【Management】DFS 上のファイルロックは可能か?

先日ある方から頂いた質問です。 DFSはファイルのミラーができてよいが、分散されたファイルサーバーのそれぞれでファイルが開けてしまう。片方が開いたら、他のサーバー上の同じファイルをロックできないか? Distributed File Locking ってやつですね。残念ながら、OSには実装されていません。Windows Server 2008 R2 でもロック機能そのものが実装される予定はありません。 DFS(正確にはDFS-R)では同じファイルを複数の人が編集するというシナリオを想定しておらず、このご質問に対する回答は「是非とも SharePoint を使ってください」…となります。SharePointならば、チェックイン/チェックアウトの機能や、バージョニングの機能が実装されているので、複数ユーザーでの編集を想定した厳密な運用が可能です。ホームディレクトリの複製ならば、複数の人が同時に編集することは無いですしね…。 だったら、せめて編集できないようにしてくれよ というご意見は当然のごとくアリますね。 実は、これについては、Windows Server 2008 R2 で「Read-Only Replicated Folder」という機能が実装される予定です。中央のサーバーでのみ編集が可能であり、複製先では読み取り専用となります。この機能の配下で使用していただければ編集は1つのサーバー上に集中するため、ロックが働きます。 DFS Replication: What’s new in Windows Server™ 2008 R2(英語) http://blogs.technet.com/filecab/archive/2009/01/19/dfs-replication-what-s-new-in-windows-server-2008-r2.aspx Read-Only replicated folders 機能については以下の方が詳しいです。 Read-only replicated folders on Windows Server 2008 R2(英語) http://blogs.technet.com/filecab/archive/2009/01/21/read-only-replicated-folders-on-windows-server-2008-r2.aspx ※上の記事、面白いので、あとで日本語にして掲載します こうした比較的ニッチな分野については、多くの場合社外ソリューションがあるものです。 Peer Software社の PeerLock Server V2.0 (DFS File Locking)…

0

【記事】ThinkIT 「Windows Server 2008で作るファイルサーバー」シリーズ 全3回

すっかりごぶさたしてしまいました。特別面白いこともなく、淡々とした毎日を過ごしております。 ここのところ、「基本に立ち返ろう」ということで、Windows Server 2008 の「基本的な機能」や「うもれがちな標準機能」を紹介すべく施策を練っております。 その一環として ThinkIT に書かせていただいたのが、「Windows Server 2008で作るファイルサーバー シリーズ」でして、全3回が公開されました。 第1回 ここまでできる!標準サービス http://thinkit.jp/article/752/1/ 第2回 DFSによるファイルサーバー可用性の向上 http://thinkit.jp/article/789/1/ 第3回 グループポリシーを使ってらくらく管理 http://thinkit.jp/article/805/1/ いずれも、ファイルサービス機能に焦点を当てたものであり、「あ、こんな機能があったか」と新しい発見をしていただくとうれしいです。 初心者向けというよりは…ある程度経験を積んでいて、「2008に移行するとどうなるかなぁ?」と考えているエンジニア向けの内容になっています。 Windows Server 製品グループとも同様の施策を進めようとしております。お節の季節に、あえてインスタントカレーに着目してみる…ってかんじかな..いや違うな。 いま個人的に注目したいのは、いまさらですが、HTTP印刷ですかねぇ。まだ課金に使うほどの機能を備えていませんし、かといって標準でそこまで充実した機能を実装するとも思えないのですが、なにかチャンスを秘めている気がしてなりません。 それはそうと..こうした商用の原稿を書いていると…どうしてもブログがおろそかになるんですよねぇ…私は比較的ブログの投稿に時間をかけてしまう方で、商用原稿と同じくらいのパワーを使います。そのパワーを商用記事にとられてしまうわけで…いや、それがヤダというわけでは無くて…ボアアップしないとなぁと戸惑っている不惑です。 あ、エバコラムも提出していないや….ご、ごめんなさい>古林さん

0

【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その2

前回の続きです。前回はこちら。 【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その1 「アクセスベースの列挙」により共有フォルダ配下の不必要なフォルダを見せないようにすることができます。 同じようなことはDFS(分散ファイルシステム)でも可能ですが、方法が異なります。 例えば、以下のようなDFS名前空間が定義されているとします。 図の右側(\\FileSV1)が物理的な共有フォルダの構造です。それぞれのフォルダにはNTFSのアクセス権が設定されており、社員のアクセスが正しく制御されているとします。「一般社員用」フォルダ、「幹部社員用」フォルダともに「アクセスベースの列挙」が設定されていれば、その配下にあるアクセス権の無いフォルダは一覧にも表示されません。 DFS名前空間にマッピングしたのが、図の左側です。 一般社員が DFS名前空間  \\Contoso.jp\営業部 にアクセスしたとします。 デフォルトの状態では、フォルダ一覧には「一般社員用」「幹部社員用」共に表示されますが、NTFSのアクセス権により幹部社員用フォルダにアクセスしようとすれば「アクセスが拒否されました」というエラーが発生します。 では、DFS名前空間にもアクセスベースの列挙を適用し、「幹部社員用」フォルダが表示されないようにするにはどうしたらよいかといえば、dfsutil.exe コマンドを使用します。 dfsutil.exe property ABDE enable \\contoso.jp\営業部 ABDE は、Access Based Directory Enumlation の略であり、Enabled によって DFS名前空間ルート「\\contoso.jp\営業部」のアクセスベースの列挙機能を有効にしています。ちなみに、ABDE Enabled は、DFS名前空間ルートのみに設定できます。 これに加え、さらに以下のコマンドで DFS名前空間内のアクセス権を設定する必要があります。 dfsutil.exe property acl deny \\contoso.jp\営業部\幹部社員用 "contoso\一般社員グループ":F このコマンドでは、DFS名前空間「営業部」内の「幹部社員用」というエントリに対して、「contosoドメインの一般社員グループに所属するメンバー」からの一切のアクセス権(F)を拒否(Deny)しました。 これにより、一般社員が \\contoso.jp\営業部 に接続しても、「幹部社員用」フォルダは一覧に表示されなくなります。 幹部社員がアクセスした場合はどうかといえば、両方のフォルダが参照できます。「幹部社員用」フォルダ配下については、従来通り、NTFSのACLに定義されているアクセス権に沿ってアクセスベースの列挙が適用されます。つまり、dfsutil を使用しなくても、課長には「部長フォルダ」は表示されませんし、部長には「統括部長フォルダ」は表示されません。

0

【Management】Windows Server 2008 DFS(分散ファイルシステム)でのアクセスベースの列挙 その1

「アクセスベースの列挙(Access-Based Enumeration)」という機能はご存知でしょうか?初めての方もいらっしゃるかもしれないので、例を挙げて説明します。 詳しく知りたい方は、TechNet内のこちら をご覧ください。 以下のようなフォルダ構成があったとします。Home は共有フォルダです。 User01 が Z: ドライブに \\FileServer01\Home を接続した場合、Z:ドライブをエクスプローラーで開くと、おそらく、User02 や User03 など他のユーザーのフォルダも見えてしまいます。見えてしまっても、NTFSアクセス権さえ適切に設定しておけば、実際にアクセスしようとすれば「アクセス拒否」が発生します。よって、ひとまず心配は無いのですが、フォルダが見えてしまうということ自体、気持ち悪いかもしれません。 Homeディレクトリの場合、その配下に1000人や5000人分のホームディレクトリが存在する可能性もあり、その中から自分のフォルダを探すのもかなり面倒です。一覧が表示されるまでに相当に時間がかかるかもしれません。 そんなときに「アクセスベースの列挙」という機能を使用すると、アクセス権の無いフォルダは、はなから非表示にすることができるため、利用者を混乱させずにすみます。 Windows Server 2008 でアクセスベースの列挙を設定するには、「共有と記憶域の管理」スナップインを使用します。サーバーマネージャからも「共有の記憶域の管理」にアクセスできます。 「共有と記憶域の管理」を開いたら、共有ファオルダの一覧から「アクセスベースの列挙」を有効にする共有フォルダを選択し、コンテキストメニューから[プロパティ]を開きます。 以下をご覧ください。既定では「無効」に設定されています。 そこで、[詳細設定] をクリックして、以下のように「アクセスベースの列挙を有効にする」をチェックします。 これで、この共有フォルダの配下ではアクセスベースの列挙機能が有効になりました。 今後、アクセス権のないフォルダは一切表示されなくなります。 さて、同じようなことがDFSでもできるかどうか? できます。 が、ここで紹介した方法では残念ながら実現できません。 長くなったので、これについては次回の投稿で。 ちなみに、Windows Server 2003 (SP1以降)での実装方法が、以下に書かれています。 DFS 環境で Windows Server 2003 アクセス ベースの列挙を実装する方法 http://support.microsoft.com/kb/907458/ja

1