Файловый сервер в Windows Server

Файлы – это та ячейка информации, которая наиболее часто используется среднестатистическим офисным сотрудником. Так или иначе, мы читаем, изменяем, копируем и обмениваемся большим количеством файлов в течение рабочего дня. Без должной организации структуры хранения и управления файлами уже через неделю небольшая офисная сеть может превратиться в большую файлопомойку. Избежать этого поможет использование файловых серверов. Мы уже говорили об организации хранения файлов на базе продукта OwnCloud. В этой статье мы будем говорить о файловых сервисах на базе Microsoft Windows Server.nnWindows Server 2016 позволяет использовать файловый сервер не только пользователей, но и для других сервисов и приложений. Вы можете настроить файловые службы для решения таких задач как:n

n
1. Организация общих папок для пользователей
2. Хранение профилей пользователей
3. Организация общего ресурса для Hyper-V серверов
4. Организация места хранения баз данных для SQL Server
5. Формирование общедоступного файлового пространства для приложений (например, Citrix PVS, Microsoft IIS и пр.)
6. Другие сценарии.

nЧеткое понимание задачи дает представление о требованиях к отказоустойчивости, производительности, пропускной способности, контролю доступа, шифрованию. И после этого можно приступать к планированию архитектуры и дальнейшей настройке необходимых служб.nnВ производственной среде чаще всего требуется использование отказоустойчивого файлового сервиса. Минусом использования Windows Server Failover Cluster является работа кластера в режиме Active-Passive. Начиная с Windows Server 2012 Вы можете использовать масштабируемый кластерный сервер Scale Out File Server, который может работать в режиме Active-Active с кэшированием чтения, увеличивая общую производительность и пропускную способность файлового сервиса. Однако у него тоже есть ряд недостатков и ограничений. Например, Scale Out File Server плохо подходит для сценариев хранения файлов с частыми изменениями метаданных. Поэтому основные задачи его использования — это Hyper-V, SQL Server, библиотека образов с редкими изменениями и небольшим количеством обращающихся пользователей. С полным списком поддерживаемых технологий хранения Windows Server 2016 обоими видами кластеров можно ознакомиться по ссылке.nnИспользуя Windows Server последних версий, Вы также получаете преимущества технологии SMB3.0. Среди ее возможностей:n

• SMB Transparent Failover. Позволяет прозрачно переключаться на другой узел отказоустойчивого кластера.
• SMB Multichannel. Позволяет увеличивать пропускную способность и отказоустойчивость путем создания нескольких каналов передачи и агрегации нескольких сетевых карт для протокола SMB.

Однако Вы должны помнить, что для получения эффекта, данная технология должна поддерживаться как сервером, так и клиентом. Поэтому необходимо обновить операционные системы не только серверов, но и рабочих станций, которые будут к ним обращаться. Технология SMB 3.0 поддерживается, начиная с операционных систем Windows 8 и Windows Server 2012 . Если у Вас есть проблема с обновлением серверов или рабочих станций под управлением ОС семейства Windows, наши специалисты всегда готовы Вам помочь.nnКак показывает многолетний опыт нашей компании, самый распространенный случай применения файловых сервисов — это построение отказоустойчивого файлового ресурса для хранения общих папок пользователей и размещения перенаправленных личных папок пользователей из локальных профилей. Независимо от выбора архитектуры решения для создания такого ресурса понадобиться общий том, доступный обоим узлам кластера. Его можно разместить на аппаратных или программных СХД. Если у Вас приобретена редакция Windows Server 2016 Datacenter, то Вы можете рассмотреть использование Storage Spaces Direct или аналогичные продукты других вендоров, среди которых Datacore SANSymphony, Dell EMC ScaleIO, Starwind Virtual SAN. Последний из перечисленных продуктов можно рассматривать для бюджетного варианта и тестирования. Более привлекательным этот вариант становится за счет недавних изменений в политике распространения продукта. Разработчики сняли ограничения по функциям и количеству узлов для своей бесплатной версии, убрав при этом графический интерфейс управления и техподдержку. Правда есть 30-дневный период тестирования со всем включенным функционалом.nnПоскольку на просторах Интернет есть много статей с пошаговой настройкой отказоустойчивого файлового кластера на базе ОС Windows Server, мы не будем приводить конкретной инструкции, а остановимся лишь на отдельных, на наш взгляд — полезных, нюансах:n

n
1. Еще на этапе планирования необходимо разработать структуру папок согласно потребностям. Чаще всего она будет индивидуальна для каждой компании. При планировании желательно придерживаться правила «Настройки безопасности раздаются только на корневую папку общего ресурса»
2. Одной из полезных функций является дедупликация. На сценарии хранения пользовательских данных можно достичь существенной экономии дискового пространства. Это подтверждают тестирования, с одним из которых можно ознакомиться в данной статье. Мы рекомендуем ее использовать.
3. Нужно предоставить доступ для *nix систем? Для этого нужно поднять роль сервера NFS.
4. Если к ресурсам планируется подключать филиалы через WAN-каналы, можно настроить службу BranchCache для сетевых файлов. Она позволяет не скачивать на удаленную площадку повторно однажды загруженные данные.
5. Если это не противоречит политикам безопасности, то можно использовать свой облегченный корпоративный “OneDrive” — службу Рабочие папки (Work Folders). Это позволит синхронизировать файлы между сервером и несколькими рабочими устройствами.
6. Пространство имен DFS — позволяет отображать для пользователя только те папки, к которым у него есть доступ. В одном пространстве имен можно отображать общие ресурсы с разных файловых серверов. Также можно развернуть роль в режиме отказоустойчивого кластера. Удобно также тем, что при изменении фактического местоположения файлов, нужно просто заменить путь к ресурсу в настройках DFS Namespace вместо того, чтобы перенастраивать некоторое (иногда очень большое) количество клиентских ПК.
7. Вместо назначения множества сетевых дисков теперь возможно и удобно добавить только корень пространства DFS как домашнюю папку. А внутри уже будут необходимые папки.
8. Мы рекомендуем к установке Диспетчер ресурсов файлового сервера. Отчетность и оповещения очень помогают при администрировании.
9. Рекомендуем также включать аудит доступа к файлам, чтобы знать, кто удалил или изменил файл. Если штатного функционала не достаточно, можно воспользоваться платными решениями, например: Condusiv Undelete Server или Netwrix Auditor for Windows File Servers.
10. Вполне достаточно настроить оповещение об окончании свободного места на диске. Если нужны более жесткие ограничения, можно использовать квотирование. Зачастую это усложняет как настройку, так и дальнейшее администрирование.
11. Тот же эффект вызывает использование масок файлов для ограничения типа хранимых файлов. Оно легко обходится переименованием расширения. Однако неплохо работает в случае организации защиты «от дурака».
12. Для работы функции SMB Transparent Failover при создании общей папки необходимо указывать атрибут Continuous Availability.
13. На каждый каталог с различным доступом создается группа безопасности в Active Directory. Все изменения делаются только в группе Active Directory и не приводят к переназначениям разрешений NTFS для каждого файла и папки в каталоге. Таким образом, доступ к файловому ресурсу просто меняется при следующем входе пользователя в систему. Также появляется возможность использовать групповые политики для автоматического изменения прав доступа.
14. Очень важно использовать политику именования объектов, которая позволит по имени однозначно определить его назначение. Например, SF-Finance-RW (Share Folder-Finance-ReadWrite — группа доступа с правом на запись на общую папку Finance).
15. Высший пилотаж — это использование динамического контроля доступа, когда доступ к файловому ресурсу предоставляется при соблюдении всех значений тэгов пользователя, устройства и самой папки или файла. При этом тэги заранее создаются и могут назначаться для файлов и папок как вручную, так и автоматически. Сами политики доступа и тэги создаются в Active Directory. Это решение добавляет большую гибкость при создании политик доступа и может учитывать различные атрибуты объектов, такие как страна и отдел пользователя, используется ли корпоративный компьютер для доступа и время суток. Это теория. На практике специалистам нашей компании не довелось сталкиваться с такими решениями.
16. А вот полезным на практике оказалось включение функционала хранения нескольких предыдущих версий документов, основанного на службе теневых копий. В этом случае пользователи самостоятельно смогут восстановить старые версии файлов. Особенности и инструкции по настройке можно прочитать в этой статье.
17. Но помните, что ничего из вышеперечисленного не избавляет от необходимости иметь систему резервного копирования! Любую. Microsoft DPM, Veeam Backup and Replication, Veritas Backup Exec, Handy Backup. Windows Image Backup и Cobian Backup бесплатные.

nПодводя итог, можем сказать, что файловые службы не настолько просты, как многие считают, и их грамотное проектирование и эксплуатация — залог производительной и безопасной работы пользователей и корпоративных приложений!n

Если Вы сомневаетесь в правильности конфигурации Ваших файловых служб, наши специалисты готовы провести аудит Вашей системы и предоставить рекомендации, основываясь на лучших практиках и большом опыте компании, а так же внедрить решение, [email protected]