EMC VNXe Uso de un sistema VNXe con carpetas compartidas CIFS ® ™ VNXe Operating Environment versión 2.4 NÚMERO DE REFERENCIA 300-010-548 REV 04 Conectar a almacenamiento Copyright © 2013 EMC Corporation. Todos los derechos reservados. Publicado en mayo de 2013 EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso. La información de esta publicación se proporciona tal cual. EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y, específicamente, renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado. El uso, la copia y la distribución de todo software de EMC descrito en esta publicación requiere una licencia de software correspondiente. EMC2, EMC y el logotipo de EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales incluidas en este documento pertenecen a sus respectivos propietarios. Para consultar el documento regulatorio más actualizado para su línea de productos, visite la sección Documentación técnica y asesorías en el sitio web del servicio de soporte en línea de EMC. 2 Uso de un sistema VNXe con carpetas compartidas CIFS Contenido Prefacio Capítulo 1 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Requerimientos para configurar un host para utilizar almacenamiento CIFS de VNXe .............................................................................................. Requerimientos del sistema VNXe......................................................... Requisitos de la red .............................................................................. Servidor de carpetas compartidas VNXe CIFS en un dominio de Windows Active Directory ...................................................................... Servidor de carpetas compartidas VNXe CIFS independiente ................. Software de host Celerra para hosts VNXe en un ambiente CIFS ................... Descripción general del software para los hosts de VNXe en un ambiente CIFS ....................................................................................... Instalación del software de host para un ambiente CIFS ........................ Uso de Windows Continuous Availability (CA) .............................................. Uso de la alta disponibilidad de la red ......................................................... Redes a prueba de falla......................................................................... Agregaciones de enlaces....................................................................... Configuración de una agregación de enlaces......................................... Usar cifrado CIFS.......................................................................................... Configuración del almacenamiento de carpetas compartidas CIFS VNXe para el host (cliente) ................................................................... Configuración del acceso de usuario a los recursos compartidos CIFS en Active Directory ....................................................................................... Mapeo del recurso compartido CIFS en el host ............................................ Capítulo 2 10 10 10 10 10 11 11 12 13 14 15 16 17 19 19 19 20 Migración de datos CIFS al sistema VNXe Ambiente y limitaciones de una migración de CIFS....................................... 22 Migración de datos CIFS............................................................................... 23 Capítulo 3 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Apertura de la MMC de administración de equipos ...................................... Antes de utilizar los snap-ins de la MMC ............................................... Creación de recursos compartidos y establecimiento de las ACL con la MMC.................................................................................................. Antes de crear recursos compartidos o establecer accesos (ACL) .......... Establecimiento de las ACL en un recurso compartido existente en un servidor de carpetas compartidas................................................ Creación de un recurso compartido y establecimiento de sus ACL en el servidor de carpetas compartidas ................................................. Uso de la función home directory................................................................. Restricciones de uso del home directory ............................................... Adición de un home directory a Active Directory .................................... Adición de un home directory con expresiones...................................... Uso de los objetos de políticas de grupos (GPO) .......................................... Soporte de GPO en un servidor de carpetas compartidas de VNXe......... Uso de la firma de SMB................................................................................ Uso de un sistema VNXe con carpetas compartidas CIFS 26 26 26 26 27 27 28 28 29 29 31 31 33 3 Contenido Monitoreo del uso de recursos y las conexiones del servidor de carpetas compartidas con la MMC.............................................................................. Monitoreo de usuarios en el servidor de carpetas compartidas ............. Monitoreo del acceso a los recursos compartidos del servidor de carpetas compartidas....................................................................... Monitoreo del uso de archivos del servidor de carpetas compartidas .... Auditoría de objetos y usuarios de CIFS ....................................................... Activación de la auditoría en el servidor de carpetas compartidas ......... Visualización de los eventos de auditoría.............................................. Desactivación de la auditoría ................................................................ Acceso al log de seguridad del servidor de carpetas compartidas de VNXe....................................................................................................... Copia de un snapshot del recurso compartido con Windows Explorer........... Restauración de un snapshot del recurso compartido con Windows Explorer ........................................................................................ Capítulo 4 39 39 40 42 42 42 43 44 44 45 45 46 47 47 47 48 Usar la solución común VNX Event Enabler con el sistema VNXe Descripción general de CAVA ....................................................................... Servidores de carpetas compartidas de VNXe........................................ Cliente de comprobación de virus VEE CAVA.......................................... Soporte del software antivirus de otros fabricantes ............................... Software VEE CAVA................................................................................ Software snap-in de MMC Celerra AntiVirus Management...................... Requerimientos y limitaciones del sistema .................................................. Retención en el nivel de archivo ............................................................ Protocolos que no son CIFS ................................................................... Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe....................................................................................................... 4 34 34 35 36 38 38 Usar FLR VNXe con el sistema Terminología y conceptos de FLR.................................................................. Terminología de FLR .............................................................................. Conceptos básicos de FLR ..................................................................... Cómo funciona FLR................................................................................ Restricciones de FLR.............................................................................. Requerimientos del sistema para retención de archivos ............................... Requerimiento de Windows .NET Framework ......................................... Requerimientos de privilegios de cuenta de servicio y servicios de Windows para el monitor de FLR ....................................................... Instalación del kit de herramientas de FLR en un host .................................. Configuración del monitor de FLR ................................................................. Uso del monitor de FLR ................................................................................ Confirmar el archivo de solo lectura al estado de FLR ............................ Crear consultas de FLR .......................................................................... Capítulo 5 33 34 Uso de un sistema VNXe con carpetas compartidas CIFS 50 50 51 51 51 51 52 52 52 52 PREFACIO Como parte de un esfuerzo por mejorar sus líneas de productos, EMC lanza revisiones periódicas de su hardware y software. Por lo tanto, es posible que no todas las versiones de hardware y software soporten algunas funciones que se describen en este documento. Las notas de la versión del producto proporcionan la información más actualizada acerca de las características del producto. En caso de que un producto no funcione adecuadamente o no funcione como lo describe este documento, póngase en contacto con un representante de EMC. Nota: La información de este documento era precisa en el momento de la publicación. Nuevas versiones de este documento podrían lanzarse en el sitio web del servicio de soporte en línea de EMC. Revise el sitio web del servicio de soporte en línea de EMC para asegurarse de utilizar la versión más reciente de este documento. Propósito Este documento forma parte del conjunto de documentación de EMC VNXe. Describe cómo configurar hosts de Windows con clientes que necesitan obtener acceso a Common Internet File System (CIFS) en un sistema VNXe con el ambiente operativo VNXe versión 1.7.0 o superior. Audiencia Este documento está dirigido al o a los responsables de configurar los hosts para obtener acceso al almacenamiento de VNXe. Los lectores de este documento deben estar familiarizados con el almacenamiento de carpetas compartidas CIFS de VNXe y el sistema operativo Windows que se ejecuta en hosts con clientes que tendrán acceso al almacenamiento de carpetas compartidas CIFS de VNXe. Documentación relacionada Otros documentos de VNXe incluyen: ◆ Guía de información del hardware de EMC VNXe3100 ◆ Guía de instalación del sistema EMC VNXe3100 ◆ Guía de información del hardware de EMC VNXe3150 ◆ Guía de instalación del sistema EMC VNXe3150 ◆ Guía de información del hardware de EMC VNXe3300 ◆ Guía de instalación del sistema EMC VNXe3300 ◆ Uso del sistema VNXe con carpetas compartidas NFS ◆ Uso del sistema VNXe con Microsoft Exchange 2007 o Microsoft Exchange 2010 ◆ Uso del sistema VNXe con almacenamiento iSCSI genérico ◆ Uso del sistema VNXe con Microsoft Windows Hyper-V ◆ Uso del sistema VNXe con VMware NFS o VMware VMFS ◆ Guía del usuario de la Interfaz de la línea de comandos de VNXe Uso de un sistema VNXe con carpetas compartidas CIFS 5 Prefacio La ayuda de EMC Unisphere proporciona información específica acerca de funciones, funcionalidad y almacenamiento de VNXe. La ayuda de Unisphere y un conjunto completo de documentación del cliente de VNXe se encuentran en el sitio web del servicio de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)). Convenciones utilizadas en este documento EMC usa las siguientes convenciones para notificaciones especiales: PELIGRO PELIGRO indica una situación peligrosa que, si no se evita, provocará la muerte o lesiones graves. ADVERTENCIA ADVERTENCIA indica una situación peligrosa que, si no se evita, podría provocar la muerte o lesiones graves. PRECAUCIÓN PRECAUCIÓN, junto con el símbolo de alerta de seguridad, indica una situación peligrosa que, si no se evita, podría provocar lesiones menores o moderadas. ATENCIÓN ATENCIÓN se usa para abordar prácticas no relacionadas con daños personales. Nota: Una nota presenta información que es importante, pero no relacionada con peligros. IMPORTANTE Un aviso importante contiene información esencial para la operatividad del software o hardware. 6 Uso de un sistema VNXe con carpetas compartidas CIFS Prefacio Convenciones tipográficas EMC usa las siguientes convenciones de estilo de letras en este documento: Normal Utilizada en texto corrido (no de procedimiento) para: • Nombres de elementos de interfaz, como nombres de ventanas, cuadros de diálogo, botones, campos y menús • Nombres de recursos, atributos, pools, expresiones booleanas, botones, informes DQL, palabras clave, cláusulas, variables de ambiente, funciones y utilerías • URL, nombres de rutas, nombres de archivos, nombres de directorios, nombres de equipos, enlaces, grupos, claves de servicio, sistemas de archivos y notificaciones En negritas Se utiliza en texto corrido (no de procedimiento) para nombres de comandos, demonios, opciones, programas, procesos, servicios, aplicaciones, utilerías, kernels, notificaciones, llamadas del servicio y páginas de los manuales Utilizada en procedimientos para: • Nombres de elementos de interfaz, como nombres de ventanas, cuadros de diálogo, botones, campos y menús • Lo que el usuario específicamente selecciona, hace clic, presiona o escribe Cursiva Utilizada en todos los textos (incluso procedimientos) para: • Títulos completos de publicaciones a las que se hace referencia en el texto • Énfasis, por ejemplo, un término nuevo • Variables Courier Utilizada para: • Salida del sistema, como un mensaje de error o script • URL, rutas completas, nombres de archivos, indicadores y sintaxis cuando se muestran fuera del texto corrido Courier negrita Se utiliza para entrada de usuario, como comandos Courier cursiva Utilizada en procedimientos para: • Variables en la línea de comandos • Variables de entrada de usuario <> Los paréntesis angulares encierran parámetros o valores de variables suministrados por el usuario [] Los corchetes encierran valores opcionales | La barra vertical indica selecciones alternativas; la barra significa “o” {} Las llaves encierran contenido que debe especificar el usuario, como x, y o z ... Los puntos suspensivos indican información no esencial omitida del ejemplo Uso de un sistema VNXe con carpetas compartidas CIFS 7 Prefacio Dónde obtener ayuda La información sobre soporte, productos y licencias de VNXe puede obtenerse de la siguiente manera: Información de productos — Para obtener documentación, notas de la versión, actualizaciones de software o información acerca de productos, licencias y servicio de EMC, visite el sitio web del servicio de soporte en línea de EMC (registro obligatorio) en: http://www.emc.com/vnxesupport Soporte técnico — para obtener soporte técnico, visite el servicio de soporte en línea de EMC. En Centro de servicio, verá varias opciones, incluida una para crear una solicitud de servicio. Tenga en cuenta que para abrir una solicitud de servicio, debe contar con un acuerdo de servicio válido. Póngase en contacto con un representante de ventas de EMC para obtener detalles acerca de cómo obtener un acuerdo de soporte válido o para formular preguntas sobre su cuenta. Sus comentarios Sus sugerencias nos ayudarán a continuar mejorando la exactitud, organización y calidad general de la documentación para usuarios. Envíe sus opiniones sobre este documento a: [email protected] 8 Uso de un sistema VNXe con carpetas compartidas CIFS CAPÍTULO 1 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Este capítulo describe cómo configurar un host de Windows o una máquina virtual para utilizar almacenamiento de carpetas compartidas CIFS de EMC VNXe. Se abordarán los siguientes temas: ◆ ◆ ◆ ◆ ◆ Requerimientos para configurar un host para utilizar almacenamiento CIFS de VNXe .......................................................................................................... Software de host Celerra para hosts VNXe en un ambiente CIFS............................... Configuración del almacenamiento de carpetas compartidas CIFS VNXe para el host (cliente) ............................................................................................... Configuración del acceso de usuario a los recursos compartidos CIFS en Active Directory ................................................................................................................. Mapeo del recurso compartido CIFS en el host ........................................................ Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe 10 11 19 19 20 9 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Requerimientos para configurar un host para utilizar almacenamiento CIFS de VNXe Antes de que pueda configurar un host para utilizar almacenamiento CIFS de VNXe, se deben cumplir los siguientes requerimientos del sistema VNXe y de la red descritos en esta sección. Requerimientos del sistema VNXe ◆ ◆ Instaló y configuró el sistema VNXe usando el asistente de configuración de VNXe, como se describe en la Guía de instalación del sistema EMC VNXe3100, la Guía de instalación de EMC VNXe3150 o la Guía de instalación del sistema EMC VNXe3300. Ha utilizado Unisphere o la CLI de VNXe para ejecutar la configuración básica de uno o más servidores de carpetas compartidas VNXe en el sistema VNXe. Requisitos de la red El host (cliente) debe estar en un ambiente LAN con el servidor de almacenamiento de carpetas compartidas VNXe. El servidor de carpetas compartidas VNXe puede ser un miembro de un dominio de Windows Active Directory u operar por separado de cualquier dominio de Windows como un servidor CIFS independiente. Servidor de carpetas compartidas VNXe CIFS en un dominio de Windows Active Directory Un servidor de carpetas compartidas CIFS con Active Directory activado: ◆ Utiliza autenticación Kerberos basada en dominio ◆ Mantiene su propia identidad (cuenta de computadora) en el dominio ◆ Aprovecha la información del sitio del dominio para localizar servicios, tales como controladores de dominio. La asociación de un servidor de carpetas compartidas CIFS con un dominio de Windows permite que cualquier usuario del dominio se conecte al servidor CIFS. Además, los ajustes de la autenticación y la autorización mantenidos en el servidor Active Directory se aplican a los archivos y las carpetas de la carpeta compartida CIFS. Un servidor de carpetas compartidas CIFS con Active Directory activado requiere un dominio de Windows con un servidor Active Directory (AD) y un servidor DNS. Servidor de carpetas compartidas VNXe CIFS independiente Un servidor de carpetas compartidas CIFS independiente no tiene acceso a un dominio de Windows ni a sus servicios asociados. Solo los usuarios con cuentas de usuario locales creadas y administradas en el servidor de carpetas compartidas CIFS independiente pueden obtener acceso al servidor, y el servidor CIFS realiza la autenticación del usuario. Un servidor de carpetas compartidas CIFS independiente requiere un grupo de trabajo de Windows. 10 Uso de un sistema VNXe con carpetas compartidas CIFS Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Software de host Celerra para hosts VNXe en un ambiente CIFS Esta sección describe el software de host EMC Celerra® que está disponible para el sistema VNXe en un ambiente CIFS, e indica cómo instalar este software en un host que utilizará el almacenamiento de carpetas compartidas VNXe CIFS . Descripción general del software para los hosts de VNXe en un ambiente CIFS El software de host de EMC Celerra® que está disponible para un sistema VNXe en un ambiente CIFS es: ◆ Common AntiVirus Agent de VNX Event Enabler (VEE) ◆ Snap-ins de administración Agente antivirus común de VNX Event Enabler El Common AntiVirus Agent (CAVA) de VNX Event Enabler (VEE) ofrece una solución de antivirus para clientes CIFS que utilizan los sistemas de EMC. Utiliza un software antivirus de otros fabricantes para identificar y eliminar virus conocidos antes de que infecten archivos en el sistema. CAVA forma parte del paquete de software VNX Event Enabler (VEE). La matriz de soporte de VNXe del sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)) brinda información sobre el software antivirus de otros fabricantes que soporta CAVA. Snap-ins de administración El servidor de carpetas compartidas de VNXe soporta los snap-ins de administración de Celerra, que constan de los siguientes snap-ins de Microsoft Management Console (MMC) que pueden utilizarse para administrar home directories, configuraciones de seguridad y comprobaciones de virus en el servidor de carpetas compartidas de un equipo con Windows Server 2003, Windows Server 2008 o Windows 8: ◆ Snap-in de administración de home directories de Celerra ◆ Snap-in de configuración de seguridad de Data Movers de Celerra ◆ Snap-in de administración de antivirus de Celerra Snap-in de administración de home directories de Celerra Puede utilizar el snap-in de administración de home directory de Celerra para asociar un nombre de usuario con un directorio. Dicho directorio, luego, actúa como home directory del usuario. La función de home directory simplifica la administración de recursos compartidos personales y el proceso de conexión de estos, debido a que permite utilizar un solo nombre de recurso compartido, llamado HOME, al que todos los usuarios pueden conectarse. Software de host Celerra para hosts VNXe en un ambiente CIFS 11 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Snap-in de configuración de seguridad de Data Movers de Celerra El snap-in de configuración de seguridad de Data Movers de Celerra consta de un nodo de política de auditoría y un nodo de asignación de derechos de usuario. Nodo de política de auditoría de Celerra Puede utilizar el nodo de política de auditoría de Celerra para determinar qué eventos relacionados con la seguridad del servidor de carpetas compartidas se registrarán en el log de seguridad. Luego podrá ver el log de seguridad mediante el visor de eventos de Windows. Puede registrar intentos exitosos, intentos fallidos, ambos o ninguno. Las políticas de auditoría que aparecen en el nodo de políticas de auditoría son un subconjunto de las políticas disponibles como objetos de políticas de grupos (GPO) en usuarios y equipos de dominios activos. Las políticas de auditoría son políticas locales que se aplican al servidor de carpetas compartidas seleccionado. No puede utilizar el nodo de políticas de auditoría para administrar políticas de auditoría de GPO. Nodo de asignación de derechos de usuario de Celerra Puede utilizar el nodo de asignación de derechos de usuario de Celerra para administrar qué usuarios y grupos tendrán privilegios de tareas e inicio de sesión para el servidor de carpetas compartidas. Las asignaciones de derechos de usuario que aparecen en el nodo de asignación de derechos de usuario son un subconjunto de las asignaciones de derechos de usuario disponibles como GPO en equipos y usuarios de dominios activos. Las asignaciones de derechos de usuario son políticas locales que se aplican al servidor de carpetas compartidas seleccionado. No puede utilizar el nodo de asignación de derechos de usuario para administrar políticas de GPO. Snap-in de administración de antivirus de Celerra Puede utilizar el snap-in de administración de antivirus de Celerra para administrar los parámetros de comprobación de virus (archivo viruschecker.conf) que se utilizan con el agente antivirus (CAVA) de Celerra y los programas antivirus de otros fabricantes. Instalación del software de host para un ambiente CIFS La Tabla 1 describe el software de host en un ambiente CIFS de VNXe, las ventajas por las que debería instalarlo y los hosts en que debería instalarlo. Tabla 1 Software de host para ambientes CIFS de VNXe Software Instale el software si desea Instálelo en Snap-in de administración de home directory de Celerra Administrar home directories de usuarios. El sistema Windows Server 2003, Windows Server 2008 o Windows 8 desde el que administrará los servidores de carpetas compartidas de VNXe en el dominio. Snap-in de configuración de seguridad de Data Movers de Celerra Auditar los eventos de seguridad del servidor de carpetas compartidas en el log de seguridad y administrar los accesos de usuario y grupo y los privilegios de tareas para el servidor de carpetas compartidas. El sistema Windows Server 2003, Windows Server 2008 o Windows 8 desde el que administrará los servidores de carpetas compartidas de VNXe en el dominio. Snap-in de administración de antivirus VEE Administrar los parámetros de comprobación de virus utilizados junto con CAVA y los programas antivirus de otros fabricantes. El host (cliente) Windows Server 2003, Windows Server 2008 o Windows 8 de 32 bits que utiliza el almacenamiento de VNXe. Requiere un host Windows o más como servidor antivirus (AV). Estos servidores AV también pueden ser hosts que utilizan el almacenamiento de VNXe. 12 Uso de un sistema VNXe con carpetas compartidas CIFS Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Para instalar el software de host para un ambiente CIFS en un host VNXe: 1. Inicie sesión en el host a través de una cuenta con privilegios de administrador. 2. Descargue el paquete de software que desea instalar de la siguiente manera: a. Desplácese hasta la sección de descarga de software del sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)). b. Elija el paquete de software que desea instalar y seleccione la opción para guardar el software en el host. 3. En el directorio donde guardó el software, haga doble clic en el archivo ejecutable para iniciar el asistente de instalación. 4. En la página Instalación del producto, seleccione el paquete de software que desea instalar en el host. 5. Acepte la ubicación predeterminada de los archivos del programa haciendo clic en Siguiente, o especifique una ubicación diferente escribiendo la ruta a la carpeta o haciendo clic en Cambiar para navegar hasta la carpeta y en Siguiente cuando haya finalizado. 6. En la página Bienvenido, haga clic en Siguiente. 7. En la página Acuerdo de licencia, haga clic en Sí. 8. En la página Seleccionar carpeta de instalación, verifique que el nombre de la carpeta que se muestra corresponda al sitio donde desea instalar los archivos del programa. Haga clic en Siguiente. Para seleccionar una carpeta distinta, haga clic en Navegar, ubique la carpeta y haga clic en Siguiente. 9. En la página Seleccionar componentes, seleccione el paquete de software (componente) que desea instalar, borre los componentes que no desea instalar y haga clic en Siguiente. 10. En la página Iniciar copia de archivos, haga clic en Siguiente. 11. En la página Asistente InstallShield completo, haga clic en Finalizar. 12. Una vez finalizada la instalación, reinicie el host. Uso de Windows Continuous Availability (CA) Los ambientes de Windows 8/SMB3 ofrecen la posibilidad de agregar funcionalidad de alta disponibilidad para los recursos de CIFS. Windows CA permite la ejecución de aplicaciones en hosts conectados a recursos compartidos con esta propiedad para admitir un failover de servidor transparente. Otras características, como I/O de mayor tamaño, descarga de operaciones de copia, I/O paralelos en la misma sesión y arrendamiento de directorio, ofrecen mejoras en el rendimiento y la experiencia del usuario. Con CA activado, puede obtener un failover de servidor transparente para implementaciones en las que la duración del failover no es mayor que el tiempo de espera de la aplicación. En dichas implementaciones, los hosts continúan accediendo al recurso CIFS sin una pérdida del estado de la sesión de CIFS, después de un evento de failover. Uso de Windows Continuous Availability (CA) 13 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Uso de la alta disponibilidad de la red El sistema VNXe proporciona alta disponibilidad de la red o redundancia con redes a prueba de falla (FSN) que amplían el failover de enlaces hacia la red proporcionando redundancia a nivel de switch. En un sistema VNXe, cada puerto en un procesador de almacenamiento (SP) se configura en una FSN con el puerto correspondiente en el SP par. Cuando asigna un puerto a una interfaz de servidor de carpetas compartidas VNXe, VNXe designa automáticamente ese puerto en el SP donde reside el servidor de carpetas compartidas como el puerto primario en la FSN, y el puerto en el SP par como el puerto secundario en la FSN. No puede crear, eliminar ni cambiar la configuración de la FSN VNXe. Por estos motivos, para aprovechar una FSN en un sistema VNXe3100 con dos SP o un sistema VNXe3150 con dos SP o un sistema VNXe3300, los puertos Ethernet (eth) en cada SP se deben cablear de manera idéntica. Por ejemplo, si cablea los puertos eth2 y eth4 del SP A y crea un servidor de almacenamiento por separado en cada puerto, debe cablear los puertos eth2 y eth4 del SP B de la misma manera. Además, el sistema VNXe soporta agregaciones de enlaces, lo que permite que un máximo de cuatro puertos Ethernet conectados al mismo switch físico o lógico se combinen en un solo enlace lógico. Este comportamiento se denomina agregación de enlaces. Para configurar la agregación de enlaces en un sistema VNXe, cada procesador de almacenamiento (SP) debe tener el mismo tipo y el mismo número de puertos Ethernet, ya que, en realidad, la configuración de la agregación de enlaces crea dos agregaciones de enlaces: una en cada SP. Esto proporciona alta disponibilidad como se explica a continuación. Si uno de los puertos de la agregación de enlaces falla, el sistema dirige el tráfico de red a uno de los otros puertos de la agregación. Si todos los puertos de la agregación fallan, la FSN realiza un failover a la agregación de enlaces correspondiente en el SP par, de modo que el tráfico de red continúe. Si agrega un módulo de Ethernet I/O a cada SP en un sistema VNXe 3100, 3150 o 3300, puede crear un grupo de agregación de enlaces adicional en el conjunto de puertos en el módulo de I/O. El resto de esta sección describe: ◆ “Redes a prueba de falla” en la página 15 ◆ “Agregaciones de enlaces” en la página 16 ◆ “Configuración de una agregación de enlaces” en la página 17 Para obtener información adicional sobre la disponibilidad de datos en un sistema VNXe y la infraestructura de conectividad, consulte la Descripción general de alta disponibilidad de EMC VNXe en la sección Informes técnicos del sitio web de soporte de VNXe, en http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente). 14 Uso de un sistema VNXe con carpetas compartidas CIFS Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Redes a prueba de falla Una red a prueba de falla (FSN) es una característica de alta disponibilidad que amplía el failover de enlaces hacia la red proporcionando redundancia a nivel de switch. Una FSN aparece como un solo enlace con una sola dirección MAC y posiblemente múltiples direcciones IP. En un sistema VNXe, una FSN consta de un puerto en un SP y el puerto correspondiente en el otro SP. Cada puerto se considera una sola conexión. Ambas conexiones que componen la FSN comparten una sola dirección de hardware (MAC). Si el sistema VNXe detecta que la conexión activa falla, cambia automáticamente a la conexión en standby en la FSN y esa conexión asume la identidad de red de la conexión que falló. Para asegurar la conectividad del host al sistema VNXe en caso de un failover de hardware, conecte el sistema VNXe a distintos switches que estén conectados a dispositivos de la FSN en varias NIC en el host. En consecuencia, los componentes de la FSN se conectan a distintos switches. Si el switch de la conexión activa falla, la FSN realiza un failover a una conexión utilizando otro switch, con lo que se amplía el failover de enlaces hacia la red. Como se muestra en la Figura 1, cuando el SP de VNXe detecta la pérdida del enlace de comunicaciones activo a la FSN, la conexión realiza automáticamente un failover a una conexión en standby operativa. Esta acción es independiente de cualquier característica del switch. Si se interrumpe una conexión en la FSN, el enlace realiza un failover al enlace que permanece activo. Si fallan ambas conexiones en una FSN, el enlace está inactivo. Figura 1 Failover con red a prueba de fallas Uso de la alta disponibilidad de la red 15 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Agregaciones de enlaces Las agregaciones de enlaces usan el estándar Protocolo de control de agregación de enlaces (LACP) IEEE 802.3ad. Una agregación de enlaces aparece como un solo enlace Ethernet y tiene las siguientes ventajas: ◆ ◆ Alta disponibilidad de rutas de red hacia y desde el sistema VNXe. Si falla un puerto físico en una agregación de enlaces, el sistema no pierde conectividad. Posible aumento del rendimiento general: esto se debe a que varios puertos físicos están vinculados a un puerto lógico y a que el tráfico de red se distribuye entre los múltiples puertos físicos. Aunque las agregaciones de enlaces pueden proporcionar más ancho de banda general que un solo puerto, la conexión a un solo cliente se ejecuta a través de un puerto físico y, por lo tanto, está limitada por el ancho de banda del puerto. Si la conexión a un puerto falla, el switch cambia automáticamente el tráfico a los puertos restantes en el grupo. Cuando se restaura la conexión, el switch reanuda automáticamente el uso del puerto como parte del grupo. En el sistema VNXe, puede configurar hasta cuatro puertos en una agregación de enlaces. Cuando configura una agregación de enlaces, en realidad está configurando dos agregaciones de enlaces, una en cada SP. Si uno de los puertos en la agregación falla, el sistema dirige el tráfico de red a uno de los otros puertos del grupo. Si todos los puertos del grupo fallan, la FSN realiza un failover a la agregación de enlaces correspondiente en el SP par. Requerimientos del switch Si los puertos VNXe están conectados a distintos switches de red, debe configurar todos los puertos del switch conectados a los puertos VNXe para que cambien de inmediato del modo de bloqueo al modo de reenvío y para que no pasen por estados del árbol de expansión de escucha y aprendizaje cuando se activa una interfaz. En switches Cisco, esto significa que debe activar la funcionalidad portfast para cada puerto del switch conectado a un puerto VNXe para asegurarse de que el switch reenvíe el frame Ethernet que genera el sistema VNXe cuando se activa un enlace físico. La funcionalidad portfast se activa puerto a puerto. La variable portfast, cuando se activa, hace que el puerto cambie de inmediato del modo de bloqueo al de reenvío. No use portfast en conexiones de switch a switch. Para agregación de enlaces, los switches de red deben tener soporte del protocolo IEEE 802.3ad y garantizar que los paquetes de una sola conexión TCP pasen siempre por el mismo enlace en una sola dirección. 16 Uso de un sistema VNXe con carpetas compartidas CIFS Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Configuración de una agregación de enlaces Windows 7 y Windows Server 2003 no proporcionan soporte para la agregación de enlaces (creación de equipos de NIC). Algunos proveedores de NIC proporcionan drivers que soportan la creación de equipos de NIC. Para obtener más información, póngase en contacto con el proveedor de la NIC. Windows Server 2008 soporta la creación de equipos de NIC. Para la agregación de enlaces, debe contar por lo menos con un switch compatible con 802.3ad, cada uno con un puerto disponible para cada puerto del switch que desea conectar al puerto VNXe en la agregación. Para la agregación de enlaces, necesita ejecutar dos conjuntos de tareas de configuración: ◆ ◆ “Configuración de la agregación de enlaces desde el switch al sistema VNXe” en la página 17 “Configuración de agregación de enlaces desde el host al switch” en la página 17 Configuración de la agregación de enlaces desde el switch al sistema VNXe 1. Configure los puertos del switch, que están conectados al VNXe, para LACP en modo activo, como se describe en la documentación proporcionada con los switches. 2. Una los puertos de VNXe en una agregación de enlaces mediante la opción Configuración avanzada de Unisphere (Configuración > Más configuraciones > Configuración avanzada). Para obtener más información sobre el uso de la opción Configuración avanzada, consulte la ayuda en línea de Unisphere. Se crean dos agregaciones de enlaces con los mismos puertos, una agregación en cada SP. Configuración de agregación de enlaces desde el host al switch Para configurar la agregación de enlaces desde el host al switch, ejecute las siguientes tareas: ◆ ◆ “Tarea 1: Configure los puertos del switch para la agregación de enlaces” en la página 17 “Tarea 2: Configure la creación de equipos de NIC en el host Windows Server 2008 o Windows 8” en la página 17 Tarea 1: Configure los puertos del switch para la agregación de enlaces Configure los puertos del switch, que están conectados al host para la agregación de enlaces. Tarea 2: Configure la creación de equipos de NIC en el host Windows Server 2008 o Windows 8 Nota: El host Windows Server 2008 y Windows 8 se refiere a la agregación de enlaces como creación de equipos de NIC. Nota: Windows 8 detecta automáticamente la agrupación de NIC en VNXe y configura el host para que utilice las mismas interfaces que VNXe. No es necesario configurarlo manualmente. Uso de la alta disponibilidad de la red 17 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe El siguiente procedimiento se aplica a un driver de interfaz de red Intel. 1. En el Panel de control, seleccione Red e Internet > Conexiones de red. 2. En el cuadro de diálogo Conexiones de red, haga clic con el botón secundario en una NIC que desee agregar al equipo y, a continuación, haga clic en Propiedades. 3. Haga clic en Configure. 4. En el cuadro de diálogo Propiedades, seleccione la pestaña Creación de equipos. 5. En la pestaña Creación de equipos: a. Seleccione Formar equipo con otros adaptadores. b. Haga clic en Nuevo equipo. Se abrirá el Asistente para crear un nuevo equipo. 6. En el Asistente para crear un nuevo equipo: a. Especifique el nombre del equipo y haga clic en Siguiente. b. Seleccione las otras NIC que desea agregar al equipo y haga clic en Siguiente. c. Seleccione el tipo de equipo y haga clic en Siguiente. Para obtener información sobre un tipo, seleccione el tipo y lea la información que aparece debajo del cuadro de selección. d. Haga clic en Finalizar. 7. Si seleccionó Balanceo de carga adaptable como el tipo de equipo y desea usar el nuevo equipo de NIC para máquinas virtuales Hyper-V, desactive Recibir balanceo de carga: a. Haga clic en la pestaña Avanzado. b. En Configuración, seleccione Recibir balanceo de carga. c. En Valores, seleccione Desactivado. d. Haga clic en OK (Aceptar). El nuevo equipo aparece en el cuadro de diálogo Conexiones de red como una Conexión de red de área local. 8. Para usar el nuevo equipo de NIC para una máquina virtual: a. En Hyper-V Manager, bajo Virtual Machines, seleccione la máquina virtual. b. En Acciones, seleccione Administrador de redes virtuales. c. En Administrador de redes virtuales, bajo Redes virtuales, seleccione NIC de VM - Red de máquinas virtuales. d. En Tipo de conexión, seleccione el tipo de red y el equipo de NIC. e. Haga clic en Aplicar. f. Cuando los cambios se hayan aplicado, haga clic en Aceptar. 18 Uso de un sistema VNXe con carpetas compartidas CIFS Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe Usar cifrado CIFS Los ambientes de Windows 8/SMB3 ofrecen la capacidad de cifrar datos almacenados en las carpetas compartidas de CIFS de VNXe a medida que los datos se migran entre VNXe y el host Windows. El cifrado CIFS también puede configurarse a nivel del servidor CIFS modificando la configuración del registro del host Windows. Configuración del almacenamiento de carpetas compartidas CIFS VNXe para el host (cliente) Use Unisphere para la CLI VNXe con el fin de crear almacenamiento de carpetas compartidas CIFS VNXe para el host (cliente). Para obtener información sobre cómo realizar estas tareas, consulte la ayuda en línea de Unisphere. Configuración del acceso de usuario a los recursos compartidos CIFS en Active Directory El acceso de usuario a los recursos compartidos siempre se configura por archivo con Active Directory: 1. Inicie sesión en el host Windows con Active Directory desde una cuenta de administrador de dominio. El host Windows debe tener acceso al dominio que posee el servidor de carpetas compartidas de VNXe para los recursos compartidos CIFS. 2. Abra la ventana Administración de equipos: Para Windows Server 2003: haga clic con el botón secundario en Mi equipo o en Equipo y seleccione Administrar. Para Windows Server 2008, Windows 7 o Windows 8: haga clic en Inicio y seleccione Panel de control > Herramientas administrativas > Administración de equipos. 3. En el árbol Administración de equipos, haga clic con el botón secundario en Administración de equipos (local). 4. Seleccione Conectar a otro equipo. Se abre el cuadro de diálogo Seleccionar equipo. 5. En el cuadro de diálogo Seleccionar equipo, escriba el nombre del servidor de carpetas compartidas de VNXe para proporcionar al cliente recursos compartidos de CIFS. 6. En el árbol Administración de equipos, haga clic en Herramientas del sistema > Carpetas compartidas > Recursos compartidos. 7. Los recursos compartidos disponibles aparecen a la derecha. Si los recursos compartidos de VNXe no aparecen, asegúrese de haber iniciado sesión en el dominio correcto. Usar cifrado CIFS 19 Configuración de un host para utilizar almacenamiento de carpetas compartidas CIFS de VNXe 8. Haga clic con el botón secundario en el recurso compartido cuyos permisos desea cambiar y seleccione Propiedades. 9. Haga clic en la pestaña Permisos de recursos compartidos. 10. Seleccione el usuario o grupo y los permisos para el usuario o grupo seleccionado. 11. Haga clic en OK (Aceptar). Mapeo del recurso compartido CIFS en el host En el host Windows, utilice la función Unidad de red de asignación de Windows para conectar el host al recurso compartido CIFS y volver a reconectarlo opcionalmente al recurso compartido cada vez que inicie sesión en el host. Necesitará la ruta de exportación del recurso compartido (\\SharedFolderServer\share), que puede encontrar en el informe de configuración de VNXe para la carpeta compartida que posee el recurso compartido. Para obtener acceso a este informe, utilice el software EMC Unisphere™. 1. Seleccione Almacenamiento > Almacenamiento de carpetas compartidas. 2. Seleccione la carpeta compartida CIFS que posee el recurso compartido y haga clic en Detalles. 3. Haga clic en Ver detalles de acceso. Si tiene acceso de lectura/escritura al recurso compartido, después de mapear el recurso compartido, puede crear directorios en él y almacenar archivos en los directorios. 20 Uso de un sistema VNXe con carpetas compartidas CIFS CAPÍTULO 2 Migración de datos CIFS al sistema VNXe Puede migrar datos CIFS al sistema VNXe con una copia manual. Una operación de copia manual interrumpe el acceso a los datos y es posible que no conserve las ACL y los permisos dentro de la estructura de archivos. Este capítulo contiene los siguientes temas: ◆ ◆ Ambiente y limitaciones de una migración de CIFS .................................................. 22 Migración de datos CIFS.......................................................................................... 23 Migración de datos CIFS al sistema VNXe 21 Migración de datos CIFS al sistema VNXe Ambiente y limitaciones de una migración de CIFS Si la configuración de CIFS que desea migrar incluye alguna de las opciones que se detallan a continuación, póngase en contacto con el proveedor de servicios de VNXe: ◆ Más recursos compartidos de los que desea migrar. ◆ Permisos que no desea reasignar manualmente a los recursos compartidos de VNXe. ◆ Cualquier recurso compartido que desea dividir entre recursos compartidos de VNXe. ◆ Cualquier recurso compartido que desea combinar con otros recursos compartido en el mismo recurso compartido de VNXe. Tabla 2 detalla el ambiente que se requiere para una migración de datos CIFS y Tabla 3 enumera las características de una migración de copia manual. Tabla 2 Ambiente para la migración de datos CIFS Componente Requisito Almacenamiento VNXe Carpeta compartida con un tamaño de recurso compartido que permita acomodar los datos en el recurso compartido que desea migrar y que facilite el crecimiento de datos. Host Host con acceso de lectura al recurso compartido que contiene los datos que desea migrar y con acceso de escritura al recurso compartido de VNXe para los datos migrados. Compartir Recurso compartido que migre en su totalidad al recurso compartido de VNXe. Tabla 3 Características de una migración de copia manual 22 Componente Requisito Permisos Es posible que no se conserven. Tiempo fuera Con relación al tiempo necesario para: • Copiar el contenido del recurso compartido en el recurso compartido de VNXe • Reconfigurar los hosts que deben conectarse al recurso compartido de VNXe Uso de un sistema VNXe con carpetas compartidas CIFS Migración de datos CIFS al sistema VNXe Migración de datos CIFS Para migrar datos CIFS a un recurso compartido VNXe CIFS, ejecute las siguientes tareas: ◆ ◆ “Tarea 1: Configure el acceso al recurso compartido VNXe para el host CIFS” en la página 23. “Tarea 2: Migre los datos CIFS mediante una copia manual” en la página 23. Tarea 1: Configure el acceso al recurso compartido VNXe para el host CIFS En el host que desee usar para la migración de datos: 1. Configure el acceso del usuario al nuevo recurso compartido en Active Directory, según se describe en “Uso de la alta disponibilidad de la red” en la página 14. 2. Mapee el nuevo recurso compartido CIFS como se describe en “Mapeo del recurso compartido CIFS en el host” en la página 20. Tarea 2: Migre los datos CIFS mediante una copia manual Para minimizar el tiempo durante el cual un host no puede obtener acceso a un recurso compartido CIFS que se está migrando, migre los datos desde un recurso compartido a la vez: 1. Si algún cliente está usando activamente el recurso compartido CIFS, desconecte dicho cliente y cualquier otro cliente que pueda obtener acceso a los datos que está migrando. 2. A su criterio, use el mejor método para copiar los datos de la ubicación de almacenamiento actual al nuevo recurso compartido VNXe CIFS. Este método puede ser una simple operación de cortar y pegar o arrastrar y soltar. Asegúrese de que el método elegido conserve los metadatos como atributos de archivos, las indicaciones de hora y los derechos de acceso que necesite conservar. 3. Una vez finalizada la operación de copia, vuelva a conectar los clientes al nuevo recurso compartido CIFS exportado mediante el sistema VNXe y mapee una unidad a este recurso compartido según sea necesario. Migración de datos CIFS 23 Migración de datos CIFS al sistema VNXe 24 Uso de un sistema VNXe con carpetas compartidas CIFS CAPÍTULO 3 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Después de haber configurado el sistema VNXe para el almacenamiento de carpetas compartidas CIFS, puede utilizar las herramientas de Windows y Unisphere, como los snap-ins de Celerra MMC, para administrar el almacenamiento y los servidores de carpetas compartidas. En este capítulo, se describe cómo realizar ciertas tareas de administración típicas con las herramientas de Windows.La ayuda en línea de Unisphere brinda información sobre la realización de tareas de administración con Unisphere. Nota: “Instalación del software de host para un ambiente CIFS” en la página 12 brinda información sobre la instalación de snap-ins de la MMC de administración de CIFS de Celerra. Este capítulo contiene los siguientes temas: ◆ ◆ ◆ ◆ ◆ ◆ ◆ ◆ ◆ ◆ Apertura de la MMC de administración de equipos.................................................. Creación de recursos compartidos y establecimiento de las ACL con la MMC........... Uso de la función home directory ............................................................................ Uso de los objetos de políticas de grupos (GPO) ..................................................... Uso de la firma de SMB ........................................................................................... Monitoreo del uso de recursos y las conexiones del servidor de carpetas compartidas con la MMC......................................................................................... Auditoría de objetos y usuarios de CIFS................................................................... Acceso al log de seguridad del servidor de carpetas compartidas de VNXe.............. Copia de un snapshot del recurso compartido con Windows Explorer ...................... Restauración de un snapshot del recurso compartido con Windows Explorer........... Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows 26 26 28 31 33 33 35 39 39 40 25 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Apertura de la MMC de administración de equipos Puede realizar muchas tareas administrativas de Windows Server 2003, Windows Server 2008 y Windows 8 desde Microsoft Management Console (MMC) de administración de equipos. Siga el procedimiento a continuación para abrir la MMC para un servidor de carpetas compartidas específico: 1. Inicie sesión en el host Windows con Active Directory desde una cuenta de administrador de dominio. El host Windows debe tener acceso al dominio que posee el servidor de carpetas compartidas de VNXe. 2. Abra la página Administración de equipos: Para Windows Server 2003: haga clic con el botón secundario en Mi equipo o en Equipo y seleccione Administrar. Para Windows Server 2008 y Windows 8: haga clic en Inicio y seleccione Herramientas administrativas > Administración de equipos. 3. Haga clic con el botón secundario en Administración de equipos (local). 4. Seleccione Conectar a otro equipo. 5. Escriba el nombre del servidor de carpetas compartidas de VNXe y haga clic en Aceptar. Antes de utilizar los snap-ins de la MMC Debe iniciar sesión como administrador con derechos de administrador para utilizar los snap-ins de la MMC. Creación de recursos compartidos y establecimiento de las ACL con la MMC EMC recomienda que utilice Unisphere para crear recursos compartidos CIFS, como se describe en la ayuda de Unisphere, y que utilice la MMC para configurar el acceso (ACL) a los recursos compartidos. Como alternativa de uso de Unisphere, una vez creada la carpeta compartida CIFS en el sistema VNXe, puede utilizar la MMC para crear recursos compartidos dentro de esta carpeta. Antes de crear recursos compartidos o establecer accesos (ACL) Para crear un recurso compartido de Windows con la MMC, debe: ◆ ◆ ◆ 26 Haber asignado identificadores globales (GID) a los usuarios de CIFS. Haber montado el recurso compartido de VNXe del directorio raíz del sistema de archivos y creado los directorios que desea compartir allí. Ser administrador de VNXe. Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Establecimiento de las ACL en un recurso compartido existente en un servidor de carpetas compartidas 1. Abra la MMC de administración de equipos como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. En el árbol de la consola, seleccione Carpetas compartidas > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha. 3. Haga clic con el botón secundario en el recurso compartido cuyos permisos desea cambiar y seleccione Propiedades. 4. Haga clic en la pestaña Permisos de recursos compartidos. 5. Seleccione el usuario o grupo y los permisos para el usuario o grupo seleccionado. 6. Haga clic en OK (Aceptar). Creación de un recurso compartido y establecimiento de sus ACL en el servidor de carpetas compartidas 1. Abra la MMC de administración de equipos como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. En el árbol de la consola, haga clic en Carpetas compartidas > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha. 3. Haga clic con el botón secundario en Recursos compartidos y seleccione Nuevo archivo compartido en el menú de acceso directo. Aparece el asistente Compartir una carpeta. 4. Proporcione la siguiente información: • Nombre de la carpeta que desea compartir. • Nombre del recurso compartido de la carpeta. • Descripción del recurso compartido. 5. Haga clic en Siguiente. El asistente le indica los permisos del recurso compartido. 6. Establezca los permisos eligiendo una de las opciones. Con la opción Personalizar permisos de carpetas y recursos compartidos o Personalizar permisos, puede asignar permisos a grupos y usuarios individuales. 7. Haga clic en Finalizar. Creación de recursos compartidos y establecimiento de las ACL con la MMC 27 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Uso de la función home directory La función home directory de Celerra, incluida en el snap-in Celerra Home Directory, permite crear un único recurso compartido, llamado HOME, al que todos los usuarios se conectan. No es necesario crear recursos compartidos individuales para cada usuario. La función home directory simplifica la administración de recursos compartidos personales y el proceso de conexión de estos, y permite asociar un nombre de usuario con un directorio que luego actúa como el home directory del usuario. El home directory se asigna al perfil de un usuario de manera que, después de iniciar sesión, se conecte de forma automática a una unidad de red. Nota: Si el sistema del cliente (como Citrix Metaframe o Windows Terminal Server) soporta más de un usuario de Windows simultáneamente y almacena en caché información de acceso a los archivos, es posible que la función home directory de VNXe no funcione como se desea. Con la capacidad de home directory de VNXe, un cliente de VNXe ve la misma ruta al home directory de cada usuario. Por ejemplo, si un usuario escribe en un archivo de home directory y luego otro usuario lee el archivo de home directory, la solicitud del segundo usuario se completa con los datos almacenados en caché del home directory del primer usuario. Dado que los archivos tienen el mismo nombre de ruta, el sistema del cliente supone que se trata del mismo archivo. La función home directory se desactiva de forma predeterminada. Primero debe crear un servidor de carpetas compartidas CIFS en el sistema VNXe antes de poder activar el home directory. En los sistemas Windows Server 2003, Windows Server 2008 o Windows 8, puede activar y administrar home directories por medio del snap-in Celerra Home Directory para MMC. La ayuda en línea del snap-in describe los procedimientos de activación y administración de home directories. Restricciones de uso del home directory Para el home directory, se reserva un nombre de recurso compartido especial: HOME. Como resultado, se aplican las siguientes restricciones: ◆ ◆ Si creó un recurso compartido llamado HOME, no podrá activar la función home directory. Si activó la función home directory, no podrá crear el recurso compartido llamado HOME. El home directory se configura en el perfil de usuario de Windows de un usuario a través de la ruta de convención de nombre universal (UNC): \\shared_folder_server\HOME donde: shared_folder_server es la dirección IP, el nombre del equipo o el nombre NetBIOS del servidor de carpetas compartidas de VNXe. HOME es un recurso compartido especial que se reserva para la función home directory. Cuando se utiliza HOME en la ruta del home directory de un usuario y el usuario inicia sesión, automáticamente se asigna el home directory del usuario a una unidad de red y se establecen de forma automática las variables de ambiente HOMEDRIVE, HOMEPATH y HOMESHARE. 28 Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Adición de un home directory a Active Directory 1. Inicie sesión en el servidor de Windows desde una cuenta de administrador de dominio. 2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Equipos y usuarios de Active Directory. 3. Haga clic en Usuarios para ver los usuarios en el panel de la derecha. 4. Haga clic con el botón secundario en un usuario y seleccione Propiedades. Se abre la ventana Propiedades de usuario del usuario. 5. Haga clic en la pestaña Perfil y en la carpeta Inicio: a. Seleccione Conectar. b. Seleccione la letra de unidad que desea asignar al home directory. c. En Para, escriba: \\shared_folder_server\HOME donde: shared_folder_server es la dirección IP, el nombre del equipo o el nombre NetBIOS del servidor de carpetas compartidas de VNXe. 6. Haga clic en Aceptar. Adición de un home directory con expresiones 1. Inicie sesión en el servidor de Windows desde una cuenta de administrador de dominio. 2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Administración de Celerra. 3. Haga clic con el botón secundario en el icono de la carpeta HomeDir y seleccione Nueva > entrada de home directory. Aparece la página de propiedades del home directory. 4. Introduzca la siguiente información: a. En Dominio, escriba el nombre del dominio del usuario que utiliza el nombre NetBIOS. ATENCIÓN No utilice el nombre de dominio calificado. Por ejemplo, si el nombre del dominio es “Company.local”, puede escribir una de las opciones siguientes: – red de la – comp – .* (Para que funcione esta opción, las expresiones regulares deben ser verdaderas). Uso de la función home directory 29 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows b. En Usuario, escriba el nombre del usuario o la cadena comodín. Por ejemplo, si el nombre de usuario es “Tom”, puede escribir una de las opciones siguientes: – T* para los nombres de usuario que empiezan con T – * para cualquier nombre de usuario – [r-v].* para los nombres de usuario que empiezan con r, s, t, u o v (para que funcione esta opción, las expresiones regulares deben ser verdaderas). c. En Ruta, escriba el nombre de la ruta con uno de los siguientes métodos: – Escriba la ruta de la carpeta. Por ejemplo, \HomeDirShare\dir1 – Haga clic en Navegar y seleccione la carpeta o cree una. Si desea crear automáticamente la carpeta, seleccione Crear directorio automáticamente. Algunos ejemplos de directorio son: \HomeDirShare\dir1\User1 \HomeDirShare\<d>\<u>, que crea una carpeta con el nombre de dominio d y un directorio con el nombre de usuario u. 5. Haga clic en Aceptar. Ejemplos de formatos de expresiones La Tabla 4 proporciona ejemplos de formatos de expresión para añadir un home directory. Tabla 4 Ejemplos de formatos de expresión para añadir un home directory Domain Usuario Ruta Opciones Resultados * * \HomeDirShare\ Ninguno Todos los usuarios tienen \HomeDirShare como home directory. * a* \HomeDirShare\ Ninguno Los usuarios cuyo nombre de usuario empieza con ‘a’ tienen \HomeDirShare como home directory. * * \HomeDirShare\<d>\<u>\ Auto Create Directory = True Cada usuario tiene su propio directorio. Por ejemplo, el usuario Bob en el dominio company tiene \HomeDirShare\company\Bob como home directory. comp [a-d].* \HomeDirShare\FolksA-D\<d>\<u>\ Auto Create Directory = True Regexp=True Los usuarios cuyos nombres de usuario empiezan con a, b, c o d en el dominio company tienen \HomeDirShare\FolksA-D\company\<u> como home directory, donde u es el nombre de usuario. 30 Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Uso de los objetos de políticas de grupos (GPO) En Windows Server 2003, los administradores pueden utilizar la política de grupos para definir las opciones de configuración de grupos de usuarios y equipos. Los GPO de Windows pueden controlar elementos como configuraciones de seguridad, redes y dominios locales. La configuración de la política de grupos se almacena en los GPO que se enlazan a los contenedores del sitio, el dominio y la unidad organizacional (OU) en Active Directory. El controlador de dominio replica los GPO en todos los controladores de dominio dentro del dominio. La política de auditoría es un componente del snap-in de configuración de seguridad de Data Mover, instalado como snap-in de Microsoft Management Console (MMC) en Celerra Management Console en un sistema Windows Server 2003, Windows Server 2008 o Windows 8. Puede utilizar las políticas de auditoría para determinar qué eventos relacionados con la seguridad del servidor de carpetas compartidas se registrarán en el log de seguridad. Puede elegir registrar intentos exitosos, intentos fallidos, ambos o ninguno. Los eventos auditados se pueden ver en el log de seguridad del visor de eventos de Windows. Las políticas de auditoría que aparecen en el nodo de políticas de auditoría son un subconjunto de las políticas disponibles como GPO en Usuarios y equipos de Active Directory (ADUC). Estas políticas de auditoría son políticas locales y se aplican únicamente al servidor de carpetas compartidas seleccionado. No puede utilizar el nodo de políticas de auditoría para administrar políticas de auditoría de GPO. Si una política de auditoría se define como GPO en ADUC, la configuración de GPO sobrescribe la configuración local. Cuando el administrador de dominio cambia una política de auditoría en el controlador de dominio, dicho cambio se refleja en el servidor de carpetas compartidas y puede verse en el nodo de políticas de auditoría. Puede cambiar la política de auditoría local, pero no entrará en vigencia hasta que se desactive el GPO de dicha política de auditoría. Si se desactiva la auditoría, la configuración de GPO permanece en la columna de configuración Vigente. No puede utilizar las herramientas de configuración de políticas locales de Microsoft Windows para administrar las políticas de auditoría en el servidor de carpetas compartidas debido a que en Windows Server 2003 y Windows XP las herramientas de configuración de políticas locales de Windows no permiten administrar las políticas de auditoría de forma remota. Soporte de GPO en un servidor de carpetas compartidas de VNXe El servidor de carpetas compartidas de VNXe soporta los GPO recuperando y almacenando una copia de la configuración de los GPO por cada servidor de carpetas compartidas unido a un dominio de Windows Server 2003. El servidor de carpetas compartidas de VNXe almacena la configuración de los GPO en la memoria caché de los GPO. Cuando el sistema VNXe se enciende, lee la configuración almacenada en la memoria caché de los GPO y recupera la configuración de los GPO más reciente del controlador de dominio de Windows. Después de recuperar la configuración de los GPO, el servidor de carpetas compartidas de VNXe actualiza automáticamente la configuración en función del intervalo de actualización del dominio. Uso de los objetos de políticas de grupos (GPO) 31 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Configuración soportada Un servidor de carpetas compartidas de VNXe soporta actualmente los siguientes ajustes de seguridad de GPO: Kerberos ◆ Máxima tolerancia para la sincronización del reloj del equipo (desviación del reloj) La sincronización de la hora se hace por servidor de carpetas compartidas. ◆ Máxima duración de los tickets de usuario Política de auditoría ◆ Eventos de inicio de sesión de la cuenta de auditoría ◆ Administración de la cuenta de auditoría ◆ Acceso a los servicios del directorio de auditoría ◆ Eventos de inicio de sesión de auditoría ◆ Acceso a los objetos de auditoría ◆ Cambio de política de auditoría ◆ Uso de privilegios de auditoría ◆ Rastreo de procesos de auditoría ◆ Eventos del sistema de auditoría “Auditoría de objetos y usuarios de CIFS” en la página 35 brinda más información. Derechos de usuario ◆ Acceso al equipo desde la red ◆ Directorios y archivos de respaldo ◆ Comprobación de compleción de desvío ◆ Denegación del acceso al equipo desde la red ◆ Comprobación de virus de EMC ◆ Generación de auditorías de seguridad ◆ Administración del log de seguridad y auditoría ◆ Restauración de archivos y directorios ◆ Propiedad de archivos u otros objetos Opciones de seguridad 32 ◆ Firma digital de comunicación del cliente (siempre) ◆ Firma digital de comunicación del cliente (cuando sea posible) ◆ Firma digital de comunicación del servidor (siempre) ◆ Firma digital de comunicación del servidor (cuando sea posible) ◆ Nivel de autenticación del administrador de LAN Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Logs de eventos ◆ Tamaño máximo del log de aplicación ◆ Tamaño máximo del log de seguridad ◆ Tamaño máximo del log de sistema ◆ Acceso de huésped restringido al log de aplicación ◆ Acceso de huésped restringido al log de seguridad ◆ Acceso de huésped restringido al log de sistema ◆ Retención del log de aplicación ◆ Retención del log de seguridad ◆ Retención del log de sistema ◆ Método de retención del log de aplicación ◆ Método de retención del log de seguridad ◆ Método de retención del log de sistema Política de grupos ◆ Desactivación de la actualización de antecedentes de la política de grupos ◆ Intervalo de actualización de la política de grupos para los equipos Uso de la firma de SMB La firma de SMB garantiza que no se haya interceptado, cambiado o reproducido el paquete. La firma garantiza que ningún otro fabricante ha cambiado el paquete. La firma añade una firma a cada paquete. El cliente y los servidores de carpetas compartidas de VNXe utilizan esta firma para verificar la integridad del paquete. Los servidores VNXe de carpetas compartidas admiten SMB1, SMB2 y SMB3. Para que la firma de SMB funcione, el cliente y el servidor deben tener la firma de SMB activada en una transacción. La firma de SMB siempre se activa en los servidores de carpetas compartidas de VNXe, aunque esto no es obligatorio. Como resultado, si la firma de SMB se activa en el cliente, se utiliza la firma. Si la firma de SMB se desactiva en el cliente, no se utiliza ninguna firma. Monitoreo del uso de recursos y las conexiones del servidor de carpetas compartidas con la MMC Puede utilizar las herramientas administrativas de Windows para monitorear lo siguiente en los servidores de carpetas compartidas de VNXe: ◆ ◆ ◆ “Monitoreo de usuarios en el servidor de carpetas compartidas” en la página 34 “Monitoreo del acceso a los recursos compartidos del servidor de carpetas compartidas” en la página 34 “Monitoreo del uso de archivos del servidor de carpetas compartidas” en la página 34 Uso de la firma de SMB 33 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Monitoreo de usuarios en el servidor de carpetas compartidas Utilice este procedimiento para monitorear la cantidad de usuarios conectados al servidor de carpetas compartidas: 1. Abra la MMC de administración de equipos del servidor de carpetas compartidas que desea monitorear tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. En el árbol de la consola, haga clic en Carpetas compartidas > Sesiones. Los usuarios actuales que están conectados al servidor de carpetas compartidas se muestran a la derecha. Opcionalmente: • Para forzar la desconexión del servidor de carpetas compartidas, haga clic con el botón secundario en el nombre de usuario y seleccione Cerrar sesión en el menú de acceso directo. • Para forzar la desconexión de todos los usuarios, haga clic con el botón secundario en Sesiones y seleccione Desconectar todas las sesiones en el menú de acceso directo. Monitoreo del acceso a los recursos compartidos del servidor de carpetas compartidas Utilice este procedimiento para monitorear el acceso a los recursos compartidos del servidor de carpetas compartidas: 1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. En el árbol de la consola, haga clic en Carpetas compartidas > Recursos compartidos. Los actuales recursos compartidos en uso se muestran a la derecha. Opcionalmente, para forzar la desconexión de un recurso compartido, haga clic con el botón secundario en el nombre del recurso compartido y seleccione Detener el uso compartido en el menú de acceso directo. Monitoreo del uso de archivos del servidor de carpetas compartidas Utilice este procedimiento para monitorear los archivos abiertos en el servidor de carpetas compartidas: 1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. En el árbol de la consola, haga clic en Carpetas compartidas > Archivos abiertos. Los actuales archivos en uso se muestran a la derecha. Opcionalmente, para cerrar un archivo abierto, haga clic con el botón secundario en el archivo y seleccione Cerrar el archivo abierto en el menú de acceso directo. Para cerrar todos los archivos abiertos, haga clic con el botón secundario en la carpeta Archivos abiertos y seleccione Desconectar todos los archivos abiertos en el menú de acceso directo. 34 Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Auditoría de objetos y usuarios de CIFS Para auditar un servidor de carpetas compartidas, utilice la consola de administración de seguridad de Data Mover de Celerra, un snap-in de Celerra MMC. “Instalación del software de host para un ambiente CIFS” en la página 12 brinda información sobre la instalación de los snap-ins de la MMC de Celerra. La auditoría se desactiva de forma predeterminada en todas las clases de objetos de Windows. Para activar la auditoría, debe activarla de forma explícita para los eventos específicos de un servidor de carpetas compartidas específico. Una vez activada, la auditoría se inicia en el servidor de carpetas compartidas pertinente. La ayuda en línea del snap-in de administración de seguridad de Data Mover de Celerra brinda información sobre el establecimiento de políticas de auditoría. Si se configura el objeto de política de grupos (GPO) y se activa en el servidor de carpetas compartidas, se utiliza la configuración de GPO de la configuración de auditoría. La auditoría sólo está disponible para los eventos y las clases de objetos específicos que figuran en la Tabla 5. Sólo un administrador avanzado de VNXe puede establecer auditorías en un servidor de carpetas compartidas. Tabla 5 Auditoría de clases de objetos Clase de objeto Evento Auditoría Inicio de sesión/Cierre de sesión • Nombre de inicio de sesión de usuario de CIFS • Cierre de sesión de huésped de CIFS satisfactoria • El controlador de dominio devolvió un mensaje de error de autenticación de contraseña • El controlador de dominio devolvió un código de error no procesado • DC no responde (recursos insuficientes o protocolo inválido) Fallido Objeto abierto: • Acceso a archivos y directorios; si la lista de control de acceso al sistema (SACL) está establecida para lectura, escritura, eliminación, ejecución, establecimiento de permisos, propiedad • Modificación del grupo local de administración de acceso de seguridad (SAM) Identificador cerrado: • Acceso a archivos y directorios; si la SACL está establecida para lectura, escritura, eliminación, ejecución, establecimiento de permisos, propiedad • Base de datos de SAM cerrada Objeto abierto para su eliminación: Acceso a archivos y directorios (si la SACL está establecida) Eliminación de objeto: Acceso a archivos y directorios (si la SACL está establecida) satisfactoria Acceso a la base de datos de SAM (búsqueda) satisfactoria y falla Rastreo de procesos No es compatible N/D Apagado/Reinicio del sistema Reinicio: • Inicio del servicio de CIFS • Apagado del servicio de CIFS • Log de auditoría borrado satisfactoria Acceso a objetos y archivos Auditoría de objetos y usuarios de CIFS 35 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Tabla 5 Auditoría de clases de objetos (continuación) Clase de objeto Evento Auditoría Políticas de seguridad Privilegios de sesión: • Lista de privilegios de usuario • Derechos de usuario asignados • Derechos de usuario eliminados Cambio de política: Lista de categorías de política y estados de auditoría asociados satisfactoria Uso de derechos de usuario No es compatible N/D Administración de usuario y grupo • • • • satisfactoria Creación de grupo local Eliminación de grupo local Adición de un miembro al grupo local Eliminación de un miembro del grupo local Cuando se activa la auditoría, el visor de eventos crea un log de seguridad con la configuración predeterminada que se muestran en la Tabla 6. Tabla 6 Configuración de log predeterminada Tipo de log Tamaño máximo del archivo Retención Seguridad 512 KB 10 días Los servidores de carpetas compartidas de VNXe soportan la auditoría de archivos y carpetas individuales. Activación de la auditoría en el servidor de carpetas compartidas Complete los pasos a continuación para activar la auditoría en el servidor de carpetas compartidas: ◆ “Tarea 1: Especificación de la política de auditoría” en la página 36. ◆ “Tarea 2: Establecimiento de los parámetros del log de auditoría” en la página 37. Tarea 1: Especificación de la política de auditoría Una vez instalada la consola de administración de Celerra, utilice este procedimiento para tener acceso al snap-in de administración de seguridad y especificar las políticas de auditoría: 1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Administración de EMC Celerra. 3. En la ventana Administración de Celerra, realice una de las siguientes acciones: • Si selecciona un servidor de carpetas compartidas (aparece un nombre después de Administración de Data Movers), vaya al paso 4. o 36 Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows • Si no selecciona un servidor de carpetas compartidas: a. Haga clic con el botón secundario en Administración de Data Mover, y seleccione Conectar a Data Mover en el menú de acceso directo. b. En el cuadro Seleccionar Data Mover, seleccione un servidor de carpetas compartidas con uno de los siguientes métodos: – En la lista Analizar, seleccione el dominio donde se ubica el servidor de carpetas compartidas que desea administrar y, a continuación, seleccione el servidor de carpetas compartidas de la lista. – En el campo Nombre, escriba el nombre de la red o la dirección IP del servidor de carpetas compartidas. 4. Haga doble clic en Administración de Data Mover y, a continuación, en Configuración de seguridad de Data Mover. 5. Seleccione Política de auditoría. Aparecen las políticas de auditoría en el panel de la derecha. 6. Haga clic con el botón secundario en Política de auditoría y seleccione Activar auditoría en el menú de acceso directo. 7. Haga doble clic en el objeto de auditoría en el panel de la derecha para definir la política de auditoría del objeto. La ayuda en línea del snap-in de administración de seguridad de Data Mover de Celerra brinda más información sobre las políticas de auditoría. Tarea 2: Establecimiento de los parámetros del log de auditoría 1. Abra la MMC de administración de equipos del servidor de carpetas compartidas tal como se describe en “Apertura de la MMC de administración de equipos” en la página 26. 2. Haga doble clic en Visor de eventos y, para Windows Server 2008, seleccione Registros de Windows. Se muestran los archivos específicos del log. 3. Haga clic con el botón secundario en el archivo del log y seleccione Propiedades en el menú de acceso directo. Se muestra la hoja de propiedades del log. Por lo general, el campo Tamaño máximo del log está bloqueado. 4. Cuando haya completado el procedimiento, vuelva al cuadro de diálogo Propiedades de la aplicación del log y haga clic en las flechas para aumentar o disminuir el tamaño del log. 5. En el área Tamaño del log del cuadro de diálogo, especifique que sucederá cuando se alcance el tamaño máximo del log: • Sobrescritura de los eventos según sea necesario: especifica si todos los eventos nuevos se escriben en el log, aunque el log esté completo. Cuando el log está completo, cada evento nuevo reemplaza al evento anterior. Auditoría de objetos y usuarios de CIFS 37 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows • Sobrescritura de los eventos anteriores a (n) días: sobrescribe los eventos anteriores a la cantidad de días especificada. Utilice las flechas para especificar el límite o haga clic en el campo para ingresar el límite. No debe superar el tamaño del archivo de log especificado en el paso 4. No se añaden eventos nuevos si se alcanza el tamaño máximo del log ni se muestran los eventos anteriores a este periodo. • Sin sobrescritura de los eventos: completa el log hasta el límite especificado en el paso 4. Cuando el log está completo, no se escriben eventos nuevos hasta que se vacía. 6. Haga clic en Aceptar para guardar la configuración. Visualización de los eventos de auditoría 1. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Visor de eventos. 2. Haga clic con el botón secundario en el icono del visor de eventos en el panel de la derecha y seleccione Conectar a otro equipo en el menú de acceso directo. Se abre el cuadro de diálogo Seleccionar equipo. 3. Escriba el nombre del servidor de carpetas compartidas en el campo Ingresar el nombre del objeto que desea seleccionar o haga clic en Avanzada para buscar un equipo; a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Seleccionar equipo. 4. Para Windows Server 2008, haga clic en Registros de Windows. 5. Haga clic en el log. Aparecen las entradas del log en el panel de la derecha. 6. Haga doble clic en la entrada del log para ver el detalle del evento. Se abre la ventana Propiedades del evento. Desactivación de la auditoría 1. Inicie sesión en el controlador de dominio Windows Server 2003 o Windows Server 2008 con privilegios de administrador de dominio. 2. Haga clic en Inicio y seleccione Programas o Todos los programas > Herramientas administrativas > Administración de EMC Celerra. 3. Puede realizar una de las siguientes acciones: • Si ya ha seleccionado un servidor de carpetas compartidas (aparece el nombre después de Administración de Data Movers), vaya al paso 4. • Si no selecciona un servidor de carpetas compartidas: a. Haga clic con el botón secundario en Administración de Data Mover, y seleccione Conectar a Data Mover en el menú de acceso directo. 38 Uso de un sistema VNXe con carpetas compartidas CIFS Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows b. En el cuadro de diálogo Seleccionar Data Mover, seleccione un servidor de carpetas compartidas con uno de los siguientes métodos: – En la lista Analizar, seleccione el dominio donde se ubica el servidor de carpetas compartidas que desea administrar y, a continuación, seleccione el servidor de carpetas compartidas de la lista. – En el campo Nombre, escriba el nombre de la red o la dirección IP del servidor de carpetas compartidas. 4. Haga doble clic en Administración de Data Mover y, a continuación, en Configuración de seguridad de Data Mover. 5. Haga clic con el botón secundario en Política de auditoría y seleccione Desactivar auditoría en el menú de acceso directo. Acceso al log de seguridad del servidor de carpetas compartidas de VNXe De forma predeterminada, cada servidor de carpetas compartidas almacena su log de seguridad de Windows en c:\security.evt, que tiene un límite de tamaño de 512 KB. Puede tener acceso directo a este log de seguridad a través del recurso compartido C$ de cada servidor de carpetas compartidas mediante: \\storage_server_netbios_name\C$\security.evt donde storage_server_netbios_name es el nombre NetBIOS del servidor de carpetas compartidas. Copia de un snapshot del recurso compartido con Windows Explorer 1. Obtenga acceso al servidor de carpetas compartidas que tiene el recurso compartido que desea copiar: • buscándolo en Windows Explorer o • mediante Inicio > Ejecutar > \\shared_folder_server_name. 2. En el servidor de carpetas compartidas, haga clic con el botón secundario en el recurso compartido que tiene el snapshot que desea copiar y seleccione Propiedades. 3. Haga clic en la pestaña Versiones anteriores. 4. Seleccione el snapshot (de la versión anterior) que desea copiar y haga clic en Copiar. Se crea una copia del snapshot con capacidad de escritura en la ubicación especificada. Acceso al log de seguridad del servidor de carpetas compartidas de VNXe 39 Administrar el almacenamiento de carpetas compartidas CIFS de VNXe mediante las herramientas de Windows Restauración de un snapshot del recurso compartido con Windows Explorer La restauración de un recurso de almacenamiento a un snapshot devuelve (vuelve atrás) el recurso de almacenamiento al estado anterior capturado por el snapshot. Durante la restauración, el recurso de almacenamiento completo, incluidos todos sus archivos y datos almacenados, se sustituye por los contenidos del snapshot. IMPORTANTE Para evitar la pérdida de datos, asegúrese de que todos los clientes hayan completado todas las operaciones de lectura y escritura del recurso de almacenamiento que desea restaurar. Para restaurar el snapshot de un recurso compartido con Windows Explorer: 1. Obtenga acceso al servidor de carpetas compartidas que tiene la carpeta compartida con los snapshots que desea recuperar: • buscándolo en Windows Explorer o • mediante Inicio > Ejecutar > \\shared_folder_server_name. 2. En el servidor de carpetas compartidas, haga clic con el botón secundario en el recurso compartido con el contenido que desea recuperar y seleccione Propiedades. 3. Haga clic en la pestaña Versiones anteriores. 4. Seleccione el snapshot (versión anterior) que desea restaurar y haga clic en Restaurar. La operación de restauración hace lo siguiente: • En el caso de los archivos presentes en la versión actual, pero ausentes en la versión anterior que se está restaurando: no modifica estos archivos en el recurso compartido. • En el caso de los archivos presentes tanto en la versión anterior que se está restaurando como en la versión actual: sobrescribe los archivos en el recurso compartido con los contenidos de los archivos de la versión anterior. • En el caso de los archivos presentes en la versión anterior que se está restaurando, pero ausentes en la versión actual: añade estos archivos al recurso compartido. Por ejemplo, suponga lo siguiente: • La versión actual tiene los archivos a, b y f. • La versión anterior que se está restaurando tiene los archivos a, f y g. La versión restaurada tendrá el archivo b con los contenidos de la versión actual y los archivos a, f y g con los contenidos de la versión anterior. 40 Uso de un sistema VNXe con carpetas compartidas CIFS CAPÍTULO 4 Usar FLR VNXe con el sistema El servidor de carpetas compartidas de VNXe soporta retención de archivos (FLR) para el almacenamiento de carpetas compartidas. FLR le permite definir permisos basados en archivo en un sistema de archivos para limitar el acceso de escritura durante un periodo de retención especificado. Un sistema de archivos activado para FLR: ◆ ◆ ◆ Protege los datos a la vez que garantiza su integridad y accesibilidad, ya que le permite crear un conjunto permanente de archivos y directorios que los usuarios no pueden modificar a través de CIFS o FTP. Simplifica la tarea de archivado de los datos en discos magnéticos regrabables estándar mediante operaciones de CIFS estándar. Mejora la flexibilidad de la administración de almacenamiento. ATENCIÓN Una vez que activa FLR para un sistema de archivos, no puede desactivarlo. Cuando se activa FLR, puede enfrentarse a situaciones en las que probablemente no podrá eliminar archivos que necesite eliminar. No active FLR a menos que tenga la seguridad de que desea usarlo y sepa lo que está haciendo. No use Windows Explorer para bloquear archivos en un sistema de archivos activado para FLR. Windows Explorer define la hora del archivo en la fecha y hora actual antes de hacer que sea de solo lectura, lo que provoca que se bloquee para siempre. Si desea usar Windows Explorer para definir o administrar las fechas de retención o para bloquear archivos en un sistema de archivos activado para FLR, debe instalar el kit de herramientas de FLR. Este capítulo contiene los siguientes temas: ◆ ◆ ◆ ◆ ◆ Terminología y conceptos de FLR ............................................................................. Requerimientos del sistema para retención de archivos .......................................... Instalación del kit de herramientas de FLR en un host ............................................. Configuración del monitor de FLR ............................................................................ Uso del monitor de FLR ........................................................................................... Usar FLR VNXe con el sistema 42 44 46 47 47 41 Usar FLR VNXe con el sistema Terminología y conceptos de FLR Esta sección define términos importantes para comprender las capacidades de FLR en los servidores de carpetas compartidas de VNXe. Terminología de FLR Estado de CLEAN Estado inicial de un archivo cuando se crea. El archivo CLEAN se trata de la misma manera que se trata cualquier archivo en un sistema de archivos no activado para retención de archivos. Esto significa que los clientes y usuarios pueden renombrar, modificar y eliminar un archivo CLEAN hasta que se asigna a FLR. Estado de EXPIRED Estado de un archivo cuando expira su periodo de retención. Los clientes y los usuarios pueden revertir un archivo en estado EXPIRED al estado FLR o eliminar un archivo en estado EXPIRED del sistema de archivos de FLR. Estado de FLR Estado de un archivo cuando su permiso de lectura/escritura cambia a solo lectura en un sistema de archivos activado para FLR. Los clientes y usuarios no pueden eliminar archivos con estado FLR hasta que expire su periodo de retención. Conceptos básicos de FLR Puede activar FLR en un sistema de archivos especificado solo en el momento de la creación. Cuando crea un sistema de archivos nuevo con retención de archivos activada, el sistema de archivos se marca de manera persistente como un sistema de archivos de FLR y los clientes y usuarios pueden aplicar la protección de FLR solo archivo por archivo. Un archivo en un sistema de archivos de FLR tiene uno de tres estados posibles: CLEAN, FLR o EXPIRED. Administre los archivos en estado FLR mediante la definición de la retención por directorio o por proceso en batch, lo que significa que administra los archivos por sistema de archivos, o mediante la ejecución de un script para ubicar y eliminar archivos en estado EXPIRED. Puede eliminar un sistema de archivos de FLR, pero no puede eliminar ni modificar archivos en el estado FLR. La ruta a un archivo en estado FLR también está protegida contra modificaciones, lo que significa que no se puede renombrar ni eliminar un directorio en un sistema de archivos de FLR, a menos que se encuentre vacío. 42 Uso de un sistema VNXe con carpetas compartidas CIFS Usar FLR VNXe con el sistema Cómo funciona FLR Un archivo en un sistema de archivos de FLR se mueve entre tres estados posibles: CLEAN, FLR o EXPIRED. La transición entre estos estados se basa en la hora de último acceso (LAT) y en el permiso de solo lectura del archivo. Cuando se crea un archivo, tiene el estado CLEAN. Un archivo en estado CLEAN se trata exactamente igual que un archivo en un sistema de archivos no activado para retención de archivos; los clientes y los usuarios pueden renombrar, modificar o eliminar el archivo. Nota: El estado actual del archivo no es visible para el usuario. Además, obtener acceso a un archivo con estado CLEAN hace que cambie la hora de último acceso del archivo. Por ejemplo, el escaneo de antivirus, el respaldo o la búsqueda de contenidos de archivos modifica la hora de último acceso a un archivo. Cuando cambia los permisos de un archivo en estado CLEAN de lectura/escritura a solo lectura, el archivo cambia del estado CLEAN al estado FLR y se confirma en FLR. Los clientes y los usuarios no pueden modificar ni eliminar un archivo en estado FLR. Además, la ruta a cualquier archivo en estado FLR se encuentra protegida contra modificaciones. Esto significa que los clientes y los usuarios de un directorio en un sistema de archivos de FLR no pueden renombrar ni eliminar el directorio, a menos que se encuentre vacío, y pueden eliminar archivos en estado FLR solo una vez que su periodo de retención se ha vencido. Un periodo de retención especifica la fecha y la hora en que se vence la protección de FLR de un archivo. EMC sugiere especificar un periodo de retención antes de que se confirme un archivo a FLR. De lo contrario, el sistema establece de manera predeterminada un periodo de retención infinito. En este caso, puede definir explícitamente un periodo de retención más breve. Puede definir el periodo de retención de un archivo si modifica la hora de último acceso de este a través de operaciones de CIFS en una fecha y hora de vencimiento futuras. Esta fecha y hora futuras representan el final del periodo de retención del archivo. Un archivo cambia del estado FLR al estado EXPIRED cuando alcanza su periodo de retención. Solo el encargado o el administrador de un archivo puede eliminarlo cuando se encuentra en estado EXPIRED. La retención de archivos no ejecuta la eliminación automática de archivos en estado EXPIRED. Debe eliminar los archivos EXPIRED de manera explícita con el kit de herramientas de FLR. En caso de ser necesario, puede revertir un archivo desde el estado EXPIRED nuevamente al estado FLR si extiende su periodo de retención a una fecha posterior a la fecha de vencimiento de la fecha de retención original. Para extender un periodo de retención, cambie la hora de último acceso del archivo a una hora posterior a la fecha de vencimiento original. A pesar de que puede extender el periodo de retención de un archivo, no puede acortarlo. Si especifica una hora de acceso nueva anterior a la hora de acceso actual para el archivo, el servidor de carpetas compartidas de VNXe rechaza el comando. Con las excepciones de extender el periodo de retención de un archivo y modificar los permisos de lectura de un usuario o grupo respecto de un grupo, no podrá editar los metadatos del archivo durante el periodo de retención. Cuando copia un archivo de solo lectura desde un sistema de archivos normal a un sistema de archivos de FLR, el archivo no se confirma en el estado FLR. Cuando se completa la copia, el archivo tiene el estado CLEAN. Terminología y conceptos de FLR 43 Usar FLR VNXe con el sistema Restricciones de FLR Las siguientes restricciones se aplican a FLR: ◆ ◆ ◆ ◆ ◆ Debe definir el nivel de retención de archivos cuando crea el sistema de archivos y no puede cambiarlo después de la creación del sistema de archivos. Los clientes o los usuarios de VNXe no pueden modificar ni eliminar archivos en estado FLR. La ruta a un archivo con estado bloqueado también está protegida contra cualquier modificación, lo que significa que no es posible renombrar ni eliminar un directorio en un sistema de archivos activado para FLR, a menos que no contenga ningún archivo protegido. Si usa el agente antivirus de EMC Celerra (CAVA), EMC recomienda enfáticamente que actualice todos los archivos de definición de virus en todos los motores antivirus (AV) residentes en los pools de CAVA y que ejecute de manera periódica un escaneo completo del sistema de archivos para detectar archivos FLR infectados. Cuando se detecta un archivo bloqueado infectado, el antivirus residente no puede reparar ni eliminar un archivo infectado. A pesar de que puede eliminar el archivo solo una vez que haya pasado su fecha de retención, puede cambiar los bits de permiso del archivo para restringir el acceso de lectura a fin de que el archivo no esté disponible para los usuarios. La funcionalidad de lectura de escaneo al comienzo de CAVA no detecta un virus en un archivo bloqueado. La documentación sobre CAVA que se encuentra en el sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)) proporciona información acerca de CAVA. A pesar de que retención de archivos soporta toda la funcionalidad de respaldo, el atributo de FLR no se conserva en un respaldo del Protocolo de gestión de datos de red (NDMP, Network Data Management Protocol). De esta manera, cuando use el respaldo de NDMP, debe asegurarse de que los archivos se restauran a un sistema de archivos de VNXe con retención de archivos activada. Si restaura un archivo a partir de un respaldo de NDMP con una fecha de retención expirada, el sistema de archivos tendrá una fecha de retención infinita una vez restaurado. Si desea proteger el archivo pero no desea que tenga una fecha de retención infinita, restáurelo a un sistema de archivos no de FLR y, a continuación, cópielo nuevamente al sistema FLR. El sistema de archivo root de un montaje anidado no puede ser un sistema de archivos con retención de archivos activada. Requerimientos del sistema para retención de archivos En esta sección se describen las configuraciones de software, hardware, red y almacenamiento que se requieren para usar FLR con el servidor de carpetas compartidas de VNXeShared Folder Server. Tabla 7 describe los requerimientos del sistema para FLR. Tabla 7 Requerimientos del sistema para FLR 44 Componente Requisito Software Kit de herramientas de FLR, versión 3.5 Enterprise (FLR-E). Hardware Host que ejecuta un sistema operativo de Windows soportado por el kit de herramientas de FLR. La matriz de soporte que se encuentra en el sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)) proporciona información sobre los sistemas operativos soportados. Red No hay requerimientos de red específicos. Almacenamiento No hay requerimientos de almacenamiento específicos. Uso de un sistema VNXe con carpetas compartidas CIFS Usar FLR VNXe con el sistema Requerimiento de Windows .NET Framework Windows .NET Framework 2.0 debe estar instalado en el host para que la instalación del kit de herramientas de FLR se realice correctamente. Requerimientos de privilegios de cuenta de servicio y servicios de Windows para el monitor de FLR Tabla 8 describe los escenarios para las relaciones de confianza del dominio y la cuenta de servicio del monitor de FLR. Cada escenario describe las acciones de privilegios requeridas que debe realizar para asegurarse de que el monitor se pueda ejecutar como un servicio en el host de Windows. En las relaciones de confianza del dominio de Windows, la dirección de la confianza es de gran importancia. Los términos “confiable” y “de confianza” y sus direcciones definidas en la tabla se usan de la misma manera como Microsoft las describe. Tabla 8 Escenarios y acciones requeridas para el otorgamiento de privilegios ¿La cuenta de servicio es miembro del grupo de administradores de dominio de su dominio? ¿El host es miembro de un dominio considerado como confiable por el dominio de la cuenta de servicio? ¿El host es miembro del mismo dominio que la cuenta de servicio? Acciones requeridas Sí Sí No Agregue el grupo de administradores de dominio o la cuenta de servicio al grupo de administradores locales del host. Por ejemplo, si la cuenta del servidor es dominio A\algúnusuario, agregue dominioA/Administradores de dominio o dominioA\algúnusuario. Sí No Sí Agregue el grupo de administradores de dominio o la cuenta de servicio al grupo de administradores locales del host. Por ejemplo, si la cuenta del servidor es dominio A\algúnusuario, agregue dominioA/Administradores de dominio o dominioA\algúnusuario. Sí No No Agregue la cuenta de servicio al grupo de administradores locales del servidor. El grupo de administradores de dominio no es suficiente. Por ejemplo, si la cuenta de servicio es dominioA\algúnusuario, agregue dominioA\algúnusuario. No Sí Sí Agregue la cuenta de servicio al grupo de administradores locales del servidor. Por ejemplo, si la cuenta de servicio es dominioA\algúnusuario, agregue dominioA\algúnusuario. No No No Agregue la cuenta de servicio al grupo de administradores locales del servidor. El grupo de administradores de dominio no es suficiente. Por ejemplo, si la cuenta de servicio es dominioA\algúnusuario, agregue dominioA\algúnusuario. Requerimientos del sistema para retención de archivos 45 Usar FLR VNXe con el sistema Instalación del kit de herramientas de FLR en un host Puede instalar el kit de herramientas de FLR en cualquier host de Windows que esté en ejecución en la red que tenga acceso al servidor de carpetas compartidas de VNXe con los archivos que desea conservar: 1. Inicie sesión en el host de Windows a través de una cuenta con privilegios de administrador. 2. Descargue el paquete de software que desea instalar de la siguiente manera: a. Desplácese hasta la sección de descarga de software del sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)). b. Elija el paquete de software que desea instalar y seleccione la opción para guardar el software en el host. 3. En el directorio donde guardó el software, haga doble clic en el archivo ejecutable para iniciar el asistente de instalación. 4. En la página Bienvenido, haga clic en Siguiente. 5. Lea el Acuerdo de licencia y acepte sus términos con un clic en Siguiente. 6. Escriba el nombre del usuario y la organización y, a continuación, haga clic en Siguiente. 7. Especifique la carpeta de destino para la instalación del kit de herramientas de FLR y haga clic en Siguiente. 8. En la página Tipo de configuración, seleccione Completa o Personalizada como el tipo de configuración y, a continuación, haga clic en Siguiente. 9. En la página Información de inicio de sesión, especifique y/o navegue a las credenciales del dominio para la cuenta de inicio de sesión del usuario que iniciará sesión en el kit de herramientas de FLR y, a continuación, haga clic en Siguiente. Estas credenciales son: • Nombre de usuario, que debe ser dominio/Administrador, donde dominio es el nombre del dominio • Contraseña para dominio/Administrador 10. Revise la configuración de la instalación y, si está correcta, haga clic en Instalar. 11. Haga clic en Finalizar para completar la instalación. 46 Uso de un sistema VNXe con carpetas compartidas CIFS Usar FLR VNXe con el sistema Configuración del monitor de FLR 1. Abra el servicio del monitor de FLR, que está incluido en el kit de herramientas de FLR. 2. En la pestaña Conexiones de FLR, haga clic en Agregar. 3. En la pestaña Opciones de directorio de la página Configuración de origen de retención, haga clic en Navegar para seleccionar el origen de la retención. 4. Seleccione el recurso compartido de CIFS que se creó sobre el sistema de archivos de FLR como el origen de la retención. 5. En la página Configuración de origen de retención: a. Seleccione la opción para monitorear subdirectorios y haga clic en Aceptar. b. En la pestaña Opciones de monitoreo, seleccione el método de monitoreo: Rápido (basado en evento): la política de retención se aplica tan pronto se generan los archivos de datos. Sondeo (basado en calendario): la política de retención se aplica según un calendario en especial. c. En la pestaña Opciones de FLR, defina la retención en la política de retención requerida y, a continuación, haga clic en Aceptar. Nota: La política de fecha y hora incremental aplica la retención de manera tal que la fecha de retención se aplica de manera incremental para los archivos de datos generados en distintos puntos del tiempo. 6. En la página Servicio del monitor de FLR, pestaña Conexiones de FLR, seleccione la entrada de conexión y haga clic en Aplicar. 7. En la página Confirmación, haga clic en Sí para confirmar la aplicación de la política de retención y, a continuación, haga clic en Aceptar. Uso del monitor de FLR En esta sección se describe cómo: ◆ “Confirmar el archivo de solo lectura al estado de FLR” en la página 47. ◆ “Crear consultas de FLR” en la página 48. Confirmar el archivo de solo lectura al estado de FLR Después de copiar un archivo a un sistema de archivos de CIFS activado para retención de archivos, debe: 1. cambiar el permiso del archivo para lectura/escritura; 2. definir un periodo de retención; 3. confirmar el archivo al estado de FLR. De manera adicional, los sistemas de archivos con retención de archivos activada siempre impone la sincronización del bit de solo lectura de DOS (CIFS). Configuración del monitor de FLR 47 Usar FLR VNXe con el sistema Crear consultas de FLR Después que se inicia el servicio del monitor de FLR, puede usar la herramienta FLR Explorer, que se instala automáticamente con el kit de herramientas de FLR, a fin de crear consultas para ver archivos retenidos o expirados. Puede ejecutar consultas sobre el origen de la retención con la generación de una función de consulta de FLR Explorer. Puede proporcionar los parámetros siguientes para la consulta: ◆ Tipo de archivos: archivos retenidos, archivos con estado no WORM, archivos con estado de retención específico ◆ Origen de la retención ◆ Extensión de archivos para incluir o excluir ◆ Subdirectorios también en la ruta de búsqueda Ejemplo de consulta Los pasos siguientes describe el proceso de ejecutar la consulta de FLR con FLR Explorer: 1. Abra la aplicación FLR Explorer desde: C:\Archivos de programa (x86)\EMC\Kit de herramientas de FLR\FLR Explorer 2. En FLR Explorer, seleccione Generar una consulta. 3. En la página Generador de consultas, proporcione el tipo de archivo para buscar, como archivos retenidos, archivos con un estado de retención específico o archivos en estado no WORM. 4. Proporcione el origen de la retención. 5. De manera opcional, incluya o excluya archivos especificando sus extensiones. 6. Haga clic en Aceptar. Aparece una lista de los archivos expirados desde FLR Explorer. De manera similar, puede mostrar la lista de archivos retenidos generando otra consulta con FLR Explorer. 48 Uso de un sistema VNXe con carpetas compartidas CIFS CAPÍTULO 5 Usar la solución común VNX Event Enabler con el sistema VNXe VNX Event Enabler (VEE) proporciona una solución de antivirus (agente antivirus común de VEE) para los clientes que usan el sistema VNXe. Usa protocolos Common Internet File System (CIFS) estándares del sector en un dominio de Windows 8, Windows 7, Windows Server 2008, Windows Server 2003 o Windows 2000. Common Anti-Virus Agent de VEE (VEE CAVA) usa un software antivirus de otros fabricantes para identificar y eliminar virus conocidos antes de que infecten los archivos en el sistema VNXe. A pesar que los servidores de almacenamiento de VNXe (Data Movers) son resistentes a los virus, los clientes Windows también requieren protección. La protección contra virus en el cliente reduce la posibilidad de que el cliente almacene un archivo infectado en el servidor de almacenamiento y protege al cliente si abre un archivo infectado. Este capítulo contiene los siguientes temas: ◆ ◆ ◆ Descripción general de CAVA................................................................................... 50 Requerimientos y limitaciones del sistema.............................................................. 52 Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe .................................................................................................................. 52 Usar la solución común VNX Event Enabler con el sistema VNXe 49 Usar la solución común VNX Event Enabler con el sistema VNXe Descripción general de CAVA Como se observa en Figura 2, la solución VEE usa los siguientes componentes: ◆ VNXe Servidor de carpetas compartidas que ejecuta el cliente de comprobación de virus VEE CAVA ◆ Motor antivirus (AV) de otros fabricantes ◆ Software VEE CAVA Debe instalarse un motor antivirus de otros fabricantes y el software VEE CAVA en al menos un servidor Windows Server 2008, Windows Server 2003 o Windows 2000 o una estación de trabajo de Windows 7 o Windows 8 en el dominio con el sistema VNXe. Dicho servidor es un servidor AV. Nota: Si el software antivirus de otros fabricantes se ejecuta en una estación de trabajo de Windows 7 o Windows 8, también se puede ejecutar VEE CAVA en la estación de trabajo de Windows 7. Figura 2 Componentes de la solución CAVA Servidores de carpetas compartidas de VNXe Los servidores de carpetas compartidas de VNXe administran las operaciones para los recursos compartidos (CIFS) y las carpetas compartidas de Windows, los recursos compartidos (NFS) y las carpetas compartidas de Linux/UNIX, o ambos. Para una solución VEE CAVA, el sistema VNXe requiere la configuración de uno o más servidores de carpetas compartidas para los recursos compartidos CIFS o para los recursos compartidos CIFS y NFS. 50 Uso de un sistema VNXe con carpetas compartidas CIFS Usar la solución común VNX Event Enabler con el sistema VNXe Cliente de comprobación de virus VEE CAVA El cliente de comprobación de virus (VC) es un agente VEE CAVA que se ejecuta en el servidor de carpetas compartidas de VNXe. El cliente VC interactúa con el motor AV, que procesa las solicitudes del cliente VC. El escaneo de virus sólo se soporta para el acceso CIFS. Mientras se realiza el escaneo o cualquier otra acción relacionada, el acceso al archivo desde cualquier cliente CIFS está bloqueado. El cliente VC lleva a cabo las siguientes acciones: ◆ ◆ Coloca en la línea de espera y comunica el nombre de los archivos a VEE CAVA para que proceda con el escaneo. Proporciona y reconoce desencadenantes de eventos para su escaneo. Los posibles desencadenantes de eventos incluyen: • Cambio de nombre de un archivo en el sistema VNXe. • Copia o almacenamiento de un archivo en el sistema VNXe. • Modificación o cierre de un archivo en el sistema VNXe. Soporte del software antivirus de otros fabricantes La solución VEE CAVA usa un software antivirus de otros fabricantes, llamado motor AV, para identificar y eliminar los virus conocidos antes de que infecten los archivos en el sistema VNXe. Para conocer los motores AV que soporta EMC, consulte la matriz de soporte de VNXe en el sitio web de soporte en línea de EMC (http://www.emc.com/vnxesupport (visite el sitio web de su país correspondiente)). Software VEE CAVA El software VEE CAVA es una aplicación desarrollada por EMC que se ejecuta en un servidor Windows (llamado servidor AV). Se comunica con un motor antivirus estándar que se ejecuta en uno o más servidores para escanear archivos CIFS almacenados en un sistema VNX o VNXe o en Celerra Network Server. Software snap-in de MMC Celerra AntiVirus Management El software Celerra AntiVirus Management es un snap-in de MMC a Unisphere. Use este snap-in para ver o modificar los parámetros de comprobación de virus de VEE para los servidores de carpetas compartidas de VNXe. Descripción general de CAVA 51 Usar la solución común VNX Event Enabler con el sistema VNXe Requerimientos y limitaciones del sistema La solución VEE CAVA requiere lo siguiente: ◆ ◆ ◆ ◆ Un sistema VNXe con un servidor de carpetas compartidas configurado en la red. El software snap-in de MMC Celerra AntiVirus Management instalado en un sistema cliente con acceso al dominio de VNXe. Para obtener información sobre la instalación de este snap-in, consulte “Instalación del software de host para un ambiente CIFS” en la página 12. Un software antivirus de otros fabricantes que se ejecute en uno o más servidores AV en el dominio. VEE CAVA soporta ambientes Windows de 32 bits y 64 bits y los correspondientes motores antivirus de otros fabricantes. La versión del motor antivirus que se requiere depende del sistema operativo. Para conocer los últimos requerimientos del sistema del software de otros fabricantes, consulte la documentación o el sitio web del proveedor externo correspondientes. El software VEE CAVA instalado en cada servidor AV en el dominio. Retención en el nivel de archivo Recomendamos enfáticamente que el administrador del antivirus (AV) actualice los archivos de definición de virus en todos los motores AV residentes en los pools de VEE CAVA y que periódicamente ejecute un escaneo completo del sistema de archivos para detectar los archivos de retención de archivos (FLR) infectados. Protocolos que no son CIFS La solución VEE CAVA es para los clientes que sólo ejecutan el protocolo CIFS. Si los clientes usan protocolos NFS o FTP para mover o modificar archivos, la solución VEE CAVA no escanea estos archivos en busca de virus. Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe Para implementar una solución VEE CAVA para los servidores de carpetas compartidas de VNXe, realice las siguientes tareas: ◆ ◆ ◆ ◆ ◆ 52 “Tarea 1: Configure la cuenta de usuario del dominio con derechos de comprobación de virus” en la página 53. “Tarea 2: Configure los parámetros del programa antivirus para el servidor de carpetas compartidas” en la página 56. “Tarea 3: Instale un software antivirus de otros fabricantes en los servidores AV en el dominio” en la página 58. “Tarea 4: Instale VEE CAVA en los servidores AV de Windows” en la página 58. “Tarea 5: Inicie el motor AV de VEE (agente de comprobación de virus) en el sistema VNXe” en la página 59. Uso de un sistema VNXe con carpetas compartidas CIFS Usar la solución común VNX Event Enabler con el sistema VNXe Tarea 1: Configure la cuenta de usuario del dominio con derechos de comprobación de virus La instalación de VEE CAVA requiere que los servidores de carpetas compartidas de VNXe reconozcan que una cuenta de usuario de Windows tiene el privilegio de comprobación de virus de EMC. Esta cuenta de usuario permite que los servidores de carpetas compartidas distingan las solicitudes de VEE CAVA de todas las otras solicitudes de cliente. Para configurar la cuenta de usuario de dominio: 1. Cree una cuenta de usuario de dominio Active Directory para el usuario del antivirus: a. Inicie sesión en el servidor Windows Server 2008, Windows Server 2003 o Windows 2000 como el administrador de dominio. b. En la barra de tareas, haga clic en Inicio y seleccione Configuración > Panel de control > Herramientas administrativas > Usuarios y equipos de Active Directory. c. En el árbol de VNX Management Console, haga clic con el botón secundario en Usuarios y seleccione Nuevo > Usuario. d. En el cuadro de diálogo Nuevo objeto: Usuario, especifique el nombre, el apellido y el nombre de inicio de sesión de usuario para el nuevo usuario, y haga clic en Siguiente. Puede asignar al usuario del dominio el nombre que desee, aunque debería ser un nombre con sentido. e. En el cuadro de diálogo Contraseña: – Escriba y confirme la contraseña. – Seleccione La contraseña nunca expira. – Haga clic en Siguiente. – Haga clic en Finalizar. El servicio de VEE CAVA se ejecutará en el contexto de esta cuenta. 2. Cree un grupo local para cada servidor de carpetas compartidas en el dominio y agregue el nuevo usuario del antivirus (virususer), que creó en la “Tarea 1: Configure la cuenta de usuario del dominio con derechos de comprobación de virus” en la página 53 al grupo: a. En Usuarios y equipos de Active Directory, haga doble clic en EMC Celerra y, a continuación, haga clic en Equipos. b. En el panel Equipo, haga clic con el botón secundario en el servidor de carpetas compartidas y seleccione Administrar. c. En la ventana Administración de equipos, bajo Herramientas del sistema, haga doble clic en Usuarios y grupos locales. d. Haga clic con el botón secundario en Grupos y seleccione Nuevo grupo. e. En el cuadro de diálogo Nuevo grupo, escriba el nombre del grupo (por ejemplo, comprobadores de virus) y una descripción, y haga clic en Agregar. Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe 53 Usar la solución común VNX Event Enabler con el sistema VNXe f. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos: Para Windows 8, Windows 7, Windows Server 2008 o Windows Server 2003: – Escriba el nombre de la cuenta de usuario del antivirus que creó en la “Tarea 1: Configure la cuenta de usuario del dominio con derechos de comprobación de virus” en la página 53. – Haga clic en Seleccionar nombres. – Haga clic en Aceptar para cerrar el cuadro de diálogo Seleccionar usuarios, equipos o grupos y, a continuación, haga clic en Aceptar para volver al cuadro de diálogo Nuevo grupo. Para Windows 2000: – Seleccione el dominio en el cuadro de lista Buscar en: cuadro de lista. – Seleccione el nombre de la cuenta de usuario del antivirus que creó en la “Tarea 1: Configure la cuenta de usuario del dominio con derechos de comprobación de virus” en la página 53 desde la lista. – Haga clic en Agregar. – Haga clic en Aceptar para volver al cuadro de diálogo Nuevo grupo. g. Haga clic en Crear y, a continuación, en Cerrar. El grupo se crea y se agrega a la lista Grupos. 3. Asigne los derechos de comprobación de virus de EMC al nuevo grupo local: Nota: No puede usar las herramientas de configuración de políticas de seguridad de Microsoft Windows para administrar las asignaciones de derechos en una carpeta compartida de VNXe porque estas herramientas no le permiten administrar las asignaciones de derechos de usuario en forma remota. a. Haga clic en Inicio y seleccione Configuración > Panel de control > Herramientas administrativas > Administración de Celerra. b. Si el servidor de carpetas compartidas de VNXe ya está seleccionado (el nombre aparece después de Administración de Data Movers), vaya al paso e. c. Si el servidor de carpetas compartidas de VNXe no está seleccionado: – En la ventana Administración de VNX, haga clic con el botón secundario en Administración de Data Mover y seleccione Conectar a Data Mover. – En el cuadro de diálogo Seleccionar Data Mover, seleccione el servidor de carpetas compartidas de VNXe; para ello, seleccione el dominio en el cuadro de lista Buscar en: y seleccione el servidor de carpetas compartidas de la lista, o escriba el nombre del equipo, la dirección IP o el nombre NetBIOS del servidor de carpetas compartidas de VNXe en el cuadro Nombre. d. Haga doble clic en Administración de Data Mover y, a continuación, en Configuración de seguridad de Data Mover. e. Haga clic en Asignación de derechos de usuario y, en el panel derecho, haga doble clic en Comprobación de virus de EMC. 54 Uso de un sistema VNXe con carpetas compartidas CIFS Usar la solución común VNX Event Enabler con el sistema VNXe f. En el cuadro de diálogo Configuración de políticas de seguridad, haga clic en Agregar. g. En la ventana Seleccionar usuarios o grupos: – Seleccione el servidor de carpetas compartidas en el cuadro de lista Buscar en: cuadro de lista. – Seleccione el grupo del antivirus que creó en el paso 2. – Haga clic en Agregar y, a continuación, en Aceptar para regresar al cuadro de diálogo Configuración de seguridad. h. Haga clic en OK (Aceptar). Ahora, la política de comprobación de virus de EMC muestra el grupo local Carpetas compartidas. Aunque este derecho es un privilegio local y no un privilegio de dominio, de todas formas distingue los usuarios del antivirus de otros usuarios del dominio. 4. Asigne los derechos administrativos locales a la cuenta de usuario del antivirus en cada host que ejecutará el software de motor antivirus, es decir, que será un servidor antivirus (AV). Nota: Si el servidor antivirus es un controlador de dominio, la cuenta de usuario de comprobación de virus debe unirse al grupo del administrador de dominio en lugar de al grupo del administrador local porque el grupo del administrador local no está administrado en un controlador de dominio. Para cada servidor AV en el dominio: a. Haga clic en Inicio y seleccione Configuración > Panel de control > Herramientas de administración > Administración de equipos. b. En la ventana Administración de equipos, menú Acción, seleccione Conectar a otro equipo. c. En la ventana Seleccionar equipo, seleccione el servidor de comprobación de virus (AV) y haga clic en Aceptar. d. En la ventana Administración de equipos: – Expanda Herramientas del sistema. – Expanda Usuarios y grupos locales. – Haga clic en Usuarios. e. Haga clic con el botón secundario en el nombre de la cuenta de usuario del antivirus que creó en la “Tarea 1: Configure la cuenta de usuario del dominio con derechos de comprobación de virus” en la página 53 y seleccione Propiedades. f. En la ventana Propiedades de la cuenta, haga clic en la pestaña Miembros de y, a continuación, en Agregar. g. En el cuadro de diálogo Seleccionar grupos, cuadro Escribir los nombres de objeto para seleccionar, escriba Administradores y haga clic en Aceptar. h. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de la cuenta. Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe 55 Usar la solución común VNX Event Enabler con el sistema VNXe Tarea 2: Configure los parámetros del programa antivirus para el servidor de carpetas compartidas 1. En la barra de tareas, haga clic en Inicio y seleccione Configuración > Panel de control > Herramientas administrativas > Administración de Celerra. 2. En el árbol de VNX Management Console, expanda el nodo Administración de datos (para un sistema VNXe, las entradas representan los servidores de carpetas compartidas). En el árbol de la consola, aparece el modo de antivirus. El estado del servicio de antivirus para el servidor de carpetas compartidas de VNXe seleccionado es Detenido o En ejecución. Nota: Si no seleccionó un servidor de carpetas compartidas, debe seleccionar uno antes de poder usar el snap-in Celerra AntiVirus Management. Si se selecciona un servidor de carpetas compartidas, su nombre aparece al lado del nodo Administración de datos en el árbol de la consola. 3. Haga clic en el nodo del antivirus. La lista de configuraciones de parámetros aparece en el panel de detalles. 4. En el panel de detalles: a. Haga clic con el botón secundario en el parámetro que desea cambiar y seleccione Propiedades. Aparece el cuadro de diálogo Propiedades para dicho parámetro. Para obtener una descripción de los parámetros, consulte “Parámetros configurables del nodo del antivirus” en la página 56. b. Si el parámetro contiene varias configuraciones, escriba los valores para las configuraciones, haga clic en Agregar y, a continuación, en Aceptar. c. Si el parámetro contiene una sola configuración, escriba el valor para la configuración y haga clic en Aceptar. Parámetros configurables del nodo del antivirus Tabla 9, se detallan los parámetros configurables para el nodo del antivirus. Tabla 9 Parámetros configurables del nodo del antivirus Parámetro Descripción Ejemplo masks= Extensiones de archivo para examinar. Examinar todos los archivos: *.* Examinar solo los archivos .exe, .com, .doc y .ppt: *.exe:*.com:*.doc:*.ppt excl= Archivos o extensiones de archivo que deben excluirse durante el escaneo. pagefile.sys:*.tmp addr= Direcciones IP de los servidores AV. Un solo servidor: 192.16.20.29 Servidores múltiples: 192.16.20.15:192.16.20.16:192.16.20.17 56 Uso de un sistema VNXe con carpetas compartidas CIFS Usar la solución común VNX Event Enabler con el sistema VNXe Tabla 9 Parámetros configurables del nodo del antivirus (continuación) Parámetro Descripción Ejemplo CIFSserver Nombre del servidor de carpetas compartidas. Si no proporciona un nombre, se utiliza el servidor de carpetas compartidas predeterminado. cifsserver1 maxsize=n Tamaño máximo de archivo en hexadecimal que es comprobado. Los archivos que superan este tamaño no son comprobados. 0x1000000 RPCRequestTimeout Tiempo de espera agotado de solicitud de RPC en ms. El valor predeterminado es 25000 ms. 25000 RPCRetryTimeout Tiempo de espera agotado de reintento de RPC en ms. Si el servidor AV no responde la solicitud del servidor de carpetas compartidas en el tiempo especificado en el intervalo PRCRetryTImeout, el servidor de carpetas compartidas vuelve a intentar enviar la solicitud hasta alcanzar el valor de RPCRequestTimeout El valor predeterminado de RPCRetryTimout es 500 ms. 500 surveyTime=n Intervalo de tiempo en segundos para examinar todos los servidores AV conocidos. Este parámetro funciona junto con el parámetro shutdown que está a continuación. Si un servidor AV no responde una solicitud, el parámetro shutdown seleccionado determina la medida que debe tomarse. El valor de surveyTime mínimo es 1 segundo, el máximo es 4,294,967,295 segundos y el valor predeterminado es 60 segundos. 60 highWaterMark=xxx Cuando la cantidad de solicitudes en curso es mayor que highWaterMark, se envía un evento de log al servidor de carpetas compartidas. El valor predeterminado de highWaterMark es 200. 200 lowWaterMark=xxx Cuando la cantidad de solicitudes en curso es menor que lowWaterMark, se envía un evento de log al servidor de carpetas compartidas. El valor predeterminado de lowWaterMark es 50. 50 shutdown Acción que se toma cuando un servidor AV no está disponible. Para shutdown=no, continuar intentando con la lista de servidores AV si no hay un servidor AV disponible. Existen dos parámetros: bajo y alto. Cuando se alcanza cada uno de ellos, se envía un evento de log al servidor de carpetas compartidas de VNXe. Para shutdown=cifs, detener CIFS si no hay un servidor AV disponible. (Los clientes Windows no pueden obtener acceso a ningún recurso compartido de VNXe). Para shutdown=viruschecking, detener la comprobación de virus si no hay un servidor AV disponible. (Los clientes Windows pueden obtener acceso a cualquier recurso compartido de VNXe sin la comprobación de virus). Entre las opciones, se incluyen: • shutdown=no • shutdown=cifs • shutdown=viruschecking Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe 57 Usar la solución común VNX Event Enabler con el sistema VNXe Tarea 3: Instale un software antivirus de otros fabricantes en los servidores AV en el dominio Debe instalar un paquete de software antivirus de otros fabricantes soportado (motor AV) en cada host en el dominio que será un servidor AV. Para asegurar que el escaneo de archivos continúe si un servidor AV queda offline o no puede ser alcanzado por el servidor de carpetas compartidas de VNXe, debe configurar al menos dos servidores AV en el dominio. Para obtener la lista más reciente de versiones y motores antivirus compatibles, consulte EMC E-Lab™ Interoperability Navigator y las notas de la versión de EMC Celerra Network Server en el sitio web del servicio de soporte en línea de EMC, en http://support.emc.com (visite el sitio web de su país correspondiente). ATENCIÓN Debe instalar cualquier paquete de software antivirus de otros fabricantes soportado, excepto el paquete Trend MicroServerProtect, en un host antes de instalar VEE CAVA. Si desea instalar el software antivirus Trend MicroServerProtect en un host, primero instale VEE CAVA según se describe en la “Tarea 4: Instale VEE CAVA en los servidores AV de Windows” en la página 58. Para instalar un paquete de software antivirus de otros fabricantes en un host, siga el procedimiento para el paquete descrito en EMC Celerra Network Server: Uso del agente antivirus de Celerra . Tarea 4: Instale VEE CAVA en los servidores AV de Windows Debe instalar VEE CAVA en cada host en el dominio que será un servidor AV. Requisitos previos En esta sección se brinda información importante que debe conocer antes de instalar CAVA. Eliminación de las versiones antiguas de VEE CAVA Si un servidor AV tiene instalada una versión anterior de VEE CAVA, quite dicha versión, reinicie el servidor y luego instale la nueva versión de VEE CAVA. Use la ventana Agregar/ Quitar programas del panel de control de Windows para quitar las versiones anteriores de VEE CAVA. Para quitar programas, debe tener privilegios administrativos locales. Nota: Si no quita las versiones anteriores de VEE CAVA antes de realizar la actualización, puede elegir la opción Quitar en la página de instalación inicial para quitar primero la instalación y continuar luego con la instalación. Reinstalación de VEE CAVA Durante una reinstalación de VEE CAVA, puede ver un mensaje de protección de sobreescritura si previamente se descomprimieron los archivos de instalación en el directorio de almacenamiento temporal. Si ve este mensaje, en la ventana del mensaje Protección de sobreescritura, haga clic en Sí a todo para sobrescribir los archivos existentes. Este proceso garantiza que en el directorio de almacenamiento temporal exista la última versión de los archivos. 58 Uso de un sistema VNXe con carpetas compartidas CIFS Usar la solución común VNX Event Enabler con el sistema VNXe Para instalar VEE CAVA Instale el software VEE CAVA del CD de VNX Event Enabler según se describe en EMC VNX Network Server: uso del agente antivirus de Celerra de VEE. Tarea 5: Inicie el motor AV de VEE (agente de comprobación de virus) en el sistema VNXe 1. En VNXe Unisphere, seleccione Configuración > Ajustes del servidor de carpetas compartidas. 2. En la sección Otras opciones, haga clic en Iniciar el antivirus. El estado del antivirus cambia a El antivirus se está ejecutando. Configuración de VEE CAVA para los servidores de carpetas compartidas de VNXe 59 Usar la solución común VNX Event Enabler con el sistema VNXe 60 Uso de un sistema VNXe con carpetas compartidas CIFS
© Copyright 2024