA\someuser.
Sim
Não
Não
Adicione a conta de serviço ao grupo de administradores
locais do servidor. O grupo Administradores de domínio
não é suficiente. Por exemplo, se a conta de serviço for
domainA\someuser, adicione domainA\someuser.
Não
Sim
Sim
locais do servidor. Por exemplo, se a conta de serviço for
Não
Não
Não
locais do servidor. O grupo Administradores de domínio
não é suficiente. Por exemplo, se a conta de serviço for
Ações necessárias
Instalação do Kit de ferramentas FLR em um host
Você pode instalar o Kit de ferramentas FRL em qualquer host do Windows que esteja em
execução na rede que tem acesso ao VNXe servidor de pasta compartilhada com os
arquivos que deseja preservar:
1. Faça log-in no host do Windows usando uma conta com privilégios de administrador.
2. Faça download do pacote de software que deseja instalar, como segue:
a. Navegue até a seção de download de software no site de Suporte on-line da EMC
(http://www.emc.com/vnxesupport).
b. Escolha o pacote de software que deseja instalar e selecione a opção para salvar
o software no host.
3. No diretório onde você salvou o software, clique duas vezes no arquivo executável
para iniciar o assistente de instalação.
4. Na página Bem-vindo, clique em Avançar.
Instalação do Kit de ferramentas FLR em um host
43
5. Leia o Contrato de licença e aceite os termos desse contrato clicando em Avançar.
6. Digite o nome de usuário e a organização e clique em Avançar.
7. Especifique a pasta de destino para a instalação do kit de ferramentas FLR e clique
em Avançar.
8. Na página Tipo de instalação, selecione Completa ou Personalizada como tipo de
instalação e clique em Avançar.
9. Na página Informações de log-on, especifique e/ou procure as credenciais de domínio da
conta de log-on do usuário que fará log-on no kit de ferramentas FLR e clique em Avançar.
Estas são as credenciais:
• Nome de usuário, que deve ser domain/Administrator, onde domain refere-se ao
nome do domínio
• Senha para domain/Administrator
10. Revise as configurações de instalação e, se elas estiverem corretas, clique em Instalar.
11. Clique em Concluir para concluir a instalação.
Configuração do monitor FLR
1. Abra o serviço do monitor FLR, que está incluído no Kit de ferramentas FLR.
2. Na guia Conexões FLR, clique em Adicionar.
3. Na guia Opções de diretório na página Configuração da origem de retenção, clique em
Procurar para selecionar a origem de retenção.
4. Selecione o compartilhamento CIFS que foi criado no sistema de arquivos FLR como
a origem de retenção.
5. Na página Configuração da origem de retenção:
a. Selecione a opção para monitorar subdiretórios e clique em OK.
b. Na guia Opções de monitoramento, selecione o método de monitoramento:
Rápido (baseado em evento) — A política de retenção é aplicada assim que os
arquivos são gerados.
Agrupamento (baseado em programação) — A política de retenção é aplicada de
acordo com uma determinada programação.
c. Na guia Opções de FLR, defina a retenção como a política de retenção obrigatória
e clique em OK.
Observação: a política de data e hora incremental aplica a retenção para que
a data de retenção seja aplicada de modo incremental aos arquivos gerados em
momentos diferentes.
6. Na página Serviço do monitor FLR, na guia Conexões FLR, selecione a entrada de
conexão e clique em Aplicar.
7. Na página Confirmação, clique em Sim para confirmar a aplicação da política de
retenção e depois em OK.
44
Como usar o monitor FLR
Esta seção descreve como:
◆
“Confirmar um arquivo somente leitura no estado FLR” na página 45.
◆
“Criar consultas FLR” na página 45.
Confirmar um arquivo somente leitura no estado FLR
Depois de copiar um arquivo para o sistema de arquivos CIFS habilitado para retenção no
nível do arquivo, você deve:
1. Alterar a permissão do arquivo para leitura/gravação.
2. Definir um período de retenção.
3. Confirmar o arquivo no estado FLR.
Além disso, os sistemas de arquivos com retenção no nível do arquivo ativada sempre
forçam a sincronização do bit somente leitura do DOS (CIFS).
Criar consultas FLR
Depois que o serviço do monitor FLR é iniciado, você pode usar a ferramenta FLR Explorer,
que é instalada automaticamente com o Kit de ferramentas FLR, para criar consultas para
visualizar os arquivos retidos ou expirados. Você pode executar consultas na origem de
retenção com o recurso de criação de consulta do FLR Explorer. Você pode fornecer os
seguintes parâmetros para a consulta:
◆
Tipo de arquivo — Arquivos retidos, arquivos que não estão no estado WORM,
arquivos em um determinado estado de retenção
◆
Origem de retenção
◆
Extensão dos arquivos a serem incluídos ou excluídos
◆
Subdiretórios também no caminho de pesquisa
Consulta de amostra
As seguintes etapas descrevem o processo de execução da consulta FLR com o FLR Explorer:
1. Abra o aplicativo FLR Explorer em:
C:\Arquivos de programas (x86)\EMC\FLR Toolkit\FLR Explorer
2. No FLR Explorer, selecione Criar consulta.
3. Na página Query Builder, informe o tipo de arquivo a ser procurado, como arquivos
retidos, arquivos em um estado de retenção específico ou arquivos que não estejam
no estado WORM.
4. Forneça a origem de retenção.
5. Se desejar, inclua ou exclua arquivos especificando sua extensão.
6. Clique em OK.
Uma lista dos arquivos expirados no FLR Explorer é exibida. De modo similar, você pode
exibir a lista dos arquivos retidos criando outra consulta com o FLR Explorer.
Como usar o monitor FLR
45
46
CAPÍTULO 5
Usando a Solução Comum VNX Event Enabler com
o Sistema VNXe
O VEE (VNX Event Enabler) fornece uma solução antivírus (VEE Common Anti-Virus Agent)
para clientes que usam o sistema VNXe. Ele usa os protocolos CIFS (Common Internet File
System, sistema comum de arquivos da Internet) em um domínio Windows 8, Windows 7,
Windows Server 2008, Windows Server 2003 ou Windows 2000. O VEE CAVA (VEE Common
Anti-Virus Agent) usa software antivírus de terceiros para identificar e eliminar vírus
conhecidos antes que eles infectem arquivos no sistema VNXe. Embora os Servidores de
armazenamento (Data Movers) VNXe sejam resistentes aos vírus, os clientes Windows
também exigem proteção. A proteção contra vírus no cliente reduz a chance de que o
cliente armazene um arquivo infectado no Servidor de armazenamento e protege o cliente
se ele abrir um arquivo infectado.
◆
◆
◆
Visão geral do CAVA ................................................................................................ 48
Limitações e requisitos do sistema ......................................................................... 49
Configurando o VEE CAVA para servidores de pasta compartilhada VNXe ................ 50
47
Visão geral do CAVA
Conforme mostrado na Figura 2, a solução VEE usa os seguintes componentes:
◆
Servidor de pasta compartilhada VNXe executando o cliente de verificação de vírus
VEE CAVA
◆
Mecanismo antivírus de terceiros
◆
Software VEE CAVA
Um mecanismo antivírus de terceiros e o software VEE CAVA devem ser instalados em
pelo menos um servidor Windows Server 2008, Windows Server 2003 ou Windows 2000
ou em uma estação de trabalho Windows 7 ou Windows 8 no domínio com o sistema
VNXe. Tal servidor é um servidor AV.
Observação: se o software antivírus de terceiros for executado em uma estação de trabalho
Windows 7 ou Windows 8, o VEE CAVA também poderá ser executado na estação de trabalho
Windows 7.
Figura 2 Componentes da solução CAVA
Servidores de pasta compartilhada VNXe
Os servidores de pasta compartilhada VNXe gerenciam operações de pastas compartilhadas
e compartilhamentos do Windows (CIFS), pastas compartilhadas e compartilhamento do
Linux/UNIX (NFS), ou de ambos. Para uma solução VEE CAVA, o sistema VNXe exige um ou
mais servidores de pasta compartilhada configuradas para compartilhamentos CIFS ou
para compartilhamentos CIFS e NFS.
48
Cliente de verificação de vírus VEE CAVA
O cliente VC (Virus-Checking, verificação de vírus) é um agente do VEE CAVA que
é executado no servidor de pasta compartilhada VNXe. O cliente VC interage com
o mecanismo antivírus, que processa solicitações no cliente VC. A verificação de vírus é
suportada apenas para acesso CIFS. Enquanto o exame ou outras ações relacionadas são
executados, o acesso ao arquivo de qualquer cliente CIFS é bloqueado.
O cliente VC faz o seguinte:
◆
Enfileira e comunica os nomes dos arquivos ao VEE CAVA para que sejam examinados.
◆
Fornece e confirma os acionamentos de evento para exames. Os possíveis
acionamentos de evento incluem:
• Um arquivo que foi renomeado no sistema VNXe.
• Um arquivo que foi copiado ou salvo no sistema VNXe.
• Um arquivo que foi modificado e fechado no sistema VNXe.
Suporte ao software antivírus de terceiros
A solução VEE CAVA usa software antivírus de terceiros, chamado mecanismo antivírus, para
identificar e eliminar vírus conhecidos antes que eles infectem arquivos no sistema VNXe.
Para saber com quais mecanismos antivírus a EMC é compatível, consulte a matriz de
suporte do VNXe no site de Suporte on-line da EMC (http://www.emc.com/vnxesupport).
Software VEE CAVA
O software VEE CAVA é um aplicativo desenvolvido pela EMC, executado em um servidor
Windows (chamado de servidor AV). Ele se comunica com um mecanismo antivírus
padrão que é executado em um ou mais servidores para examinar arquivos CIFS
armazenados em um sistema VNXe, ou VNX, ou Celerra Network Server.
Software AntiVirus Management do snap-in MMC Celerra
O software Celerra AntiVirus Management é um snap-in MMC para o Unisphere. Use esse
snap-in para exibir ou modificar os parâmetros de verificação de vírus do VEE para os
servidores de pasta compartilhada VNXe.
Limitações e requisitos do sistema
A solução VEE CAVA exige o seguinte:
◆
Um sistema VNXe com um servidor de pasta compartilhada configurado na rede.
◆
O software de snap-in MMC Celerra AntiVirus Management instalado em um sistema
cliente que tenha acesso ao domínio VNXe. Para obter informações sobre como
instalar esse snap-in, consulte “Instalando o software de host para um ambiente
CIFS” na página 12.
Limitações e requisitos do sistema
49
◆
Software antivírus de terceiros em execução em um ou mais servidores AV no domínio.
O VEE CAVA suporta ambientes Windows de 32 e 64 bits e correspondentes a mecanismos
antivírus de terceiros. A versão do mecanismo antivírus que é exigida depende do
sistema operacional. Para conhecer os requisitos atuais do sistema de software de
terceiros, consulte o site ou a documentação adequada do fornecedor.
◆
O software VEE CAVA instalado em cada servidor AV no domínio.
Retenção em nível de arquivo
Recomendamos enfaticamente que o administrador do antivírus atualize os arquivos de
definição de vírus em todos os mecanismos antivírus residentes nos pools do VEE CAVA e,
periodicamente, execute um exame completo do sistema de arquivos para detectar
arquivos FLR (File-Level Retention, retenção em nível de arquivo) infectados.
Protocolos não CIFS
A solução VEE CAVA é apenas para clientes que executam o protocolo CIFS. Se os clientes
usarem os protocolos NFS ou FTP para mover ou modificar arquivos, a solução VEE CAVA
não examinará esses arquivos em busca de vírus.
Configurando o VEE CAVA para servidores de pasta
compartilhada VNXe
Para implementar uma solução VEE CAVA para servidores de pasta compartilhada VNXe,
execute estas tarefas:
◆
“Tarefa 1: Configurar a conta de usuário de domínio com direitos de verificação de
vírus” na página 50.
◆
“Tarefa 2: Configurar parâmetros do verificador de vírus para o servidor de pasta
compartilhada” na página 53.
◆
“Tarefa 3: Instalar software antivírus de terceiros nos servidores AV no domínio” na
página 55.
◆
“Tarefa 4: Instalar o VEE CAVA nos servidores AV Windows” na página 56.
◆
“Tarefa 5: Iniciar o mecanismo antivírus VEE (agente de verificação de vírus) no
sistema VNXe” na página 56.
Tarefa 1: Configurar a conta de usuário de domínio com direitos de verificação de vírus
A instalação do VEE CAVA exige uma conta de usuário do Windows que os servidores de
pasta compartilhada VNXe reconhecem como tendo o privilégio de verificação de vírus da
EMC. Essa conta de usuário permite que os servidores de pasta compartilhada diferenciem
solicitações do VEE CAVA de todas as outras solicitações de cliente.
50
Para configurar a conta de usuário de domínio:
1. Crie uma conta de usuário de domínio Active Directory para o usuário antivírus:
a. Faça log-in no servidor Windows Server 2008, Windows Server 2003 ou Windows
2000 como o Administrador do domínio.
b. Na barra de tarefas, clique em Iniciar e selecione Configurações > Painel de controle >
Ferramentas administrativas > Usuários e computadores do Active Directory.
c. Na árvore Console de gerenciamento do VNX, clique com o botão direito do mouse
em Usuários e selecione Novo > Usuário.
d. Na caixa de diálogo Novo objeto - usuário especifique o nome, sobrenome e nome
de log-on do usuário para o novo usuário e clique em Avançar.
Você pode atribuir ao usuário de domínio qualquer nome que desejar, desde que
seja um nome significativo.
e. Na caixa de diálogo Senha:
– Digite e confirme uma senha.
– Selecione A senha nunca expira.
– Clique em Avançar.
– Clique em Concluir.
O serviço VEE CAVA será executado no contexto dessa conta.
2. Crie um grupo local para cada servidor de pasta compartilhada no domínio e adicione
o novo usuário antivírus (virususer), que você criou na “Tarefa 1: Configurar a conta de
usuário de domínio com direitos de verificação de vírus” na página 50, ao grupo:
a. Em Usuários e computadores do Active Directory, clique duas vezes em EMC
Celerra e clique em Computadores.
b. No painel Computador, clique com o botão direito do mouse no servidor de pasta
compartilhada e selecione Gerenciar.
c. Na janela Gerenciamento do computador, em Ferramentas do sistema, clique duas
vezes em Usuários e grupos locais.
d. Clique com o botão direito do mouse em Grupos e selecione Novo grupo.
e. Na caixa de diálogo Novo grupo, digite um nome para o grupo (por exemplo,
viruscheckers), a descrição do grupo e clique em Adicionar.
f. Na caixa de diálogo Selecionar usuários, computadores ou grupos:
Para Windows 8, Windows 7, Windows Server 2008 ou Windows Server 2003:
– Digite o nome da conta de usuário antivírus criada na “Tarefa 1: Configurar
a conta de usuário de domínio com direitos de verificação de vírus” na
página 50.
– Clique em Verificar nomes.
– Clique em OK para fechar a caixa de diálogo Selecionar usuários,
computadores ou grupos e em OK para retornar à caixa de diálogo Novo grupo.
Configurando o VEE CAVA para servidores de pasta compartilhada VNXe
51
Para Windows 2000:
– Selecione o domínio na caixa de lista Examinar: .
– Selecione na lista o nome da conta de usuário antivírus criada na “Tarefa 1:
Configurar a conta de usuário de domínio com direitos de verificação de vírus”
na página 50.
– Clique em Adicionar.
– Clique em OK para retornar à caixa de diálogo Novo grupo.
g. Clique em Criar e em Fechar.
O grupo é criado e adicionado à lista Grupos.
3. Atribua os direitos de verificação de vírus da EMC ao novo grupo local:
Observação: não é possível usar as ferramentas de Configuração de política local do
Windows para gerenciar atribuições de direitos de usuário em uma Pasta compartilhada
VNXe, pois essas ferramentas não permitem que você gerencie atribuições de direitos
de usuário remotamente.
a. Clique em Iniciar e selecione Configurações > Painel de controle > Ferramentas
administrativas > Gerenciamento do Celerra.
b. Se o servidor de pasta compartilhada VNXe já estiver selecionado (o nome
aparecer depois de Gerenciamento do Data Mover), vá para a Etapa e.
c. Se o servidor de pasta compartilhada VNXe não estiver selecionado:
– Na janela Gerenciamento do VNX, clique com o botão direito do mouse em
Gerenciamento do Data Mover e selecione Conectar ao Data Mover.
– Na caixa de diálogo Selecionar Data Mover, selecione o servidor de pasta
compartilhada do VNXe. Para isso, selecione o domínio na caixa de lista
Examinar: e depois selecione na lista o servidor de pasta compartilhada ou
informe o nome do computador, endereço IP ou nome do NetBIOS do servidor
de pasta compartilhada do VNXe na caixa Nome.
d. Clique duas vezes em Gerenciamento do Data Mover e em Configurações de
segurança do Data Mover.
e. Clique em Atribuição de direitos de usuário e, no painel direito, clique duas vezes
em Verificação de vírus EMC.
f. Na caixa de diálogo Configuração de política de segurança, clique em Adicionar.
g. Na janela Selecionar usuários ou grupos:
– Selecione o servidor de pasta compartilhada na caixa de lista Examinar: .
– Selecione o grupo antivírus criado na Etapa 2.
– Clique em Adicionar e em OK para retornar à caixa de diálogo Configurações de
Segurança.
h. Clique em OK.
52
A política Verificação de vírus EMC agora mostra o grupo local Pastas compartilhadas.
Embora esse direito seja um privilégio local e não um privilégio de domínio, ainda
assim ele diferencia usuários antivírus de outros usuários de domínio.
4. Atribua direitos administrativos locais à conta de usuário antivírus em cada host que
executará o software do mecanismo antivírus, isto é, que será um servidor AV (antivírus).
Observação: se o servidor AV for um controlador de domínio, a conta de usuário da
verificação de vírus deverá ingressar no grupo do administrador do domínio, e não no
grupo do administrador local, pois este último não é gerenciado em um controlador
de domínio.
Para cada servidor AV no domínio:
a. Clique em Iniciar e selecione Configurações > Painel de controle > Ferramentas
administrativas > Gerenciamento do computador.
b. Na janela Gerenciamento do computador, no menu Ação, selecione Conectar
a outro computador.
c. Na janela Selecionar computador, selecione o servidor (AV) verificador de vírus
e clique em OK.
d. Na janela Gerenciamento do computador:
– Expanda Ferramentas do sistema.
– Expanda Usuários e grupos locais.
– Clique em Usuários.
e. Clique com o botão direito do mouse no nome da conta de usuário antivírus criada
na “Tarefa 1: Configurar a conta de usuário de domínio com direitos de verificação
de vírus” na página 50 e selecione Propriedades:
f. Na janela Propriedades da conta, clique na guia Membros de e em Adicionar.
g. Na caixa de diálogo Selecionar grupos, na caixa Digitar os nomes de objeto
a serem selecionados, digite Administradores e clique em OK.
h. Clique em OK para fechar a caixa de diálogo Propriedades da conta.
Tarefa 2: Configurar parâmetros do verificador de vírus para o servidor de pasta
compartilhada
1. Na barra de tarefas, clique em Iniciar e selecione Configurações > Painel de controle >
Ferramentas administrativas > Gerenciamento do Celerra.
2. Na árvore Console de gerenciamento do VNX, expanda o nó Gerenciamento de dados
(para um sistema VNXe, as entradas representam os servidores de pasta compartilhada).
O modo Antivírus aparece na árvore do console. O status do serviço Antivírus do
servidor de pasta compartilhada VNXe é Interrompido ou Em execução.
53
Observação: se você não selecionou um servidor de pasta compartilhada, será
preciso selecionar um antes de usar o snap-in Celerra AntiVirus Management. Se um
servidor de pasta compartilhada estiver selecionado, seu nome aparecerá próximo ao
nó Gerenciamento de dados na árvore do console.
3. Clique no nó Antivírus.
A lista de configurações de parâmetro aparece no painel de detalhes.
4. No painel de detalhes:
a. Clique com o botão direito do mouse no parâmetro que deseja alterar e selecione
Propriedades.
A caixa de diálogo Propriedades desse parâmetro é exibida. Para ver uma descrição
dos parâmetros, consulte “Parâmetros do nó Antivírus configuráveis” na página 54.
b. Se o parâmetro contiver várias configurações, informe os valores das
configurações, clique em Adicionar e em OK.
c. Se o parâmetro contiver uma única configuração, informe o valor da configuração
e clique em OK.
Parâmetros do nó Antivírus configuráveis
Tabela 9 lista os parâmetros configuráveis para um nó Antivírus.
Tabela 9 Parâmetros do nó Antivírus configuráveis
Parâmetro
Descrição
Exemplo
masks=
Extensões de arquivos a serem examinados.
Examinar todos os arquivos:
*.*
Examinar somente arquivos .exe, .com, .doc
e .ppt:
*.exe:*.com:*.doc:*.ppt
excl=
Arquivos ou extensões de arquivos a serem excluídos
durante o exame.
pagefile.sys:*.tmp
addr=
Endereços IP dos servidores AV.
Único servidor:
192.16.20.29
Vários servidores:
192.16.20.15:192.16.20.16:192.16.20.17
CIFSserver
Nome do servidor de pasta compartilhada. Se você não
fornecer um nome, será usado o servidor de pasta
compartilhada padrão.
cifsserver1
maxsize=n
Tamanho máximo do arquivo em hexa que é verificado.
Arquivos que excedem esse tamanho não são verificados.
0x1000000
RPCRequestTimeout
Timeout de solicitação RPC em ms. O padrão é 25000 ms.
25000
RPCRetryTimeout
Timeout de repetição RPC em ms. Se o servidor AV não
responder a uma solicitação do servidor de pasta
compartilhada dentro do tempo especificado no intervalo
PRCRetryTImeout, o servidor de pasta compartilhada tenta
enviar a solicitação novamente até que o valor de
RPCRequestTimeout seja atingido. O RPCRetryTimout
padrão é 500 ms.
500
54
Tabela 9 Parâmetros do nó Antivírus configuráveis (continuação)
Parâmetro
Descrição
Exemplo
surveyTime=n
O intervalo de tempo em segundos para examinar todos os
servidores AV conhecidos. Esse parâmetro funciona com o
parâmetro de desligamento abaixo. Se um servidor AV não
responder a uma solicitação, o parâmetro de desligamento
selecionado determinará a ação a ser executada.
O surveyTime mínimo é 1 segundo, o máximo é
4.294.967.295 segundos e o padrão é 60 segundos.
60
highWaterMark=xxx
Quando o número de solicitações em andamento se tornar
maior que o highWaterMark, um evento de registro será
enviado ao servidor de pasta compartilhada.
O highWaterMark padrão é 200.
200
lowWaterMark=xxx
Quando o número de solicitações em andamento se tornar
menor que o lowWaterMark, um evento de registro será
enviado ao servidor de pasta compartilhada. O valor padrão
de lowWaterMark é 50.
50
shutdown
Ação executada quando um servidor AV não está disponível.
Para shutdown=no, continue repetindo a lista de servidores
AV se nenhum servidor AV estiver disponível. Existem duas
marcas d'água: baixo e alto. Quando cada um é atingido,
um evento de registro é enviado ao servidor de pasta
compartilhada VNXe.
Para shutdown=cifs, interrompa o CIFS se nenhum servidor
AV estiver disponível. (Clientes Windows não podem
acessar nenhum compartilhamento VNXe.)
Para shutdown=viruschecking, interrompa a verificação de
vírus se nenhum servidor AV estiver disponível. (Clientes
Windows podem acessar qualquer compartilhamento VNXe
sem verificação de vírus.)
As opções incluem:
• shutdown=no
• shutdown=cifs
• shutdown=viruschecking
Tarefa 3: Instalar software antivírus de terceiros nos servidores AV no domínio
Você deve instalar um pacote de software antivírus de terceiros aceito (mecanismo antivírus)
em cada host no domínio que será um servidor AV. Para garantir que o exame
do arquivo seja mantido se um servidor AV ficar off-line ou não puder ser acessado
pelo servidor de pasta compartilhada VNXe, você deverá configurar pelo menos dois
servidores AV no domínio. Para obter a lista mais recente de mecanismos antivírus e suas
versões compatíveis, consulte o EMC E-Lab™ Interoperability Navigator e as Notas da versão
do EMC Celerra Network Server no site de Suporte on-line da EMC (http://support.emc.com).
OBSERVAÇÃO
Você deve instalar qualquer pacote de software antivírus de terceiros compatível, exceto o
pacote Trend MicroServerProtect, em um host antes de instalar o VEE CAVA em um host.
Se quiser instalar o software antivírus Trend MicroServerProtect em um host, instale o VEE
CAVA primeiro, conforme descrito na “Tarefa 4: Instalar o VEE CAVA nos servidores AV
Windows” na página 56.
Para instalar um pacote de software antivírus de terceiros em um host, siga o procedimento
para o pacote em EMC Celerra Network Server - Usando o Celerra AntiVirus Agent.
55
Tarefa 4: Instalar o VEE CAVA nos servidores AV Windows
Você deve instalar o VEE CAVA em cada host no domínio que será um servidor AV.
Pré-requisitos
Esta seção fornece informações importantes que você deve saber antes de instalar o CAVA.
Removendo versões antigas do VEE CAVA
Se um servidor AV tiver uma versão anterior do VEE CAVA instalada, remova essa versão,
reinicialize o servidor e instale a nova versão. Use a janela Adicionar/remover programas
do Painel de controle do Windows para remover versões antigas do VEE CAVA. É preciso
ter privilégios administrativos locais para remover programas.
Observação: se você não remover a versão anterior do VEE CAVA antes de fazer o upgrade,
será possível escolher a opção Remover na página de instalação inicial para remover
primeiro a versão anterior e depois continuar com a instalação.
Reinstalação do VEE CAVA
Durante uma reinstalação do VEE CAVA, você poderá ver uma mensagem de proteção de
sobregravação se os arquivos de instalação tiverem sido descompactados anteriormente no
diretório temporário. Se essa mensagem for exibida, na janela da mensagem Proteção de
sobregravação, clique em Sim para todos para sobregravar os arquivos existentes. Esse
processo garante que a versão mais recente dos arquivos exista no diretório temporário.
Para instalar o VEE CAVA
Instale o software VEE CAVA usando o CD do VNX Event Enabler, conforme descrito em
EMC VNX Network Server - Usando o VEE Common AntiVirus Agent.
Tarefa 5: Iniciar o mecanismo antivírus VEE (agente de verificação de vírus) no
sistema VNXe
1. No VNXe Unisphere, selecione Configurações> Configurações de servidor de pasta
compartilhada.
2. Na seção Outras opções, clique em Iniciar antivírus.
O status do antivírus é alterado para Antivírus em execução.
56
© 2011 - 2013 EMC Corporation. All Rights Reserved.
EMC believes the information in this publication is accurate as of its publication date. The information is subject to change
without
notice.
THE INFORMATION IN THIS PUBLICATION IS PROVIDED “AS IS.” EMC CORPORATION MAKES NO
REPRESENTATIONS OR
WARRANTIES OF ANY KIND WITH RESPECT TO THE INFORMATION IN THIS PUBLICATION, AND
SPECIFICALLY
DISCLAIMS IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
Use, copying, and distribution of any EMC software described in this publication requires an applicable software license.
EMC2, EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United State and other
countries.
All other trademarks used herein are the property of their respective owners.

Usando um sistema VNXe com Pastas compartilhadas

Transcrição

Documentos relacionados

Dividindo um arquivo em partes com o Winrar

1 - Descompacte a pasta Ibirapuera 2

Problema mensagem de erro do Windows: “Bootmgr is missing”

INSTALAÇÃO WILCOM 2006 VISTA/7/8

Configurando o sistema em rede Local

À medida que a sua liderança é afiada, cremos que o Espírito Santo

2015 -‐ LISTA DE MATERIAL ESCOLAR

Exercícios de Windows - Informática Aplicada

Como se faz pasta de papel?

O Microsoft Windows XP traz maior estabilidade e segurança com