Configuración de CIFS en EMC Celerra · EMC E-Lab Interoperability Navigator ... (CLI). También...

1 de 66

Contenido

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Requisitos del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Opciones de la interfaz de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . .4Terminología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5Información relacionada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8Consideraciones sobre la planificación . . . . . . . . . . . . . . . . . . . . . . . .8Autenticación Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11Encriptación y firma LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11Métodos de autenticación de usuario: definidos y comparados . . .13Cuentas de grupos y usuarios locales . . . . . . . . . . . . . . . . . . . . . . . .14

Configuración. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16Autenticación mediante Kerberos. . . . . . . . . . . . . . . . . . . . . . . . . . . .16Establecimiento de una cantidad máxima de contraseñaspara retener . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17Definición del método de autenticación de usuariode Data Mover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19Configuración de la resolución del ID de usuarios CIFS . . . . . . . . .22Configuración de file systems para acceso a CIFS. . . . . . . . . . . . . .22Configuración del servicio CIFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23Comprobación de una configuración CIFS y sus dependencias . . . . .36Creación de cuentas de usuarios locales en un servidor CIFS. . . . . . .38Montaje de un file system para acceso a CIFS . . . . . . . . . . . . . . . . .50Creación de recursos compartidos para los usuarios CIFS. . . . . . .52

Resolución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58Dónde obtener ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58EMC E-Lab Interoperability Navigator . . . . . . . . . . . . . . . . . . . . . . . .58Mensajes de error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59Programas de capacitación para clientes . . . . . . . . . . . . . . . . . . . . .61

Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63

Configuración de CIFS en EMC® Celerra®

P/N 300-008-086Rev. A03

Versión 5.6.42Diciembre de 2008

Configuración de CIFS en EMC® Celerra®2 de 66 Versión 5.6.42

3 de 66Versión 5.6.42Configuración de CIFS en EMC® Celerra®

IntroducciónEMC® Celerra® Network Server ha incorporado el protocolo Common Internet File System (CIFS) como un estándar abierto para el servicio de archivos en red. CIFS es un protocolo de acceso a archivos diseñado para Internet y basado en el protocolo Server Message Block (SMB) utilizado por el sistema operativo Microsoft Windows para el uso compartido de archivos distribuido. El protocolo CIFS permite a los usuarios remotos acceder a los file systems por medio de la red.

Este documento forma parte de la documentación de Celerra Network Server y está orientado a los administradores del sistema responsables de la implementación de CIFS en Celerra Network Server en un entorno Windows o un entorno de múltiples protocolos (Windows y UNIX).

Requisitos del sistemaEn la Tabla 1 en la página 3, se describen las configuraciones de software, hardware, red y almacenamiento de Celerra Network Server.

Tabla 1 Requisitos del sistema CIFS

Software Celerra Network Server versión 5.6.42

Hardware Celerra Network Server

Red

Dominio de Windows 2000, Windows Server 2003 o Windows NT:

• Se deben configurar los dominios Windows 2000 o Windows Server 2003 con:• AD• Soporte para NT LAN Manager o Kerberos• Servidor DNS

El servidor DNS debe soportar actualizaciones dinámicas (DDNS). Si no se soporta DDNS, es necesario actualizar manualmente el servidor DNS.

• Servidor NTP (Protocolo de Hora en Red)Configuring EMC Celerra Time Services proporciona instrucciones para configurar un servidor NTP.

Nota: si se usa la autenticación de usuario de UNIX o SHARE en el Data Mover, no se necesita ninguno de los elementos anteriores. Sin embargo, se recomienda no usar los métodos de autenticación de usuario de UNIX o SHARE. En lugar de la autenticación SHARE, use el modo de seguridad de NT con un servidor CIFS independiente con servicio de soporte para usuarios locales activado. En "Configuración de file systems para acceso a CIFS" en la página 22, podrá encontrar información detallada acerca de los métodos de autenticación de usuarios.

• Es necesario configurar los dominios de Windows NT con un servidor Windows Internet Naming Service (WINS).Si su dominio Windows NT abarca más de un subconjunto, el dominio se debe configurar con un servidor Windows Internet Naming Service (WINS).

Almacenamiento No tiene requisitos de almacenamiento específicos.

../TimeServices/index.htm


PrerrequisitoLos procedimientos descritos en este documento dan por sentado lo siguiente:

u Se instaló correctamente Celerra Network Server.

u Se instaló el software del sistema Celerra, incluido el software Celerra Manager.

En este documento, se distingue entre productos instalados y productos con licencias por separado.

u Los servicios de dominio de Windows para NT o AD funcionan correctamente.

u Los servicios DNS y NTP están disponibles.

Nota: se recomienda contar con dos servidores DNS y NTP como mínimo con el fin de evitar el punto único de falla.

u Si bien los VDMs permiten agrupar y aislar servidores CIFS en un Data Mover, en este documento, no se trata la creación de VDMs. El Configuración de Data Movers virtuales para EMC Celerra proporciona un análisis detallado de VDMs.

Opciones de la interfaz de usuarioCelerra Network Server ofrece flexibilidad para administración de networked storage basado en su entorno de servicio y sus preferencias de interfaz. Este documento describe cómo configurar CIFS en un Data Mover mediante la interfaz de línea de comandos (CLI). También podrá realizar varias de estas tareas con una de las aplicaciones de administración Celerra:

u Celerra Manager: Basic Edition

u Celerra Manager: Advanced Edition

u Snap-ins de Microsoft Management Console (MMC) (Windows 2000 y Windows Server 2003 únicamente)

u Extensiones de usuarios y computadoras de Active Directory (ADUC) (Windows 2000 y Windows Server 2003 únicamente)

Para obtener información adicional acerca de la administración de Celerra, consulte:

u Learning about EMC Celerra

u Ayuda en línea de Celerra Manager

u El sistema de ayuda en línea de la aplicación incluido en el EMC Celerra Network Server Documentation CD

Installing EMC Celerra Management Applications incluye instrucciones para iniciar Celerra Manager y para instalar los snap-ins de MMC y las extensiones de ADUC.

../ConfiguringVDMs/index.htm


../../gettingstarted.htm

../../gettingstarted.htm

../../HelpSystems/ManagerHelp/wwhelp/wwhimpl/java/html/wwhelp.htm

../../HelpSystems/ManagerHelp/wwhelp/wwhimpl/java/html/wwhelp.htm

../InstallationManagement/index.htm



TerminologíaEl EMC Celerra Glossary proporciona una lista completa de terminología de Celerra.

Active Directory: un servicio de directorios avanzado incluido con los servidores Windows 2000. Almacena información de los objetos en una red y permite que dicha información esté disponible para los usuarios y los administradores de la red mediante un protocolo como LDAP.

Autenticación: proceso de verificación de la identidad de un usuario que intenta acceder a un recurso u objeto, como un archivo o directorio.

Common Internet File System (CIFS): protocolo de uso compartido de archivos basado en Microsoft Server Message Block (SMB). Permite a los usuarios compartir file systems mediante Internet e intranets.

Data Mover: en un Celerra Network Server, un componente del gabinete que ejecuta su propio sistema operativo que recupera archivos desde un dispositivo de almacenamiento y permite que estén disponibles para un cliente de la red. También se lo denomina blade. A veces al Data Mover se lo denomina internamente ‘DART’, ya que DART es el software que se ejecuta en la plataforma.

Data Mover virtual (VDM): función del software Celerra que permite a los usuarios la separación administrativa de servidores CIFS, la replicación de entornos CIFS y la transferencia de servidores CIFS de un Data Mover a otro.

Domain Name System (DNS): software de resolución de nombres que permite a los usuarios ubicar computadoras en una red UNIX o red TCP/IP por el nombre de dominio. El servidor DNS mantiene una base de datos de los nombres de dominio, los nombre de host y sus direcciones de IP correspondientes, y los servicios que prestan estos hosts.

Dominio: agrupación lógica de servidores de Microsoft Windows y de otras computadoras que comparten seguridad común e información de cuentas de usuarios. Todos los recursos como las computadoras y los usuarios son números de dominio y poseen una cuenta en el dominio que los identifica como exclusivos. El administrador de dominio crea una cuenta de usuario para cada usuario del dominio y los usuarios inician sesión en el dominio una vez. Los usuarios no inician sesión en cada servidor individual.

Dominio de Windows 2000 o Windows Server 2003: dominio de Microsoft Windows controlado y administrado por Microsoft Windows 2000 o por Windows Server 2003 mediante Active Directory para administrar todos los recursos del sistema. Emplea DNS para resolución de nombres.

Dominio de Windows NT: dominio de Microsoft Windows controlado y administrado por un servidor de Microsoft Windows NT mediante una base de datos SAM para administrar las cuentas de usuarios y grupos, y un namespace de NetBIOS. En un dominio de Windows NT, existen un controlador de dominio primario (PDC) con una copia de lectura/escritura de SAM y, posiblemente, varios controladores de dominio de backup (BDCs) con copias de solo lectura de SAM. Consulte también dominio y controlador de dominio.

File system: método para catalogar y administrar los archivos y los directorios en un sistema de almacenamiento.

Lista de control de acceso (ACL): lista de entradas de control de acceso (ACEs) que proporciona información sobre los usuarios y los grupos que poseen acceso a un objeto.

../../mergedprojects/Glossary/index.htm


NetBIOS: interfaz y protocolo de programación de red desarrollado para computadoras personales IBM.

Nombre de recurso compartido: nombre otorgado a un file system o a un recurso de un file system disponible desde un servidor CIFS específico para usuarios CIFS. Es posible contar con múltiples recursos compartidos con el mismo nombre, compartidos desde servidores CIFS diferentes.

Nombre NetBIOS: nombre reconocido por WINS, que asigna el nombre a una dirección IP.

Objetos de política de grupo (GPO): en Windows 2000 o Windows Server 2003, los administradores pueden utilizar objetos de política de grupo para definir las opciones de configuración para los grupos de usuarios y computadoras. Los objetos de políticas de grupo de Windows pueden controlar elementos como la configuración local, de dominio y de seguridad de red.

Protocolo ligero de acceso a directorio (LDAP): protocolo de acceso a la información estándar de la industria que se ejecuta directamente mediante TCP/IP. Es el protocolo de acceso primario para Active Directory y para los servidores de directorio basados en LDAP. La versión 3 de LDAP se define mediante un conjunto de documentos estándar propuestos en Internet Engineering Task Force (IETF) RFC 2251.

Security Access Manager o Security Accounts Manager (SAM): servicio de Microsoft Windows que autentica usuarios para utilizar recursos en la red. La base de datos de SAM es la ubicación de toda la información de seguridad y cuentas de usuarios para un dominio de Windows NT.

Server Message Block (SMB): protocolo subyacente utilizado por el protocolo CISS, mejorado para uso en Internet para solicitud de servicios de comunicación, archivos e impresiones desde un servidor por medio de la red. El protocolo CIFS emplea SMB para brindar seguridad en el acceso y la transferencia de archivos para varios tipos de hosts, como LANs, intranets e Internet.

Servicio CIFS: proceso del servidor CIFS que se ejecuta en el Data Mover y presenta recursos compartidos en una red y en computadoras basadas en Microsoft Windows.

Servidor CIFS: servidor lógico que utiliza el protocolo CIFS para la transferencia de archivos. Un Data Mover puede albergar muchas instancias de un servidor CIFS. Cada instancia se denomina servidor CIFS.

Servidor CIFS predeterminado: el servidor CIFS que se crea al agregar un servidor CIFS sin especificar ninguna interfaz (con la opción interfaces= del comando server_cifs -add). El servidor CIFS predeterminado utiliza todas las interfacesno asignadas a otros servidores CIFS en el Data Mover.

Información relacionadaPara obtener información específica relacionada con las características y funcionalidades que se describen en este documento, consulte:

u EMC Celerra Glossary

u Manual de referencia de comandos de EMC Celerra Network Server

u EMC Celerra Network Server Error Messages Guide

u EMC Celerra Network Server Parameters Guide

../../mergedprojects/Glossary/index.htm

../CommandReference/index.htm

../ErrorMsgs/index.htm

../Parameters/index.htm


u Configuring EMC Celerra Naming Services

u Configuring EMC Celerra Time Services

u Configuración de mapping de usuario EMC Celerra

u Configuración de Data Movers virtuales para EMC Celerra

u Installing EMC Celerra Management Applications

u Administración de EMC Celerra para un entorno de múltiples protocolos

u Configuring and Managing CIFS on EMC Celerra

u Managing EMC Celerra Volumes and File Systems Manually

u Replicating EMC Celerra CIFS Environments (V1)

u Using EMC Utilities for the CIFS Environment

u Using International Character Sets with EMC Celerra

u Uso de herramientas administrativas de Windows con EMC Celerra

El EMC Celerra Network Server Documentation CD, suministrado con Celerra y también disponible en Powerlink®, proporciona un conjunto completo de publicaciones de clientes de EMC Celerra. Inicie sesión en Powerlink, vaya a Soporte > Documentación Técnica y Asesorías > Documentación de Hardware y Plataformas > Celerra Network Server. En esta página, haga clic en Agregara Favoritos. La sección Favoritos de la página principal de Powerlink contiene un enlace que lo lleva directamente a esta página.

Documentación de múltiples protocolos y WindowsLos siguientes documentos de Celerra Network Server explican cómo configurar y administrar Celerra en un entorno Windows y en un entorno de múltiples protocolos:

u Configuring and Managing CIFS on EMC Celerra explica cómo establecer una configuración básica CIFS en Celerra Network Server mediante la interfaz de línea de comandos (CLI). También puede configurar este entorno inicial utilizando Celerra Manager.

u Configuring and Managing CIFS on EMC Celerra contiene procedimientos avanzados que se pueden realizar después de la configuración inicial de CIFS en Celerra Network Server e instrucciones para modificar y administrar Celerra en un entorno Windows.

u Administración de EMC Celerra para un entorno de múltiples protocolos incluye procedimientos para configurar y administrar Celerra en un entorno mixto de clientes UNIX y Windows que acceden a los mismos file systems.

../NameServices/index.htm


../InternalUsermapper/index.htm



../ConfWinMulti/index.htm

../ManCIFS/index.htm

../VolFSManually/index.htm

../ReplicatingCIFSENvironments/index.htm

../EMCUtilities/index.htm

../i18N/index.htm

../WindowsAdminTools/index.htm

http://powerlink.emc.com




ConceptosLos conceptos de CIFS que se explican en esta sección son:

u "Consideraciones sobre la planificación" en la página 8

u "Autenticación Kerberos" en la página 11

u "Encriptación y firma LDAP" en la página 11

u "Métodos de autenticación de usuario: definidos y comparados" en la página 13

u "Cuentas de grupos y usuarios locales" en la página 14

Consideraciones sobre la planificaciónEste sección brinda una descripción general de la configuración del servicio CIFS en un Celerra Network Server:

u "Entornos Windows 2000 y Windows Server 2003" en la página 8

u "Entornos Windows NT" en la página 9

Entornos Windows 2000 y Windows Server 2003La siguiente sección proporciona información acerca de algunos de las funciones de Windows 2000 y Windows Server 2003 soportadas por Celerra Network Server.

Cuotas

La implementación de CIFS de Celerra Network Server soporta cuotas de discos. Las cuotas se pueden configurar mediante la interfaz de línea de comandos (CLI) de Celerra Network Server, Celerra Manager, o las interfaces de usuario Windows 2000 y Windows Server 2003. Uso de cuotas en EMC Celerra proporciona información detallada sobre las cuotas.

Si desea usar cuotas, actívelas en un file system antes de llenar el file system. Cuando las cuotas se activan por primera vez, el file system en su totalidad no estará disponible durante el análisis realizado por el proceso de inicio de cuotas.

Internacionalización

Se debe proporcionar soporte de internacionalización al Celerra Network Server para la configuración del servicio CIFS. Es posible soportar la internacionalización activando el filtrado ASCII o Unicode. La activación de Unicode es el método preferido para brindar soporte de internacionalización. Using International Character Sets with EMC Celerra brinda información detallada sobre la internacionalización.

Por lo general, Unicode se activa como parte de las instalaciones de software del sistema.

Si no activa Unicode, el filtrado ASCII se activa automáticamente cuando agrega el primer servidor CIFS compatible con Windows 2000 o Windows Server 2003 al Data Mover. "Activación del soporte de internacionalización" en la página 24 proporciona un análisis detallado de este tema.

../Quotas/index.htm

../i18N/index.htm

../i18N/index.htm


Mejores prácticas para el soporte de Unicode

Si desea activar Unicode, actívelo antes de llenar el file system. Cuando Unicode se activa por primera vez, el proceso de conversión puede ocasionar una interrupción en la disponibilidad del file system mientras se lo analiza y convierte.

Nota: no se puede desactivar Unicode después de activarlo.

Domain Name SystemCelerra Network Server soporta las siguientes funciones de DNS:

u Resolución del servicio de DNS: resuelve nombres de servicio en lugar de nombres de computadoras. DNS muestra una lista de máquinas que ejecutan un servicio específico, como LDAP y Kerberos.

u Actualizaciones dinámicas de DNS: reduce la complejidad de la administración en los entornos DDNS.

Problemas de DNS

Es posible que tenga los siguientes problemas con DNS durante la configuración de Celerra Network Server:

u Con Windows 2000 y Windows Server 2003, el controlador de dominio no se registra en DNS si el dominio de es nivel superior, por ejemplo, .com o .org. Puede cambiar esta regla desde el Registro de Windows o activando la opción de política de grupo Update Top Level Domain Zones.

Nota: el Data Mover no cuenta con un equivalente de esta entrada de registro y no usa la política de grupo, porque el Data Mover solamente actualiza la zona de DNS para las entradas de hosts y no para las entradas de servicios.

u Cuando dos servidores DNS basados en Windows se encuentran trabajando en la misma zona de DNS, es posible que sus contenidos varíen durante varios minutos. En entornos DNS con zonas integradas AD, la replicación de los registros de recursos depende de la replicación AD, la cual tiene lugar de manera periódica. Es posible que la replicación no tenga lugar de manera inmediata cuando se realizan cambios; esta es una limitación de Microsoft.

Entornos Windows NTLa Figura 1 en la página 10 muestra el Celerra Network Server dentro de un dominio de Windows NT. El Data Mover de esta configuración brinda operaciones de file system CIFS para usuarios en el dominio de Windows.


Durante la configuración del Data Mover, se declara el dominio asociado con el Data Mover. El Data Mover obtiene la dirección del controlador de dominio primario mediante la consulta al servidor Windows Internet Name Service (WINS) y el posterior envío de una solicitud de difusión por la red, como se muestra en la Figura 1 en la página 10.

Figura 1 Celerra Network Server en un dominio de Windows NT

Nota: en un entorno CIFS, el Data Mover realiza las funciones de un file Server CIFS, pero no las de un servidor de aplicaciones Windows NT, como un servidor DNS o de impresión.

Celerra Network Server implementa CIFS dentro del kernel del sistema operativo, no como una aplicación de modo de usuario. Esta implementación permite a Celerra Network Server brindar un mejor performance con funcionalidad nativa de servidor Windows, como políticas de bloqueo, políticas de control de acceso, oplock y notificaciones.

Celerra Network Server soporta flujos de datos múltiples, como los usados en un file system NTFS de Windows, para archivos y directorios almacenados en recursos compartidos de CIFS. El recuento del almacenamiento total en todos los flujos se realiza cotejando las cuotas de usuarios y grupos.

Cuando se configura para los servicios CIFS, el Celerra Network Server brinda funciones de acceso a archivos similares a las de un servidor Windows. Durante la configuración, el Celerra Network Server se une a un dominio de Windows específico como un servidor miembro.

En la Tabla 2 en la página 11, se comparan algunas de las funciones del dominio de Windows NT con los dominios de Windows 2000 y Windows Server 2003.

Nota: debido a las similitudes que existen entre los dominios de Windows 2000 y los de Windows Server 2003, estos dos entornos se tratan de manera conjunta en este documento.

PS0 PS1 PS2 PS3 PS4 SMB0 SMB1

SB

0

SB

1

SB

2

SB

3

SB

4

SB

5

SB

6

SB

7

SB

8

SB

9

SB

10

SB

11

SB

12

SB

13

SB

14

SB

15

Servidor WINS Cliente Windows

Controlador de dominio

primario

CelerraNetwork Server

Red

CNS-000734


Debido a las diferencias que existen entre un entorno Windows NT y uno Windows 2000 o Windows Server 2003, la configuración de CIFS en Celerra Network Server es distinta para cada entorno.

Autenticación KerberosEl Key Distribution Center (KDC) Kerberos almacena y recupera información sobre los principios de seguridad en la base de datos de Active Directory. Cada controlador de dominio en Windows 2000 o posterior es un KDC Kerberos que actúa como un intermediario confiable entre un cliente y un servidor. La autenticación Kerberos usa un KDC para confirmar la identidad de un servidor CIFS que intente comunicarse con un dominio o acceder a los servicios de red Windows.

Todo equipo, servidor o cliente conectado a un dominio cuenta con una contraseña única asociada con una cuenta del equipo en el Active Directory. Una contraseña autentica la identidad de un servidor CIFS que intente comunicarse con un controlador de dominio.

Encriptación y firma LDAPLDAP maneja algunas de las comunicaciones entre Celerra Network Server y Active Directory. Esto ocurre durante uniones/desuniones del dominio, cambios de contraseña de la cuenta del servidor, actualizaciones de GPO y cuando Celerra está configurado para usar Active Directory para el almacenamiento de mappings de usuario.

Durante un procedimiento de vinculación de LDAP, el Data Mover (cliente LDAP) se autentica con un controlador de dominio (servidor LDAP) por medio de Kerberos, usando el protocolo Simple Authentication and Security Layer (SASL). El protocolo SASL se utiliza para que el Data Mover y el controlador de dominio negocien una capa de seguridad para preguntas y consultas de LDAP.

Tabla 2 Comparación de los dominios Windows NT, Windows 2000 y Windows Server 2003

Dominios de Windows 2000o Windows Server 2003 dominio de Windows NT 4.0

• Los recursos del sistema, incluso las cuentas de usuarios y grupos, se almacenan en AD.

• Todos los controladores de dominio son pares.

• Las cuentas de usuarios y grupos se almacenan en una base de datos SAM.

• Relación jerárquica entre controladores de dominio: un controlador de dominio es designado controlador de dominio primario (PDC) y los restantes son controladores de dominio de backup (BDCs).

Kerberos o NT Lan Manager (NTLM).

Nota: Kerberos es el método de autenticación recomendado.

Soporte para la versión 1 y 2 de NTMLSSPy NTLM.

Usa una estructura jerárquica DNS para la resolución de nombres.

Usa namespace de NetBIOS (estructurade nombre plana).

Usa el LDAP para acceder a los objetos AD. Acceso del navegador a los recursos de la red.


Una capa de seguridad firmada comprueba la integridad de cada paquete LDAP de la red para garantizar que ningún intermediario haya manipulado el contenido. Una capa de seguridad de encriptación impide que los datos en los paquetes LDAP se envíen entre el cliente y el servidor en texto claro.

Durante una sesión LDAP, se usa una de las siguientes capas de seguridad:

u Ninguna: los mensajes LDAP no se firman ni se encriptan.

u Protección de integridad: los mensajes LDAP se firman para obtener la protección de integridad.

u Protección de privacidad: los mensajes LDAP se firman y se encriptan.

Configuración de LDAP de WindowsDurante el proceso de vinculación de LDAP, el controlador de dominio pide al cliente LDAP que seleccione si desea firmar, encriptar o no proteger los datos para sus mensajes LDAP. El cliente LDAP (en este caso, el Data Mover) toma la decisión final acerca del nivel de seguridad que se usará. Esta negociación de la firma y/o la encriptación se realiza de manera individual para cada conexión de LDAP.

De manera predeterminada, un controlador de dominio no implementa ninguna forma de protección de datos para el tráfico LDAP. Un atributo de registro (Windows 2000) o una política de seguridad (Windows Server 2003) controla si el controlador de dominio implementa la firma de mensajes LDAP.

Nota: si bien Windows soporta la encriptación de mensajes LDAP mediante otros sistemas, como Celerra Network Server, no permite la configuración de la encriptación de mensajes LDAP.

Configuración de registro LDAP de Windows 2000

En la Tabla 3 en la página 12, se muestra la configuración del registro de Windows 2000 requerida para implementar la firma de mensajes LDAP para un controlador de dominio.

Nota: defina el parámetro de registro en cada controlador de dominio, ya que los cambios de registro no se replican en los distintos controladores de dominio en un dominio.

Política de seguridad de LDAP de Windows Server 2003

Para Windows Server 2003, la política de seguridad LDAP se define como un GPO y se puede configurar en un controlador de dominio o en un dominio. Para establecer esta política de seguridad GPO, vaya a Administrative tools (Herramientas administrativas) > Domain Controller Security Policy (Directiva de seguridad del

Tabla 3 Parámetro de registro para la firma de mensajes LDAP

Path clave HKLM\System\CurrentControlSet\Services\NTDS

Clave Parameter

Nombre de valor LdapServerIntegrity

Formato REG_DWORD

Valor 2 (Require signing [Requerir firma]);otros valores son 0 (Not defined [No definido]) y 1 (None [Ninguno])


controlador de dominio) (o Domain Security Policy [Directiva de seguridad de dominio]) > Security Settings (Configuración de seguridad)> Local Policies (Directivas locales) > Security Options (Opciones de seguridad) y seleccione LDAP server signing requirements (Requisitos de firma de servidor LDAP).

Nota: la implementación de la política de requisitos de la firma del servidor LDAP a un controlador de dominio o a un dominio invalida el parámetro de registro LdapServerIntegrity de Windows 2000.

En la Tabla 4 en la página 13, se muestra la configuración de la política de seguridad LDAP de GPO de Windows Server 2003 y la correspondiente configuración de parámetros de registro LdapServerIntegrity de LDAP de Windows 2000.

Métodos de autenticación de usuario: definidos y comparadosEn la Tabla 5 en la página 13, se resumen y se comparan los métodos de autenticación de usuario NT, UNIX y SHARE.

Tabla 4 Configuración de la política de seguridad LDAP de registro y GPO

Configuración de la política de seguridad LDAP de GPO

Configuración del parámetro de registro LDAP

Descripción

Not defined (No definido) 0 La firma LDAP no se activa ni desactiva en el nivel del controlador de dominio.

None (Ninguno) 1 No se requiere la firma de LDAP para su vinculación con el controlador de dominio. Si el Data Mover solicita la firma de los datos, el controlador de dominio la soporta.

Require signing(Requerir firma)

2 La firma de LDAP se negocia entre el Data Mover y el controlador de dominio a menos que Seguridad de capa de transporte/Secure Socket Layer (TLS/SSL) se haya iniciado.

Tabla 5 Métodos de autenticación de usuario CIFS (página 1 de 2)

NT UNIX SHARE

Descripción general• Permite acceso a los recursos

compartidos solamente después de la autenticación mediante un controlador de dominio.

• El cliente envía un nombre de usuario y una contraseña encriptada al Data Mover para realizar la autenticación.

• Comprueba las ACLs en los recursos compartidos, archivos y directorios.

• Método de autenticación de usuarios predeterminado.

• Recomendado.

Descripción general• La autenticación se realiza

en el Data Mover mediante el uso de archivos locales (grupo y contraseña) o NIS.

• Usa contraseñas de texto sin formato.

• ACLs no comprobadas.• No recomendado.

Descripción general• No usa contraseñas o usa

contraseñas de texto sin formato.

• Solicita contraseña de solo lectura o de lectura/escritura.

• ACLs no comprobadas.• No recomendado.


Cuentas de grupos y usuarios localesLa activación del servicio de usuarios locales crea cuentas de usuarios locales en la base de datos de grupos locales en el servidor CIFS. Cuando los usuarios locales intentan iniciar sesión en el servidor CIFS, la NTLM V1/V2 los autentica cotejando la base de datos de grupos locales. Cuando activa el servicio de usuario local en un servidor CIFS, la base de datos de grupos locales se completa automáticamente con dos cuentas de usuario locales: Administrator y Guest.

Nota: Si se usa VDM, la replicación IP copia solamente los grupos locales.

Funcionamiento• El cliente envía un nombre

de usuario y una contraseña encriptada a los tickets de Kerberos o Data Mover. El controlador de dominio realiza la autenticación de usuario usando NTLM V0.12 o Kerberos (predeterminado en Windows 2000 y Windows Server 2003) y LDAP.

• El control de acceso se realiza cotejando los IDs de seguridad de grupo y usuario (SIDs).

FuncionamientoEl cliente envía un nombre de usuario y una contraseña de texto sin formato al Data Mover. El Data Mover verifica la información del ID comprobando el archivo de contraseña en el Data Mover o el NIS.

Funcionamiento• Si no especifica una

contraseña cuando crea el recurso compartido, se le concede acceso a todo usuario que se conecte a él.

• Si especifica una contraseña, el usuario debe brindar la contraseña especificada cuando se conecte al recurso compartido.

LimitacionesNinguna.

Limitaciones• Sin Unicode.• Sin VDM.• Sin CAVA.• El tamaño máximo de

archivo es de 4 GB.

Limitaciones• Sin Unicode.• Sin Data Mover virtual.• Sin CAVA.• El tamaño máximo de

archivo es de 4 GB.

RequisitosRequiere un UID y GID estilo UNIX para cada usuario de Windows.

Requisitos• Requiere un UID y GID estilo

UNIX para cada usuario de Windows.

• El servicio de contraseña de texto sin formato debe estar activado en los clientes.

RequisitosEl servicio de contraseña de texto sin formato debe estar activado en los clientes.

Cuándo usar• Es más útil para las

configuraciones que requieren un alto grado de seguridad y a las que acceden, principalmente, los usuarios CIFs.

• Recomendado.

Cuándo usar• Por lo general, se usa

cuando no hay un dominio de Windows disponible.

• No recomendado.

Cuándo usar• Es solamente útil para

configuraciones con pocos requisitos de seguridad.

• No recomendado.

Tabla 5 Métodos de autenticación de usuario CIFS (página 2 de 2)

NT UNIX SHARE


Cuenta del administradorLa cuenta del administrador se activa de manera predeterminada y tiene derechos administrativos completos en relación con el servidor CIFS. La contraseña que brinda cuando activa el soporte de usuarios locales será la contraseña inicial de la cuenta del administrador local. Es necesario cambiar esta contraseña antes de iniciar sesión en el servidor CIFS con la cuenta del administrador. "Cambio de contraseña para la cuenta de administrador local" en la página 43 proporciona instrucciones detalladas.

Nota: No es posible desactivar la cuenta del administrador en los servidores independientes.

Cuenta guest (de invitado)La cuenta guest (de invitado) cuenta con derechos de usuario muy limitados y está desactivada de manera predeterminada. La cuenta Guest brinda un método de acceso muy simple a los servidores CIFS independientes. Si activa esta cuenta con una contraseña vacía, cualquier usuario puede acceder al servidor CIFS sin autenticación.

La cuenta Guest no es un miembro del grupo Authenticated Users. Por consiguiente, para garantizar que el servidor CIFS esté seguro, debe usar el grupo Authenticated Users en lugar del grupo Everyone al configurar ACLs en los recursos compartidos. Si cuenta con recursos compartidos existentes en el servidor con ACLs que usan el grupo Everyone, cambie estas ACLs para usar el grupo Authenticated Users.

Nota: se puede cambiar el nombre a las cuentas de Administrator y Guest.

Otras cuentas de usuario localesLas cuentas de usuario locales heredan los privilegios y los derechos de los grupos locales a los que pertenecen. Es posible crear, eliminar y administrar las cuentas de usuario locales por medio de las herramientas de administración de Windows.

Cuentas de grupo localesCelerra Network Server soporta los conocidos nombres de grupos de Windows Everyone y Authenticated users. Celerra Network Server no soporta el cambio de nombre de estos grupos.


Configuración

Las tareas de configuración de CIFS son las siguientes:

1. "Autenticación mediante Kerberos" en la página 16

2. "Establecimiento de una cantidad máxima de contraseñas para retener" en la página 17

3. "Definición del método de autenticación de usuario de Data Mover" en la página 19

4. "Configuración de la resolución del ID de usuarios CIFS" en la página 22

5. "Configuración de file systems para acceso a CIFS" en la página 22

6. "Configuración del servicio CIFS" en la página 23

7. "Comprobación de una configuración CIFS y sus dependencias" en la página 36

8. "Creación de cuentas de usuarios locales en un servidor CIFS" en la página 38

9. "Montaje de un file system para acceso a CIFS" en la página 50

10. "Creación de recursos compartidos para los usuarios CIFS" en la página 52

Autenticación mediante KerberosDespués de unir un servidor CIFS a un dominio o cambiar la contraseña de la cuenta del equipo de un servidor CIFS, Kerberos genera un conjunto de claves de encriptación/desencriptación que comparte con el controlador de dominio. Cuando el KDC recibe una solicitud de autenticación de un servidor CIFS, realiza la autenticación desencriptando los datos de preautenticación enviados por el Data Mover con las claves de desencriptación. Si la desencriptación se completa correctamente, y los datos de preautenticación son precisos, el servidor CIFS se autentica. Después de la autenticación del servidor CIFS, el KDC genera un ticket inicial llamado ticket de otorgamiento de tickets (TGT), como se muestra en la Figura 2 en la página 16. El TGT es un ticket especial que permite al servidor CIFS solicitar servicios al KDC.

Figura 2 Autenticación Kerberos

El sitio Web de Microsoft brinda una descripción detallada de la autenticación Kerberos.

1

2

1

2

Servidor CIFSControlador de dominio (KDC)

Presenta clave para autenticación

Verifica el servidor CIFS y proporciona TGT CNS-000735


Establecimiento de una cantidad máxima de contraseñas para retenerPara las configuraciones dedominio con múltiples controladores de dominio, las cuentas de equipos y las contraseñas se replican en todos los controladores de dominio durante la replicación AD. Dado que la replicación AD se produce en intervalos programados, es posible que ocurra una demora en la actualización de todos los controladores de dominio con una nueva contraseña y que provoque intentos de autenticación fallidos. Para impedir que esto suceda, el Data Mover guarda un historial de las contraseñas nuevas y viejas de cada servidor CIFS. Cuando un cliente Windows intenta abrir una nueva sesión con un Data Mover, el ticket de servicio enviado por el cliente se desencripta con la clave de desencriptación generada a partir de la contraseña de la cuenta del equipo del servidor CIFS. Si la desencriptación falla, se intenta nuevamente usando la clave generada a partir de contraseñas anteriores. Cuando una contraseña se actualiza dos veces en el mismo controlador de dominio o en diferentes controladores de dominio sin replicación AD, el Data Mover solamente utiliza la primera actualización de contraseña; no reconoce el segundo cambio de contraseña. De manera predeterminada, un Data Mover guarda la contraseña actual y la anterior más reciente de la cuenta del equipo para un servidor CIFS. Configuring and Managing CIFS on EMC Celerra brinda información acerca del cambio de contraseñas del servidor CIFS de un Data Mover.

Negociación de una capa de seguridad con un Data MoverDe manera predeterminada, cuando un controlador de dominio propone una capa de seguridad de firma o encriptación para el Data Mover, responde con la firma (protección de integridad sin encriptación).

Acción

Para indicar la cantidad máxima de contraseñas que se pueden retener para la autenticación Kerberos, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility cifs -modify srvpwd.maxHistory-value <new_value>

donde:<movername> = nombre del Data Mover o VDM<new_value> = valor que desea establecer para el parámetro especificado donde:

• El valor 1 conserva solamente la contraseña actual.• Los valores de 2 a 10 conservan la contraseña actual y n-1 las contraseñas anteriores.• El valor predeterminado es 2.

Ejemplo:

Para usar la contraseña actual y dos contraseñas anteriores para la autenticación, escriba lo siguiente:$ server_param server_2 -facility cifs -modify srvpwd.maxHistory -value 3

Nota: Los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas. Si tiene problemas con las autenticaciones, restablezca la contraseña del servidor CIFS mediante el comando server_cifs.

Salida

server_2 : done




Para que el siguiente comando funcione, el Data Mover especificado debe contener un servidor CIFS que sea miembro del dominio con el que LDAP intenta comunicarse.

Resolución de problemas de encriptación y firma LDAPSi tiene problemas con la encriptación y firma LDAP, haga lo siguiente:

Acción

Para indicar qué nivel de seguridad usar para los mensajes LDAP, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility ldap -modify SecurityLayer -value <new_value>

donde:<movername> = nombre del Data Mover o VDM.<new_value> = 0, 1, 2 y 4.

0=Sin capa de seguridad

1=Igual que el servidor LDAP

2=Protección de integridad

4=Protección de privacidad

Nota: Reinicie el servicio CIFS después de ejecutar el comando anterior.

Ejemplo:

Para seleccionar la protección de privacidad para los mensajes LDAP, escriba lo siguiente:$ server_param server_2 -facility ldap -modify SecurityLayer -value 4

Nota: los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.

Salida

server_2 : done

Paso Acción

1. En el controlador de dominio, establezca la política de seguridad LDAP (Windows Server 2003) o la configuración del registro LDAP (Windows 2000) a no signing (sin firma).

2. Establezca el parámetro ldap SecurityLayer a 0.

3. Reinicie el Data Mover.


Combinación de la configuración de Windows con Celerra ldap SecurityLayerEn la Tabla 6 en la página 19, se visualizan las medidas de seguridad que se toman cuando se combinan la configuración de la política de seguridad LDAP de GPOde Windows o del registro LDAP con la configuración del parámetro Celerra ldap SecurityLayer.

Definición del método de autenticación de usuario de Data MoverAntes de configurar el servicio CIFS, debe definir el método de autenticación de usuario para el Data Mover. El método de autenticación de usuario define la manera en que el Data Mover comprueba el inicio de sesión de los usuarios en el Data Mover. Cuando un usuario CIFS inicia sesión, se crea un token de acceso de seguridad que contiene el ID de seguridad (SID) para el usuario, el SID para el grupo de usuarios y los derechos de acceso (no los permisos). Este token se compara con el descriptor de seguridad de cualquier objeto CIFS (por ejemplo, un recurso compartido) para determinar el acceso.

Los Data Movers usan la autenticación de usuario NT como método de autenticación predeterminado. Para obtener información adicional sobre los métodos de autenticación de UNIX y SHARE, consulte Configuring and Managing CIFS on EMC Celerra.

Tabla 6 Combinación de la configuración de Windows con la configuración Celerra ldap SecurityLayer

Configuración de parámetros Celerra ldap SecurityLayer

0

Sin capa de seguridad

1

Igual que el servidor LDAP

2

Protección de integridad

4

Protección de privacidad

Configuración de la política de seguridad LDAP de Windows/ configuración del registro

0 (No definido)

Sin firma ni encriptación

Usa la capa de seguridad propuesta por el controlador de dominio

Usa firma de mensajes LDAP

Usa la encriptación de mensajes LDAP

1 (Ninguna)

2 (Requiere firma) Rechaza la vinculación de LDAP*

*El controlador de dominio requiere la firma de mensajes LDAP. Se registra el siguiente mensaje de error si esto no ocurre:

00002028: LdapErr: DSID-0C090169, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection.



Nota: por cuestiones de seguridad, entre otras, se recomienda no usar los métodos de autenticación de usuario de UNIX o SHARE. El método de autenticación de usuario de UNIX usa contraseñas de texto sin formato, y el método de autenticación de usuario de SHARE usa contraseñas de texto sin formato o no usa contraseñas. Además, en ninguno de los dos modos existe la comprobación de ACLs de directorios y archivos. En lugar del modo de seguridad de SHARE, debe usar el modo de seguridad de NT con un servidor CIFS independiente con soporte de usuario local activado.

En este documento, se incluye información acerca de los modos de autenticación de usuario de UNIX y SHARE a fin de brindar soporte a los usuarios con configuraciones existentes que usan estos modos.

"Métodos de autenticación de usuario: definidos y comparados" en la página 13 brinda una explicación detallada de los métodos de autenticación de usuario. "Establecimiento del método de autenticación de usuario" en la página 20 explica cómo configurar esta función.

Configuración de mapping de usuario EMC Celerra brinda información acerca del mapping de usuario y la resolución técnica de ID de usuario. El método de autenticación de usuario (y parámetro de dialecto) se configura para cada Data Mover y se aplica a todas las interfaces del Data Mover. Por lo tanto, todos los servidores CIFS en el Data Mover deben usar el mismo método de autenticación de usuario y dialecto. No es necesario configurar el método de autenticación de usuario NT para usarlo, ya que es el predeterminado. Cuando crea un nombre de equipo, puede limitar la autenticación únicamente a Kerberos; de lo contrario, NTLM/NTLMSSP y Kerberos estarán activados.

Establecimiento del método de autenticación de usuarioPor cuestiones de seguridad, se recomienda no usar los métodos de autenticación de usuario de UNIX o SHARE. Debe usar el modo de seguridad de NT con un servidor CIFS independiente y con soporte de usuario local activado.

De manera predeterminada, Celerra Network Server usa el método de autenticación de usuario NT recomendado.

Acción

Para definir el método de autenticación de usuario para el Data Mover, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add security=<security_mode>

donde:<movername> = nombre del Data Mover o VDM<security_mode> = NT, UNIX o SHARE

• NT: (predeterminado) se usa la base de datos de contraseñas de Windows NT en el PDC (que usa contraseñas encriptadas con NETLOGON); se requiere el archivo de contraseña, NIS o usermapper para convertir los nombres de usuarios de Windows NT a UIDs de UNIX.

• UNIX: el cliente proporciona un nombre de usuario y una contraseña de texto sin formato al servidor; el servidor usa la base de datos de la contraseña o NIS para autenticar el usuario.

• SHARE: los clientes solamente suministran la contraseña de solo lectura o lectura/escritura que configura cuando crea un recurso compartido; Unicode no debe estar activado.

Ejemplo:

Para establecer el método de autenticación de usuario aUNIX para server_2, escriba lo siguiente:$ server_cifs server_2 -add security=UNIX

Salida

server_2 : done

../ExternalUsermapper/index.htm



Comprobación del método de autenticación de usuario

Acción

Para comprobar el método de autenticación de usuario establecido en el Data Mover, utilice la siguiente sintaxis de comandos:$ server_cifs <movername>

donde:<movername> = nombre del Data Mover o VDM

Ejemplo:

Para comprobar el método de autenticación de usuario para server_2, escriba lo siguiente:$ server_cifs server_2

Nota: Si no hay servidores CIFS configurados en el Data Mover, el modo de seguridad aparece como NT porque NT es el predeterminado. En este caso, es posible configurar el Data Mover con uno de los otros métodos de autenticación de usuario. Si hay servidores CIFS en el Data Mover, no es posible restablecer el método de autenticación de usuario porque los servidores CIFS existentes lo están usando.

Salida

server_2 :256 Cifs threads startedSecurity mode = NTMax protocol = NT1I18N mode = UNICODEHome Directory Shares DISABLEDusermapper auto broadcast enabled

usermapper[0] = [128.221.253.2] state:active (auto discovered)usermapper[1] = [128.221.252.2] state:active (auto discovered)

Default WINS servers = 172.24.101.108Enabled interfaces: (All interfaces are enabled)

Disabled interfaces: (No interface disabled)

Unused Interface(s): if=cge1 l=172.24.100.61 b=172.24.100.255 mac=0:60:16:4:43:ec if=cge2 l=172.24.100.62 b=172.24.100.255 mac=0:60:16:4:43:e9 if=cge3 l=172.24.100.71 b=172.24.100.255 mac=0:60:16:4:43:e8

DOMAIN W2KPAGCHILD1NBN FQDN=child1.win2kpag.ad.root SITE=NET-100 RC=5 SID=S-1-5-15-f7d03a54-f0a67e26-297741d6-ffffffff>DC=LNSGC046(172.24.101.46) ref=2 time=9 ms (Closest Site)>DC=LNSGC108(172.24.101.108) ref=3 time=1 ms (Closest Site)

CIFS Server CS80-DM4-CGE0[W2KPAGCHILD1NBN] RC=40 Alias(es): CS80DM4-ALIAS1,CS80DM4-ALIAS2,CS80DM4-ALIAS3,CS80DM4-ALIAS4,CS80DM4-ALIAS5,CS80DM4-ALIAS6,CS80DM4-ALIAS7,CS80DM4-ALIAS8,CS80DM4-ALIAS9,CS80DM4-ALIAS10 Full computer name=cs80-dm4-cge0.child1.win2kpag.ad.root realm=CHILD1.WIN2KPAG.AD.ROOT Comment='EMC-SNAS:T5.5.15.0' if=cge0 l=172.24.100.47 b=172.24.100.255 mac=0:60:16:4:43:ed wins=172.24.101.108 FQDN=cs80-dm4-cge0.pag.emc.com (Updated to DNS) Password change interval: 30 minutes Last password change: Thu Dec 20 14:09:07 2005 GMT Password versions: 1088, 1087


Configuración de la resolución del ID de usuarios CIFSCada usuario de Celerra Network Server, ya sea un usuario de Windows o de UNIX, debe ser identificado por un identificador de grupo (GID) y un identificador de usuario (UID) numérico exclusivo. Sin embargo, Windows no utiliza IDs numéricos para identificar usuarios. En lugar de esto, emplea cadenas llamadas identificadores de seguridad (SIDs). Por ello, antes de configurar el servicio de uso compartido de archivos de Windows (denominado CIFS) en Celerra Network Server, debe seleccionar un método para hacer mapping de los SIDs de Windows a UIDs y GIDs. El método que se debe utilizar depende de la existencia de un entorno de solo Windowso de UNIX y Windows (múltiples protocolos). Dichos métodos incluyen:

u Usermapper (interno o externo)

u Active Directory

u Archivos locales

u Network Information Service (NIS)

u Protocolo ligero de acceso a directorio (LDAP):

Configuración de mapping de usuario EMC Celerra proporciona una lista de las herramientas y los métodos que se pueden utilizar para asignar usuarios de Windows a UIDs y GIDs estilo UNIX, y las herramientas que se pueden utilizar para migrar usuarios desde un entorno de protocolo único a un entorno de múltiples protocolos.

Configuración de file systems para acceso a CIFSEsta sección describe cómo comenzar a configurar file systems en Celerra Network Server para soportar el acceso de clientes de Windows. El proceso de brindar acceso a los archivos para los clientes de Windows consiste principalmente en montar un file system y exportar el recurso compartido, de manera que los usuarios de Windows puedan acceder a él.

PrerrequisitoPara poder acceder a un archivo por medio de Celerra Network Server, complete las siguientes tareas usando Celerra Manager o la interfaz de línea de comandos de Celerra Network Server:

Paso Acción

1. Cree el file system.

2. Cree un punto de montaje en el Data Mover para montar el file system.

Nota: Es posible crear y montar un file system mediante Celerra Manager o la interfaz de línea de comandos de Celerra. La ayuda en línea de Celerra Manager y Managing EMC Celerra Volumes and File Systems Manually explican cómo crear un file system y un punto de montaje.

3. Monte el file system. "Montaje de un file system para acceso a CIFS" en la página 50 explica cómo hacerlo.

../VolFSManually/index.htm



Configuración del servicio CIFSEsta sección describe los procedimientos para configurar el servicio CIFS en un Data Mover, de manera que funcione en entornos con Windows NT o entornos con Windows 2000 o Windows Server 2003.

La Tabla 7 en la página 23 resume los pasos para configurar Celerra Network Server en el entorno de Windows y brinda referencias para los procedimientos que se deben llevar a cabo en cada paso. Los pasos de configuración difieren para cada entorno. La columna Entorno enumera el entorno correspondiente a cada paso.

Nota: Complete la totalidad de las siguientes tareas solamente si el método de autenticación de usuarios del Data Mover es NT. Si usa la autenticación de usuario de UNIX o SHARE, realice solamente las tareas 1, 6 y 8. "Comprobación del método de autenticación de usuario" en la página 21 brinda instrucciones para determinar el método de autenticación de usuarios.

4. Cree un recurso compartido exportando el punto de montaje del file system. "Creación de recursos compartidos para los usuarios CIFS" en la página 52 explica cómo hacerlo.

Tabla 7 Configuración de CIFS en un Data Mover (página 1 de 2)

Tarea EntornoMétodo de autenticación de usuario

Acción Procedimiento

1. Windows 2000 y Windows Server 2003

Solamente NT Active el soporte de internacionalización (necesario para la autenticación Kerberos).

"Activación del soporte de internacionalización" en la página 24

2. Todos Todos Configure las direcciones IP en las interfaces del Data Mover.

"Configuración de las direcciones IP" en la página 25


Solamente NT Sincronice fecha y hora entre el Data Mover, el resto del dominio y otros orígenes de hora.

"Sincronización de fecha y hora" en la página 26


Solamente NT Configure el Data Mover con hasta tres servidores DNS por cada dominio DNS.

"Configuración de DNS en el Data Mover" en la página 27

5. Solamente Windows NT

Solamente NT Agregue un nombre NetBIOS para el servidor CIFS al controlador de dominio de Windows NT.

"Adición de una cuenta al controlador de dominio de Windows NT" en la página 29

Paso Acción


Activación del soporte de internacionalizaciónLa activación del soporte de internacionalización es solamente para Windows 2000 y Windows Server 2000. Si usa el método de autenticación de usuarios de UNIX o SHARE en el Data Mover, continúe con "Creación de una nueva cuenta de equipo" en la página 29.

6. Todos Todos Cree un servidor CIFS mediante el comando server_cifs:

• Para Windows 2000 y Windows Server 2003, cree un nombre del equipo para el servidor CIFS.

• Para Windows NT, identifique el servidor CIFS con un nombre NetBIOS.

• Si la autenticación de usuario está configurada para UNIX o SHARE, identifique el servidor CIFS con un nombre NetBIOS.

"Creación de una nueva cuenta de equipo" en la página 29

7. Todos Todos Cree un servidor CIFS en un Data Mover.

"Creación de un servidor CIFS en un Data Mover" en la página 31

8. Todos Todos Inicie el servicio CIFS para activar el protocolo CIFS para cada Data Mover.

"Inicio del servicio CIFS" en la página 32


NT Una el nombre del equipo para el servidor CIFS al dominio Windows 2000 o Windows Server 2003. Para esta tarea, el método de autenticación de usuarios debe ser NT.

Los servidores de Windows NT se unen automáticamente a un dominio al crearse.

"Unión de un servidor CIFS a un dominio de Windows" en la página 32

Tabla 7 Configuración de CIFS en un Data Mover (página 2 de 2)

Tarea EntornoMétodo de autenticación de usuario

Acción Procedimiento


El soporte de internacionalización debe estar activado en Celerra Network Server. El soporte de internacionalización se proporciona activando una de las siguientes opciones:

u Unicode

u Parámetro de filtrado ASCII

Se recomienda activar Unicode en Celerra Network Server. Si no lo hace, el filtrado ASCII se activa automáticamente cuando crea el primer servidor CIFS compatible con Windows 2000 o Windows Server 2003 en el Data Mover. Si no se activa el filtrado ASCII ni Unicode, no es posible crear un servidor CIFS compatible con Windows 2000 o Windows Server 2003.

Es posible activar Unicode usando el comando uc_config y por medio del asistente Set Up Celerra en Celerra Manager. No obstante, en función del entorno, posiblemente necesite personalizar los valores de los archivos de configuración de traducción antes de activar Unicode. Using International Character Sets with EMC Celerra explica cómo activar Unicode en Celerra Network Server.

Nota: Celerra Network Server debe usar el método de autenticación de usuarios NT cuando Unicode está activado. La seguridad de NT es el método de autenticación de usuario predeterminado para Celerra Network Server.

Notas sobre el filtrado ASCII

Tenga en cuenta las siguientes cuestiones relacionadas con el filtrado ASCII:

u Si se activa el filtrado ASCII, es posible que no pueda administrar los servidores CIFS usando las herramientas de administración de Microsoft, como el snap-in Users and Computers MMC.

u Cuando se activa el filtrado de ASCII, no es posible crear ni cambiar el nombre de los archivos con caracteres que no sean ASCII (caracteres con más de siete bits) en el nombre del archivo. Puede acceder a archivos con nombres que no sean ASCII; sin embargo, es posible que los nombres de los archivos posean caracteres extraños.

u Si el parámetro de filtrado está configurado, el filtrado ASCII se aplica a todos los clientes de Windows. Si el parámetro está configurado y se crea, al menos, un nombre de equipo, no es posible restablecer el parámetro a 0 hasta que elimine todos los nombres de equipo.

Configuración de las direcciones IPSe puede configurar una o más interfaces de red en el Data Mover con direcciones IP en todos los entornos Windows.

../i18N/index.htm


Estas interfaces de red permiten a los usuarios CIFS acceder a los datos almacenados.

Sincronización de fecha y horaEn entornos Windows 2000 y Windows Server 2003, la fecha y hora se debe sincronizar entre los Data Movers y otros orígenes de hora mediante el comando server_date. Configuring EMC Celerra Time Services explica cómo sincronizar los Data Movers.

Acción

Para crear una interfaz IP en el Data Mover especificado, utilice la siguiente sintaxis de comandos:$ server_ifconfig <movername> -create -Device <device_name> -name <interface_name> -protocol IP {<ip_address> <ip_mask> <ip_broadcast>}

donde:<movername> = nombre del Data Mover o VDM.<device_name> = nombre del dispositivo.<interface_name> = nombre de la interfaz especificada. Se permiten múltiples interfaces por dispositivo, cada una identificada por una dirección IP diferente.<ip_address> = dirección IP de la interfaz. Se permiten múltiples interfaces por dispositivo, cada una identificada por una dirección IP diferente.<ip_mask> = máscara IP de la interfaz. La máscara IP incluye la parte de red de la dirección local y la subred, que se obtiene del campo host de la dirección. Por ejemplo, 255.255.255.0 sería una máscara para una red clase C.<ip_broadcast> = dirección IP para mensajes de transmisión a la red. Por ejemplo, x.x.x.255 es la dirección de transmisión para una red clase C.

Ejemplo:

Para crear una interfaz IP en server_2, escriba lo siguiente:$ server_ifconfig server_2 -create -Device cge0 -name dm32-cge0 -protocol IP 192.168.102.236 255.255.255.0 192.168.102.255

Salida

server_2: done

Paso Acción

1. Conecte el Data Mover al servidor NTP mediante la siguiente sintaxis de comandos:$ server_date <movername> timesvc start ntp <host> [<host>...]

donde:<movername> = nombre del Data Mover.<host> = nombre del host o dirección IP del host de hora externo. El host debe ejecutar el protocolo NTP. Puede especificar hasta cuatro entradas de host.

Nota: Si usa el nombre del host, el host debe estar registrado en DNS, NIS o en el archivo de hosts local del Data Mover.

Ejemplo:

Inicie el servicio NTP en server_2 escribiendo:$ server_date server_2 timesvc start ntp 152.67.195.32

Salida:

server_2 : done



Configuración de DNS en el Data MoverLos entornos Windows 2000 y Windows Server 2003 requieren un servidor DNS. El nombre de dominio DNS y la dirección IP del Data Mover están definidos para el dominio mediante el comando server_dns, como se mostrará posteriormente en esta sección.

Cada dominio está asociado con una lista de servidores, que pueden responder a las consultas de DNS para ese dominio. Puede configurar un Data Mover con un número ilimitado de dominios DNS, y cada dominio puede tener hasta tres servidores DNS. Se recomienda especialmente configurar, como mínimo, dos servidores DNS por dominio (uno preferido y uno alternativo).

Configuring EMC Celerra Naming Services brinda información adicional sobre los servicios de asignación de nombres.

Debe configurar más de un dominio DNS por Data Mover cuando la configuración de CIFS del Data Mover incluye servidores CIFS que:

u Son para dominios que no se encuentran en el mismo bosque de Windows

u No reciben servicio de los mismos servidores DNS

Por ejemplo, es posible tener dos redes conectadas al Data Mover: una públicay una privada, sin que exista comunicación entre las dos. En este caso, la

2. Compruebe que el Data Mover esté conectado al servidor NTP mediante la siguiente sintaxis de comandos:$ server_date <movername> timesvc stats ntp

donde:<movername> = nombre del Data Mover.

Ejemplo:

Compruebe la conectividad del Data Mover con el servidor NTP escribiendo:$ server_date server_2 timesvc stats ntp

Salida:

server_2: Time synchronization statistics since start:hits=2357, misses=2, first poll hit=1, miss=0Last offset: 0 secs, 23006 usecsTime sync hosts:0 1 152.67.195.32

Paso Acción

../NameServices/index.htm


configuración de un dominio DNS por red permite al Data Mover trabajar con los dos dominios.

Acción

Para configurar el Data Mover para que use servidores DNS, utilice la siguiente sintaxis de comandos:$ server_dns <movername> [-protocol {tcp|udp}] <dns_domain_name> {<ip_addr>,...}

donde:<movername> = nombre del Data Mover.{tcp|udp} = protocolo que se establecerá para los servidores de búsqueda de DNS. UDP es el protocolo predeterminado. <dns_domain_name> = nombre de dominio completo del dominio DNS.{<ip_addr>,...} = establece una lista de hasta tres direcciones IP que se usarán como servidores de búsqueda de DNS para <domain_name>.

Nota: El comando server_dns se puede repetir para diferentes dominios.

Nota: Dado que la mayor parte de las solicitudes de DNS son mensajes cortos, UDP es el protocolo preferido. Si un mensaje de DNS supera los 512 bytes, el Data Mover automáticamente pasa al protocolo TCP para llevar a cabo un procesamiento específico de solicitudes. Solamente se debe forzar el protocolo TCP cuando no haya ningún servidor DNS junto al Data Mover.

Ejemplo:

Para agregar dos servidores DNS a server_2 desde el dominio DNS company.com, escriba lo siguiente:$ server_dns server_2 universe.com 192.159.48.58,192.159.48.48

Salida

server_2 : done


(Opcional) Visualización del estado de la configuración de DNS

Adición de una cuenta al controlador de dominio de Windows NTAntes de agregar un servidor CIFS basado en Celerra a un dominio de Windows NT, debe agregar una cuenta de equipo al controlador de dominio de Windows NT a fin de identificar el servidor CIFS; consulte "Creación de una nueva cuenta de equipo" en la página 29.

Siga este procedimiento para agregar un servidor CIFS a un dominio de Windows NT.

Nota: Este paso no es necesario si está usando la autenticación de usuarios de UNIX o SHARE.

Creación de una nueva cuenta de equipoSi está utilizando cuentas de equipo existentes al configurar servidores CIFS basados en Celerra, utilice este procedimiento para crear y unir el servidor CIFS.

Acción

Para visualizar el estado de la configuración de DNS en el Data Mover, utilice la siguiente sintaxis de comandos:$ server_dns <movername>

donde: <movername> = nombre del Data Mover o VDM.

Nota: El nombre de dominio debe existir. La dirección IP debe ser la dirección IP de un servidor DNS en el dominio DNS.

Ejemplo:

Para mostrar el estado de DNS para server_2, escriba lo siguiente:$ server_dns server_2

Salida

server_2 :DNS is running.universe.comproto:udp server(s):152.67.195.32

Paso Acción

1 En el controlador de dominio primario, seleccione Start (Inicio) > Administration Tools (Herramientas administrativas) > Server Manager (Administrador de servidores).

2. En el menú Computer (Equipo), seleccione Add to Domain (Agregar a dominio). Se abre el cuadro de diálogo Add Computer to Domain (Agregar equipo al dominio).

3. Seleccione Windows NT Workstation or Server (Estación de trabajo o servidor de Windows NT) y escriba el nombre NetBIOS del servidor CIFS en el campo Computer Name (Nombre del equipo). Haga clic en Add (Agregar).

Nota: El nombre NetBIOS es el nombre que se usa para identificar el servidor CIFS que crea en "Creación de una nueva cuenta de equipo" en la página 29.


Según el entorno de dominio de Windows, el procedimiento para agregar un nombre de servidor CIFS varía. Las tareas en las siguientes secciones suponen que el nombre de dominio DNS y el nombre de dominio de Active Directory son los mismos, y que está usando la cuenta de usuario predeterminada (un miembro del grupo de administradores de dominio).

La cuenta del usuario debe pertenecer a un dominio en el mismo bosque de AD que el dominio al que se unirá el servidor CIFS.

Paso Acción

1. En Windows, vaya a Active Directory Users and Computers (Usuarios y equipos de Active Directory) y cree un nuevo equipo con el mismo comp_name que utilizará para crear el servidor CIFS en "Creación de un servidor CIFS en un Data Mover" en la página 31.

2. (Opcional) Si está delegando la autoridad de unión, en el campo User or Group (Usuario o grupo), escriba o busque al usuario o grupo a quien desea delegar autoridad de unión. Configuring and Managing CIFS on EMC Celerra brinda información detallada sobre la delegación de la autoridad de unión.



Creación de un servidor CIFS en un Data Mover"Adición de los servidores CIFS para los entornos Windows NT" en la página 34 brinda instrucciones sobre cómo agregar un servidor CIFS a un entorno Windows NT.

Acción

Para crear el servidor CIFS para un entorno de Windows 2000 o Windows Server 2003 en el Data Mover, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add compname=<comp_name>,domain=<full_domain_name>[,hidden={y|n}][,netbios=<netbios_name>][,interface=<if_name>][,dns=<if_suffix>][,local_users]

donde:<movername> = nombre del Data Mover o VDM.<comp_name> = servidor CIFS compatible con Windows 2000 o Windows Server 2003. Este valor puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS. Cada <comp_name> en un Celerra Network Server debe ser exclusivo.

Nota: Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM o VDMs no pueden coexistir en el mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las interfaces, y los servidores CIFS de un VDM requieren interfaces específicas. Si existe un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado. Evite usar un servidor CIFS predeterminado especificando una interfaz para su uso.

<full_domain_name> = dominio de Windows para el nombre de dominio. El <full_domain_name> debe contener un punto (por ejemplo: domain.com).hidden={y|n} = de manera predeterminada, el nombre del equipo se muestra el Explorador de Windows. Si se especifica y, el nombre del equipo no aparece.<netbios_name> = (opcional) un nombre NetBIOS utilizado en lugar del nombre NetBIOS predeterminado. Los nombres NetBIOS tienen un límite de 15 caracteres y no pueden comenzar con @ (arroba) ni - (guión). El nombre tampoco puede incluir espacios en blanco, caracteres de tabulación y los siguientes símbolos: / \ : ; , = * + | [ ] ? < > "

Escriba un nombre NetBIOS opcional si los primeros 15 caracteres del <comp_name> no cumplen con las convenciones de asignación de nombres NetBIOS o si desea un nombre distinto del predeterminado. Solo puede asignar un nombre de equipo y un nombre NetBIOS a un servidor CIFS. Si necesita asignar múltiples nombres de equipo o nombres NetBIOS a un servidor CIFS, debe crear alias. Configuring and Managing CIFS on EMC Celerra explica cómo crear alias de nombres de equipos y NetBIOS. <if_name>= interfaz que utilizará el servidor CIFS que se está configurando. Si agrega un servidor CIFS y no especifica ninguna interfaz (con la opción interfaces= ), este servidor será el servidor CIFS predeterminado y usará todas las interfaces no asignadas a otros servidores CIFS en el Data Mover. Solo puede haber un servidor CIFS predeterminado por Data Mover.<if_suffix>= sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta la configuración DNS del Data Mover.

La opción local_users permite crear cuentas de usuario en su Data Mover. Configuring and Managing CIFS on EMC Celerra explica los usuarios locales.

Ejemplo:

Para crear el servidor CIFS dm32-ana0 en server_2, escriba lo siguiente:$ server_cifs server_2 -add compname=dm32-cge0, domain=universe.com,netbios=eng23b,interface=cge0,dns=nasdocs.emc.com

Salida

server_2 : done





Inicio del servicio CIFSDespués de completar la configuración de CIFS, debe iniciar el servicio CIFS en todos los entornos Windows para activar el protocolo CIFS para cada Data Mover.

Unión de un servidor CIFS a un dominio de WindowsEn Configuring and Managing CIFS on EMC Celerra, se explica cómo unir los servidores CIFS a un dominio de Windows con las siguientes configuraciones:

u El mismo namespace sin una unión delegada

u El mismo namespace con una unión delegada

u Namespace desligado sin una unión delegada

u Namespace desligado y una unión delegada

Acción

Para iniciar el servicio CIFS, utilice la siguiente sintaxis de comandos:$ server_setup <movername> -Protocol cifs -option start[=<n>]

donde:<movername> = nombre del Data Mover o VDM.[=<n>] = cantidad de procesos para usuarios de CIFS (si hay un 1 GB de memoria en el Data Mover, la cantidad predeterminada de procesos es 96; sin embargo, si hay más de 1 GB de memoria, la cantidad predeterminada de procesos es 256).

Nota: Para cambiar la cantidad de procesos después de iniciar el servicio CIFS, debe detener el servicio y reiniciarlo con la nueva cantidad de procesos. Configuring and Managing CIFS on EMC Celerra explica cómo detener el servicio CIFS.

Ejemplo:

Para iniciar el servicio CIFS en server_2, escriba lo siguiente:$ server_setup server_2 -Protocol cifs -option start

Salida

server_2 : done





(Opcional) Confirme la configuración

Durante el procedimiento de unión del servidor CIFS, el sistema configura los siguientes atributos de la cuenta del equipo en el Active Directory:

u dNSHostName

u servicePrincipalName

Para realizar una rápida comprobación de la operación de unión, consulte el Active Directory usando opciones, como scripts y el snap-in MMC ADSI, a fin de obtener valores para los atributos dNSHostName y servicePrincipalName.

Además, puede usar la herramienta de Microsoft ldp.exe que viene con Windows 2000 y Windows Server 2003, que se encuentra en el directorio support/tools del CD de instalación. Esta utilidad realiza búsquedas de LDAP en el Active Directory a fin de obtener información específica según el criterio de búsqueda. Permite a los administradores consultar los datos invisibles mediante las herramientas administrativas estándar de Microsoft.

Acción

Para unir el servidor CIFS al dominio de Windows, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -Join compname=<comp_name>,domain=<full_domain_name>,admin=<domain_administrator_name>,ou=<organizational_unit>]

donde:<movername> = nombre del Data Mover o VDM.<comp_name> = nombre de la cuenta del servidor CIFS en Active Directory. Este valor puede tener hasta 63 caracteres UTF-8 y representa el nombre del servidor que se registrará en DNS. <full_domain_name> = nombre DNS para el dominio Windows. Este valor debe incluir un punto (ejemplo: domain.com).<domain_administrator_name> = nombre de inicio de sesión del usuario con derechos administrativos en el dominio. El usuario debe escribir una contraseña para la cuenta de administrador.<organizational_unit> = contenedor donde la cuenta del servidor CIFS se crea en el Active Directory.

Ejemplo:

Para unir dm112-cge0 al dominio de Active Directory nasdocs.emc.com, usando la cuenta de administrador y para agregar este servidor a la unidad organizacional Engineering\Computers, escriba lo siguiente:$ server_cifs server_2 -Join compname=dm112-cge0,\domain=nasdocs.emc.com, admin=administrator,ou="ou=Computers:ou=Engineering"

Salida

server_2 : Enter Password: *******done


Nota: Los atributos de las cuentas de equipos precreadas, dNSHostName y servicePrincipalName, deben estar vacíos antes de una unión. Después de realizar una unión exitosamente, se les asignan valores a estos atributos.

Adición de los servidores CIFS para los entornos Windows NT

El comando server_cifs se usa para crear un servidor CIFS asignando un nombre de dominio y un nombre NetBIOS a un Data Mover.

Paso Acción

1. Para usar ldp.exe, inicie sesión en el controlador de dominio usando las credencialesdel administrador del dominio.

2. Compruebe que las herramientas de soporte estén instaladas.

3. Seleccione Start (Inicio) > Run (Ejecutar).

4. Escriba ldp.exe y haga clic en OK (Aceptar).

5. Conecte y únalo al Active Directory.

6. Realice una búsqueda del contenedor especificado (CN) con los atributos asociados, incluso dNSHostName y servicePrincipalName.


El servidor CIFS se identifica mediante el nombre NetBIOS y el nombre de dominio al que pertenece.

Acción

!PRECAUCIÓN!No intente combinar los servidores Windows NT CIFS (servidor NetBIOS) con los servidores CIFS Windows 2000 o Windows Server 2003 (servidores de nombres de equipo) en el mismo dominio de Windows. Esto puede causar que el Data Mover pierda contacto con el dominio.

Para crear un servidor CIFS, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add netbios=<netbios_name>,domain=<domain_name>[,hidden={y|n}][,interface=<interface_name>[,wins=<ip>][,dns=<if_suffix>]][,local_users]

donde:<movername> = nombre del Data Mover o VDM.<netbios_name> = nombre NetBIOS para el servidor CIFS, que tiene un límite de 15 caracteres y no puede comenzar con @ (arroba) ni - (guión). Asimismo, el nombre no puede incluir espacios en blanco, caracteres de tabulación ni los siguientes símbolos: / \ : ; , = * + | [ ] ? < > "

Al crear un servidor CIFS, si usa la autenticación de usuarios de UNIX o SHARE en el Data Mover, agregue un <netbios_name>, en lugar de un <comp_name> y vaya a "Inicio del servicio CIFS" en la página 32.

Nota: Cada <comp_name> dentro de Celerra Network Server debe ser único. Un servidor CIFS predeterminado y servidores CIFS dentro de un VDM o VDMs no pueden coexistir en el mismo Data Mover. Un servidor CIFS predeterminado es un servidor CIFS global asignado a todas las interfaces, y los servidores CIFS de un VDM requieren interfaces específicas. Si existe un VDM en un Data Mover, no se puede crear un servidor CIFS predeterminado. Evite usar un servidor CIFS predeterminado especificando una interfaz para su uso.

<domain_name> = nombre del dominio para el entorno de Windows. Para que el servidor CIFS se una a un grupo de trabajo en lugar de a un dominio, reemplace el <domain_name> por el nombre del grupo de trabajo.hidden ={y|n} De manera predeterminada, el nombre NetBIOS se muestra en el explorador de Windows. Si se especifica hidden=y, el nombre NetBIOS no aparece.<interface_name> = interfaz para el servidor CIFS. Si agrega un servidor CIFS y no especifica interfaces (con la opción interfaces=), este servidor se convierte en el servidor CIFS predeterminado y utiliza todas las interfaces no asignadas a otros servidores CIFS en el Data Mover. Solamente puede haber un servidor CIFS predeterminado por Data Mover. <ip> = (opcional) asocia hasta dos direcciones IP de WINS con cada interfaz.<if_suffix> = sufijo DNS diferente para la interfaz para las actualizaciones de DNS. De manera predeterminada, el sufijo DNS se deriva del dominio. Esta opción DNS no afecta la configuración DNS del Data Mover.

La opción local_users permite crear cuentas de usuario en su Data Mover. Configuring and Managing CIFS on EMC Celerra explica la opción de usuarios locales.

Ejemplo:

Para crear el servidor CIFS dm32-ana0 en server_2, escriba lo siguiente:$ server_cifs server_2 -a netbios=dm32-cge0,domain=universe, interface=cge0,wins=191.10.10.1

Salida

server_2 : done




Creación de servidores CIFS adicionales

Soporte para múltiples dominios

Para acceder a más de un dominio, puede hacer lo siguiente:

1. Crear interfaces de red múltiples en el Data Mover.

2. Asociar cada interfaz con un dominio diferente mediante la creación de múltiples servidores CIFS en el Data Mover.

Nota: Por cuestiones de seguridad, considere la utilización de un VDM o un Data Mover separado en entornos con múltiples dominios de Windows. Configuración de Data Movers virtuales para EMC Celerra describe de manera detallada cómo configurar VDMs.

Comprobación de una configuración CIFS y sus dependencias

Dominios de Windows NT Dominios de Windows 2000 o Windows Server 2003

1. Agregue cuentas para los servidores CIFS adicionales al controlador de dominio de Windows NT ("Adición de una cuenta al controlador de dominio de Windows NT" en la página 29).

2. Cree los servidores CIFS ( "Adición de los servidores CIFS para los entornos Windows NT" en la página 34).

1. Cree los servidores CIFS ("Creación de un servidor CIFS en un Data Mover" en la página 31).

2. Una los servidores CIFS a los dominios apropiados ("Creación de una nueva cuenta de equipo" en la página 29).

Acción

Para probar una configuración de CIFS y todas sus dependencias o una dependencia específica,

utilice la siguiente sintaxis de comandos:$ server_checkup <movername> -test <component> -subtest <dependency>

donde:<movername> = nombre del Data Mover o VDM.<component> = componente que se probará; en este caso, CIFS.<dependency> = dependencia específica de la configuración de CIFS que se probará, como el subsistema Kerberos o la base de datos de grupos locales.

Ejemplo:

Para comprobar todas las dependencias de CIFS de server_2, escriba lo siguiente:$ server_checkup server_2 -test CIFS



Salida

server_2 :

------------------------------------Checks--------------------------------------

Component CIFS :

ACL : Checking the number of ACL per file system.....................*PassConnection: Checking the load of TCP connections of CIFS................... PassCredential: Checking the validity of credentials........................... PassDC : Checking the connectivity and configuration of the DCs.........*PassDFS : Checking the DFS configuration files and DFS registry.......... PassDNS : Checking the DNS configuration and connectivity to DNS servers. PassEventLog : Checking the configuration of Windows Event Logs............... PassFS_Type : Checking if all file systems are all DIR3 type................. PassGPO : Checking the GPO configuration................................. PassHomeDir : Checking the configuration of home directory share............. PassI18N : Checking the I18N mode and the Unicode/UTF8 translation tables. PassKerberos : Checking machine password update for Kerberos.................. PassLocalGrp : Checking the local groups database configuration............... PassNIS : Checking the connectivity to the NIS servers, if defined....... FailNTP : Checking the connectivity to the NTP servers, if defined....... FailNtxmap : Checking the ntxmap configuration file......................... PassSecurity : Checking the CIFS security settings............................ PassServer : Checking the CIFS files servers configuration.................. PassShare : Checking the network shares database........................... PassSmbList : Checking the range availability of SMB ID......................*PassThreads : Checking for CIFS blocked threads.............................. PassUM_Client : Checking for the connectivity to usermapper servers, if any.... PassUM_Server : Checking the consistency of usermapper database, if primary....*PassUnsupOS : Checking for unsupported client network OS..................... PassUnsupProto: Checking for unsupported client network protocols.............. PassVC : Checking the configuration to Virus Checker servers............ PassWINS : Checking for the connectivity to WINS servers, if defined...... Pass

NB: a result with a '*' means that some tests were not executed. use -full to runthem

--------------------------------------------------------------------------------

-----------------------------CIFS : NIS Warnings--------------------------------

Warning 17456169063: server_2 : The NIS domain testcop is defined with only oneNIS server. High availability is compromised.--> Add another NIS server using the 'server_nis' command.

-----------------------------CIFS : NTP Warnings--------------------------------

Warning 17456169044: server_2 : The Network Time Protocol subsystem (NTP) hasbeen stopped or is not connected to its server. It may cause potential errors withKerberos timeskew.--> If the service is not running, start the NTP service. If it's not connected,check the IP address of the NTP server. If needed, add another NTP server in theconfiguration of the Data Mover. Use the server_date command to manage the NTPservice and the parameters on the Data Mover.Read the man pages for details andexamples.


Creación de cuentas de usuarios locales en un servidor CIFSLa función de usuario local permite crear un número limitado de cuentas de usuario local en un servidor CIFS. El soporte de cuentas de usuarios locales en un servidor CIFS cumple dos objetivos:

u Proporciona acceso al servidor CIFS incluso cuando el controlador de dominio no está disponible para la autenticación. Si el controlador de dominio no está disponible, las cuentas de usuarios de dominios no pueden acceder al servidor CIFS. En este caso, la función de usuario local permite acceder al servidor CIFS de dominio iniciando sesión en una cuenta local.

u Permite la creación de una simple configuración de servidor CIFS sin una infraestructura de dominio. Este tipo de servidor CIFS, llamado un servidor independiente, no requiere componentes externos, como un controlador de dominio o usermapper. Los usuarios inician sesión en el servidor CIFS independientes con las cuentas de usuarios locales.

Un servidor independiente es un servidor de sobrecarga baja y de bajo costo que puede usar para entornos pequeños o en lugar de servidores que usan el modo de seguridad SHARE. "Utilización de servidores independientes en lugar de Data Movers con autenticación de SHARE" en la página 49 brinda más información para reemplazar el modo de seguridad SHARE.

Nota: Las cuentas de usuarios locales son solamente para el acceso a CIFS y no se pueden asignar a las cuentas de UNIX. A las cuentas de usuarios locales no se les asignan UIDs mediante los métodos de mapping utilizados para los usuarios de dominio; Celerra Network Server directamente asigna los UIDs de usuarios locales a partir de un rango especial.

RequisitosA continuación, se mencionan los requisitos para el soporte de usuarios locales:

u Soporte Unicode en el Data Mover.

u El método de autenticación de usuarios del Data Mover se debe configurar para NT, que es el método de autenticación predeterminado.

Nota: Si un servidor CIFS compatible con Windows 2000 o Windows Server 2003 se configura de manera que solamente acepte la autenticación Kerberos, las cuentas de usuarios locales no pueden iniciar sesión en el servidor. Una manera conveniente de desactivar el inicio de sesión de usuarios locales es configurar authentication=kerberos con el comando server_cifs.


Creación de servidores CIFS con soporte de usuarios localesExisten dos tipos de servidores CIFS con soporte de usuarios locales:

u Un servidor CIFS regular conectado a un dominio. El soporte de usuarios locales en un servidor CIFS de dominio permite acceso al servidor incluso cuando el controlador de dominio no está disponible para la autenticación de usuarios.

u Un servidor CIFS independiente sin infraestructura de dominio. El servidor pertenece a un grupo de trabajo de Windows, por lo que no es necesario contar con una infraestructura de dominio.

Antes de crear servidores CIFS con soporte de usuarios locales, es necesario activar Unicode en el Data Mover. El método de autenticación se debe configurar para NT, que es el método predeterminado. "Cuentas de grupos y usuarios locales" en la página 14 brinda información sobre las diversas cuentas de grupos y usuarios locales.

Nota: Una vez activado, el soporte de usuarios locales no se puede desactivar. Solamente se pueden desactivar las cuentas de usuarios locales individuales. En un servidor CIFS independiente, no es posible desactivar la cuenta del administrador.

Para crear servidores CIFS con soporte de usuarios locales, realice lo siguiente:

u "Activación del soporte de usuario local en un servidor CIFS de dominio" en la página 40

u "Creación de un servidor CIFS independiente" en la página 41

u "Inicio del servicio CIFS" en la página 42


Activación del soporte de usuario local en un servidor CIFS de dominio

Acción

Para crear un servidor CIFS compatible con Windows 2000 o Windows Server 2003 con soporte de usuarios locales o para agregar servicio de soporte de usuarios locales a un servidor CIFS existente, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add compname=<comp_name>,domain=<full_domain_name>,interface=<if_name>,wins=<ip>[:<ip>][,local_users]

donde:<movername> = nombre del Data Mover.<comp_name> = nombre de equipo para el servidor CIFS.<full_domain_name> = nombre DNS para el dominio Windows.<if_name> = nombre de la interfaz.

Se le solicitará la contraseña del administrador local.

Nota: "Creación de un servidor CIFS en un Data Mover" en la página 31 proporciona instrucciones sobre cómo agregar un servidor CIFS.

Nota: Para activar el soporte de usuarios locales en un servidor CIFS compatible con Windows NT, utilice la sintaxis de comandos descrita en "Adición de los servidores CIFS para los entornos Windows NT" en la página 34.

Ejemplo:

Para crear el servidor CIFS de dominio dm32-ana0 en server_2 con soporte de usuarios locales, escriba lo siguiente: $ server_cifs server_2 -add compname=dm112-cge0,domain=NASDOCS,interface=cge0,wins=192.168.24.18,local_users

Salida Notas

Enter Password:*****Enter Password Again:*****server_2 : done

• La contraseña se asigna a la cuenta de administrador local en el servidor CIFS y solamente debe tener caracteres ASCII. Debe cambiar la contraseña mediante Windows para poder iniciar sesiónen la cuenta de administrador local. Al cambiar la contraseña, puede incluir caracteres Unicode. "Cambio de contraseña para la cuenta de administrador local" en la página 43 brinda instrucciones sobre cómo cambiar la contraseña del administrador.

• La opción local_users hace que el comando server_cifs solicite que se le asigne una contraseña a la cuenta del administrador local. No escriba la opción local_users si está reconfigurando el servidor después de la creación inicial. Para restablecer la contraseña del administrador, use la opción local_users. Sin embargo, no es posible restablecer la contraseña si se cambió por medio de Windows.


Creación de un servidor CIFS independiente

Acción

Para crear un servidor CIFS independiente, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -add standalone=<netbios_name>,workgroup=<workgroup_name>[,alias=<alias_name>...][,hidden={y|n}] [[,interface=<if_name>[,wins=<ip>[:<ip>]]...][,local_users][-comment <comment>]

donde:<movername> = nombre del Data Mover o Data Mover virtual (VDM).<netbios_name> = nombre NETBIOS para el servidor CIFS. El nombre NetBIOS tiene un límite de 15 caracteres y no puede comenzar con @ (arroba) ni - (guión). El nombre tampoco puede incluir espacios en blanco, caracteres de tabulación y los siguientes símbolos: / \ : ; , = * + | [ ] ? < > "Cada <netbios_name> dentro de un Celerra Network Server debe ser único.<workgroup_name> = nombre del grupo de trabajo de Windows. Este valor se utiliza para las presentaciones y el registro WINS.<alias_name> = alias WINS para el nombre NetBIOS. El <alias_name> asignado debe ser único en el Data Mover.hidden={y|n} De manera predeterminada, el nombre NetBIOS se muestra en el explorador de Windows. Si se especifica hidden=y, el nombre NetBIOS no aparece.<if_name> = interfaz IP para el servidor CIFS.<ip> = asocia hasta dos direcciones IP de WINS con cada interfaz.<comment> = comentario del usuario.local_users Activa el soporte de usuarios locales que permite crear una cantidad limitada de cuentas de usuarios locales en el servidor CIFS.

Ejemplo:

Para crear el servidor CIFS independiente dm32-ana0 en server_2, escriba lo siguiente: $ server_cifs server_2 -add standalone=dm112-cge0,workgroup=NASDOCS,interface=cge0,local_users


Inicio del servicio CIFS

Administración de servidores CIFS con soporte de usuarios localesEn esta sección, se proporciona información acerca de las siguientes tareas de administración:

u "Suministro de la contraseña de la red cuando se realizan tareas de administración" en la página 43

u "Cambio de contraseña para la cuenta de administrador local" en la página 43

Salida Notas

Enter Password:*****Enter Password Again:*****server_2 : done

• Si se usa IIS (Internet Information Service) 6.0, el nombre de usuario y la contraseña deben ser los mismos en IIS, el Data Mover y el cliente. De lo contrario, se deniega el acceso a IIS cuando se intenta conectar al directorio Web en un recurso compartido Celerra.

• La contraseña se asigna a la cuenta de administrador local en el servidor CIFS y solamente debe tener caracteres ASCII. Debe cambiar la contraseña mediante Windows para poder iniciar sesión en la cuenta de administrador local. Al cambiar la contraseña, puede incluir caracteres Unicode. "Cambio de contraseña para la cuenta de administrador local" en la página 43 brinda instrucciones sobre cómo cambiar la contraseña del administrador.

• La opción local_users hace que el comando server_cifs solicite que se le asigne una contraseña a la cuenta del administrador local. Esta opción se debe escribir cuando crea inicialmente el servidor independiente. Si no escribe la opción local_users, el comando generará un error.

• No escriba la opción local_users si está reconfigurando el servidor después de la creación inicial. Para restablecer la contraseña del administrador, use la opción local_users. Sin embargo, no es posible restablecer la contraseña si se cambió por medio de Windows.

• Si crea el servidor independiente en un Data Mover con un VDM cargado, debe especificar una interfaz IP.

Acción

Para iniciar el servicio CIFS si no se está ejecutando en el Data Mover, utilice la siguiente sintaxis de comandos:$ server_setup <movername> -Protocol cifs -option start[=<n>]

donde:<movername> = nombre del Data Mover.[=<n>]= cantidad de procesos para usuarios de CIFS (si hay 1 GB de memoria en el Data Mover, la cantidad predeterminada de procesos es 96. Sin embargo, si hay más de 1 GB de memoria, la cantidad predeterminada de procesos es 256).

Ejemplo:

Para iniciar el servicio CIFS en server_2, escriba lo siguiente:$ server_setup server_2 -Protocol cifs -option start

Salida

server_2 : done


u "Acceso a un servidor independiente" en la página 44

u "Creación de cuentas de usuario locales" en la página 44

u "Activación de la cuenta Guest en un servidor independiente" en la página 46

u "Configuración de ACLs en recursos compartidos" en la página 48

u "Eliminación de un servidor independiente" en la página 48

u "Otras funciones soportadas" en la página 48

Suministro de la contraseña de la red cuando se realizan tareas de administración

Cuando realice una acción de administración que intente recuperar los nombres de usuarios y grupos, como la configuración de ACLs en un recurso compartido, es posible que se le solicite su contraseña y nombre de cuenta administrativa.

Si se le solicita la contraseña de la red, deberá escribir el nombre de usuario en el siguiente formato para que la acción se realice con éxito.

Cambio de contraseña para la cuenta de administrador local

Para iniciar sesión en la cuenta de administrador local en el servidor CIFS independiente, debe cambiar la contraseña de la cuenta. Para los clientes Windows Server 2003, la contraseña para un servidor independiente no se puede cambiar desde una máquina unida a un dominio.

Acción

Para escribir la contraseña y el nombre de cuenta, utilice la siguiente sintaxis de comandos:<computername>\<username>

donde:<computername> = nombre del cliente local. Este nombre se puede recuperar mediante la emisión del siguiente comando desde la línea de comandos del cliente:echo %computername%\%username%<username> = nombre de una cuenta local con privilegios de administrador en el servidor CIFS

Nota

Si ejecutó un comando net use para especificar el nombre de usuario local para el servidor CIFS e indicó un nombre de dominio en el comando net use, debe escribir la combinación de <domainname>\<username> usada en el comando net use.

Ejemplo:

Si ejecuta el siguiente comando:

net use \\192.168.56.24 /user:DomainX\adminX

Es necesario escribir la siguiente información de la cuenta cuando se le solicite la contraseña de la red:

DomainX\adminX

Paso Acción

1 Para cambiar la contraseña de la cuenta de administrador local, inicie sesión en un cliente Windows y presione Ctrl + Alt + Delete (Supr).

2. Haga clic en Change Password (Cambiar contraseña). Aparecerá el cuadro de diálogo Change password (Cambiar contraseña).


Acceso a un servidor independiente

Si accede a un servidor independiente desde un cliente Windows en el que el nombre de usuario o la contraseña del usuario que inicio sesión no existe en la base de datos del grupo local del servidor independiente, especifique un nombre de usuario o contraseña distinto con el explorador de Windows. Para ello, vaya a Tools (Herramientas) > Map Network Drive (Conectar a unidad de red) > Connect (Conectar).

Nota: Al usar el snap-in MMC Users and Computers Management para acceder a un servidor independiente, si el cliente y el servidor no se encuentran en la misma subred, se puede resolver el nombre agregando una línea <IPaddress standaloneName> en el archivo \Windows\System32\Drivers\etc\hosts en el cliente. Para garantizar el acceso, especifique el nombre NetBIOS del servidor independiente en el siguiente comando.

Creación de cuentas de usuario locales

Es posible administrar cuentas de usuarios locales por medio del Administrador de usuarios de Windows o el snap-in MMC User and Computer Management. No puede administrar cuentas de usuarios locales mediante Celerra CLI o Celerra Manager. Las cuentas de usuarios locales se almacenan en la base de datos de grupos locales en el servidor CIFS.

3. Complete los campos de la siguiente manera:

a. En el campo Username (Nombre de usuario), escriba Administrator.b. En el campo Log on to (Iniciar sesión en), escriba el nombre o la dirección IP del

servidor CIFS.c. En el campo Old Password (Contraseña anterior), escriba la contraseña de la cuenta

de administrador original que escribió cuando activó el soporte de usuarios locales.d. En los campos New Password (Contraseña nueva) y Confirm New Password

(Confirmar contraseña nueva), escriba la nueva contraseña para la cuenta de administrador local.

Acción

Para especificar un nombre de usuario o una contraseña para conectarse a un servidor independiente, abra una línea de comandos en el cliente y utilice la siguiente sintaxis de comandos:

net use \\<standalone_server> /user:<Local_Username>

donde:<standalone_server> = dirección IP; para el snap-in MMC, nombre NetBIOS independiente<Local_Username> = nombre de usuario de una cuenta con derechos de administrador en el servidor independiente.

Ejemplo:

net use \\192.168.56.24 /user:administrator

Salida

Type the password for <IP_address>:The command completed successfully.

Paso Acción


recursos de usrmgr.exe

Para las plataformas que no son Windows NT, es posible obtener usrmgr.exe de Microsoft desde los siguientes recursos:

u Para Windows 2000 Server: usrmgr.exe está incluido en el Kit de recursos de Windows 2000.

u Para Windows Server 2003: usrmgr.exe está disponible para su descarga gratuita en las herramientas del Kit de recursos de Windows Server 2003.

Nota: La versión de usrmgr.exe de las herramientas del Kit de recursos de Windows Server 2003 también funciona en Windows 2000 Server.

Funciones de administración de cuentas soportadas

A continuación, se enumeran las funciones administrativas soportadas para las cuentas de usuarios locales en un Data Mover:

u Crear una nueva cuenta de usuario.

u Eliminar una cuenta de usuario existente.

u Cambiar el nombre de una cuenta de usuario

u Cambiar la contraseña de usuario desde la ventana de inicio de sesión.

u Restablecer una contraseña de usuario desde cualquier interfaz de administración de Windows nativa.

Formatos de contraseña y de nombre de usuario soportados

Los nombres de usuario y las contraseñas deben usar los siguientes formatos:

u Los nombres de usuarios pueden tener un máximo de hasta 256 caracteres Unicode, no pueden terminar con punto ni incluir los siguientes caracteres:

" / \ [ ] : ; | = , + * ? < >

Nota: Es posible que las herramientas de administración usadas para crear cuentas de usuarios alteren la cantidad límite de 256 caracteres. El administrador de usuarios de Windows y el complemento de administración de equipos MMC limitan los nombres de usuarios a 20 caracteres.

u Las contraseñas pueden tener un máximo de hasta 255 caracteres Unicode.

Nota: La contraseña inicial escrita usando el comando server_cifs debe tener solamente caracteres ASCII.


Propiedades de usuario soportadas

En la Tabla 8 en la página 46, se enumeran las propiedades de usuario soportadas y no soportadas cuando se crean cuentas de usuarios locales en un Data Mover.

Activación de la cuenta Guest en un servidor independiente

Tabla 8 Creación de cuenta de usuario: funciones soportadas y no soportadas

Función Soportada No soportada

Cuadro de diálogo de nuevo usuario:

• Nombre de usuario• Nombre completo• Descripción• Contraseña• El usuario debe cambiar la contraseña en el

próximo inicio de sesión• El usuario no puede cambiar la contraseña• La contraseña nunca caduca• Cuenta deshabilitada

Se soportan todas

Membresías de grupos Soportada

Perfil del entorno del usuario:

• Path de perfil de usuario• Nombre de script de inicio de sesión• Directorios principales

No se soporta ninguna

Información de acceso telefónico No soportada

Perfil de Terminal Services:

• Path de perfil del servidor terminal• Directorio principal del servidor terminal

No se soporta ninguna

Paso Acción

1 Abra el Administrador de usuarios de Windows.

Nota: Para usar usrmgr.exe para conectarlo a un servidor independiente, primero debe crear una conexión al recurso compartido IPC$ en el servidor CIFS, como se describe en "Acceso a un servidor independiente" en la página 44.

2. Conéctese al servidor independiente:

a. Seleccione User (Usuario) > Select Domain (Seleccionar dominio).

b. En el campo Domain (Dominio), escriba \\<standalone_server>donde:

<standalone_server> = la dirección IP o el nombre del servidor independiente.

Nota: Si usa usrmgr.exe para conectarse al servidor independiente, especifique la dirección IP del servidor CIFS en el formato \\IPaddress.

c. Haga clic en OK (Aceptar).d. Cuando el sistema se lo solicite, inicie sesión con la cuenta del administrador.


3. Haga doble clic en la cuenta Guest (Invitado). Aparecerá el cuadro de diálogo User Properties (Propiedades de usuario).

4. Configure la cuenta Guest (Invitado) como se muestra en la siguiente figura y haga clic en OK (Aceptar).

Nota: Para que la cuenta Guest (Invitado) sea más segura, puede agregar una contraseña a la cuenta. Todo usuario desconocido que inicie sesión con la contraseña de la cuenta Guest (Invitado) se registra como Guest.

5. En Administrador de usuarios, seleccione Policies (Directivas) > User Rights (Derechos de usuario). Aparecerá el cuadro de diálogo User Rights Policy (Directiva de derechos de usuario).

6. Conceda el derecho Access this computer from network (Tener acceso a este equipo desde la red) a la cuenta Guest (de invitado).

Paso Acción


Configuración de ACLs en recursos compartidos

Para configurar ACLs en los recursos compartidos, siga estas pautas:

u Para los servidores CIFS de dominio con soporte de usuarios locales, puede combinar grupos y usuarios de dominio y locales en ACLs.

u Si activa la cuenta guest (de invitado), use el grupo Authenticated Users en lugar del grupo Everyone en ACLs.

u La cuenta Guest no es un miembro del grupo Authenticated Users. Por consiguiente, cuando configure ACLs, use el grupo Authenticated Users en lugar del grupo Everyone. Esto impide que la cuenta de invitado acceda a recursos compartidos, a menos que expresamente proporcione a esa cuenta el acceso al recurso compartido. Únicamente la información que no es confidencial debe poder ser accedida por Everyone.

Eliminación de un servidor independiente

Otras funciones soportadas

A continuación, se mencionan otras funciones de Windows admitidas por el soporte de usuarios locales en un servidor CIFS.

Control de autenticación de LAN Manager

Celerra Network Server soporta las siguientes entradas del Registro que controlan la autenticación de LAN Manager:

u HKLM\System\CurrentControlSet\control\LSA\LMCompatibilityLevel

Nota: para los servidores CIFS en un dominio Windows 2000/Windows Server 2003, también se soporta la configuración del GPO equivalente, nivel de autenticación de LAN Manager.

u HKLM\System\CurrentControlSet\control\LSA\MSV1_0\NtlmMinClientSec

Acción

Para eliminar un servidor CIFS independiente, utilice la siguiente sintaxis de comandos:$ server_cifs <movername> -delete standalone=<netbios_name>

donde:<movername> = nombre del Data Mover o VDM.<netbios_name> = nombre NETBIOS para el servidor CIFS.

Ejemplo:

Para eliminar el servidor independiente, dm32-cge0, en server_2, escriba lo siguiente: $ server_cifs server_2 -delete standalone=dm112-cge0

Nota: si elimina un servidor CIFS con soporte de usuarios locales, y luego crea un servidor CIFS nuevo con soporte de usuarios locales con el mismo nombre que el servidor viejo, no es posible establecer una nueva contraseña porque se retuvo la contraseña de administrador local original.

Salida

server_2 : done


El artículo de servicio de soporte de Microsoft How to Disable LM Authentication on Windows NT brinda información sobre cómo configurar estas entradas del Registro. Para consultar este artículo, vaya a www.microsoft.com.

Contraseñas en texto claro

Las contraseñas en texto claro se soportan. En función de la versión del sistema operativo Microsoft Windows que tenga, puede activar las contraseñas en texto claro de las siguientes maneras:

u Cambiando la siguiente entrada del Registro a 1: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters\EnablePlainTextPassword

o

u Activando la GPO de “Send unecrypted password to connect to third-party SMB servers” por medio del nodo Opciones de Seguridad de la MMC de la directiva de seguridad de dominio o local.

Utilización de servidores independientes en lugar de Data Movers con autenticación de SHARELos Data Movers pueden usar uno de los tres métodos de autenticación de usuarios: NT, SHARE o UNIX. Si bien brinda un entorno CIFS simple para la administración y el acceso de usuarios, la autenticación de SHARE cuenta con muchas limitaciones y no es totalmente compatible con las versiones recientes de los sistemas operativos Windows, porque no soporta Unicode. Por estas razones, no se recomienda el uso del método de autenticación de SHARE.

Por cuestiones de simplicidad y facilidad de uso, se recomienda crear un servidor CIFS independiente en lugar de usar la autenticación de SHARE en un servidor CIFS. Un servidor CIFS independiente ofrece estas ventajas, a diferencia de un servidor CIFS con autenticación de SHARE:

u Soporte Unicode.

u Autenticación de NT completa para el inicio de sesión de usuarios en el servidor. Asimismo, es posible activar la cuenta Guest predeterminada y asignarle privilegios y derechos limitados a fin de proporcionar acceso de usuario simple.

u Control de ACL para restringir el acceso del usuario.

u Soporte para comandos NT.

u Acceso a archivos mayores de 2 GB.

u Performance mejorado para las operaciones de escritura.

El siguiente procedimiento configura un servidor CIFS independiente con acceso abierto al usuario:

u "Creación de servidores CIFS con soporte de usuarios locales" en la página 39

u "Cambio de contraseña para la cuenta de administrador local" en la página 43

u "Activación de la cuenta Guest en un servidor independiente" en la página 46


Por ejemplo, use el siguiente procedimiento para configurar un servidor CIFS como una biblioteca de documentos a fin de permitir que todos los usuarios lean los documentos, pero también limitar la cantidad de usuarios que puedan agregar o cambiar documentos.

Montaje de un file system para acceso a CIFSDespués de crear un punto de montaje para un file system, debe usar el comando server_mount para montar el file system para que los usuarios CIFS tengan acceso.

En esta sección, se describe el comando server_mount y se analizan las opciones específicas de CIFS asociadas con este comando.

Paso Acción

1. Cree un servidor CIFS independiente.

2. Active la cuenta Guest (con o sin contraseña). Los usuarios inician sesión en la cuenta Guest para leer los documentos.

3. Cree una cantidad limitada de cuentas de usuarios locales. Los administradores/escritores de documentos inician sesión en estas cuentas para agregar o cambiar los documentos.

4. Cree un recurso compartido.

5. Establezca los permisos en el recurso compartido de manera que el grupo Everyone tenga acceso de lectura, pero solamente el grupo Authenticated Users tenga acceso de escritura.


Montaje de un file system

Designación del tipo de montaje

Los file systems se pueden montar de las siguientes maneras:

Lectura/escritura: cuando un file system está montado para lectura/escritura (predeterminado) en un Data Mover, solamente ese Data Mover puede acceder al file system. Otros Data Movers no pueden montar el file system.

Solo lectura: cuando un file system está montado para solo lectura en un Data Mover, los clientes no pueden escribir en el file system, independientemente de los permisos que posean. Un file system puede estar montado para solo lectura en varios Data Movers al mismo tiempo, siempre y cuando ningún Data Mover haya montado el file system para lectura/escritura.

Acción

Para montar un file system, utilice la siguiente sintaxis de comandos:$ server_mount <movername> -o <options> <fs_name> <mount_point>

donde:<movername> = nombre del Data Mover físico o VDM.<options> = una lista de opciones de montaje separadas por comas.<fs_name> = nombre del file system que se está montando.<mount_point> = nombre del punto de montaje. Un <mount_point> debe comenzar con una barra diagonal (/). Cuando se monta inicialmente un file system, se requiere el <mount_point>; sin embargo, para el montaje de un file system después de haberlo desmontado temporalmente no se necesita un<mount_point>.

Nota: Al montar un recurso compartido, si no se especifican manualmente las opciones predeterminadas, las opciones están activas, pero no se muestran en la lista de file systems montados.

Ejemplo:

Para montar el file system ufs1 en server_2, escriba lo siguiente:$ server_mount server_2 -option nolock,accesspolicy=NATIVE ufs1 /ufs1

Nota: De manera predeterminada, Celerra usa la política de seguridad nativa para acceder a los file systems. Por ejemplo, se le concede acceso a un directorio a un usuario de Windows mediante una ACL. Si usa clientes UNIX y Windows para acceder a los mismos file systems, debe configurar permisos mediante las opciones de políticas de control de acceso del comando server_mount. Administración de EMC Celerra para un entorno de múltiples protocolos explica cómo configurar ese entorno.

Salida

server_2 : done



Creación de recursos compartidos para los usuarios CIFSUna vez que se montó el file system, cree un recurso compartido exportando el path (punto de montaje) del file system. Una vez creado, es posible acceder al recurso compartido desde un cliente Windows asignando una unidad de red al recurso compartido o mediante la conexión al path UNC del recuso compartido.

Notas: Para garantizar la seguridad de los servidores CIFS, seleccione usuarios Authenticated en lugar de Everyone cuando configure la ACL en el recurso compartido.Un file system iSCSI debe exportarse mediante un recurso compartido de CIFS o mediante exportación NFS. Si bien un cliente CIFS o NFS puede ver el LUN y copiarlo, los protocolos CIFS y NFS no pueden comprender su contenido.

En esta sección, se incluyen los siguientes temas:

u "Recursos compartidos globales versus recursos compartidos locales (NetBIOS)" en la página 52

u "Creación de un recurso compartido" en la página 54

u "Verificación de recursos compartidos" en la página 56

u "Eliminación de paths/recursos compartidos" en la página 56

Nota: Es posible usar las herramientas de administración de Windows para crearrecursos compartidos en el servidor CIFS. Sin embargo, si crea un recurso compartido con herramientas de Windows, no puede usar ninguna de las opciones especiales de exportación CIFS proporcionadas por server_export. Uso de herramientas administrativas de Windows con EMC Celerra describe detalladamente estas herramientas de administración.

Recursos compartidos globales versus recursos compartidos locales (NetBIOS)Cuando crea un recurso compartido, puede exportar el path como un recurso compartido global (accesible desde todos los servidores CIFS en el Data Mover) o

Acción

Para designar el tipo de montaje, utilice la siguiente sintaxis de comandos:$ server_mount <movername> -o rw|ro <fs_name> <mount_point>

donde:<movername> = nombre del Data Mover físico o VDM.<fs_name> = nombre del file system que se está montando.<mount_point> = nombre del punto de montaje. Un <mount_point> debe comenzar con una barra diagonal (/).

Ejemplo:

Para montar el file system ufs1 para lectura/escritura, escriba lo siguiente:$ server_mount server_2 -o rw ufs1 /ufs1

Salida

server_2 : done


como un recurso compartido local (accesible desde un único servidor CIFS). Para crear un recurso compartido local, debe usar la opción netbios= del comando server_export para especificar desde qué servidor CIFS es accesible el recurso compartido. Si no usa la opción netbios=, todos los servidores CIFS en el Data Mover tienen acceso global a los recursos compartidos creados con server_export.

Nota: Solo mediante la CLI de Celerra Network Server se puede administrar un recurso compartido local creado con la opción netbios= o con las herramientas de administración de Windows (por ejemplo, MMC), si especifica el nombre NetBIOS como parte del comando. El nombre NetBIOS es necesario para ubicar la entrada, dado que múltiples entradas de CIFS pueden tener el mismo <sharename> al pertenecer a distintos nombres NetBIOS.

Por lo general, los recursos compartidos creados con las herramientas administrativas de Windows son locales, y solamente se puede acceder a ellos desde el servidor CIFS usado por el cliente de Windows. Sin embargo, el parámetro cifs srvmgr.globalShares permite cambiar este comportamiento, de manera que los recursos compartidos creados por medio de Server Manager o MMC sean globales.


Creación de recursos compartidos globales con herramientas de Windows

Creación de un recurso compartido

Acción

Para que todos los recursos compartidos creados por medio de Server Manager o MMC sean globales, utilice la siguiente sintaxis de comandos:$ server_param <movername> -facility cifs -modify svrmgr.globalShares -value <new_value>

donde:<movername> = nombre del Data Mover.<new_value> = 0 ó 1.

0 desactiva los recursos compartidos globales1 activa los recursos compartidos globales

Nota: los nombres de parámetros y funcionalidades distinguen mayúsculas y minúsculas.

Ejemplo:

Para que todos los recursos compartidos creados por medio de Server Manager o MMC sean globales, escriba lo siguiente:$ server_param server_2 -facility cifs -modify srvmgr.globalShares -value 1

Salida

server_2 : done

Acción

Para crear un recurso compartido exportando el nombre del path del recurso compartido, utilice la siguiente sintaxis de comandos:$ server_export <movername> -P cifs -n <sharename> [-option <options>] [-comment <comment>] <pathname>

donde:<movername> = nombre del Data Mover físico o VDM.<sharename> = nombre del recurso compartido de CIFS.<options> = opciones de exportación para el recurso compartido. "Determinación de las opciones de exportación de los file systems" en la página 55 brinda un lista de todas las opciones de exportación.<comment> = mensaje asociado con el recurso compartido. Debe ir entre comillas y no puede contener dos puntos.<pathname> = nombre del punto de montaje.

Nota: si el <sharename> que está creando existe, los parámetros se modifican con la nueva información indicada.

Restricciones de los nombres de recursos compartidos:• Los nombres de los recursos compartidos distinguen entre mayúsculas y minúsculas y pueden

tener solamente caracteres ASCII. • Los nombres pueden incluir espacios y otros caracteres alfanuméricos, pero deben ir entre

comillas si se utilizan espacios. Los nombres no pueden incluir los siguientes caracteres: / \ “• La longitud del nombre del recurso compartido puede ser de hasta 12 caracteres, a menos que

esté activo el soporte para Unicode, en cuyo caso podrá ser de hasta 80 caracteres. • No es posible crear un recurso compartido NetBIOS con el mismo <sharename> de un

recurso compartido global.Ejemplo:

Para crear un recurso compartido de solo lectura llamado cifs_share en server_2, escriba lo siguiente:$ server_export server_2 -P cifs -n cifs_share -o ro -comment “Test Share” /mntpt1


Soporte UnicodeSi está activado el soporte Unicode, -name y -comment aceptan cualquier carácter multibyte definido por el estándar Unicode 3.0. De lo contrario, estas opciones aceptan solo caracteres ASCII. La longitud del nombre del recurso compartido puede ser de hasta 12 caracteres, a menos que esté activo el soporte para Unicode, en cuyo caso podrá ser de hasta 80 caracteres. Los nombres no pueden incluir los siguientes caracteres: /, \, %, ", NUL (carácter nulo), STX (inicio de encabezado), SOT (inicio de texto) y LF (salto de línea). Los nombres pueden incluir espacios y otros caracteres alfanuméricos, pero deben ir entre comillas si se utilizan espacios. No pueden comenzar con un - (guión). Distinguen entre mayúsculas y minúsculas. El límite de la longitud del comentario es de 256 caracteres. Un comentario no puede incluir los siguientes caracteres: NUL (carácter nulo), STX (inicio de encabezado) y SOT (inicio de texto). Los comentarios pueden incluir espacios y otros caracteres alfanuméricos, pero deben ir entre comillas si se utilizan espacios.

Determinación de las opciones de exportación de los file systemsExisten dos tipos de opciones de exportación de los file systems:

u En esta sección, se describen opciones de exportación para servidores CIFS que usan cualquier tipo de método de autenticación de usuarios (UNIX, NT o SHARE).

Nota: El método de autenticación de usuarios predeterminado para Windows 2000 y Windows Server 2003 es NT. Para los servidores de Windows NT, es posible que haya configurado el método de autenticación de usuarios como parte de "Configuración de file systems para acceso a CIFS" en la página 22.

u En Configuring and Managing CIFS on EMC Celerra, se describen las opciones de exportación adicionales para los servidores CIFS configurados para usar autenticación de usuarios basada en recursos compartidos Windows (security=SHARE).

Es posible crear un recurso compartido de CIFS con las siguientes opciones:

Salida

server_2 : done

Tabla 9 Opciones de exportación

Opción Resultado

ro Crea el recurso compartido como de solo lectura para clientes CIFS.

rw=<client>[:<client>]... Crea el recurso compartido como principalmente de lectura para clientes CIFS. Principalmente de lectura significa de solo lectura exportada para la mayoría de los clientes, pero de lectura y escritura para aquellos especificados. De manera predeterminada, el nombre del path se exporta como de lectura y escritura para todos los clientes. Un cliente puede ser un <user_name> o <group_name>. Los <user_name> y <group_name> deben definirse en el archivo passwrd del Data Mover.

Nota: Si la autenticación de usuarios en el Data Mover está configurada para NT, se ignora esta opción, y las ACLs de archivos y recursos compartidos controlan el acceso a los archivos.



Verificación de recursos compartidosLos recursos compartidos de la tabla de exportación se toman de la base de datos de Control Station. Esta es una tabla estática que contiene solamente entradas permanentes. No se muestran los cambios temporarios de la tabla de exportación.

Para verificar si un path o recurso compartido está actualmente exportado en el Data Mover, debe verificar el <sharename> o path individual.

Eliminación de paths/recursos compartidosCuando elimina un recurso compartido mediante la cancelación de la exportación del punto de montaje del recurso compartido, los usuarios no tienen más acceso a ese recurso compartido. Todas las cancelaciones de exportación de los recursos compartidos de CIFS son permanentes: cuando se cancela la exportación de un recurso compartido de CIFS, se elimina la entrada de la tabla de exportación. Para brindar acceso al usuario al file system, debe volver a exportar el file system.

Al usar CIFS, asegúrese de que todos los usuarios se hayan desconectado del recurso compartido antes de cancelar su exportación. Si exporta un directorio o file system de un Data Mover antes de desmontarlo, la próxima vez que intente acceder al file system aparecerá un cuadro de diálogo con el siguiente mensaje de error:

Cannot connect to share.

maxusr=<maxusr> Establece la cantidad máxima de usuarios simultáneos que soporta un recurso compartido. El valor maxusr no puede ser cero.

netbios=<netbios_Name>[,netbios=<netbios_Name>]...

Asocia un recurso compartido en un dominio único con uno o más nombres NetBIOS creados con server_cifs. De manera predeterminada, si no se especifica un nombre NetBIOS para un recurso compartido, este es un recurso compartido global visible para todos los nombres NetBIOS.

Acción

Para verificar un recurso compartido, utilice la siguiente sintaxis de comandos:$ server_export <movername> -l -n <sharename> -o <options>

donde:<movername> = nombre del Data Mover físico o VDM.<sharename> = nombre del recurso compartido de CIFS.<options> = opciones de la lista. Actualmente, solamente hay una opción, [netbios = <netbios_name>]. Cuando el recurso compartido cuenta con un nombre NetBIOS asociado, el nombre NetBIOS es necesario para ubicar la entrada, porque múltiples entradas de CIFS pueden tener el mismo <sharename> al pertenecer a distintos nombres NetBIOS.

Ejemplo:

Para enumerar los recursos compartidos en server_2, escriba lo siguiente:$ server_export server_2 -l -n cifs_share

Salida

server_2 : share “cifs_share” “/mntpt1” “Test Share” umask=022 maxusers=4294967295

Tabla 9 Opciones de exportación

Opción Resultado


Nota: De manera predeterminada, los recursos compartidos creados con las herramientas administrativas de Windows son recursos compartidos locales. En "Creación de recursos compartidos para los usuarios CIFS" en la página 52, se analizan los recursos compartidos locales. Para eliminar un recurso compartido local por medio de la CLI, debe especificar el nombre NetBIOS cuando ejecute el comando server_export.

Eliminación de un recurso compartido especificado

Eliminación de todos los recursos compartidos

Acción

Para eliminar un recurso compartido de CIFS, utilice la siguiente sintaxis de comandos:$ server_export <movername> -u -name <sharename> -o <options>

donde:<movername> = nombre del Data Mover físico o VDM.<sharename> = nombre del recurso compartido de CIFS.<options> = opciones de la lista. Actualmente, solamente hay una opción. netbios=<netbios_name>. Cuando el recurso compartido cuenta con un nombre NetBIOS asociado, el nombre NetBIOS es necesario para ubicar la entrada, porque múltiples entradas de CIFS pueden tener el mismo <sharename> al pertenecer a distintos nombres NetBIOS.

Ejemplo:

Para eliminar el recurso compartido cifs_share de server_2, escriba lo siguiente:$ server_export server_2 -u -n cifs_share

Salida

server_2: done

Acción

!PRECAUCIÓN!Use esta opción de manera cuidadosa. Después de eliminar todos los recursos compartidos, debe volver a crear la tabla de exportación. Para ello, vuelva a exportar cada path en cada Data Mover para restaurar la conectividad de los usuarios a todos los file systems montados.

Para eliminar todos los recursos compartidos de CIFS, utilice la siguiente sintaxis de comandos:$ server_export <movername> -P cifs -u -all

donde: <movername> = nombre del Data Mover físico o VDM.

Ejemplo:

Para eliminar todos los recursos compartidos de server_2, escriba lo siguiente:$ server_export server_2 -P cifs -u -all

Salida

server_2: done


Resolución de problemasComo parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de sus líneas de productos, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las revisiones de hardware y software que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto, consulte las notas de la versión del producto correspondiente.

Si un producto no funciona correctamente o de la manera que se describe en este documento, póngase en contacto con su representante de EMC.

Los comandos server_cifssupport y server_setup se pueden usar para resolver algunos errores de CIFS. Para obtener más información sobre la sintaxis de comandos y sus opciones, consulte las páginas de los manuales en línea o Manual de referencia de comandos de EMC Celerra Network Server.

Dónde obtener ayudaPara obtener información sobre licencias, productos y servicio de EMC, consulte:

Información de productos: para ver documentación, notas de la versión, actualizaciones de software o para obtener información sobre productos, licencias y servicios de EMC, visite el sitio Web de EMC Powerlink (registro obligatorio) en la dirección: http://Powerlink.EMC.com

Resolución de problemas: para obtener información sobre la resolución de problemas, vaya a Powerlink, busque Celerra Tools y seleccione Celerra Troubleshooting en el panel de navegación de la izquierda.

Servicio técnico: para obtener servicio técnico, visite Servicio al Cliente de EMC en Powerlink. Inicie sesión en el sitio Web de EMC Powerlink, vaya a Soporte > Solicitar Soporte. Para abrir una solicitud de servicio por medio de Powerlink, debe contar con un acuerdo de servicio válido. Comuníquese con un representante del Servicio al Cliente de EMC para obtener detalles sobre cómo obtener un acuerdo de servicio válido o para formular preguntas sobre su cuenta.

Nota: No solicite un representante de servicio específico a menos que ya se le haya asignado uno para su problema específico del sistema.

Problem Resolution Roadmap for EMC Celerra contiene información adicional sobre el uso de Powerlink y la resolución de problemas.

EMC E-Lab Interoperability NavigatorEMC E-LabTM Interoperability Navigator es una aplicación basada en Web en la quese pueden realizar búsquedas y que brinda acceso a matrices de soporte de interoperabilidad de EMC. Se encuentra disponible en el sitio Web de EMC Powerlink® en http://Powerlink.EMC.com. Inicie sesión en Powerlink, haga clic en Soporte > Información de Interoperabilidad y de Ciclo de Vida de Productos > E-Lab Interoperability Navigator.



http://Powerlink.EMC.com



../ProblemResolutionRoadmap/index.htm




Mensajes de errorA partir de la versión 5.6, todos los mensajes de estado, las alertas y los nuevos eventos proporcionan información detallada y acciones recomendadas para ayudarlo a resolver problemas.

Para ver información detallada de los mensajes, utilice alguno de los siguientes métodos:

u Celerra Manager:

• Haga clic con el botón secundario sobre un mensaje de estado, alerta o evento, y seleccione ver Event Details, Alert Details o Status Details.

u Celerra CLI:

• Utilice el comando nas_message -info <message_id> para recuperar información detallada sobre un error específico.

u EMC Celerra Network Server Error Messages Guide:

• Utilice esta guía para hallar información sobre mensajes que se encuentren en formato de mensaje de una versión anterior.

u Powerlink:

• Utilice el texto de la descripción breve del mensaje de error para realizar búsquedas en la Knowledgebase, en Powerlink. Inicie sesión en Powerlink y haga clic en Soporte > Búsqueda en la Knowledgebase > Buscar todo.

Construcción de mensajes de error de server_logEl formato del código de evento puede ayudar a reducir el rango de búsqueda de un mensaje. Existen varios componentes en el comienzo de cada línea que, por lo general, son consistentes en todo el log de eventos. Por ejemplo, los mensajes de eventos típicos presentan el siguiente formato:

2005-09-16 18:27:21: NFS: 3: commit failed, status = NoPermission2005-09-16 18:27:23: CFS: 3: Failed to open file, status NoPermission2005-09-16 18:27:23: LIB: 6: last message repeated 1 times

Puede usar el comando server_log para visualizar la información del archivo de log. Este mecanismo de log usa las funcionalidades de log típicas de varios sistemas:

u La primera parte indica la fecha y la hora del evento de log.

u La segunda parte es el subsistema del código Celerra que informó el evento (por ejemplo, NFS, CFS y LIB).

u La tercera parte es un código de clasificación, que es típico en funcionalidades de log de eventos. La información acerca de los códigos de clasificación se puede encontrar en la mayoría de los sistemas UNIX bajo el archivo de encabezado syslog.h, en el directorio /usr/include/sys.

Las definiciones de los códigos de clasificación posibles que soporta Celerra Network Server son las siguientes:

#define LOG_EMERG 0 /* system is unusable */#define LOG_ALERT 1 /* action must be taken immediately */#define LOG_CRIT 2 /* critical conditions */#define LOG_ERR 3 /* error conditions */#define LOG_WARNING 4 /* warning conditions */#define LOG_NOTICE 5 /* normal but signification condition */#define LOG_INFO 6 /* informational */#define LOG_DEBUG 7 /* debug-level messages */





u La cuarta parte describe la condición de error. Las condiciones de error en las primeras dos líneas de los ejemplos no necesitan explicación. Las operaciones que se realizan son "commit" y "open", con la condición de error NoPermission. Otros tipos de eventos no son tan descriptivos.

Códigos de error KerberosLos códigos de error Kerberos son estados que generalmente muestra el subsistema SMB. Estos se pueden reconocer en los eventos registrados por la existencia de un número negativo elevado. Por ejemplo:

2003-07-24 16:29:35: SMB: 3: SSXAK=c0020030 origin=401 stat=e0000,-1765328160

Kerberos está estandarizado, y existen recursos públicos donde buscar los significados de la mayoría de estos códigos de estado. Uno de ellos es el sitio Web http://www.net.berkeley.edu/kerberos/k5msgs.html, en el que se encuentra una completa lista de los códigos de error Kerberos y sus definiciones.

Códigos de estado NTLos códigos de estado NT se reportan para las funciones de emulación de CIFS o de Microsoft Windows en Celerra Network Server. Los códigos de estado NT son valores de 32 bits sin firmar que se separan en subgrupos de datos binarios que identifican las particularidades del estado de un evento. Los valores de 32 bits se distribuyen de la siguiente manera:

3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 +---+-+-+-----------------------+-------------------------------+ |Sev|C|R| Facility | Code | +---+-+-+-----------------------+-------------------------------+

Donde:

Sev es el código de severidad.

• 00: exitoso

• 01: informativo

• 10: advertencia

• 11: error

C: el indicador del código de Cliente

R: un bit reservado

Facility: el código de la funcionalidad

Code: el código de estado de la funcionalidad

Por lo común, los códigos de estado NT aparecen en el server_log con una especificación de subsistema SMB. El código de estado NT se presenta de diferentes maneras en los eventos de sistemas registrados. Entre los más frecuentes, se encuentran:

u Un número hexadecimal precedido por Em=0x:

SMB: 4: authLogon=SamLogonInvalidReply Es=0x0 Em=0xc0000064

http://www.net.berkeley.edu/kerberos/k5msgs.html


u Un número hexadecimal simple sin prefijo ni indicación de su formato:

SMB: 4: SSXAuth_SERVER_EXT13 aT=3 mT=1 c0000016

u Un número hexadecimal simple con prefijo de reply= sin indicación del formato:

SMB: 4: lookupNames:bad reply=c0000073

u Un número hexadecimal simple con prefijo de failed= sin indicación del formato:

SMB: 4: SessSetupX failed=c0000016

u Un número hexadecimal marcado claramente como NTStatus= pero sin indicación del formato:

SMB: 4: MsError sendLookupNames=21 NTStatus=c0000073

Programas de capacitación para clientesLos programas de capacitación para clientes de EMC están diseñados para ayudarlo a aprender la manera en que interoperan los productos de almacenamiento de EMC y se integran en el entorno para maximizar toda la inversión en infraestructura. Los programas de capacitación para clientes de EMC incluyen capacitación en línea y práctica en los laboratorios de última generación, que se encuentran distribuidos en todo el mundo para brindar gran comodidad. Los programas de capacitación para clientes de EMC son desarrollados e impartidos por expertos de EMC. Para obtener más información sobre los programas y registrarse, inicie sesión en Powerlink, nuestro sitio Web para clientes y partners, y seleccione el menú Capacitación.



Índice

AActive Directory, adición del servidor CIFS 32autenticación, Kerberos 11

Ccancelación de la exportación de file systems 56CIFS

configuración de pruebas 36creación de un recurso compartido 52definición 5guía de configuración 16implementación 10opciones de exportación 52protocolo 3prueba de dependencias 36servidor 6

comando server_mount 51comandos, server_mount 51comprobación, configuración de CIFS 36configuración

adición de nombres del servidor CIFS 29direcciones IP 25DNS 27fecha y hora 26inicio del servicio CIFS 32método de autenticación de usuario 22resolución de ID de usuario 22unicode 24unión del servidor al dominio 32

contraseñacuenta del equipo 11historial 17Kerberos 11resolución de problemas 17restablecimiento 17

contraseña de la cuenta del equipo 11cuentas

guest (de invitado) 44usuario local 44

cuentas de usuarios locales, creación 44cuentas guest (de invitados) 15

activación 46cuotas 8

DData Mover

autenticación de usuario 13, 20descripción general

configuración del servicio CIFS 23métodos de autenticación de usuario 13

dialectos 20direcciones IP, configuración 25DNS

configuración 27estado 29

problemas 9soporte 9

dominiosadición de servidores 29adición de una cuenta de equipo en Windows NT 29soporte para múltiples 36

Eexportación, file system

opciones CIFS 52exportando 54

Ffecha, sincronización 26File server Celerra

Windows 2000/Windows Server 2003 8Windows NT 9

file systemautenticación de usuario 13cancelación de la exportación 56requisitos 22tipos de montaje 51

filtrado ASCII 8, 24limitaciones 25

GGIDs

resolución 22guía de configuración 16

Hherramientas de administración, utilización de las

herramientas de Windows 53historial, contraseña 17hora, sincronización 26

IInformación, relacionada 6inicio del servicio CIFS 32interfaces de usuario, opciones 4internacionalización 8, 24

KKDC 11Kerberos 11

LLDAP

configuración del registro 12encriptación 11firma 11política de seguridad 13resolución de problemas 18

lista, recursos compartidos exportados 56

64 de 66 Configuración de CIFS en EMC® Celerra®Versión 5.6.42

Mmapping

IDs de usuarios 22modo de autenticación de usuario

configuración 20definición 13NT 13, 22seleccionando 22SHARE 13, 22UNIX 13, 22

modos de seguridad, definición 22montaje de file systems 51

Nnombre NetBIOS

ocultación 31, 35nombres de dominio completos, adición 29

Pparámetro cifs srvmgr.globalShares 53parámetros

cifs srvmgr.globalShares 53procesos 32

Rrecursos compartidos

cancelación de la exportación 56creación 52eliminación 56globales 52, 56lista 56locales 52, 56opciones de exportación 55restricciones de nombres 54, 55

recursos compartidos exportados, lista 56requisitos

file systems 22requisitos del sistema 3resolución de ID de usuario

configuración 22

Sseguridad, negociación con el Data Mover 17Servicio CIFS

definición 6servicio CIFS

descripción general de la configuración 23servidor independiente 38

acceso 44creación 41eliminación 48

servidores, adición a los dominios 29soporte de usuarios locales

contraseña de administrador 43cuenta guest (de invitado) 15cuentas predeterminadas 14requisitos 38

servidor independiente 38, 41

Ttipos de montaje 51

UUnicode, activación de soporte 24

WWindows

comparación de plataformas 11Windows 2000/Windows Server 2003

autenticación Kerberos 11Configuración de CIFS en un Data Mover 23

Windows NTadición de una cuenta de equipo 29con file server Celerra 9


Notas

Acerca de este documentoComo parte de su esfuerzo continuo por mejorar y optimizar el performance y las capacidades de la línea de productos Celerra Network Server, EMC lanza periódicamente nuevas versiones de las herramientas de hardware y software Celerra. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las versiones de las herramientas de hardware y software Celerra que se encuentran en uso actualmente. Para obtener la información más reciente acerca de las funciones de cada producto, consulte las notas de la versión del producto correspondiente. Si su sistema Celerra no cuenta con alguna de las funciones que se describen en este documento, póngase en contacto con su representante de Servicio al Cliente de EMC para obtener una actualización de hardware o software.

Comentarios y sugerencias acerca de la documentaciónSus sugerencias nos ayudarán mejorar la exactitud, organización y calidad general de la documentación para usuarios. Envíe un mensaje de correo electrónico a [email protected] para darnos su opinión acerca de este documento.

Copyright © 1998-2008 EMC Corporation. Todos los derechos reservados.

EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA "TAL CUAL". EMC CORPORATION NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO.

El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente.

Para consultar el documento regulatorio más actualizado para su línea de productos, visite la sección Documentación Técnica y Asesorías en EMC Powerlink.

Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en argentina.emc.com.

Todas las otras marcas comerciales incluidas en este documento pertenecen a sus respectivos propietarios.

Versión 5.6.42 66 de 66

Configuración de CIFS en EMC Celerra · EMC E-Lab Interoperability Navigator ... (CLI). También...

Documents

Transcript of Configuración de CIFS en EMC Celerra · EMC E-Lab Interoperability Navigator ... (CLI). También...