DFS动态文件服务器多地区部署方案

1、DFS动态文件服务器三地部署文件服务器三地动态方案介绍1、通过分布式文件系统整合三地文件服务器资源，用户通过统一路径（如XXX.comshare ）存储和访问文件资源；1 j2、通过DFS复制实现三地文件服务器定时同步达成冗余/负载平衡;3、通过ABE插件实现共享文件夹只显示用户有权限使用的文件资源；4、通过文件服务器资源管理器对用户文件夹进行配额和文件屏蔽管理，在配额达到限制或 者发现可疑文件时，发送邮件给用户和管理员进行提醒；文件服务器动态方案部署（一）分布式文件系统1 . DFS介绍使用分布式文件系统可以轻松定位和管理网络中的共享资源，使用统一的命名路径完成对所需资源的访问、提供可靠的负

2、载平衡、与FRS （文件复制服务）联合在多台服务器之间提供冗余、与windows权限集成以保证安全。配置分布式文件服务器的过程很简单，可以使用“DFS管理”组件来配置，也可以使用“分布式文件系统”组件。分布式文件系统（DFS）把一些分散的（分布在局域网内各个计算机上）共享文件夹， 集合成一个文件夹内 （虚拟共享文件夹） 利用分布式文件夹， 对于用户来说，要访问这些共 享文件夹时，只要打开这个虚拟共享文件夹，就可以看到所有链接到虚拟共享文件夹内的共 享文件夹。用户感觉不到这些共享文件是分散于各个计算机上的。分布式文件系统的好处是:集中访问，简化操作，提高文件存取效率。2 .配置分布式文件系统2.

3、1. 前提条件a） 域架构：Windows Server 2003 R2 （如果 2003 或 2000 必须扩展 Sechma,运行 adprep.exe /forestprep 来更新架构，Adprep.exe命令行工具 R2安装 CD上的CmpnentsR2Adprep 文件夹中提供。）b） 文件服务器的 OS: Windows Server 2003 R2或以上版本c） AD架构已实现冗余d） XP SP2必须打KB898900补丁，SP3及以上版本不需要打补丁。KB898900下载地址：2.2. 创建DFS根DFS为共享文件夹定义了一个层次结构，类似于标准的目录结构，只是构成该目录结

4、构的不是文件夹，而是多个共享点。使用分布式文件系统配置DFS分为两步：创建DFS根、创建DFS链接。单击开始-管理工具-分布式文件系统，在弹出的页面中右击新建根目录，如图所 示：弹出新建根目录向导，单击下一步，选择根目录类型，这里选择域根目录，如下图所示:独立根的配置信息存储在根服务器的注册表信息中，如果独立根服务器不可用，会导致DFS不可用。不支持容错。域根的配置信息存储在 AD中，并复制到当前域中所有 DC中，以实现容错性，当 根服务器不可用时，其他服务器仍可向客户端传送DFS信息。所以，域根是更加安全的方案，但需要 AD域支持。建议连接数不要超过5000个。单击下一步，输入域名信息：输入

5、服务器名称，点击浏览查找选择根目录的服务器名称，如图所示:输入根目录名称和注释，根目录名称即共享访问的顶级的共享名称。如果共享文 件夹存在，则直接使用，如果共享文件夹没有创建，便会自动创建一个共享文件夹。在根目录共享中，选择指定的共享文件夹，如果文件未共享，向导会自动创建对应的文件，根目录建立完成后，分布式文件系统中会相应生成DFS艮目录。2.3. 创建DFS链接建立好DFS根目录后，为了能让 DFS正常运行，还需建立 DFS链接才能完成整个DFS的建立。即在 DFS根上右击新建DFS链接，为链接起个名字并指向适当的共享资 源。如图：在新建链接页面中输入链接名称和目标路径，链接名称即为客户端希

6、望看到的根目录下的共享文件夹的名称。目标路径为服务器中已经共享的文件夹路径，如图所示:点击确定，完成。3 .配置服务器冗余/负载平衡（DFS复制）3.1. 添加复制目标配置服务器冗余/负载平衡可以实现在不同的服务器存储相同的共享文件夹中的文件，通过复制实现文件同步，当一台服务器宕机时，DFS会自动将共享文件指向另一服务器的共享文件夹，使客户端感觉不到宕机对共享文件夹的访问影响。客户端随时可以访问相应的资源。即在不同的服务器中创建相同的共享文件夹，由DFS自动将客户端引向其中一个共享文件夹，当一台服务器宕机时，自动将客户端引向另一个共享文件夹，方便用户的共享访问。单击分布式文件系统-新创建的链接

7、test-右击新建目标，如图所示：在目标路径中单击浏览选择另一台服务器的共享文件夹，如图所示:单击确定，询问是否需要配置复制目标，如图所示：单击“是”弹出配置向导，亦 可稍后配置复制。这里点击“否”，接下来通过 DFS管理中的DFS复制来实现冗余/负载平衡。分布式文件系盛配置篁制后才能复制目标。现花要配置吗?匚焦页:二;I否 |3.2.DFS复制DFS复制的前身为文件复制服务 （FRS ,它是一个基于状态的新型多主复制引擎，支持复制计划和带宽限制。DFS复制使用一种称为远程差分压缩（RDCC的新压缩算法。RDC是一种线上差分协议，可用于在带宽受限的网络上有效地更新文件；RDC检测文件中数据的插

8、入、删除和重新排列，因此能够在文件更新时仅复制增量（更改）。DFS复制使用许多复杂的进程来保持多个服务器上的数据同步，它主要具有以下 特性：DFS复制是一个多主机复制引擎，在一个成员上进行的任何更改均将复制到复制 组的所有其他成员上；DFS复制通过监视更新序列号（USND日志来检测卷上的更改；DFS复制来复制数据库或其DFS复制仅在文件关闭后复制更改，因此不推荐使用他可能会长时间打开的文件；DFS复制使用版本矢量交换协议来确定需要同步的文件，该协议通过网络为每个文件发送不到1KB的数据，用于同步发送成员和接收成员上与已更改文件关联的元数 据；文件更改后，只会复制已更改的文件块， 而不会复制整个

9、文件，DFS复制通过RDC 协议来确定已更改的文件块。默认情况下，RDC适用于任何大于 64 KB的文件类型；DFS复制可以自我修复，可以自动从USN日志覆盖、USN日志丢失或DFS复制数据库丢失中恢复；DFSM制使用 WMI提供程序为获取配置和监视来自DFSM制服务的信息提供接口；在发送或接收文件之前，DFS复制使用暂存文件夹来暂存文件。如果在复制过程中发生冲突，对于冲突的文件（即在多个服务器上同时更新的文件），DFS复制使用最后写入者优先的冲突解决方式；对于冲突的名称，DFS复制使用最早创建者优先的冲突解决方式。冲突中被丢弃的文件和文件夹将移至一个称为冲突和已删除文件夹的文 件夹。3.3.

10、 DFS复制的配置单击开始-管理工具-DFS管理，出现DFS管理界面，刷新会看到刚才在分布式文件 系统里创建的DFS根目录和链接目标。如图所示：右键test选择属性，点击复制文件夹。弹出复制文件夹向导，已自动填入复制组名及文件夹名点击下一步，向导会评估目标是否合格，用于确定是否可以参与复制。点击下一步，选择主要成员，如果要复制的文件夹已在多个服务器上存在，则主要成员上的文件夹和文件将在初始复制时具有权威性。下一步，选择复制拓扑方式。 因为集散型需要包含三个以上成员，所以这里只能选择交错。关于拓扑类型的解释，在下面3.4会有专门介绍。3.4. 关于复制拓扑的解释在windows2000及2003

11、的FRS复制中，有三种类型：环、集散、交错。而在 windows2003 R2的DFS复制中，则取消了环型。环：以循环的方式将文件从一台计算机复制到另一台计算机。每一台计算机的两边分别连接到此环形拓扑中的其他两台计算机。优点：提供了冗余。缺点：同步时间较长。集散：此拓扑要求存在三个或更多成员，否则不可用，对于每个轮辐成员， 可以选择必需的中心成员和 （可选）用于冗余的第二个中心成员。此可选中心可以确保轮辐成员在一个中心成员不可用时仍可以复制。如果指定两个中心成员，中心成员之间将采用交错拓扑。优点：网络流量的速度快。缺点：容易造成单点失败。交错：即混杂型，将上面两种综合起来。此拓扑中，每个成员将

12、与复制组的所有其 他成员进行复制。如果复制组中的成员等于或少于十个，此拓扑非常适合。如果复制组中的成员多于十个，建议使用集散拓扑。优点：由于两两相接，提供了最大的冗余。缺 点：造成的网络流量会比较大。3.5.配置复制组计划和带宽可以选择指定带宽全天候启用复制。VVHJEFTAH?产R1复制出计划利带支由品制13和三见利文的:gi复制也书将於法界襄制他什军京用直H芹黄轩可磔耳,E起理由旦玄定r弟子:s组中好口黏生推蛇配型计包和牛面,区羽褶pm开墓遮/#喇学二再昨国亚中年用F.KR：而*F司制、上一1二 ，一本 可物也可以选择指定日期和时间内复制。:三蹩药苴睡期虫题:使用此选项由以指定默认情况下复

13、制式生的日期和时间.初始复制计划设有复制间隔；为使复制发生，至少必须创建一r复制间隔口褊辑计划也）1点击编辑计划，可以选择通用协调时间或者接受成员的本地时间。萩第1W时间后 攫也曲瞄小一地同”通用办厕间匚斐坡立员工尿注网同.全争 星期日 星期二一一四 E 旧日明也 3 i. M 星星星星由有悸用率时：蕨葡t也可以选择带宽使用率带宽使用率逅）：现制2 Mbps4 Mips e Mips16 Mbps32 Mbps上详细信息） 点击下一步，可以查看设置，确认点击创建，即完成DFS复制设置。的，i otsK 11 HR喝。：*,irrt f.中成;。v :.1世我:身T对索.侬J 文L无性,y-,n

14、市彳.蝴.，桁0 5班cm4/凡注：情3.6.高级设置，点击属性，在常右击DFS管理里的命名空间（即分布式文件系统里的根目录）规选项卡中可以看到命名空间类型，名称，大小等。点击引用，可以看到持续时间设置和目标排序方法。当客户端访问命名空间根路径或命名空间中包含文件夹目标的文件夹时，客户端从域控制器或命名空间服务器获取引用。引用是域控制器或命名空间服务器返回给客户端的文件夹目标的排序列表。客户端收到引用之后，将尝试访问列表中的第一个目标；如果该目标不可用，客户端将尝试访问下一个目标。客户端会对获得的引用进行缓存，对于命名空间默认的缓存时间是300秒（5分钟），而对于文件夹默认的缓存时间是1800

15、秒（30分钟）。通常情况下无需修改缓存时间配置，但是如果命名空间中的文件夹目标变更频繁，应该考虑减少缓存时间；但 是减少缓存时间会增加域控制器和命名空间服务器的负载并且增加网络访问流量。未运行 Windows XP SP2 Windows Server 2003 SP1的客户端将在每次使用缓存引用访问文件或文件夹时，更新引用的缓存持续时间值，因此可以无限地使用该缓存引 用，直到清除客户端的引用缓存或重新启动客户端为止。这样导致了命名空间中的文 件夹目标虽然已经更新，但是客户端持续使用旧的文件夹目标的情况。因此在Windows XP SP2和 Windows Server 2003 SP1中，微

16、软对此行为进行了更新，当客户端使用缓存引用访问目标时，缓存持续时间并不更新，而是让缓存引用在到达缓存持续 时间值之后过期，当再次访问时向域控制器或命名空间服务器获取新的引用，从而可 以更快地发现对命名空间和命名空间文件夹的更改。R2中的分布式文件系统提供了目标优先级特性。当域控制器或命名空间服务器返回引用给客户端时，将按照一定的排序方法对文件夹目标进行排序。客户端首先尝试 访问最顶部的文件夹目标，如果不可用则按照从上到下的顺序尝试对其他文件夹目标 进行访问。在R2中提供的排序方法有以下三种：随机顺序：使用此方法时返回给客户端的文件夹目标按照以下顺序进行排序：与客户端位于相同活动目录站点的目标按

17、照随机顺序列在引用的顶部；然后，客户端站点之外的目标按照随机顺序列出；如果没有位于相同站点的文件夹目标，则将所有目标按照随机顺序列出；最低成本：默认选项，使用此方法时返回给客户端的文件夹目标按照以下顺序进 行排序：与客户端处于相同站点的目标按照随机顺序列在引用的顶部。然后，客户端站点之外的目标按照最低成本到最高成本的顺序列出。成本相同的 引用组合在一起，每个组中的目标按照随机顺序列出。排除客户端站点之外的目标 户端位于相同站点的文件夹目标。 如果没有位于相同站点的目标， 问命名空间的该部分。:使用此方法时，返回给客户端的引用中只包含与客 这些位于相同站点的文件夹目标按照随机顺序列出。 那么将不

18、会返回引用给客户端，因此客户端无法访除此之外，还可以针对某个文件夹目标设置其优先级，可以设置某个文件夹目标 的优先级为：所有目标中的第一项：作为引用的目标列表中的第一个列出；所有目标中的最后一项：作为引用的目标列表中的最后一个列出；同等成本中的第一个：在同等成本的目标中作为第一个列出；同等成本中的最后一个：在同等成本的目标中作为最后一个列出；需要注意的是，即使排序方法设置为排除客户端站点之外的目标，目标优先级设 置为所有目标中的第一项或所有目标中的最后一项的目标仍会在引用中列出。点击高级，可以设置命名空间的轮询优化设置。军规I引用 高，I命名穹间服电器懑过轮询竦落利器来恭喔当尊命名空间元数据口

19、您可以优化轮询4提高命名空间的一狗隹或扩展性.您希望如何优化轮询QP?a洸无二致性-：|!11111好111111*| iras mi rffl im 1每次更改命名空间时，命名空间服第器都会轮询主域控制器（FDC）仿真器广优化犷展性箜）每个命名空间服络照都会定期轮洵最靠近的域控制粗.这 都为命名空间扩展性模式.有其世牝蛇询的港田信息，请萋阚DFS管理粘助.确定 | 取消 | 应用42对于单个目标右击属性，可以设置上文所提到的文件夹目标优先级:点击复制，可以看到刚刚创建的复制组信息。在成员身份中，右击一组成员，选择属性，在高级选项卡中可以设置暂存文件夹 及冲突和已删除文件夹的路径和配额，如下图

20、所示：在连接中，右击一组成员，选择属性，可以设置是否启用复制和RDC如下:在已复制文件夹中右击属性，可以设置文件筛选器，选择不需要复制的文件类型, 可使用通配符，也可设置不需要复制的子文件夹。如下图所示：（二）ABE1 . ABE介绍Access-based Enumeration是一项包含在 WS03 SP1中的特性功能， 它能够增强共享 文件的安全性。基于用户的访问权限，ABE过滤共享文件夹的可见性。它能够防止文件夹或者其他的共享资源泄露给那些没有访问权限的用户。通过使用ABE, IT系统管理员能够确保用户只能查看他们具有访问权限的文件夹和文件，而那些他们不具有访问权限的文件夹和文件都不会

21、在他们的文件和文件夹列表中被显示出来。2 .酉己置ABEABE是包含在 WS03 SP1中的工具软件，但是它并没有被默认添加到安装包中。需 要去微软下载合适的 ABE引擎。每一个引擎适合不同的Windows安装文件或者 MSI文件类型。有三种类型可用：用于32位系统的x86,用于64位系统的x64,以及用于Itanium 系统的ia64。运行MSI,将会看到将ABE应用在所有存在的共享文件上的提示，如下图：Access-based enumeration同时提供图形交互界面和命令行工具两种方式来应用于 共享资源。最简便的方法可能是安装完成后，使用命令行 abecmd工具运行脚本。下面 的表格给

22、出了可能被使用到的命令行。参数描述/enable将ABE应用于指定的共享资源或者所有的共享资源/disable取消将将ABE应用于指定的共享资源或者所有的共享资源/server在一台远程服务器上，应用操作（使用或取消ABE）/all为所有的共享资源应用操作（使用或取消ABE）确定将要应用或者取消 ABE应用的共享资源使用图形交互界面，只需要右键点击共享文件夹，并选择属性。一个名为ABE的新标签将会出现在属性标签中，如下图示：5c.自定义test星性共享AccsEE-baEeii EnwnerationAcces!b4$ed Enjnwration makes visible only thss

23、e files or Pg foUers tFidt the ir has the righh to aocsss. V/hen 11 Accesb於cd Enumeration is embkd, V/mdows ui not(fsplay files or folcers that Hie user does not have rights 忆 access.V natMe accesbased enurneiation 可 tNs thMed_foidef- Agply this faders 节目ttng to existing shared fol曲炉 on this compute

24、r确定 | 取消应用山|（三）AD组策略映射1 .在用户所在OU新建一条组策略2 .编辑组策略3.点击登录脚本4.点击显示文件5.将脚本文件拷入弹出的目录6 .点击添加7 .点击浏览8 .弹出刚刚的目录，选择脚本，点击确定，OK9 .映射脚本On error resume nextstrRemotePath = XXX.compublicteststrNewName = XXX SHARESet objNetwork = CreateObject(Wscript.Network)Set colDrives = objNetwork.EnumNetworkDrivesFor i = 0 to c

25、olDrives.Count-1 Step 2Set objShell = CreateObject(Shell.Application) strDriveLetter = colDrives.Item(i) strName = objShell.NameSpace(strDriveLetter).Self.Name strName = Left(strName,Len(strName)-5) If strName = strNewName Then WScript.Quit strDriveLetter = Chr(Asc(Left(colDrives.Item(i),1)-1) & :Ne

26、xtIf strDriveLetter= Then strDriveLetter=Z:Section to map the network driveSet objNetwork = CreateObject(WScript.Network) objNetwork.MapNetworkDrive strDriveLetter, strRemotePath Section which actually (re)names the Mapped Drive Set objShell = CreateObject(Shell.Application) objShell.NameSpace(strDr

27、iveLetter).Self.Name = strNewName（四）配额管理和文件屏蔽管理1、 在管理工具中打开文件服务器资源管理，右击选择配置选项:文伴但）操作囚 查哥9 帮助但）1 1+. 喳 | 因 S3T勰配算管理电獭1配颗根板白-遁 文件屏藤管理迤文件屏祇0文件屏蔽瞑梗“E文件蛆 0存储报告管理I。拈连搔到另一台计速机配置选项坦）查看比）导出列表11）.帮助箕2、 在配置选项中可对电子邮件通知，存储报告，报告位置以及文件屏蔽审核进行设置:更王酗隹逆弱!I存储报告I报告位置I文件屏裱函核1shirr服务器指定发送逋知加存睹援告啊要隹用的5MTT耻冬需.SMIF服筠器名或IP地址盘上

28、mail,om 默认的电子邮件设置指定通过电子邮件将通知和存储报告发送到各个管理蜃时，要使用的默 U收件人.默认的管理员收件人上r,comI I格式：皿蛆互iru.使用分号分f鬲多个地址默认的“发件人”电子邮件地址版）；-.com要脸证设置，可以发送测试电子邮件至默认的收件人.发送测试电子邮件3、帮助电）确定 | 取消 |展开文件服务器资源管理-配额管理，右击配额，选择创建配额4、青交件事NKH3文件如 MHtU）叠哥矍 fiQQ）幅的即单击浏览，选择配额路径回5、默认有6种配额模板，也可以选择自定义:纪帮里国 空暇以性用意自匕酬工婚的餐性幅鹏自建曳肥霞屋性.64也正M凰ft生展性鼐网SUJ(

29、U匚配期y、 XE.tL期赚LOO*国加阳加 100 u Of)g2帮制上00时土子集过，羊杵日学 詈骨(酊1.电子事件csu电孑事件.事年日去6、 可对通知阈值进行设置，点击添加，对阈值及相应的触发事件进行设置: 发送电子邮件、记录事件日志、执行命令、生成报告。7、 点击文件屏蔽管理，右击创建文件屏蔽8、 默认有5个模板，选择自定义:9、 可对屏蔽类型和文件组类型以及相应的触发事件进行设置:10、在文件组设置中默认已经有11类文件，也可自己创建文件后缀类型:文件绫作迎世若曲辛勒 电函国我I文竹用亨书出德音理常目:他揖此聊掰工吨同物；/夜二葡文件拜骷官理式件耳版u文件后藤棍粒3史件编B点讳限告

30、岂态文件甄,也含女伴Lj office 又胖* 3C. * docHj, * 以七 4. n a.1 *. hL, P,O口LJLjQ电子部件宜件*司11r N勺*曲b九 九札lit *. wlfj u u .可推行皇悭*. bat * cnt *. can. *_cpL *-SSe. *. inf, *. jsP *.创建文件组屈性C王电文件害透脖一斜女件信裸A文生韦祥式，然后单壬就口” ,示51 * ex上 庭*-董电台的巴件里：0方贬仃利现5件|瓯知| 雌焙吐文件 军今封同司百文件 立本攵件 l商如主仃俎名(F):弟也睁郃中件rti.三、文件服务器动态方案测试1、 测试计划厅P测试点测试

31、项目备注1用户入职 权限动态 实现1 .入职自动创建域账号2 .入职自动创建共享文件夹3 .测试账号及权限此功能需要开发 支持，故本次不测 试。2文件服务器动态部署1 .两台文件服务器文件实时同步2 .服务器故障，客户端自动切换DFS复制管理，因 乌江未完工，本次 测试为钟山和上 海。3共学文件分 权限动态显示1.共享文件夹只显示用户有权限使用的文件夹和文件WINDOWSERVEF2003ACCESS-BASEDENUMERATION4客户端动态映射网盘1.用户登录自动映射共享文件夹为网络驱动器登录脚本5配额管理及文件屏敝1 .文件配额达到设置阈值后自动发 送邮件给用户和管理员2 .阻止音视频

32、文件写入，对可执行 文件进行监视2、 测试过程2.1文件服务器动态部署测试项目1 .两台文件服务器文件实时同步2 .服务器故障，客户端自动切换测1、客户端登录到域，映射共享文件。2、分别打开两台文件服务器的共享目录5、将newfile服务器下线，再看客户端状态，已经自动切换2.2共享文件分权限动态显示测试项目测试步骤共享文件夹只显示用户有权限使用的文件夹和文件1、在月艮务器上开启 Access-based Enumeration 。安云自定义3电掇* 1_回就11 Eiuiiicidkiri 1 1小咏 viyible 卜thu比 f杷 5 0lbs usEi Iih95 IhbighU E 日ccese When 二dm/-based Enumcrnlinn is： enabtedWiridois will ng!d