《文件权限管理你及共享、文件压缩及加密、FSRM、DFS.ppt》由会员分享,可在线阅读,更多相关《文件权限管理你及共享、文件压缩及加密、FSRM、DFS.ppt(113页珍藏版)》请在三一文库上搜索。
1、第02部分,文件权限管理及共享,文件权限管理及共享、文件压缩及加密、FSRM、DFS,本章重点,关于文件共享的基础知识 共享公用文件夹 共享任意文件夹 根据账户名称赋予不同的权限 将共享文件夹发布到AD数据库 管理共享资源与高级共享,标准NTFS文件权限的种类,读取(Read) 写入(Write) 读取及执行(Read&Execute) 修改(Modify) 完全控制(Full Control),标准NTFS文件夹权限的种类,读取(Read) 写入(Write) 清单文件夹内容(List Folder Contents) 读取及执行(Read&Execute) 修改(Modify) 完全控制(
2、Full Control),使用者的有效权限,NTFS权限有继承性 NTFS权限有累加性的(cumulative) 拒绝(deny)权限会覆盖所有其他的权限 文件权限会覆盖文件夹的权限,文件与文件夹的拥有权,建立文件或文件夹的使用者,就是该文件或文件夹的拥有者 文件夹或文件的拥有者,具备有变更此文件夹或文件权限的能力 使用者若具备以下的条件之一,便可以取得拥有权 对该文件或文件夹拥有“取得拥有权(take ownership)”的特别权限。 系统管理员,也就是隶属于administrators群组的使用者。无论他对文件或文件夹拥有何种权限,他永远具备有“取得拥有权”的权限。 具备“取得文件或其
3、它对象的所有权”权利的使用者。,共享文件与文件夹,建立网络的一个主要目的就是共享文件,历经数十年的发展,如今各操作系统在这方面都有长足的进步。 Windows Server 2008不但改进了操作界面,让使用者能轻松完成设定;更有充分的权限控管机制,在便利与安全之间取得适当的平衡。,关于文件共享的基础知识,从Windows Server 2003到Windows Server 2008,在共享文件方面的改变大致如下: 可以共享单一文件:每位本机账户使用者都有权在用户配置文件所在的文件夹(亦即%SystemDrive%Users%Username%),设定共享单一文件或文件夹。 举例来说,即使J
4、ohn只是一位标准使用者,仍可以将%SystemDrive%UsersJohn文件夹的年度旅游计划.doc设为共享,但是在其它文件夹就无法设定任何共享。,关于文件共享的基础知识,这种新的文件共享方式称为In-profile Sharing(在配置文件文件夹的共享)。 不过虽然设定了In-profile Sharing,但是从其它计算机透过网络(Windows Vista)或网络上的邻居 (Windows XP)来读取时,不会直接看到文件。 而是看到Users资料夹,双按此文件夹之后看到John资料夹,再进入John文件夹之后,才会看到年度旅游计划.doc文件。,关于文件共享的基础知识,内建公用
5、文件夹 公用文件夹是一个由系统自动建立、专为共享而设计的资料夹,虽然显示的是中文名称,但是实际所对应的是%SystemDrive%UsersPublic文件夹。 对于本机账户使用者而言,无论账户类型是标准使用者或系统管理员,都能读取公用文件夹的内容。,关于文件共享的基础知识,没权限就看不到共享的文件 在2003搭配XP的年代,只要是共享到网络上的数据夹,所有的网络用户都看得到。 虽然可能是看得到名称、读不到内容,却已经被有心人士知道了共享文件夹的名称,等于提供了一条破解的线索。 因此从Vista和2008开始,必须对共享文件夹有至少读取权限的使用者,浏览网络时才能看到该数据夹,这种功能称为AB
6、E(Access-Based Enumeration)。,关于文件共享的基础知识,启动网络探索才能看到网络资源 网络探索(NetworkDiscovery)是从Windows Vista才出现的功能,系为了解决在XP时代设定了共享之后,其它计算机却无法立即看得到该共享资源的问题。 倘若网络上的计算机都支持并启动网络探索功能,当其中一部新增了共享文件夹或共享印表机,便会主动广播相关讯息,让其它的计算机知道这些新增的网络资源。,关于文件共享的基础知识,在Windows Server 2008,预设关闭网络探索功能,所以执行开始/网络命令时看不到其它计算机;其它计算机的用户执行同样命令时,也看不到W
7、indows Server 2008计算机。,用户对共享目录的有效权限,共享权限有累加性的(cumulative) 拒绝(deny)权限会覆盖所有其他的权限 最后有效权限是Min(共享有效权限,NTFS有效权限),文件拷贝或移动后权限的变化,Demo,设置共享文件夹,读取公用文件夹,将Windows Server 2008的公用文件夹设为了共享之后,使用者在Windows Vista计算机可用以下的任一种方式来读取该文件夹: 1.按开始钮(若在Windows XP则执行开始/执行命令),输入“服务器的IP地址Public“或“服务器的计算机名称Public“。 例如:192.168.0.141
8、Public或2008SVR1Public,按Enter键。,读取公用文件夹,2.若是在命令提示字符视窗,输入“Start 服务器的IP地址Public“或“Start 服务器的计算机名称Public“。 例如:Start192.168.0.141Public或Start2008SVR1Public,按Enter键。 3.若本机和服务器都启动了网络探索,我们执行开始网络命令后,便会看到网络上所有已设定共享的电脑,双按服务器的计算机名称,即可看到public文件夹。,读取公用文件夹,以上的计算机名称或IP地址文件夹的共享名称为UNC(Universal Naming Convention)名称,
9、广泛应用于读取网络上的共享资源。 对于尚未登入域的使用者,读取上述的公用文件夹时,会遇到要求输入用户名称和密码的交谈窗,如下图:,读取公用文件夹,对于已经登入域的使用者,因为在登入时已经输入域使用者名称和密码,所以会直接看到公用文件夹的内容,无须再次输入名称与密码。,将指定的文件夹设为共享,此时我们有读取装置、参与者和共同拥有者3种权限层级可供选择,它们所代表的意义如下:,将指定的文件夹设为共享,简单地说,读取装置只能读、不能改;参与者能有限度地读与改,但不能自己扩大权限;共同拥有者则有最大权限,可执行任何动作。 通常我们共享给所有使用者时,只会赋予读取装置层级的权限。,读取共享出来的任意文件
10、夹,如同先前读取公用文件夹一般,读取共享出来的任意数据夹,也是利用开始/网路命令或UNC名称。 假设要从Tony-vista计算机读取SVR2008-05计算机的工具程序资料夹,有以下方式: 1.在Tony-vista计算机执行开始/网络命令若双方都启动了网络探索功能,那么执行开始/网络命令后,网路窗口就会出现SVR2008-05电脑,双按该计算机即可见到共享文件夹。,读取共享出来的任意文件夹,2.在Tony-vista计算机输入共享文件夹的UNC名称 当SVR2008-05或Tony-vista其中一方关闭了网络探索功能,那么在Tonyvista的网路窗口就不会出现SVR200 8-05计算
11、机。 此时请按开始钮、输入“SVR2008-05工具程序“、按Enter键,即可检视该文件夹的内容:,隐藏共享文件夹,倘若只是给自己或少数人使用的共享数据夹,为了避免闲杂人等也来乱抓文件,可以将这些共享文件夹设为隐藏。 设为隐藏的方式很简单,只要在新增共享名时,将结尾加上符号。 例如:密件$、死党专用$,然后移除非隐藏的共享名称,只将隐藏的共享名告诉相关人员,便自然形成一种保护措施。,脱机文件,脱机时仍然可以存取网络文件,脱机文件(续),维持文件的一致性:重新联机时 若用户变更过缓存文件的内容,但是网络文件的内容并没有被变更过,则系统会将缓存文件复制到网络计算机,并覆盖掉网络文件 若用户并未变
12、更缓存文件的内容,但是网络文件的内容被变更过,则系统会将网络文件复制到本机计算机,并覆盖掉缓存文件 若网络文件与缓存文件都有被变更过,则系统会让用户选择要保留哪一个文件,或者将两个文件都保留,网络计算机端的脱机文件设定,开始计算机对着共享文件夹右键单击内容点击共用标签下的进阶共用钮按缓存钮】,客户端的使用者 如何脱机使用文件,客户端的使用者如何脱机使用文件 启用脱机文件 设定可脱机使用的文件 同步处理,启用脱机文件,WindowsVista客户端计算机默认已经启用了脱机文件功能 Windows Server2008客户端必须另外启用 开始控制面板脱机文件按启用脱机文件钮依照指示重新启动计算机,
13、同步处理,在网络联机正常时,您所存取的文件仍然是网络计算机内的文件。系统会自动同步您的脱机文件,当网络文件内容有变更时,它会被复制到您的计算机的快取区内,反之亦然 若您有需要立刻同步的话,可手动同步 对着脱机文件右键单击同步 或是点击前面图上方菜单中的同步处理,同步处理(续),若您计算机与网络计算机正常联机中,但是链接速度却很慢,影响到您编辑网络文件的话,此时只要点击前面图上方的脱机工作就可以编辑本机快取区内的文件副本 等文件编辑完成后,点擊在线工作来执行同步工作,以便将较新版的本机文件副本复制到网络计算机内,同步中心,可以通过同步中心来进一步的管理同步工作 开始控制面板同步中心 还可以通过【
14、开始控制面板脱机文件】来开启同步中心。也可以通过它来浏览脱机文件,测试脱机文件是否正常运作,脱机时所看到的画面 若您变更脱机文件的内容,则当您将计算机重新联机后,通过同步动作就可以将这个新文件复制到网络计算机,并覆盖掉网络文件,同步文件冲突,如果网络文件与缓存文件都有被变更过,则系统会通过右下角的同步中心图示来提醒您,此时请点击此同步中心图示来查看有冲突的文件 然后可以【点选文件按解析钮】来选择要保留哪一个文件,或者将两个都保留(其中一个会被更改档名),巻影副本,还原旧文件 若使用者将共享文件夹内的文件误删或误改文件内容后,却后悔想要救回调案或还原文件内容的话,他可以通过巻影副本储存區内的备份
15、文件来达到目的 共享文件夹的巻影副本(Shadow Copies of Shared Folders),巻影副本(续),启用网络计算机共享文件夹的巻影副本功能 开始计算机对着欲启用巻影副本的磁盘右键单击内容巻影副本标签 预设为星期一到星期五的上午7:00与下午12:00两个时间点各自动新增一個巻影副本 每一个磁盘最多只可有64个巻影副本,客户端如何存取巻影副本内的文件,链接到共享文件夹后对着文件右键单击还原旧版 链接到共享文件夹后对着文件列表画面中的空白区域右键单击内容,第02部分,文件压缩及加密,文件权限管理及共享、文件压缩及加密、FSRM、DFS,本章重点,数据加密 允许他人解密 数据加密
16、恢复代理 数据压缩,数据加密与压缩,Windows Server 2008对于NTFS的文件夹与文件,提供了加密和压缩功能,前者能保护机密数据;后者则可节省硬盘的储存空间,都是相当实用的功能。 本章将介绍它们的使用时机、工作原理和注意事项。,数据加密,Windows Server 2008对文件夹与文件的加密功能称为 EFS(Encrypting File System,加密文件系统)。 启用此功能后, EFS在存档时会先将数据加密后再写入;而读取加密过的文件时,也会自动先解密。 换言之,加密与解密动作都是由系统在幕后自动执行,使用者在操作上无须做任何改变。,EFS的使用时机,一般而言,加密大
17、多是应用在透过公开媒体传递讯息的情况,例如:透过因特网传递重要的信件、进行电子商务交易等等。 既然如此,为何需要对储存在硬盘的文件夹与文件加密呢? 只要设定适当的存取权限,限制未获授权的使用者不得存取文件,不就可以保障个人资料的隐私吗?,EFS的使用时机,透过访问权限来保护文件夹与文件,虽然在大多数的情况下都很安全,但仍有其无法避免的漏洞。 举例而言,若有人偷走整部主机或整部硬盘,然后将硬盘安装到其它的Windows Server 2008系统,此时原先所设定的访问权限保护就会失去作用,对方就能存取该硬盘里的数据。 然而若事先将文件加密,那么他便无法看到真正的内容。,EFS的使用时机,虽然在理
18、论上,对方仍可用破解的方式将加密的数据还原,但实际上此种作法需拥有运算能力强大的电脑,再加上足够长的运算时间,这样高的门坎已经不是一般黑客族所能跨越。 所以EFS已经可以为多数人的资料提供足够的保护能力。,加密技术示意,明 文,密 文,密 文,明 文,加密密钥,解密密钥,加密,解密,对称密钥加密标准,对称密钥加密是指在对信息的加密和解密过程中使用相同的密钥。或者,加密和解密的密钥虽然不同,但可以由其中一个推导出另一个。也称为私钥加密法。 常用标准: 数据加密标准DES(Data Encryption Standard),此标准由IBM公司开发,现在已成为国际标准。 国际数据加密算法(IDEA)
19、,它比DES的加密性好,而且需要的计算机功能也不那么强。,对称密钥加密过程,特点,优点: 加密算法比较简便高效,密钥简短,破译极其困难,加密速度快,适合大数据量加密。 缺点: 密钥难于安全传递 密钥量太大,难以进行管理 无法满足互不相识的人进行私人谈话时的保密性要求。 难以解决数字签名验证的问题。,公开密钥加密标准,公开密钥加密是指在加密和解密过程中,分别由两个密钥来实现,并使得由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)在计算上是不可行的。 采用公开密钥加密的每一个用户都有一对选定的密钥,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,称为“公开密钥”(public-ke
20、y);解密密钥只有解密人自己知道,称为“私密密钥”(private-key),公开密钥加密也称为不对称密钥加密。,RSA算法,公开密钥加密方法的典型代表是RSA算法。 RSA算法是1978年由RonRivest,AdiShamir和Leonard Adleman三人发明的,所以该算法以三个发明者名字的首字母命名为RSA。RSA是第一个既能用于数据加密也能用于数字签名的算法。但RSA的安全性一直未能得到理论上的证明。 简言之,找两个很大的质数,一个作为“公钥”公开,一个作为“私钥”不告诉任何人。这两个密钥是互补的,即用公钥加密的密文可以用私钥解密,反过来也可以。,RSA加解密过程,特点,优点 密
21、钥分配简单。可以通过各种公开渠道传递“公开密钥”。 密钥的保存量少。发信人只需保存自己的解密密钥,N个人只需产生N对密钥,便于密钥管理。 可以满足互不相识的人之间进行私人谈话时的保密性要求。 可以完成数字签名和数字鉴别。发信人使用只有自己知道的密钥进行签名,收信人利用公开密钥进行检查,既方便又安全。 缺点 加密速度慢,不适合大数据量加密。,两种加密方式的比较,1 EFS概述工作原理,当用户初次加密文件时,EFS 会在本地证书存储区内寻找供 EFS 使用的证书,然后 EFS 取出用户证书中指定与 EFS 一起使用的公钥,并使用基于公钥的 RSA 加密算法加密 FEK,EFS 取出用户证书中指定与
22、 EFS 一起使用的公钥,EFS 将 FEK 存储在正被加密的文件的头中的数据解密字段(DDF,Data Decryption Field)中,1,2,3,4,1 EFS概述EFS加密原理,使用EFS时的注意事项,使用加密功能时要注意以下3点: 1.不能对于具有系统属性的文件加密,也不能对%systemroot%(预设是C:Windows)文件夹加密。 2.对于同一文件或数据夹,不能既加密又压缩,只能择一使用。 3.不能对整部磁盘驱动器加密。,启用文件夹加密,如果要加密的数据量很大,加密的时间会久一点。 完成后,在右下角的通知区域会出现以下的讯息:,启用文件加密,倘若复选多个文件一次加密,而且
23、在上图未曾勾选永远只加密文件多选钮,则上述的加密警告交谈窗会针对每个文件逐一询问。 利用上述方式,便可以在未加密的文件夹中,将特定的文件加密。 不过还是建议系统管理员避免对个别的文件加密,以方便管理。,备份加密密钥,当我们初次启用加密功能时,系统会提醒要备份加密密钥。 其主要的目的是考虑到自己的账户被误删或帐户数据库损毁,都会导致再也无法将加密档予以解密,这些加密文件便成为孤儿文件因为无人能解读其内容! 即使系统管理员重建一个相同名称的帐户,由于会重新产生公钥与私钥,必定与先前加密时所用的不同,因此仍无法对原先的加密档解密。,备份加密密钥,要解决这个问题,有以下三种方案: 1.加密者自行备份加
24、密密钥。 2.由加密者设定让其它人也能解密。 3.由系统管理员设定数据加密恢复代理人。 其中以第一个方案最单纯,因为不涉及他人,完全由自己掌控,所以先介绍,后两个方案则留在后文。,搬移或复制对加密数据的影响,由于加密是存在于NTFS文件系统的一种属性,所以若将加密的文件搬移到非NTFS文件系统的储存媒体,该文件就会自动被解密。 例如:磁盘片、光盘、磁带和USB随身碟等等。 同理,复制到FAT / FAT32文件系统的硬磁时,复制过去的文件也是未加密。 当文件要以非加密状态储存时,系统会显示以下的交谈窗提醒使用者。,允许他人解密,如果文件需要加密,却又得提供给非加密者读取,该怎么办呢? 以企业来
25、说,两位副总经理互为职务代理人,因此必须能互相读取对方加密过的文件。 此时加密者本人即可指定让谁也能解开特定的文件,换言之,等于是设定谁能与自己共享加密文件。,数据加密恢复代理,虽然EFS提高了文件的保密性,但是却可能衍生出问题,例如:删除了某个离职员工的账户后,才发现还有重要的文件是以该账户加密。 或者因为硬盘损坏,导致遗失某些账户的私钥,这些情形都会产生无人能解开的孤儿文件。 所幸EFS还有留一扇后门,这扇后门便是恢复代理(Recovery Agent)机制。,数据加密恢复代理,利用此机制,系统管理员可指定以特定账户为修复代理人,而恢复代理人可将任何使用者加密的文件解密,如此就能避免因删除
26、帐户,而无法解密的情形了。,以恢复代理人身份解密,按照上述方式使大雄成为恢复代理人之后,理论上他可以解开任何使用者加密的文件。可是,实际上却不然。 因为EFS需要大雄的私钥才能解开被加密的FEK,而大雄的私钥在哪里?答案是:在.Pfx文件里! 因此,还必须导入大雄的私钥(.Pfx文件),才能使大雄真正有解密的能力。,以恢复代理人身份解密,最后别忘了将大雄自Administrators群组移除,恢复他原有的权限。尔后大雄登入域后,便能解读他人加密的文件了。 然而文件若是在大雄成为恢复代理人之前便加密,则大雄仍旧无法解密。,保障机密资料的具体作法,为了避免恢复代理人滥权,随意读取他人的加密文件,所
27、以平常不要导入恢复代理人的.Pfx文件,只在必要时才导入。 而且最好将存放.Pfx文件的储存媒体集中管理,例如:锁在文件柜或保险箱,由信息部门主管或高阶主管掌管钥匙,以避免不肖的系统管理员私自导入。,数据压缩,Windows Server 2008可以针对NTFS文件系统的磁盘驱动器、文件夹或文件启用压缩功能,一旦启用后,存盘时系统会先将数据压缩后再写入;而读取压缩过的文件时,系统也会自动先解压缩。 由于压缩和解压缩的动作都是由系统在幕后处理,因此使用者在操作上会觉得和一般文件无异。,搬移或复制对压缩数据的影响,基本上,压缩是存在于NTFS文件系统的一种属性,所以若将压缩的文件搬移到非NTFS
28、文件系统的储存媒体。 例如:磁盘片、光盘、磁带和USB随身碟等等,该文件就会自动被解压缩。 同理,复制到FAT / FAT32文件系统的硬磁时,复制过去的文件也是未压缩。,搬移或复制对压缩数据的影响,此外,复制或搬移到NTFS文件夹也会影响该文件能否保有压缩属性,下表列出不同动作与目的地的所造成的结果:,第02部分,文件服务器资源管理器(FSRM),文件权限管理及共享、文件压缩及加密、FSRM、DFS,本章重点,链接磁盘 利用FSRM管理磁盘配额 利用FSRM建立文件检测,链接磁盘与FSRM,本章将介绍链接磁盘与FSRM,前者可解决一大堆磁盘驱动器代号,让人眼花撩乱的问题;后者则可有效管制磁盘
29、空间的使用,都是系统管理员应妥善利用的好工具。 至于常见的检查磁盘和碎片整理等功能,因为与Windows Server 2003 R2、Windows Vista版本的操作方式相同,因此不再赘述。,链接磁盘,在Unix和Linux系统中,每个磁盘分区都是挂载(Mount)在目录下,因此使用者只会看到一堆目录,没有所谓的磁盘驱动器存在,是一种目录文件的两层式架构。 而Windows系统则是采用磁盘驱动器目录文件的3层式架构,用户必须先选磁盘驱动器、再选目录(文件夹),以存取所要的文件。 这两种架构的优劣可说是见仁见智,其实只要习惯了就好。,链接磁盘,Windows Server 2008提供了类
30、似Unix / Linux的挂载功能,称为链接磁盘或链接点(Junction Point),可将一个磁盘区或磁盘分区直接链接到一个文件夹。 用户存取该文件夹便是存取磁盘区或磁盘分割,再也无须驱动器号。,链接磁盘,这个磁盘区或磁盘分区可以采用FAT、FAT32或NTFS等三种文件系统。 但是用来链接的文件夹必须是空的NTFS资料夹,亦即,不但采用NTFS文件统,而且不能存在任何子文件夹或文件。,建立链接磁盘,建立链接磁盘的时机可区分为以下两种: 将新增的磁盘区链接到NTFS文件夹。 将现有的磁盘驱动器链接到NTFS文件夹。,将新增的磁盘区链接到NTFS文件夹,假设要使X磁盘驱动器的储存空间增加3
31、0 GB,可是该磁盘的剩余空间却已不足,而且并非动态磁盘,因此不能扩充到另一部磁盘的储存空间。 此时可在另一部硬盘新增一个30 GB的磁盘区,并链接到X磁盘驱动器的某个空的NTFS文件夹(假设为X:Extra)。,利用FSRM管理磁盘配额,FSRM(File Server Resource Manager,文件服务器资源管理员)是从Windows Server 2003 R2新增的功能,它具有以下两项主要特色: 管理磁盘配额 其实从Wiondows XP时代就已经具备磁盘配额(Disk Quota)功能(以下姑且称为一般磁盘配额),只是它的管制能力不够强大。,利用FSRM管理磁盘配额,而FSR
32、M提供了加强火力的磁盘配额功能,不但能针对磁盘驱动器设定配额,更能针对文件夹设定配额。 而且还有配额范本、电子邮件通知和产生使用报告档等等实用的设计,关于这方面的详细步骤都会在本节介绍。 建立文件检测 所谓的文件检测(Flie Screening),其实译为文件筛选或许比较贴切。,利用FSRM管理磁盘配额,它的主要功能是限制用户不能或只能储存指定类型的文件,例如:不能存放AVI文件和MP3文件、只能存放DOC文件等等,这部分则会留待下一节说明。 由于这两项功能已经超越了一般磁盘配额所能做的工作,所以我们强烈建议放弃一般磁盘配额、改用FSRM,以拥有更具威力的管理能力!,Demo,实验2-1 W
33、indows Server 2008 文件服务器资源管理器(FSRM),第02部分,分布式文件系统(DFS),文件权限管理及共享、文件压缩及加密、FSRM、DFS,本章重点,DFS简介 安装DFS组件 DFS实例应用 DFS复制,85,分布式文件系统,分布式文件系统(Distributed File System,以下简称为DFS)在Windows 2000 Server、Windows Server 2003与2003 SP1算是第一代的产品。 而Windows Server 2003 R2和Windows Server 2008的DFS则属于第二代的产品。 第二代的DFS有新的接口与设定方
34、式,甚至连所用的名词都不同了。本章将说明Windows Server 2008 DFS的架构与应用。,86,DFS简介,DFS的用途 DFS的专有名词 DFS命名空间的类型 三种命名空间的特性,87,DFS的用途,DFS是用来集中管理网络上分散各处的共享数据夹,让用户不必记一大堆的计算机名称与文件夹名称。 举例来说,假设公司内各部门提供以下的共享数据夹,供同仁存取文件:,88,DFS的用途,由于大家对于计算机名称和共享文件夹的命名方式都不相同,因此要利用Windows Vista的网路或Windows XP的网络上的芳邻存取这些文件夹时,必须先选对计算机、再选对共享文件夹。 万一不知道所需的文
35、件在哪一部电脑,可就得一部、一部地寻找,相当没效率。 由此可知,光是提供共享文件夹还不够方便,因为使用者还是要记住一大堆的计算机名称。,89,DFS的用途,有鉴于此, DFS便将这些共享文件夹重新组织,组成一个新的、逻辑的树状架构(逻辑的意味着没改变实体的储存位置)。 在此架构里,我们可以为共享文件夹另外取一个更易记易懂的名称。 例如将RD01Driver4Test命名为研发部的驱动程序,使用者点选研发部的驱动程序就可以存取RD01Driver4Test文件夹的内容。,90,DFS的用途,利用这种方式,我们便能将原本分散、多层次的公用数据夹,重新描绘出一张浅显易记的架构图:,91,DFS的用途
36、,所以简单地说, DFS是为网络的共享数据夹,画一张以树状目录呈现的导览图。 当使用者要存取共享文件夹时,无须记得服务器名称和文件夹的共享名称,只要记得这张导览图的起始点,从起始点开始找,就能找到所要的数据。 此外, DFS机制并不支持Windows 98 / SE / Me等系统,所以若客户端若使用前述系统,就看不到DFS所画的导览图。,92,DFS的专有名词,DFS使用了一套专有名词来说明它的架构,虽然有些是一般常用的名词,却有不同的定义。因此必须先弄懂这些名词的意义,才能学好DFS。 假设旗旗公司的DFS架构如下图。,93,DFS的专有名词,94,DFS的专有名词,DFS命名空间(DFS
37、 Namespace) 先前提过, DFS的功用是为整个网络共享文件夹画出一张方便好用的导览图,而这份以树状目录所呈现的导览图称为DFS命名空间(经常简称为命名空间)。 命名空间根目录(Namespace Root) 所谓的命名空间根目录就是导览图的起始点,或称为进入点(Entry Point),如同Windows文件系统里的根目录。 由于它也代表这张导览图的名称,所以又称为命名空间名称。,95,DFS的专有名词,命名空间服务器(Namespace Server) 导览图(亦即DFS命名空间)所在的服务器便称为命名空间服务器。 命名空间服务器必须包含至少一个NTFS磁盘区,才能储存DFS命名空
38、间的相关信息。 安装Windows Server 2003 R2或Windows Server 2008的成员服务器或域控制站,都可以担任命名空间服务器。,96,DFS的专有名词,资料夹与文件夹目标 在DFS里所谓的文件夹(Folder)其实只是一个指标(Pointer),指向某个实体的公用数据夹,而被指到的这个公用文件夹称为文件夹目标(Folder Target)。 所以在DFS架构中,文件其实不是储存在资料夹,而是在文件夹目标。 一个文件夹可以指向多个文件夹目标;或不指向任何文件夹目标。,97,DFS的专有名词,若指向多个文件夹目标,目的是在于容错(Fault Tolerance),万一无
39、法存取其中一个文件夹目标,系统会自动转向另一个文件夹目标存取文件;若不指向文件夹目标的目的,表示该文件夹只是用在分类。 请参考下图:,98,DFS的专有名词,研发部文件夹下层有研发一部和研发二部两个资料夹,这两个文件夹分别指到各自的文件夹目标。 但是研发部自己并未指向任何文件夹目标,只是用来将研发一部和研发二部归类而已。,99,DFS命名空间的类型,DFS命名空间分为以下两种: 域命名空间(Domain-based Namespace) 独立命名空间(Stand-alone Namespace),100,域命名空间,顾名思义,必须在有AD域的环境,才能建立域命名空间。 它又区分为Windows
40、 Server 2008和Windows 2000 Server两种模式,虽然采用前者可以得到比较好的效能与稳定度,也是微软的优先建议,但是必须符合以下两个条件: 所有的命名空间服务器必须都执行Windows Server 2008。,101,域命名空间,该域必须采用Windows Server 2008域功能等级。 Windows 2000 Server模式的域命名空间最多只能包括5,000个文件夹(没对应到文件夹目标者不列入计算),但是Windows Server 2008模式的域命名空间则无此限制。,102,域命名空间,采用域命名空间的一大优点为:可以利用同域的多部命名空间服务器来记录一
41、个命名空间。 这样即使其中一部服务器当机,其它服务器仍可以继续提供DFS服务,等于有容错功能。,103,独立命名空间,无论是否有AD域,都可以建立独立DFS命名空间,每个独立命名空间最多可包括50,000个文件夹(没对应到文件夹目标者不列入计算)。 由于独立DFS命名空间只允许由一部命名空间服务器来管理,所以一旦该服务器当机,就无DFS服务可用。 若要有容错功能,必须另行建立服务器群集(Server Cluster),这部分不在本书介绍,请读者自行参考相关信息。,104,DFS复制,将一个文件夹对应到多个文件夹目标后,就会面临一个重要的问题如何维持各文件夹目标的内容一致? 倘若由人工来管理,每
42、次都将新的文件复制到所有的文件夹目标,不但增加管理者的负担,也容易出错。 于是Windows Server 2008提供了DFS复制(DFSReplication)机制,让系统能自动执行各个文件夹目标的同步工作。,105,复制群组与复制文件夹,用DFS复制的术语来说,复制群组(ReplicationGroup)是由一群Windows Server 2008或Windows Server 2003 R2服务器所组成。 这群服务器称为该复制群组的成员,而在每个成员上自动互相同步内容的文件夹称为复制文件夹(Replicated Folder)。,106,复制群组与复制文件夹,以上一节的例子来说,研发
43、部的驱动程序文件夹对应到Server01Driver4Test和192.168.0.40Driver_Bak两个文件夹目标, Server01和192.168.0.40这两部服务器就组成一个复制群组。 而Driver4Test和Driver_Bak这两个文件夹便是此复制群组的复制文件夹。,107,复制群组与复制文件夹,一个复制群组最多可包含256部服务器或256个复制文件夹;一部服务器最多可以加入256个复制群组。 但是一个实体文件夹只能隶属于一个复制群组的复制资料夹,不能隶属于多个复制群组。,108,DFS复制和DFS命名空间彼此独立,虽然在大多数的场合, DFS复制和DFS命名空间都是搭配
44、使用,但是它们其实是独立的两种机制,我们可以只使用其中一种,例如: 只使用DFS命名空间,不使用DFS复制。 我们可以建立DFS命名空间、设定一个文件夹对应到多个文件夹目标,但是不将这些文件夹目标设为复制群组这是前一节范例的作法。等于只使用DFS命名空间,但是没使用DFS复制。,109,DFS复制和DFS命名空间彼此独立,这样做的缺点,就是必须藉由人工来同步各个文件夹目标的内容。 只使用DFS复制,不使用DFS命名空间。 我们也可以将不在DFS命名空间内的文件夹加入为复制群组。 也就是说,即使不是网络上的共享文件夹或不是DFS命名空间中的文件夹目标,仍然能加入复制群组,作为复制资料夹,此种作法
45、的主要功能在于备份数据。,110,使用DFS复制的注意事项,复制群组里的每一个成员(服务器),都必须执行Windows Server 2008或Windows Server 2003 R2作业系统,而且都安装了DFS复制组件。 复制群组里的每一个成员(服务器)必须在相同的树系(Forest),在不同树系的服务器无法彼此执行DFS复制。 复制文件夹必须位于NTFS磁盘驱动器。,111,使用DFS复制的注意事项,若目前的AD域仍是由2003或2003 SP1所建立的域,则必须更新域架构(Schema),更新方式是在架构操作主机(SchemaMaster)执行Adprep.exe / forestprep命令。 如果不确定目前的域是否已经更新,建议还是执行Adprep.exe / forestprep,反正系统发现无须更新时就会自动结束执行。,112,Demo,实验2-2 Windows Server 2008 分布文件管理DFS,