Serie EMC® VNXe® 3.1 Configurazione di host per l`accesso a file
Transcript
Serie EMC® VNXe® 3.1 Configurazione di host per l`accesso a file
Serie EMC® VNXe® Versione 3.1 Configurazione di host per l'accesso a file system CIFS P/N 302-000-191 REV. 03 Copyright © 2014-2015 EMC Corporation. Tutti i diritti riservati. Pubblicato Giugno, 2015 EMC ritiene che le informazioni contenute nel presente documento sono esatte alla data di pubblicazione. Le informazioni sono soggette a modifica senza preavviso. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO VENGONO FORNITE "COSÌ COME SONO". EMC CORPORATION NON FORNISCE ALCUNA DICHIARAZIONE O GARANZIA IN RELAZIONE ALLE INFORMAZIONI CONTENUTE NELLA PRESENTE PUBBLICAZIONE, IN MODO SPECIFICO PER QUANTO ATTIENE ALLE GARANZIE DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. EMC², EMC, e il logo EMC sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Tutti gli altri marchi citati nel presente documento sono di proprietà dei rispettivi titolari. Per la versione più aggiornata della documentazione normativa per la vostra linea di prodotti, consultare il Supporto Online EMC (https://support.emc.com). EMC Computer Systems Italia S.p.A. Direzione e Filiale di Milano Via Giovanni Spadolini, 5 - Edificio A 20141 Milano tel. +39 02 409081 fax +39 02 48204686 http://italy.emc.com 2 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS SOMMARIO Capitolo 1 Configurazione di un host per lo storage CIFS 5 Requisiti per configurare un host.....................................................................6 Panoramica........................................................................................6 Requisiti di sistema per VNXe.............................................................6 Requisiti di rete..................................................................................6 Per i server CIFS NAS in un dominio Windows..................................... 7 Server NAS CIFS standalone............................................................... 7 Software host in un ambiente CIFS.................................................................. 7 Common AntiVirus Agent VNX Common Event Enabler ....................... 7 Snap-in di gestione............................................................................ 8 Installazione di un software host per CIFS.......................................... 9 Utilizzo di Windows Continuous Availability.................................................. 10 Utilizzo dell'high availability di rete...............................................................10 Link aggregation.............................................................................. 10 Configurazione della link aggregation.............................................. 11 Utilizzo della crittografia CIFS........................................................................ 13 Configurazione dello storage di file system CIFS............................................ 13 Configurazione dell'accesso utente alla share CIFS....................................... 14 Mapping di una share CIFS............................................................................ 14 Capitolo 2 Migrazione dei dati CIFS in VNXe 17 Ambiente di migrazione e limitazioni.............................................................18 Migrazione dei dati....................................................................................... 18 Configurare l'accesso a una share VNXe per l'host CIFS.................... 19 Migrazione dei dati con una copia manuale..................................... 19 Capitolo 3 Gestione dello storage di file system CIFS con strumenti Windows 21 Apertura di MMC Gestione computer............................................................. 22 Creazione delle share e impostazione delle ACL............................................ 22 Impostazione di ACL in una share esistente..................................... 22 Creazione di una share e impostazione dei relativi ACL.................... 23 Utilizzo della funzionalità home directory......................................................23 Limitazioni per la home directory..................................................... 24 Aggiunta di una home directory ad Active Directory.......................... 24 Aggiunta di una home directory con espressioni.............................. 24 Utilizzo dei Group Policy Object.....................................................................26 Supporto GPO in un server NAS VNXe...............................................26 Impostazioni GPO supportate...........................................................27 Utilizzo della firma SMB................................................................................ 28 Monitoraggio delle connessioni server NAS e dell'utilizzo delle risorse..........28 Monitoraggio degli utenti in un server NAS.......................................28 Monitoraggio dell'accesso alle share nel server NAS........................ 29 Monitoraggio dell'uso dei file nel server NAS....................................29 Controllo degli oggetti e degli utenti CIFS...................................................... 29 Abilitazione dell'audit in un server NAS............................................31 Visualizzazione degli eventi di controllo...........................................32 Disabilitazione dell'audit................................................................. 33 Accesso al registro di protezione per un server NAS.......................................33 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS 3 SOMMARIO Copia di una snapshot della share................................................................ 34 Restore di una snapshot della share..............................................................34 Capitolo 4 Utilizzo di FLR con VNXe 37 Terminologia e concetti relativi a FLR............................................................. 38 Terminologia FLR..............................................................................38 Concetti base relativi a FLR...............................................................39 Modalità di funzionamento di FLR.................................................... 39 Limitazioni della funzionalità FLR..................................................... 40 Requisiti di sistema per FLR .......................................................................... 41 Requisito Windows .NET Framework................................................. 41 Requisiti Windows per FLR Monitor...................................................41 Installazione di un toolkit FLR su un host.......................................................42 Configurazione di FLR Monitor....................................................................... 43 Utilizzo di FLR Monitor...................................................................................44 Abilitazione dello stato FLR in un file di sola lettura..........................44 Creazione di query FLR..................................................................... 44 Capitolo 5 Utilizzo di CEE CAVA con VNXe 47 Panoramica CAVA..........................................................................................48 Server NAS VNXe..............................................................................48 Client di controllo antivirus CEE CAVA...............................................48 Assistenza software antivirus di terze parti.......................................48 Software CEE CAVA...........................................................................49 Snap-in di gestione CIFS VNX........................................................... 49 Requisiti di sistema e limitazioni...................................................................49 Conservazione a livello di file........................................................... 49 Protocolli non CIFS........................................................................... 49 Configurazione di CEE CAVA per i server NAS VNXe........................................ 49 Configurazione degli account utente dominio...................................50 Configurazione dei parametri del controllo antivirus.........................52 Installazione di software antivirus di terze parti................................55 Installazione di CEE CAVA.................................................................55 Avvio del motore AV CEE.................................................................. 56 4 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS CAPITOLO 1 Configurazione di un host per lo storage CIFS Questo capitolo contiene i seguenti argomenti: l l l l l l l l Requisiti per configurare un host.............................................................................6 Software host in un ambiente CIFS.......................................................................... 7 Utilizzo di Windows Continuous Availability.......................................................... 10 Utilizzo dell'high availability di rete.......................................................................10 Utilizzo della crittografia CIFS................................................................................ 13 Configurazione dello storage di file system CIFS.................................................... 13 Configurazione dell'accesso utente alla share CIFS............................................... 14 Mapping di una share CIFS.................................................................................... 14 Configurazione di un host per lo storage CIFS 5 Configurazione di un host per lo storage CIFS Requisiti per configurare un host In questo argomento vengono descritti i requisiti di sistema e di rete per la configurazione di un host per l'utilizzo dello storage VNXe. Prima di configurare un host per l'utilizzo dello storage VNXe, devono essere soddisfatti i requisiti del sistema VNXe e di rete. Panoramica Questo argomento descrive lo scopo del presente documento e i suoi destinatari e fornisce un elenco della documentazione correlata. Questo documento fa parte del set di documentazione EMC VNXe. Descrive come configurare host Windows con client che devono accedere allo storage di file system CIFS (Common Internet File System) su un sistema VNXe con ambiente operativo VNXe versione 3.0 o successiva. Questo documento è destinato al responsabile o ai responsabili della configurazione degli host per l'accesso allo storage VNXe. I lettori di questo documento devono avere familiarità con lo storage di file system CIFS VNXe e con il sistema operativo Windows in esecuzione negli host con client che accederanno allo storage di file system CIFS VNXe. Altri documenti su VNXe includono: l Guida all'installazione l Guida informativa sull'hardware l Parts Location Guide l Configurazione di host per l'accesso a file system NFS l Configurazione di host per l'accesso a LUN Fibre Channel (FC) o iSCSI l Configurazione di host per l'accesso ai Datastore VMFS VMware o NFS VMware l Guida dell'utente per la CLI Unisphere La Guida EMC Unisphere fornisce informazioni specifiche sulle funzionalità, le caratteristiche e lo storage VNXe. La Guida Unisphere e un set completo di documentazione per i clienti di VNXe sono disponibili sul sito web del Supporto Online EMC: http://www.emc.com/vnxesupport. Requisiti di sistema per VNXe In questo argomento vengono elencati i requisiti di sistema per VNXe. l L'utente ha installato e configurato il sistema VNXe utilizzando la Configurazione guidata, come descritto nella Guida all'installazione del sistema di storage. l L'utente ha utilizzato Unisphere o la CLI di VNXe per eseguire la configurazione di base di uno o più server NAS nel sistema di storage. Requisiti di rete In questo argomento vengono elencati i requisiti di rete per il collegamento di un host a un sistema VNXe. Accertarsi di rispettare questi requisiti: l 6 L'host (client) deve trovarsi in un ambiente LAN con il server NAS VNXe. Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Configurazione di un host per lo storage CIFS l l l l l Il server NAS VNXe può essere un membro di un dominio Windows Active Directory o funzionare come server CIFS standalone indipendente da qualsiasi dominio Windows. Per le share CIFS situate in un dominio Windows Active Directory, è necessario inoltre configurare DNS e NTP. Se il server NAS è abilitato per la funzionalità multiprotocollo (CIFS e NFS), è necessario collegarlo a un server NIS o LDAP. Nella guida online di Unisphere viene descritto come configurare il servizio alle directory Unix (NIS o LDAP) in un sistema VNXe. Gli utenti possono memorizzare file in un server NAS VNXe in un ambiente NIS (Network Information Service), ma non è possibile configurare un server NAS VNXe come client NIS. Per i server CIFS NAS in un dominio Windows Questo argomento descrive un server NAS CIFS in un dominio Windows Active Directory. Un server CIFS NAS con Active Directory abilitato: Utilizza l'autenticazione Kerberos basata sul dominio Mantiene la propria identità (account computer) nel dominio l Sfrutta le informazioni sul sito di dominio per individuare i servizi, ad esempio i controller di dominio. L'associazione di un server NAS CIFS con un dominio Windows consente a tutti gli utenti del dominio di connettersi al server CIFS. Inoltre, le impostazioni di autenticazione e autorizzazione memorizzate nel server Active Directory si applicano ai file e alle cartelle sul file system CIFS. l l Un server NAS CIFS con Active Directory abilitato richiede un dominio Windows con un server Active Directory (AD) e un server DNS. È necessario inoltre configurare NTP. Server NAS CIFS standalone Questo argomento descrive un server NAS CIFS standalone. Un server NAS CIFS standalone non ha accesso a un dominio Windows o ai servizi a esso associati. Soltanto gli utenti che dispongono di un account utente locale creato e gestito nel server NAS CIFS standalone hanno accesso al server stesso e il server CIFS esegue l'autenticazione degli utenti. Un server NAS CIFS standalone richiede un workgroup Windows. Software host in un ambiente CIFS In questo argomento viene fornita una panoramica del software EMC host per un sistema VNXe in un ambiente CIFS. Questa sezione descrive il software host EMC disponibile per il sistema VNXe in un ambiente CIFS e spiega come installarlo in un host che utilizzerà lo storage di file system CIFS VNXe. Common AntiVirus Agent VNX Common Event Enabler Questo argomento descrive la soluzione antivirus per client CIFS che utilizzano sistemi VNXe. Il Common AntiVirus Agent (CAVA) VNX Common Event Enabler (CEE) fornisce una soluzione antivirus per client CIFS che utilizzano sistemi EMC. Utilizza software antivirus Per i server CIFS NAS in un dominio Windows 7 Configurazione di un host per lo storage CIFS di terze parti per identificare ed eliminare i virus noti prima che infettino i file nel sistema. CAVA fa parte del pacchetto software VNX Common Event Enabler (CEE). La Support Matrix di VNXe sul sito web del Supporto Online EMC (http://italy.emc.com/vnxesupport) fornisce informazioni sui software antivirus di terze parti supportati da CAVA. In Utilizzo di VNX Event Enabler è descritta la procedura di installazione dell'enabler. Snap-in di gestione In questo argomento sono elencati gli snap-in di gestione supportati da un server NAS VNXe. Un server NAS VNXe supporta gli snap-in di gestione CIFS di EMC VNX, composti dai seguenti snap-in MMC (Microsoft Management Console) utilizzabili per gestire home directory, impostazioni di sicurezza e controlli antivirus in un server NAS da un computer Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8: l Home Directory Management snap-in l Data Mover Management snap-in l AntiVirus Management snap-in Snap-in di gestione home directory Questo argomento illustra in che modo la funzionalità home directory semplifica la gestione delle share personali. È possibile utilizzare lo snap-in di Home Directory Management per associare un nome utente a una directory; tale directory funge quindi da home directory per l'utente. La funzionalità home directory semplifica la gestione delle share personali e il relativo processo di connessione in quanto consente all'utente di utilizzare un singolo nome share, definito HOME, a cui tutti gli utenti possono connettersi. Snap-in Data Mover Management In questo argomento viene descritto come utilizzare i nodi audit policy e i nodi dell'assegnazione dei diritti utente dello snap-in Data Mover Management. Nodo audit policy È possibile utilizzare il nodo audit policy Celerra per determinare quali eventi di sicurezza del server NAS sono registrati nel registro di protezione. Successivamente è possibile visualizzare il registro protezione utilizzando il visualizzatore eventi di Windows. È possibile registrare i tentativi riusciti, quelli non riusciti, entrambi o nessuno dei due. Le audit policy che compaiono nel nodo audit policy sono un sottoinsieme delle policy disponibili come GPO (group policy object) in Utenti e computer di Active Directory. Le audit policy sono policy locali che si applicano al server NAS selezionato. Non è possibile utilizzare il nodo audit policy per gestire le audit policy GPO. Nodo Assegnazione dei diritti utente È possibile utilizzare il nodo Assegnazione dei diritti utente per stabilire quali utenti e gruppi hanno privilegi di login e di attività in un server NAS. Le assegnazioni dei diritti utente che appaiono nel nodo Assegnazione dei diritti utente sono un sottoinsieme delle assegnazioni disponibili come GPO in Utenti e computer di Active Directory. Le assegnazioni dei diritti utente sono policy locali e si applicano al server NAS selezionato. Non è possibile utilizzare il nodo Assegnazione dei diritti utente per gestire policy GPO. Snap-in di gestione antivirus CAVA È possibile utilizzare lo snap-in di gestione antivirus per gestire i parametri di controllo antivirus (file viruschecker.conf) utilizzati con i programmi Common AntiVirus Agent (CAVA) e di terze parti. 8 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Configurazione di un host per lo storage CIFS Installazione di un software host per CIFS Questo argomento fornisce un elenco del software host che è possibile installare per gli ambienti CIFS VNXe, lo scopo di ogni pacchetto software, i sistemi su cui è possibile installare i pacchetti e la procedura di installazione. Fare riferimento a Tabella 1 a pagina 9 per informazioni sul software host per l'installazione. Tabella 1 Software host per ambienti CIFS VNXe Software Installare il software per effettuare le seguenti operazioni Installare su Home Directory Gestire le home directory degli Management snap- utenti. in Il sistema Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8 da cui si gestiranno i server NAS VNXe nel dominio. Data Mover Eseguire l'audit degli eventi di Management snap- sicurezza dei server NAS nel in registro di sicurezza e gestire i privilegi relativi ad accesso e attività di utenti e gruppi per un server NAS. Il sistema Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8 da cui si gestiranno i server NAS VNXe nel dominio. Snap-in per la gestione antivirus CEE L'host (client) a 32 bit di Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8 che utilizza storage VNXe. Richiede uno o più host Windows che siano server antivirus (AV). Tali server AV possono anche essere host che utilizzano lo storage VNXe. Gestire i parametri di controllo antivirus utilizzati in concomitanza con programmi CAVA e di terze parti. Per installare il software host per un ambiente CIFS su un host VNXe: Procedura 1. Accedere all'host tramite un account con privilegi di amministratore. 2. Scaricare il pacchetto software da installare come indicato di seguito: a. Passare alla sezione di download software sul sito web del Supporto Online EMC (http://www.emc.com/vnxesupport). b. Scegliere il pacchetto software da installare e selezionare l'opzione di salvataggio del software nell'host. 3. Nella directory in cui è stato salvato il software, fare doppio clic sul file eseguibile per avviare la procedura guidata di installazione. 4. Sulla pagina Installazione del prodotto, selezionare il pacchetto software da installare sull'host. 5. Accettare il percorso predefinito per i file di programma facendo clic su Avanti oppure specificare un'altra destinazione, digitando il percorso alla cartella o facendo clic su Modifica per passare alla cartella e su Avanti una volta terminato. 6. Sulla pagina Benvenuti, fare clic su Avanti. 7. Sulla pagina Contratto di licenza fare clic su Sì. Installazione di un software host per CIFS 9 Configurazione di un host per lo storage CIFS 8. Sulla pagina Seleziona cartella di installazione verificare che il nome della cartella visualizzato corrisponda alla posizione in cui si desidera installare i file di programma, quindi fare clic su Avanti. Per selezionare un'altra cartella, fare clic su Ricerca, individuare la cartella e fare clic su Avanti. 9. Sulla pagina Seleziona componenti, selezionare il pacchetto software (componente) da installare, rimuovere i componenti non richiesti e fare clic su Avanti. 10.Nella pagina Inizia la copia dei file, fare clic su Avanti. 11.Nella pagina Installazione guidata InstallShield completata, fare clic su Fine. 12.Al termine dell'installazione, riavviare l'host. Utilizzo di Windows Continuous Availability Gli ambienti Windows 8 e Windows 2012 SMB3 consentono di aggiungere la funzionalità di high availability alle risorse CIFS. Windows CA consente alle applicazioni eseguite su host connessi alle share con questa proprietà di supportare il failover trasparente dei server. Migliorano le prestazioni e l'esperienza utente altre funzionalità quali una maggiore dimensione di I/O, la copia offload, l'I/O parallelo sulla stessa sessione e il leasing di directory. Con CA abilitato, è possibile ottenere un failover trasparente del server nel caso di implementazioni in cui il tempo di failover non supera il timeout dell'applicazione. In tali implementazioni, gli host possono continuare ad accedere alla risorsa CIFS senza perdere lo stato della sessione CIFS a seguito di un evento di failover. Utilizzo dell'high availability di rete In questo argomento viene descritto come utilizzare la link aggregation per configurazioni con high availability. Il sistema VNXe supporta link aggregation che consentono di combinare in un unico link logico fino a quattro porte Ethernet collegate allo stesso switch fisico o logico. Questo comportamento è definito link aggregation. Per configurare la link aggregation su un sistema VNXe, ogni storage processor (SP) deve avere lo stesso tipo e numero di porte Ethernet poiché la configurazione della link aggregation crea in realtà due link aggregation, una su ciascun SP. fornendo in tal modo la high availability descritta di seguito. Se una delle porte della link aggregation non funziona, il sistema indirizza il traffico di rete su una delle altre porte dell'aggregation. Se si aggiunge un modulo I/O Ethernet a ciascun SP in un sistema VNXe, è possibile creare un altro gruppo di link aggregation nel set di porte nel modulo I/O. Per ulteriori informazioni sull'availability dei dati presenti nel sistema VNXe e l'infrastruttura di connettività, fare riferimento al white paper EMC VNXe3200 High Availability, A Detailed Review . Link aggregation Questo argomento descrive i vantaggi e la funzione di link aggregation. Le link aggregation utilizzano lo standard LACP IEEE 802.3ad. Una link aggregation appare come link Ethernet singolo e presenta i seguenti vantaggi: l 10 High availability dei percorsi di rete al e dal sistema VNXe: se dovesse verificarsi un guasto a una porta fisica in una link aggregation, il sistema non perde la connettività. Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Configurazione di un host per lo storage CIFS l Possibile aumento del throughput globale — Ciò si verifica perché più porte fisiche sono collegate a un'unica porta logica con il traffico di rete distribuito tra le varie porte fisiche. Sebbene le link aggregation possano fornire una maggior larghezza di banda globale rispetto a un'unica porta, la connessione ad ogni singolo client avviene tramite una porta fisica ed è quindi limitata dalla relativa larghezza di banda. Se la connessione a una porta non riesce, lo switch trasferisce automaticamente il traffico sulle porte rimanenti del gruppo. Dopo il restore della connessione, lo switch riprende automaticamente l'utilizzo della porta come parte del gruppo. Nel sistema VNXe, è possibile configurare fino a quattro porte in una link aggregation. Quando si configura una link aggregation, vengono configurate due link aggregation, una su ciascun SP. Se una delle porte dell'aggregation non funziona, il sistema indirizza il traffico di rete su una delle altre porte del gruppo. Requisiti degli switch Questo argomento descrive i requisiti di switch per l'uso della link aggregation. Se le porte di VNXe sono connesse a switch di rete diversi, è necessario configurare tutte le porte degli switch connesse alle porte di VNXe affinché passino immediatamente dalla modalità di blocco a quella di inoltro, evitando gli stati di ascolto e apprendimento della struttura ad albero di spanning in caso di rilevamento di un'interfaccia. Negli switch Cisco è necessario abilitare la funzionalità portfast per ciascuna porta dello switch connessa a una porta di VNXe per garantire che lo switch inoltri il frame Ethernet generato dal sistema VNXe quando viene abilitato un link fisico. La funzionalità portfast viene abilitata su ogni singola porta. Quando viene abilitata, la variabile portfast determina il passaggio immediato della porta dalla modalità di blocco a quella di inoltro. Non utilizzare portfast nelle connessioni tra switch. Per link aggregation, gli switch di rete devono supportare il protocollo IEEE 802.3ad e garantire che i pacchetti provenienti da una singola connessione TCP passino sempre attraverso lo stesso link in un'unica direzione. Configurazione della link aggregation Questo argomento descrive la configurazione di una link aggregation ed elenca le attività di configurazione richieste. Nota Windows 7 e Windows Server 2003 non supportano link aggregation (NIC teaming). Alcuni vendor di schede NIC forniscono driver per il supporto di NIC teaming. Per ulteriori informazioni, contattare il vendor della scheda NIC. Windows Server 2008 non supporta NIC teaming. Per la link aggregation deve essere presente almeno uno switch conforme a 802.3ad, con una porta disponibile per ciascuna porta switch che si desidera connettere a una porta di VNXe nell'aggregation. il termine NIC teaming si riferisce a tutti gli schemi di ridondanza NIC, compresa la link aggregation con 802.3ad. Per la link aggregation è necessario eseguire due set di attività di configurazione: l Configurare una link aggregation dallo switch a VNXe l Configurare una link aggregation dall'host allo switch Configurazione della link aggregation 11 Configurazione di un host per lo storage CIFS Configurazione della link aggregation dallo switch a VNXe In questo argomento viene descritto come configurare le porte dello switch e aggiungerle a una link aggregation. Procedura 1. Configurare le porte dello switch, connesse a VNXe, per LACP in modalità attiva. Fare riferimento alla documentazione fornita con lo switch. 2. Aggiungere le porte di VNXe a una link aggregation utilizzando l'opzione Configurazione avanzata di Unisphere Impostazioni > Ulteriori opzioni di configurazione > Impostazioni portaPer informazioni sull'utilizzo dell'opzione Configurazione avanzata, consultare la guida online di Unisphere. Risultati Vengono create due link aggregation con le stesse porte, una su ciascun SP. Configurazione della link aggregation dall'host allo switch In questo argomento viene descritto come configurare la link aggregation dall'host allo switch. La procedura prevede la configurazione delle porte switch per la link aggregation e di NIC teaming sull'host. Questi passaggi sono per un driver di interfaccia di rete Intel. Procedura 1. Configurare le porte switch, che sono connesse all'host per la link aggregation. 2. Configurazione di teaming NIC nell'host Windows Server 2008, Windows Server 2012 o Windows 8. Nota negli host Windows Server 2008, Windows Server 2012 e Windows 8, la link aggregation viene definita teaming NIC. Windows 8 rileva automaticamente il teaming NIC su VNXe e configura l'host in modo da utilizzare le stesse interfacce di VNXe. Non è quindi necessaria alcuna configurazione manuale. a. Nel Pannello di controllo, selezionare Rete e Internet > Connessioni di rete. b. Nella finestra di dialogo Connessioni di rete, fare clic con il pulsante destro del mouse su una scheda NIC da inserire nel team e scegliere Proprietà. c. Fare clic su Configura. d. Nella finestra di dialogo Proprietà, selezionare la scheda Teaming. 3. Nella scheda Teaming: a. Selezionare Raggruppa questa scheda con altre schede. b. Fare clic su Nuovo team. Viene avviata la procedura guidata Nuovo team. 4. Nella procedura guidata Nuovo team: a. Specificare il nome del team e fare clic su Avanti. b. Selezionare le altre schede NIC da inserire nel team fare clic su Avanti. c. Selezionare il tipo di team e fare clic su Avanti. Per informazioni su un tipo, selezionarlo e leggere le informazioni sotto la casella di selezione. 12 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Configurazione di un host per lo storage CIFS d. Fare clic su Fine. 5. Se è stato selezionato Bilanciamento del carico adattivo come tipo di team e si desidera utilizzare il nuovo team NIC per le macchine virtuali Hyper-V, disabilitare Ricevi bilanciamento del carico: a. Fare clic sulla scheda Avanzate. b. In Impostazioni, selezionare Ricevi bilanciamento del carico. c. In Valori, selezionare Disabilitato. d. Fare clic su OK. Il nuovo team viene visualizzato nella finestra di dialogo Connessioni di rete come connessione LAN. 6. Per utilizzare il nuovo team NIC per una macchina virtuale: a. In Hyper-V Manager, selezionare la macchina virtuale in Macchine virtuali. b. In Azioni, selezionare Virtual Network Manager. c. In Virtual Network Manager, selezionare NIC VM - Rete macchine virtuali in Reti virtuali. d. In Tipo di connessione, selezionare il tipo di rete e il team NIC. e. Fare clic su Applica. f. Quando le modifiche sono state applicate, fare clic su OK. Utilizzo della crittografia CIFS Gli ambienti Windows 8 e Windows 12 SMB3 consentono di crittografare i dati archiviati nei file system CIFS VNXe quando tali dati vengono spostati tra il sistema VNXe e l'host Windows. La crittografia a livello di share è abilitata su una determinata share e applicata nel momento in cui si esegue l'accesso alla share. In via opzionale, la crittografia può essere applicata a livello di sistema (se impostata nel registro del server NAS); in questo caso, ogni accesso alla share richiede la crittografia. La configurazione a livello di client non è necessaria. La crittografia CIFS viene prima impostata a livello del server CIFS in Unisphere, modificando le impostazioni di registro dell'host Windows. Per ulteriori informazioni su SMB 3.0 e sulla crittografia CIFS, fare riferimento a EMC VNX Series: Introduction to SMB 3.0 Support sul sito web del Supporto Online EMC (http:// support.emc.com). Configurazione dello storage di file system CIFS Procedura 1. Utilizzare Unisphere oppure l'interfaccia CLI di VNXe in modo da creare lo storage di file system CIFS VNXe per l'host (client). 2. Per informazioni sull'esecuzione di queste attività consultare la guida online di Unisphere. Utilizzo della crittografia CIFS 13 Configurazione di un host per lo storage CIFS Configurazione dell'accesso utente alla share CIFS Questa attività descrive come configurare l'accesso utente alla share CIFS dall'host. È necessario il nome o l'indirizzo IP del server NAS VNXe. L'accesso utente alla share è configurato per file tramite Active Directory: Procedura 1. Effettuare l'accesso all'host Windows con Active Directory da un account amministratore di dominio. Nota L'host Windows deve avere accesso al dominio con il server NAS VNXe per la share CIFS. 2. Aprire la Finestra Gestione computer: a. Per Windows Server 2003: fare clic con il pulsante destro del mouse su Risorse del computer o Computer e selezionare Gestisci. b. Per Windows Server 2008, Windows Server 2012, Windows 7 o Windows 8: fare clic su Start e selezionare Pannello di controllo > Strumenti di amministrazione > Gestione computer. 3. Nella struttura ad albero Gestione computer, fare clic con il pulsante destro del mouse su Gestione computer (locale). 4. Selezionare Connetti a un altro computer. Si apre la finestra di dialogo Seleziona computer. 5. Nella finestra di dialogo Seleziona computer, immettere il nome o l'indirizzo IP del server NAS VNXe per fornire le share CIFS client. 6. Nella struttura ad albero Gestione Computer, selezionare Utilità di sistema > File Systems > Share. Le share disponibili compaiono sulla destra. Se le share VNXe non compaiono, accertarsi di avere eseguito l'accesso al dominio corretto. 7. Fare clic con il pulsante destro del mouse sulla share di cui si desidera modificare le autorizzazioni e selezionare Proprietà. 8. Fare clic sulla scheda Autorizzazioni share. 9. Selezionare l'utente o il gruppo e le autorizzazioni per l'utente o il gruppo selezionato. 10.Fare clic su OK. Mapping di una share CIFS Questa attività illustra come collegare l'host alla share CIFS. Descrive inoltre come ottenere il percorso di esportazione per la share. Sarà necessario il percorso di esportazione per la share (\\NASServer\share), reperibile nel report di configurazione VNXe per il file system con la share. Per accedere a questo report, utilizzare il software EMC Unisphere. 14 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Configurazione di un host per lo storage CIFS Procedura 1. Sull'host Windows, utilizzare la funzionalità Windows Map Network Drive per connettere l'host alla share CIFS ed eventualmente riconnettersi alla share ogni volta che si esegue l'accesso all'host. 2. Se è necessario il percorso di esportazione per la share, accedere al report di configurazione VNXe per il file system: a. In EMC Unisphere, selezionare Storage > File Systems. b. Selezionare il file system CIFS con la share e fare clic su Dettagli. c. Fare clic su Visualizza dettagli di accesso. Se si dispone dell'accesso in lettura e scrittura alla share, è possibile creare directory sulla share (dopo averne eseguito il mapping) e memorizzare i file nelle directory. Mapping di una share CIFS 15 Configurazione di un host per lo storage CIFS 16 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS CAPITOLO 2 Migrazione dei dati CIFS in VNXe È possibile migrare i dati CIFS nel sistema VNXe utilizzando una copia manuale. Un'operazione di copia manuale interrompe l'accesso ai dati e potrebbe non garantire le ACL e le autorizzazioni all'interno della struttura dei file. Questo capitolo contiene i seguenti argomenti: l l Ambiente di migrazione e limitazioni.....................................................................18 Migrazione dei dati............................................................................................... 18 Migrazione dei dati CIFS in VNXe 17 Migrazione dei dati CIFS in VNXe Ambiente di migrazione e limitazioni Questo argomento descrive i requisiti e le limitazioni per la migrazione dei dati. È possibile migrare dati nel sistema VNXe mediante una copia manuale o uno strumento specifico per l'applicazione, se disponibile. Se la configurazione NFS che si desidera migrare presenta uno degli elementi seguenti, contattare il proprio service provider VNXe: l Più share di quelle che si desidera migrare. l Autorizzazioni che non si desidera riassegnare manualmente alle share VNXe. l Una share che si desidera dividere tra share VNXe. l Una share che si desidera abbinare ad altre share sulla stessa share VNXe. La Tabella 2 a pagina 18 delinea l'ambiente richiesto per la migrazione dati, mentre la Tabella 3 a pagina 18 elenca le caratteristiche di una migrazione con copia manuale. Tabella 2 Ambiente per la migrazione dati Componente Requisito Storage VNXe File system con share della dimensione adeguata, per ospitare i dati nella share che si desidera migrare e per consentire l'espansione dei dati Host Host con accesso in lettura alla share contenente i dati da migrare e con accesso di scrittura alla share VNXe per i dati migrati Share Share che viene interamente migrata nella share VNXe Tabella 3 Caratteristiche della migrazione con copia manuale Componente Caratteristica Autorizzazioni Potrebbero non essere conservate Tempo di inattività Tempo di inattività relativo al tempo richiesto per: l Copia dei contenuti share alla share VNXe l Riconfigurazione degli host per la connessione alla share VNXe Per una migrazione con copia manuale e una migrazione con un'applicazione, il tempo di inattività è relativo al tempo richiesto per: l Copia dei contenuti share alla share VNXe l Riconfigurazione degli host per la connessione alla share VNXe Migrazione dei dati In questo argomento sono elencate le attività per migrare i dati in una share VNXe. Per migrare i dati in una share VNXe, configurare l'accesso alla share. Quindi eseguire la migrazione dei dati. 18 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Migrazione dei dati CIFS in VNXe Configurare l'accesso a una share VNXe per l'host CIFS In questo argomento viene illustrata la procedura per configurare l'accesso utente alla nuova share in Active Directory e quindi eseguire il mapping della share. Sull'host da utilizzare per la migrazione dei dati: Procedura 1. Configurare l'accesso utente alla nuova share in Active Directory. Per la procedura dettagliata, fare riferimento al documento Configurazione dell'accesso utente alla share CIFS a pagina 14. 2. Eseguire il mapping della nuova share. Per la procedura dettagliata, fare riferimento al documento Mapping di una share CIFS a pagina 14. Migrazione dei dati con una copia manuale Questo argomento descrive la procedura per copiare manualmente i dati una share per volta (anziché utilizzare uno strumento specifico per l'applicazione). Una copia manuale riduce al minimo il tempo durante il quale un host non può accedere a una share di cui si sta effettuando la migrazione. Procedura 1. Se alcuni client stanno attivamente utilizzando la share, effettuare la disconnessione di tali client e degli altri client che potrebbero accedere ai dati che si stanno migrando. 2. Utilizzare il metodo ritenuto migliore per la copia dei dati dalla sede di storage attuale alla nuova share VNXe. Tale metodo può essere un'operazione di copia e incolla o drag-and-drop. Assicurarsi che il metodo scelto preservi i metadati come attributi file, timestamp e diritti di accesso da conservare. 3. Una volta completata l'operazione di copia, ricollegare i client alla nuova share esportata dal sistema VNXe e mappare un'unità a questa share, se necessario. Configurare l'accesso a una share VNXe per l'host CIFS 19 Migrazione dei dati CIFS in VNXe 20 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS CAPITOLO 3 Gestione dello storage di file system CIFS con strumenti Windows Questo capitolo contiene i seguenti argomenti: l l l l l l l l l l Apertura di MMC Gestione computer..................................................................... 22 Creazione delle share e impostazione delle ACL.................................................... 22 Utilizzo della funzionalità home directory..............................................................23 Utilizzo dei Group Policy Object.............................................................................26 Utilizzo della firma SMB........................................................................................ 28 Monitoraggio delle connessioni server NAS e dell'utilizzo delle risorse..................28 Controllo degli oggetti e degli utenti CIFS.............................................................. 29 Accesso al registro di protezione per un server NAS...............................................33 Copia di una snapshot della share........................................................................ 34 Restore di una snapshot della share......................................................................34 Gestione dello storage di file system CIFS con strumenti Windows 21 Gestione dello storage di file system CIFS con strumenti Windows Apertura di MMC Gestione computer In questo argomento viene descritto come aprire la MMC (Microsoft Management Console) Gestione Computer per uno specifico server NAS. Procedura 1. Effettuare il login all'host Windows con Active Directory da un account amministratore di dominio. L'host Windows deve avere accesso al dominio con il server NAS VNXe. 2. Aprire la pagina Gestione computer: l Per Windows Server 2003: fare clic con il pulsante destro del mouse su Risorse del computer o Computer e selezionare Gestisci. l Per Windows Server 2008, Windows Server 2012 e Windows 8: fare clic su Start e selezionare Strumenti di amministrazione > Gestione computer. 3. Fare clic con il pulsante destro del mouse su Gestione computer (locale). 4. Selezionare Connetti a un altro computer. 5. Immettere il nome del server NAS VNXe e fare clic su OK. Accedere come amministratore con i relativi diritti per utilizzare gli snap-in MMC. Creazione delle share e impostazione delle ACL EMC consiglia di utilizzare Unisphere per creare share CIFS, come descritto nella guida di Unisphere, quindi di utilizzare la MMC per impostare l'accesso (ACL) per le share. Come alternativa all'utilizzo di Unisphere, dopo avere creato un file system CIFS nel sistema VNXe, è possibile utilizzare la MMC per creare share all'interno di tale cartella. Per creare una share Windows con la MMC, occorre: l Avere assegnato ID globali (GID) agli utenti CIFS l Avere eseguito il mount della share VNXe della directory root del file system e creato le directory che si desidera condividere al suo interno. l Essere un amministratore di VNXe. Impostazione di ACL in una share esistente In questo argomento viene descritto come impostare gli ACL su una share esistente utilizzando la MMC Gestione computer. Procedura 1. Aprire la MMC Apertura di MMC Gestione computer a pagina 22Gestione computer come descritto in . 2. Nella struttura ad albero della console, selezionare File Systems > Share. Sulla destra appariranno le share attualmente in uso. 3. Fare clic con il pulsante destro del mouse sulla share di cui si desidera modificare le autorizzazioni e selezionare Proprietà. 4. Fare clic sulla scheda Autorizzazioni share. 5. Selezionare l'utente o il gruppo e le autorizzazioni per l'utente o il gruppo selezionato. 22 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Gestione dello storage di file system CIFS con strumenti Windows 6. Fare clic su OK. Creazione di una share e impostazione dei relativi ACL Questo argomento descrive la procedura per creare una share e impostare i relativi ACL utilizzando la MMC Gestione computer. Procedura 1. Aprire la MMC Gestione computer come descritto in Apertura di MMC Gestione computer a pagina 22. 2. Nella struttura ad albero della console, fare clic su File Systems > Share. Sulla destra appariranno le share attualmente in uso. 3. Fare clic con il pulsante destro del mouse su Share e selezionare Nuova file share dal menu di scelta rapida. Verrà visualizzata la procedura guidata Condividi la cartella. 4. Immettere il nome della cartella da condividere, il nome della share per la cartella e la descrizione della share. Successivamente, fare clic su Avanti. La procedura guidata richiede le autorizzazioni share. 5. Impostare le autorizzazione selezionando una delle opzioni. Con l'opzione Personalizza autorizzazioni share e cartelle o Personalizza autorizzazioni, è possibile assegnare le autorizzazioni a singoli gruppi e utenti. 6. Fare clic su Fine. Utilizzo della funzionalità home directory La funzionalità home directory, fornita dallo snap-in Home Directory, consente di creare una singola share, denominata HOME, a cui si connettono tutti gli utenti. Non è necessario creare share individuali per ciascun utente. La funzionalità home directory semplifica la gestione delle share personali e il relativo processo di connessione consentendo all'utente di associare un nome utente con una directory che funge quindi da home directory dell'utente. L'home directory è mappata in un profilo utente in modo che, all'accesso, l'home directory sia automaticamente connessa a un'unità di rete. se un sistema client (come Citrix Metaframe o Windows Terminal Server) supporta contemporaneamente più di un utente Windows ed esegue il caching delle informazioni di accesso ai file, la funzionalità home directory VNXe potrebbe non funzionare come desiderato. Con la funzionalità home directory VNXe, un client VNXe visualizza lo stesso percorso alla home directory per ciascun utente. Ad esempio, se un utente scrive su un file nella home directory e in seguito un altro utente legge un file nella home directory, la richiesta del secondo utente viene completata utilizzando i dati nella cache dalla home directory del primo utente. Considerato che i file hanno lo stesso nome di percorso, il sistema client presume che siano lo stesso file. La funzionalità home directory è disabilitata per impostazione predefinita. Deve essere stato creato un server NAS CIFS nel sistema VNXe prima di poter abilitare la home directory. Su sistemi Windows Server 2003, Windows Server 2008, Windows Server 2012 o WIndows 8, è possibile abilitare e gestire home directory tramite lo snap-in Home Directory per MMC. La guida online dello snap-in descrive le procedure di abilitazione e gestione delle home directory. Creazione di una share e impostazione dei relativi ACL 23 Gestione dello storage di file system CIFS con strumenti Windows Limitazioni per la home directory Un nome share speciale, HOME, è riservato per la home directory. Sono applicabili le seguenti limitazioni. Se: l È stata creata una share denominata HOME, non è possibile abilitare la funzionalità home directory. l È stata abilitata la funzionalità home directory, non è possibile creare una share denominata HOME. Una home directory viene configurata nel profilo utente di un utente Windows utilizzando il percorso Universal Naming Convention (UNC):\\NAS_server\HOME dove NAS_server è l'indirizzo IP, il nome del computer oppure il nome NetBIOS del server NAS VNXe. HOME è una share speciale riservata per la funzionalità home directory. Quando HOME viene utilizzato nel percorso per una home directory di un utente e l'utente esegue l'accesso, la home directory dell'utente viene automaticamente mappata in un'unità di rete e le variabili ambientali HOMEDRIVE, HOMEPATH e HOMESHARE vengono impostate automaticamente. Aggiunta di una home directory ad Active Directory In questa sezione vengono elencati i passaggi per aggiungere una home directory in Active Directory Windows. Sono necessari un server Windows e un account amministratore di dominio. Procedura 1. Eseguire l'accesso al server Windows da un account amministratore di dominio. 2. Fare clic su Start e selezionare Programmi o Tutti i programmi > Strumenti di amministrazione > Schermata Utenti e computer di Active Directory. 3. Fare clic su Utenti per visualizzare gli utenti nel pannello a destra. 4. Fare clic con il pulsante destro del mouse su un utente e selezionare Proprietà. Viene visualizzata la finestra Proprietà utente dell'utente. 5. Fare clic sulla scheda Profilo e sotto Home directory: a. Selezionare Connetti. b. Selezionare la lettera dell'unità in cui si desidera mappare l'home directory. c. In A, digitare: \\NAS_server\HOME dove NAS_server è l'indirizzo IP, il nome del computer oppure il nome NetBIOS del server NAS VNXe. 6. Fare clic su OK. Aggiunta di una home directory con espressioni In questo argomento viene illustrata la procedura per aggiungere una home directory utilizzando le espressioni. Questa procedura richiede un account amministratore di dominio. Procedura 1. Eseguire l'accesso al server Windows da un account amministratore di dominio. 2. Fare clic su Start e selezionare Programmi o Tutti i programmi > Strumenti di amministrazione > Celerra Management. 3. Fare clic con il pulsante destro del mouse sull'icona della cartella HomeDir e selezionare New > voce home directory. 24 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Gestione dello storage di file system CIFS con strumenti Windows Viene visualizzata la pagina delle proprietà della home directory. 4. Specificare le informazioni seguenti: a. In Dominio, digitare il nome del dominio dell'utente utilizzando il nome NetBIOS. AVVISO Non usare il nome di dominio completo. Ad esempio, se il nome di dominio è "Azienda.locale", è possibile digitare quanto segue: Azienda, azien o .* (perché questa opzione funzioni le espressioni regolari devono essere vere). b. In Utente, digitare il nome dell'utente o la stringa jolly. Ad esempio, se il nome utente è Tom, è possibile digitare quanto segue: T *per i nomi utente che iniziano con "T", per qualsiasi nome utente o [r-v].* per i nomi utente che iniziano con "r", "s", "t", "u" o "v" (perché questa opzione funzioni le espressioni regolari devono essere vere). c. In Percorso, digitare il nome del percorso utilizzando uno dei seguenti metodi: Digitare il percorso della cartella (ad esempio \HomeDirShare\dir1). Fare clic su Ricerca e selezionare la cartella o crearne una nuova. Se si desidera creare automaticamente la cartella, selezionare Crea directory automaticamente. Esempi di directory sono: l \HomeDirShare\dir1\User1 l HomeDirShare\<d>\<u>, che crea una cartella con il nome di dominio d e una directory con il nome utente u. 5. Fare clic su OK. La Tabella 4 a pagina 25 fornisce esempi di formati di espressioni per aggiungere una home directory. Tabella 4 Esempi di formati di espressioni Dominio Utente Percorso Opzioni Risultati * * \HomeDirShare\ Nessuna Tutti gli utenti hanno \HomeDirShare come home directory. * a* \HomeDirShare\ Nessuna Utenti i cui nomi utente iniziano con la "a" hanno \HomeDirShare come home directory. * * \HomeDirShare \<d>\<u>\ Auto Create Directory = True Tutti gli utenti hanno le proprie directory. Ad esempio l'utente Bob nel dominio azienda ha \HomeDirShare\company \Bob come home directory. Aggiunta di una home directory con espressioni 25 Gestione dello storage di file system CIFS con strumenti Windows Tabella 4 Esempi di formati di espressioni (continua) Dominio Utente Percorso Opzioni Risultati azien [a-d].* \HomeDirShare \FolksA-D\<d> \<u>\ Auto Create Directory = True Regexp=True Gli utenti il cui nome inizia con "a", "b", "c" o "d" in un dominio azienda hanno \HomeDirShare\FolksAD\company\ come home directory, dove "u" rappresenta il nome utente. Utilizzo dei Group Policy Object In Windows Server 2003 gli amministratori possono utilizzare Group Policy per definire le opzioni di configurazione per i gruppi di utenti e i computer. Windows GPO è in grado di controllare elementi quali le impostazioni di protezione locali, di dominio e di rete. Le impostazioni Group Policy sono archiviate in GPO collegati ai container sito, dominio e unità organizzativa (OU) in Active Directory. Il controller di dominio replica i GPO su tutti i controller di dominio all'interno del dominio. Il criterio di controllo è un componente dello snap-in di gestione data mover, installato come snap-in MMC (Microsoft Management Console) nella Management Console su un sistema Windows Server 2003, Windows Server 2008, Windows Server 2012 o Windows 8. È possibile utilizzare le policy di audit per determinare quali eventi di sicurezza del server NAS sono registrati nel registro di protezione. Si può scegliere di registrare i tentativi riusciti, quelli non riusciti, entrambi o nessuno dei due. Gli eventi sottoposti a controllo vengono visualizzati nel registro protezione del Visualizzatore eventi di Windows. I criteri di controllo che compaiono nel nodo Criterio di controllo sono un sottoinsieme dei criteri disponibili come GPO in Utenti e computer di Active Directory (ADUC). Queste policy di audit sono policy locali e si applicano esclusivamente al server NAS selezionato. Non è possibile utilizzare il nodo Criterio di controllo per gestire i criteri di controllo GPO. Se un criterio di controllo è definito come un GPO in ADUC, l'impostazione GPO ignora l'impostazione locale. Quando l'amministratore di dominio modifica una policy di audit nel controller di dominio, la modifica è riportata nel server NAS e può essere visualizzata tramite il nodo Policy di audit. È possibile modificare il criterio di controllo locale, ma non viene applicato fino a quando il GPO per tale criterio di controllo è disabilitato. Se il controllo è disabilitato, l'impostazione GPO rimane nella colonna Impostazione effettiva. Non è possibile utilizzare gli strumenti di impostazione della policy locale di Microsoft Windows per gestire le policy di audit su un server NAS perché in Windows Server 2003 e Windows XP gli strumenti di impostazione della policy locale di Windows non consentono all'utente di gestire le policy di audit in remoto. Supporto GPO in un server NAS VNXe Un server NAS VNXe fornisce supporto per i GPO eseguendo il retrieval e lo storage di una copia delle impostazioni GPO per ciascun server NAS unito a un dominio Windows Server 2003. Un server NAS VNXe esegue lo storage delle impostazioni GPO nella propria cache GPO. 26 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Gestione dello storage di file system CIFS con strumenti Windows Quando il sistema VNXe si accende, legge le impostazioni memorizzate nella cache GPO e recupera le impostazioni GPO più recenti dal controller di dominio Windows. Dopo avere eseguito il retrieval delle impostazioni GPO, un server NAS VNXe aggiorna automaticamente le impostazioni sulla base dell'intervallo di aggiornamento del dominio. Impostazioni GPO supportate Un server NAS VNXe attualmente supporta le seguenti impostazioni di sicurezza GPO: Kerberos l Tolleranza massima per la sincronizzazione dell'orologio del computer (sfasamento orologio). La sincronizzazione dell'ora viene effettuata per server NAS. l Durata massima ticket utente Criterio di controllo l Controlla eventi accesso account l Controlla gestione degli account l Controlla accesso al servizio directory l Controlla eventi di accesso l Controlla accesso agli oggetti l Modifica del criterio di controllo l Controlla uso dei privilegi l Controlla tracciato processo l Controlla eventi di sistema Controllo degli oggetti e degli utenti CIFS a pagina 29 fornisce ulteriori informazioni. Diritti utente l Accedi al computer dalla rete l Backup di file e directory l Ignora controllo incrociato l Nega accesso al computer dalla rete l Controllo antivirus EMC l Generazione di controlli di protezione l Gestione file registro di controllo e di protezione l Ripristino di file e directory l Acquisizione proprietà di file o di altri oggetti Opzioni di protezione l Apponi la firma digitale sulla comunicazione client (sempre) l Apponi la firma digitale sulla comunicazione client (se possibile) l Apponi la firma digitale sulla comunicazione server (sempre) l Apponi la firma digitale sulla comunicazione server (se possibile) l Livello di autenticazione di LAN Manager Impostazioni GPO supportate 27 Gestione dello storage di file system CIFS con strumenti Windows Registro eventi l Dimensione massima registro applicazioni l Dimensione massima registro protezione l Dimensione massima registro sistema l Limita l'accesso guest al registro applicazioni l Limita l'accesso guest al registro protezione l Limita l'accesso guest al registro sistema l Mantieni registro applicazioni l Mantieni registro protezione l Mantieni registro sistema l Criteri gestione registro applicazioni l Criteri gestione registro protezione l Criteri gestione registro sistema Criteri di gruppo l Disabilita aggiornamento in background dei Criteri di gruppo l Intervallo di aggiornamento dei Criteri di gruppo per computer Utilizzo della firma SMB La firma SMB garantisce che un pacchetto non sia stato intercettato, modificato o riprodotto. La firma assicura che il pacchetto non sia stato modificato da terzi. A ogni pacchetto viene aggiunta una firma. Il client e i server NAS VNXe utilizzano questa firma per verificare l'integrità del pacchetto. I server NAS VNXe supportano SMB1, SMB2 e SMB3. Perché la firma SMB funzioni, il client e il server in una transazione devono avere abilitata la firma SMB. La firma SMB è sempre abilitata nei server NAS VNXe, ma non è richiesta. Pertanto, se la firma SMB è abilitata sul client, la firma viene utilizzata; se la firma SMB è disabilitata sul client, non viene utilizzata alcuna firma. Monitoraggio delle connessioni server NAS e dell'utilizzo delle risorse È possibile utilizzare gli strumenti di amministrazione di Windows per monitorare gli utenti, l'accesso alla share e l'utilizzo dei file sui server NAS. Monitoraggio degli utenti in un server NAS In questo argomento viene illustrata la procedura per monitorare il numero di utenti connessi a un server NAS. Procedura 1. Aprire la MMC Apertura di MMC Gestione computer a pagina 22Gestione computer per il server NAS che si desidera monitorare, come descritto in . 2. Nella struttura ad albero della console, fare clic su File Systems > Sessions. Gli utenti attualmente connessi al server NAS verranno visualizzati a destra. 28 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Gestione dello storage di file system CIFS con strumenti Windows 3. In via opzionale: l Per forzare le disconnessioni dal server NAS, fare clic con il pulsante destro del mouse sul nome utente e selezionare Chiudi sessione dal menu di scelta rapida. l Per forzare la disconnessione di tutti gli utenti, fare clic con il pulsante destro del mouse su Sessioni e selezionare Disconnetti tutte le sessioni dal menu di scelta rapida. Monitoraggio dell'accesso alle share nel server NAS Questo argomento descrive la procedura per monitorare l'accesso alle share su un server NAS. Procedura 1. Aprire la MMC Apertura di MMC Gestione computer a pagina 22Gestione computer per il server NAS, come descritto in . 2. Nella struttura ad albero della console, fare clic su File Systems > Share. Sulla destra appariranno le share attualmente in uso. 3. In via opzionale, per forzare le disconnessioni da una share, fare clic con il pulsante destro del mouse sul nome della share e selezionare Termina condivisione dal menu di scelta rapida. Monitoraggio dell'uso dei file nel server NAS In questo argomento viene illustrata la procedura per monitorare l'uso dei file su un server NAS utilizzando la MMC Gestione computer. Procedura 1. Aprire la MMC Apertura di MMC Gestione computer a pagina 22Gestione computer per il server NAS, come descritto in . 2. Nella struttura ad albero della console, fare clic su File Systems > Apri archivio. Sulla destra appariranno i file in uso. 3. In via opzionale, per chiudere un file aperto, fare clic con il pulsante destro del mouse sul file e selezionare Chiudi file aperto dal menu di scelta rapida. 4. Per chiudere tutti i file aperti, fare clic con il pulsante destro del mouse sulla cartella File aperti e selezionare Disconnetti tutti i file aperti dal menu di scelta rapida. Controllo degli oggetti e degli utenti CIFS Per eseguire l'audit di un server NAS, utilizzare il Data Mover Management, uno snap-in MMC.Installazione di un software host per CIFS a pagina 9 fornisce informazioni sull'installazione degli snap-in MMC. Per impostazione predefinita, il controllo è disabilitato per tutte le classi di oggetti Windows. Per abilitare l'audit, è necessario attivarlo esplicitamente per eventi specifici in un server NAS specifico. Dopo averlo abilitato, l'audit viene avviato nel server NAS in questione. La guida online dello snap-in di gestione data mover fornisce informazioni sull'impostazione dei criteri di controllo. Se il Group Policy Object (GPO) è configurato e abilitato nel server NAS, verrà utilizzata la configurazione GPO delle impostazioni di audit. Monitoraggio dell'accesso alle share nel server NAS 29 Gestione dello storage di file system CIFS con strumenti Windows Il controllo è disponibile solo sulle classi di object specifiche e sugli eventi elencati nella Tabella 5 a pagina 30. Solo un amministratore di VNXe con privilegi avanzati può impostare l'audit su un server NAS. Tabella 5 Controllo delle classi di oggetti Classe oggetto Evento Controllato per Accesso/fine sessione Accesso utente CIFS Accesso guest CIFS completato Il controller di dominio ha restituito un errore di autenticazione password Il controller di dominio ha restituito un codice errore non elaborato X-Blade Nessuna risposta dal CD (risorse insufficiente o protocollo non valido) Accesso a oggetti e file Oggetto aperto: l Accesso a file e directory; se l'elenco di controllo per l'accesso del sistema (SACL) è impostato, per lettura, scrittura, eliminazione, esecuzione, impostazione autorizzazioni, diventare proprietario l Modifica del gruppo locale di Security Access Manager (SAM) completato Chiudi handle: l Accesso a file e directory; se SACL è impostato per lettura, scrittura, eliminazione, esecuzione, impostazione autorizzazioni, diventare proprietario l Database SAM chiuso Apertura oggetto per eliminazione: Accesso a file e directory (se SACL impostato) Eliminazione oggetto: Accesso a file e directory (se SACL impostato) Accesso database SAM (verifica) Tracciato processo Non supportato N/D Riavvio/arresto sistema completato Criteri di protezione Riavvio: l Avvio servizio CIFS l Arresto servizio CIFS l Registro di controllo cancellato Privilegi di sessione: l Elenco privilegi utente l Diritti utente assegnati l Diritti utente eliminati Modifica criteri: 30 completato ed errato Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS completato Gestione dello storage di file system CIFS con strumenti Windows Tabella 5 Controllo delle classi di oggetti (continua) Classe oggetto Evento Controllato per Elenco categorie criteri e stato di controllo associato Utilizzo dei diritti utente Non supportato N/D Gestione utenti e gruppi Crea gruppo locale Elimina gruppo locale completato Aggiungi membro al gruppo locale Rimuovi membro dal gruppo locale Quando il controllo è abilitato, il Visualizzatore eventi crea un registro protezione con le impostazioni predefinite riportate nella Tabella 6 a pagina 31. Tabella 6 Impostazioni predefinite registro Tipo di log Dimensione massima del file Conservazione Sicurezza 512 KB 10 giorni I server NAS VNXe supportano l'audit su singoli file e cartelle. Abilitazione dell'audit in un server NAS Completare i passaggi seguenti per abilitare l'audit in un server NAS: l Specificazione dell'audit policy a pagina 31 l Impostazione dei parametri del registro di controllo a pagina 32 Specificazione dell'audit policy In questa sezione viene descritta la procedura per accedere alla Security Management snap-in e specificare le audit policy. Dopo aver installato Celerra Management Console: Procedura 1. Aprire la MMC Apertura di MMC Gestione computer a pagina 22Gestione computer per il server NAS, come descritto in . 2. Fare clic su Start e selezionare Programmi o Tutti i programmi > Strumenti di amministrazione > EMC Celerra Management. 3. Nella finestra Celerra Management, eseguire una delle operazioni seguenti: l Se è selezionato un server NAS (il nome compare dopo Gestione data mover), passare al punto 4. l Se non è selezionato un server NAS: a. Fare clic con il pulsante destro del mouse su Data Mover [fare clic] e selezionare Connessione a Data Mover dal menu di scelta rapida. b. Nella finestra di dialogo Seleziona data mover, selezionare un server NAS utilizzando uno dei metodi seguenti: n Nell'elenco Cerca in, selezionare il dominio in cui si trova il server NAS che si desidera gestire e selezionare il server dall'elenco. Abilitazione dell'audit in un server NAS 31 Gestione dello storage di file system CIFS con strumenti Windows n Nel campo Nome, digitare il nome di rete o l'indirizzo IP del server NAS. 4. Fare doppio clic su Gestione data mover e su Impostazioni di protezione data mover. 5. Selezionare Criterio di controllo. I criteri di controllo appaiono nel riquadro a destra. 6. Fare clic con il pulsante destro del mouse su Audit Policy e selezionare Abilita controllo dal menu di scelta rapida. 7. Fare doppio clic su un oggetto da controllare nel riquadro destro per definire il criterio di controllo per quell'oggetto. La guida online dello snap-in Data Mover Management fornisce ulteriori informazioni sui criteri di controllo. Impostazione dei parametri del registro di controllo Questa sezione descrive la procedura per impostare i parametri dell'audit log con la Computer Management MMC per il server NAS. Procedura 1. Aprire la Computer Management MMC per il server NAS, come descritto in Apertura di MMC Gestione computer a pagina 22. 2. Fare doppio clic su Visualizzatore eventi e, per Windows Server 2008 o Windows Server 2012, selezionare Registri di Windows. Vengono visualizzati i file di registro specifici. 3. Fare clic con il pulsante destro del mouse sul file di registro e selezionare Proprietà dal menu di scelta rapida. Viene visualizzata la finestra delle proprietà del registro. Di norma, il campo Dimensione massima registro è bloccato. 4. Dopo aver completato la procedura, ritornare alla finestra di dialogo Proprietà applicazioni per il registro e fare clic sulle frecce per aumentare o diminuire le dimensioni del registro. 5. Nell'area Dimensione log della finestra di dialogo, specificare cosa accade al raggiungimento della dimensione massima registro: l Sovrascrivi eventi se necessario: specifica se tutti i nuovi eventi vengono scritti sul registro, anche se pieno. Quando il registro è pieno, ciascun nuovo evento sostituisce quello più vecchio. l Sovrascrivi eventi anteriori a (n) giorni: sovrascrive gli eventi anteriori al numero di giorni specificato. Utilizzare le frecce per specificare il limite o fare clic sul campo per inserire il limite. La dimensione file di registro specificata nel passaggio 4 non viene superata. I nuovi eventi non vengono aggiunti se viene raggiunta la dimensione massima registro e non vi sono eventi antecedenti a questo periodo. l Non sovrascrivere eventi: Il registro si riempie fino al limite specificato nel passaggio 4. Quando il registro è pieno, non vengono scritti nuovi eventi fino alla cancellazione del registro. 6. Fare clic su OK per salvare le impostazioni. Visualizzazione degli eventi di controllo In questo argomento viene illustrata la procedura per visualizzare gli eventi di audit. 32 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Gestione dello storage di file system CIFS con strumenti Windows Procedura 1. Fare clic su Start e selezionare Tutti i programmi > Strumenti di amministrazione > Visualizzatore eventi. 2. Fare clic con il pulsante destro del mouse sull'icona Visualizzatore eventi nel pannello a destra e selezionare Connetti a un altro computer dal menu di scelta rapida. Viene visualizzata la finestra di dialogo Seleziona computer. 3. Nella finestra di dialogo Seleziona computer, immettere direttamente il nome o l'indirizzo IP del server NAS. È inoltre possibile selezionare Ricerca per individuare il server NAS. 4. Per Windows Server 2008 o Windows Server 2012, fare clic su Registri di Windows. 5. Fare clic sul registro. Le voci del registro compaiono nel riquadro a destra. 6. Fare doppio clic sulla voce del registro per visualizzare i dettagli evento. Si apre la finestra Proprietà evento. Disabilitazione dell'audit In questo argomento viene illustrata la procedura per disabilitare l'audit. Procedura 1. Effettuare il login a un controller di dominio Windows Server 2003, Windows Server 2008 o Windows Server 2012 con i privilegi di amministratore di dominio. 2. Fare clic su Start e selezionare Programmi o Tutti i programmi > Strumenti di amministrazione > EMC Celerra Management. 3. Effettuare una delle seguenti operazioni: l Se il server NAS è già selezionato (il nome compare dopo Gestione data mover), passare al punto 4. l Se non è selezionato un server NAS: a. Fare clic con il pulsante destro del mouse su Gestione data mover e selezionare Connessione a data mover dal menu di scelta rapida. b. Nella finestra di dialogo Seleziona data mover, selezionare un server NAS utilizzando uno dei metodi seguenti: n Nell'elenco Cerca in, selezionare il dominio in cui si trova il server NAS che si desidera gestire e selezionare il server dall'elenco. n Nel campo Nome, digitare il nome di rete o l'indirizzo IP del server NAS. 4. Fare doppio clic su Gestione data mover e su Impostazioni di protezione data mover. 5. Fare clic con il pulsante destro del mouse su Criterio di controllo e selezionare Disabilita il controllo dal menu di scelta rapida. Accesso al registro di protezione per un server NAS Per impostazione predefinita, ogni server NAS esegue lo storage del proprio registro di protezione Windows in c:\security.evt, che ha un limite di dimensione di 512 KB. È possibile accedere direttamente a questo registro di protezione tramite la share C$ di ciascun server NAS con: \\storage_server_netbios_name\C$\security.evt Disabilitazione dell'audit 33 Gestione dello storage di file system CIFS con strumenti Windows dove storage_server_netbios_name è il nome NetBIOS del server NAS. Copia di una snapshot della share In questo argomento viene illustrata la procedura per copiare una snapshot della share utilizzando Esplora risorse di Windows. Procedura 1. Accedere al server NAS contenente la share che si desidera copiare come indicato di seguito: l Passare al server NAS in Esplora risorse. l Seleziona Start > Eseguire > \\NAS_server_name. 2. Nel server NAS, fare clic con il pulsante destro del mouse sulla share con la snapshot che si desidera copiare e selezionare Proprietà. 3. Fare clic sulla scheda Versioni precedenti. 4. Selezionare la snapshot (versione precedente) che si desidera copiare e fare clic su Copia. Verrà creata una copia scrivibile della snapshot nel percorso specificato dall'utente. Restore di una snapshot della share In questo argomento viene illustrata la procedura per il restore di una snapshot della share. Eseguendo il restore di una risorsa di storage a una snapshot si riporta (tramite roll back) la risorsa di storage allo stato precedente catturato dalla snapshot. Durante il ripristino l'intera risorsa di storage, inclusi tutti i file e i dati memorizzati in essa, viene sostituita dai contenuti della snapshot. AVVISO Per prevenire la perdita di dati, assicurarsi che tutti i client abbiano completato tutte le operazioni di lettura e scrittura per la risorsa di storage da ripristinare. Procedura 1. Accedere al server NAS contenente la share che si desidera copiare come indicato di seguito: l Passare al server NAS in Esplora risorse. l Seleziona Avvia > Eseguire > \\NAS_server_name. 2. Nel server NAS, fare clic con il pulsante destro del mouse sulla share con la snapshot che si desidera copiare e selezionare Proprietà. 3. Fare clic sulla scheda Versioni precedenti. 4. Selezionare la snapshot (versione precedente) di cui si desidera effettuare il restore e fare clic su Restore. Risultati L'operazione di ripristino determina quanto segue: l 34 Per i file che si trovano nella versione attuale, ma non in quella precedente (che viene ripristinata): lascia tali file inalterati nella share. Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Gestione dello storage di file system CIFS con strumenti Windows l Per i file che si trovano sia nella versione precedente (che viene ripristinata) sia nella versione attuale: sovrascrive i file sulla share con i contenuti di tali file dalla versione precedente. l Per i file che si trovano nella versione precedente (che viene ripristinata), ma non nella versione attuale: aggiunge questi file alla share. Ad esempio, supporre quanto segue: l La versione attuale comprende i file "a", "b" e "f". l La versione precedente (che viene ripristinata) comprende i file "a", "f" e "g". La versione ripristinata comprende il file "b" con i contenuti della versione attuale e i file "a", "f" e "g" con i contenuti della versione precedente. Restore di una snapshot della share 35 Gestione dello storage di file system CIFS con strumenti Windows 36 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS CAPITOLO 4 Utilizzo di FLR con VNXe Questo capitolo contiene i seguenti argomenti: l l l l l Terminologia e concetti relativi a FLR..................................................................... 38 Requisiti di sistema per FLR .................................................................................. 41 Installazione di un toolkit FLR su un host...............................................................42 Configurazione di FLR Monitor............................................................................... 43 Utilizzo di FLR Monitor........................................................................................... 44 Utilizzo di FLR con VNXe 37 Utilizzo di FLR con VNXe Terminologia e concetti relativi a FLR In questo argomento viene definita la terminologia e descritti i concetti essenziali per comprendere il funzionamento della conservazione a livello di file (FLR, File Level Retetion) per lo storage di file system. Il server NAS VNXe supporta la conservazione a livello di file (FLR, File Level Retetion) per lo storage di file system. FLR consente di impostare autorizzazioni basate su file su un file system, per limitare l'accesso in scrittura di un periodo di conservazione specificato. Un file system abilitato per FLR: l Protegge i dati e ne garantisce l'integrità e l'accessibilità, consentendo la creazione di un set di file e directory permanente, che gli utenti non possono modificare mediante CIFS o FTP. l Semplifica l'attività di archiviazione dei dati su dischi magnetici riscrivibili standard eseguendo operazioni CIFS standard. l Migliora la flessibilità di gestione dello storage. AVVISO Dopo avere abilitato la funzionalità FLR per un file system, non è possibile disabilitarla. Dopo avere abilitato FLR, può capitare di trovarsi in situazioni in cui non è possibile eliminare file che devono essere eliminati. Non abilitare la funzionalità FLR, a meno che non si abbia la certezza di volerla utilizzare e si conosca l'operazione che si andrà a eseguire. AVVISO Non utilizzare Esplora risorse di Windows per bloccare file in un file system abilitato per FLR. Esplora risorse di Windows imposta l'ora del file sulla data e sull'ora correnti prima di crearne una copia in sola lettura; in questo modo il file sarà bloccato per sempre. Per utilizzare Esplora risorse di Windows per l'impostazione e la gestione di date di conservazione o per bloccare i file in un file system abilitato per FLR, occorre installare il toolkit FLR. Terminologia FLR Stato CLEAN (originale) È lo stato iniziale di un file al momento della sua creazione. Un file CLEAN viene considerato come un qualsiasi file di un file system non abilitato per la conservazione a livello di file. Ciò significa che client e utenti possono rinominare, modificare ed eliminare un file CLEAN finché non viene abilitato per FLR. Stato EXPIRED È lo stato in cui si trova un file quando scade il periodo di conservazione. I client e gli utenti possono riportare un file con stato EXPIRED allo stato FLR o eliminare un file con stato EXPIRED dal file system FLR. Stato FLR È lo stato in cui si trova un file quando le autorizzazioni di lettura/scrittura vengono modificate in "di sola lettura" in un file system abilitato per la conservazione a livello di file. I client e gli utenti non possono eliminare file con stato FLR finché non scade il periodo di conservazione. 38 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di FLR con VNXe Concetti base relativi a FLR Questo argomento descrive i concetti base relativi a FLR, tra cui l'abilitazione di un file system per FLR, gli stati FLR e la gestione di un file system FLR. È possibile abilitare la conservazione a livello di file su un file system specificato solo al momento della creazione. Quando si crea un nuovo file system abilitato per la conservazione a livello di file, il file system viene contrassegnato in modo permanente come un file system FLR e client e utenti possono applicare la protezione FLR solo per ciascun file. Un file in un file system FLR si trova in uno dei seguenti possibili stati: CLEAN, FLR o EXPIRED. È possibile gestire i file con stato FLR impostando la conservazione in base a una directory o a un processo batch; questo significa che è possibile gestire gli archivi di file per ciascun file system o mediante l'esecuzione di uno script per individuare o eliminare i file con stato expired. È possibile eliminare un file system FLR, ma non eliminare o modificare file con stato FLR. Inoltre, il percorso a un file con stato FLR è protetto da modifiche; questo significa che non è possibile rinominare o eliminare una directory su un file system FLR a meno che non sia vuota. Modalità di funzionamento di FLR Questo argomento descrive le transizioni di stato di FLR per i file system abilitati. Un file in un file system FLR esegue una transizione tra i seguenti possibili stati: CLEAN, FLR o EXPIRED. La transizione tra questi stati è basata sull'ora dell'ultimo accesso al file (LAT) e sull'autorizzazione di sola lettura. Al momento della creazione il file si trova nello stato CLEAN. Un file CLEAN viene considerato esattamente come un file in un file system non abilitato per File Level Retention; i client e gli utenti possono rinominare, modificare o eliminare il file. Nota lo stato corrente del file non è visibile all'utente. Inoltre, quando si accede a un file con stato CLEAN, l'ora dell'ultimo accesso al file viene modificata. Ad esempio la scansione antivirus, l'esecuzione del backup o la ricerca di contenuti di un file modificano l'ora dell'ultimo accesso al file. Quando si modificano le autorizzazioni su un file con stato CLEAN da lettura/scrittura a sola lettura, il file esegue una transizione dallo stato CLEAN a quello FLR ed è abilitato per FLR. I client e gli utenti non possono modificare o eliminare un file con stato FLR. Inoltre, il percorso a un qualsiasi file con stato FLR è protetto da modifiche. Ciò significa che client e utenti di una directory su un file system FLR non possono rinominare o eliminare la directory a meno che non sia vuota, ma possono eliminare i file FLR solo dopo che è stata superata la data di conservazione. La data di conservazione specifica la data e l'ora in cui scade la protezione FLR di un file. EMC consiglia di specificare un periodo di conservazione prima di bloccare un file per FLR. In alternativa, il sistema è impostato su un periodo di conservazione infinito. In questo caso è possibile impostare esplicitamente un periodo di conservazione minore. È possibile impostare una data di conservazione di un file modificando l'ora dell'ultimo accesso al file in un'ora e data di scadenza future. L'ora e la data di scadenza future rappresentano la fine della data di conservazione del file. Un file esegue una transizione dallo stato FLR a quello EXPIRED quando raggiunge la relativa data di conservazione. Solo il proprietario o l'amministratore di un file possono Concetti base relativi a FLR 39 Utilizzo di FLR con VNXe eliminare il file con stato EXPIRED. La funzionalità File Level Retention non esegue l'eliminazione automatica di file con stato EXPIRED. Occorre eliminare i file con stato EXPIRED utilizzando esplicitamente il toolkit FLR. Se necessario, è possibile riportare un file con stato EXPIRED allo stato FLR prolungando il relativo periodo di conservazione e indicando una data successiva alla data di scadenza della conservazione originale. Per prolungare un periodo di conservazione, modificare l'ora dell'ultimo accesso al file e indicare un'ora successiva alla data di scadenza originale. È possibile prolungare il periodo di conservazione di un file ma non ridurlo. Se per il file viene specificata una nuova ora di accesso precedente all'ora di accesso corrente, il comando viene rifiutato dal server NAS VNXe. Sebbene sia consentito prolungare il periodo di conservazione di un file e modificarne le autorizzazioni di lettura da parte di un utente o un gruppo, non è possibile modificare i metadati del file durante il periodo di conservazione. Quando si copia un file di sola lettura da un normale file system a un file system FLR, al file non viene assegnato lo stato FLR. Quando la copia è terminata, il file si trova nello stato CLEAN. Limitazioni della funzionalità FLR Questo argomento descrive le limitazioni della funzionalità FLR che è necessario osservare quando si utilizza FLR per gestire i file system. 40 l Occorre impostare il grado di conservazione a livello di file al momento della creazione del file system, poiché non è possibile modificarlo in seguito. l I client e gli utenti VNXe non possono modificare o eliminare i file che si trovano nello stato FLR. Inoltre, il percorso a un file con stato locked è protetto da modifiche; ciò significa che non è possibile rinominare o eliminare una directory o un file system abilitato per FLR, a meno che non contenga file protetti. l Se si utilizza EMC Common AntiVirus Agent (CAVA), EMC consiglia di aggiornare tutti i file di definizione dei virus su tutti i motori antivirus (AV) residenti nei pool CAVA e di effettuare periodicamente una scansione completa del file system per rilevare file FLR infetti. Se viene rilevato un file locked infetto, l'antivirus residente non può ripararlo o rimuoverlo. Sebbene si possa eliminare il file solo una volta trascorsa la relativa data di conservazione, è possibile modificare i bit di autorizzazione del file in modo da limitare l'accesso in lettura e rendere il file non disponibile per gli utenti. La funzionalità di analisi alla prima lettura di CAVA non è in grado di rilevare un virus in un file locked. La documentazione CAVA sul sito web del Supporto Online EMC (http://www.emc.com/vnxesupport) fornisce informazioni su CAVA. l Sebbene la conservazione a livello di file supporti l'intera funzionalità di backup, l'attributo FLR non è conservato in un backup NDMP (Network Data Management Protocol). Pertanto, quando si utilizza un backup NDMP, occorre accertarsi che i file siano ripristinati in un file system VNXe abilitato per la conservazione a livello di file. Se si ripristina un file da un backup NDMP la cui data di conservazione è trascorsa, in seguito al ripristino, il file system mostrerà una data di conservazione infinita. Se si desidera proteggere il file ma non avere una data di conservazione infinita, è necessario ripristinare il file a un file system non FLR, quindi ricopiarlo in un sistema FLR. l Il file system root di un mount nidificato non può essere un file system abilitato per la conservazione a livello di file. Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di FLR con VNXe Requisiti di sistema per FLR In questo argomento vengono illustrate le configurazioni software, hardware, di rete e di storage, richieste per l'utilizzo della File Level Retention con il server NAS VNXe. La Tabella 7 a pagina 41 elenca i requisiti di sistema FLR. Tabella 7 Requisiti di sistema per FLR Componente Requisito Software Toolkit FLR (versione più aggiornata) Hardware Host che esegue un sistema operativo Windows supportato dal toolkit FLR. La Support Matrix sul sito web del Supporto Online EMC (http://www.emc.com/ vnxesupport) fornisce informazioni sui sistemi operativi supportati. Rete Nessun requisito di rete specifico. Storage Nessun requisito di rete specifico. Requisito Windows .NET Framework Occorre installare Windows .NET Framework 2.0 sull'host per una corretta installazione del toolkit FLR. Requisiti Windows per FLR Monitor La Tabella 8 a pagina 41 elenca gli scenari dell'account di servizio FLR Monitor e le relazioni di trust del dominio. In ogni scenario vengono illustrate le azioni relative ai privilegi che occorre eseguire, affinché Monitor possa funzionare come servizio sull'host Windows. Nelle relazioni basate sull'attendibilità di un dominio Windows, la direzione di attendibilità è molto importante. I termini "trusted" (attendibile) e "trusting" (attendibilità) e le relative direzioni definite nella tabella sono utilizzati nello stesso modo in cui vengono descritti da Microsoft. Tabella 8 Scenari e azioni richieste per la concessione di privilegi L'account di servizio è un membro del relativo gruppo amministratori di dominio? L'host è un membro di un dominio che è considerato attendibile dal dominio dell'account di servizio? L'host è un membro dello stesso dominio delI'account di servizio? Azioni richieste Sì Sì No Aggiungere il gruppo amministratori di dominio o l'account di servizio al gruppo di amministratori locali dell'host. Ad esempio, se l'account del server è il dominio A\someuser, aggiungere domainA/Domain Admins o domainA\someuser. Requisiti di sistema per FLR 41 Utilizzo di FLR con VNXe Tabella 8 Scenari e azioni richieste per la concessione di privilegi (continua) L'account di servizio è un membro del relativo gruppo amministratori di dominio? L'host è un membro di un dominio che è considerato attendibile dal dominio dell'account di servizio? L'host è un membro dello stesso dominio delI'account di servizio? Azioni richieste Sì No Sì Aggiungere il gruppo amministratori di dominio o l'account di servizio al gruppo di amministratori locali dell'host. Ad esempio, se l'account del server è il dominio A\someuser, aggiungere domainA/Domain Admins o domainA\someuser. Sì No No Aggiungere l'account di servizio al gruppo di amministratori locali del server. Il gruppo amministratori di dominio non è sufficiente. Ad esempio, se l'account di servizio è domainA\someuser, aggiungere domainA\someuser. No Sì Sì Aggiungere l'account di servizio al gruppo di amministratori locali del server. Ad esempio, se l'account di servizio è domainA\someuser, add domainA\someuser. No No No Aggiungere l'account di servizio al gruppo di amministratori locali del server. Il gruppo amministratori di dominio non è sufficiente. Ad esempio, se l'account di servizio è domainA\someuser, aggiungere domainA\someuser. Installazione di un toolkit FLR su un host In questo argomento viene illustrata la procedura per installare il toolkit FLR su un host. È possibile installare il toolkit FLR in qualsiasi host Windows in esecuzione nella rete con accesso al server NAS VNXe con i file che si desidera conservare. Procedura 1. Accedere all'host Windows tramite un account con privilegi di amministratore. 2. Scaricare il pacchetto software da installare come indicato di seguito: a. Passare alla sezione di download software sul sito web del Supporto Online EMC (http://italy.emc.com/vnxesupport). 42 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di FLR con VNXe b. Scegliere il pacchetto software da installare e selezionare l'opzione di salvataggio del software nell'host. 3. Nella directory in cui è stato salvato il software, fare doppio clic sul file eseguibile per avviare la procedura guidata di installazione. 4. Sulla pagina Benvenuti, fare clic su Avanti. 5. Leggere il contratto di licenza e accettarne i termini facendo clic su Avanti. 6. Inserire il nome utente e l'organizzazione, quindi fare clic su Avanti. 7. Specificare la cartella di destinazione per l'installazione del toolkit FLR, quindi fare clic su Avanti. 8. Sulla pagina Tipo di configurazione, selezionare Completa o Personalizzato come tipo di configurazione, quindi fare clic su Avanti. 9. Sulla pagina relativa alle informazioni di accesso, specificare e/o cercare le credenziali del dominio dell'account di accesso dell'utente che consentiranno di effettuare l'accesso al toolkit FLR, quindi fare clic su Avanti. Le credenziali sono le seguenti: l Nome utente, che deve essere domain/Administrator, dove domain indica il nome del dominio l Password per domain/Administrator 10.Esaminare le impostazioni di installazione e, se sono corrette, fare clic su Installa. 11.Fare clic su Fine per completare l'installazione. Configurazione di FLR Monitor In questo argomento viene illustrata la procedura per la configurazione di FLR monitor incluso nel toolkit FLR. Procedura 1. Aprire il servizio FLR Monitor incluso nel toolkit FLR. 2. Nella scheda Connessioni FLR, fare clic su Aggiungi. 3. Nella scheda Opzioni directory della pagina Configurazione origine conservazione, fare clic su Ricerca per selezionare l'origine della conservazione. 4. Selezionare la share CIFS creata sul file system FLR come origine di conservazione. 5. Nella pagina Configurazione origine conservazione, selezionare l'opzione per monitorare le sottodirectory e fare clic su OK. 6. Nella scheda Opzioni monitoraggio, selezionare il metodo di monitoraggio: l Fast (basato su eventi): la policy di conservazione viene applicata non appena sono generati i file di archivio. l Polling (basato su pianificazione): la policy di conservazione viene applicata sulla base di una pianificazione specifica. 7. Nella scheda relativa alle opzioni FLR, impostare la conservazione sulla policy di conservazione richiesta, quindi fare clic su OK. Nota la policy con data e ora incrementale applica la conservazione di modo che la data di conservazione venga applicata in modo incrementale per i file di archivio generati in momenti diversi. Configurazione di FLR Monitor 43 Utilizzo di FLR con VNXe 8. Nella pagina del servizio FLR Monitor, nella scheda Connessioni FLR, selezionare la voce relativa alle connessioni e fare clic su Applica. 9. Nella pagina Conferma, fare clic su Sì per confermare l'applicazione della policy di conservazione, quindi fare clic su OK. Utilizzo di FLR Monitor In questo argomento viene descritto l'utilizzo di FLR monitor. Le attività includono: l Abilitazione dello stato FLR in un file di sola lettura a pagina 44 l Creazione di query FLR a pagina 44 Abilitazione dello stato FLR in un file di sola lettura In questo argomento viene illustrata la procedura per abilitare lo stato FLR in un file di sola lettura. Questa operazione va eseguita dopo aver copiato un file in un file system CIFS abilitato per la conservazione a livello di file (FLR). Procedura 1. Modificare l'autorizzazione sul file in lettura/scrittura. 2. Impostare un periodo di conservazione. 3. Abilitare lo stato FLR sul file. Inoltre, i file system abilitati per la conservazione a livello di file applicano sempre la sincronizzazione del bit DOS (CIFS) di sola lettura. Creazione di query FLR Questo argomento descrive la procedura per creare una query FLR utilizzando lo strumento FLR Explorer. All'avvio del servizio FLR Monitor è possibile utilizzare lo strumento FLR Explorer, installato automaticamente con il toolkit FLR, e creare query per la visualizzazione di file conservati o scaduti. Con la funzionalità per la creazione di una query di FLR Explorer, si possono creare query sull'origine della conservazione. È possibile fornire i seguenti parametri per la query: l Tipi di file: file conservati, file con stato non-WORM, file con stato di conservazione specifico l Origine della conservazione l Estensione di file da includere o escludere l Sottodirectory anche nel percorso di ricerca Procedura 1. Aprire l'applicazione FLR Explorer da C:\Program Files (x86)\EMC\FLR Toolkit\FLR Explorer. 2. In FLR Explorer, selezionare Genera una query. 3. Nella pagina Generatore di query, fornire il tipo di file da cercare, ad esempio file conservati, file con stato di conservazione specifico o file con stato non-WORM. 4. Fornire l'origine della conservazione. 5. In via opzionale includere o escludere i file specificando le relative estensioni. 6. Fare clic su OK. 44 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di FLR con VNXe FLR Explorer mostrerà un elenco dei file scaduti. Analogamente è possibile visualizzare l'elenco dei file conservati creando un'altra query con FLR Explorer. Creazione di query FLR 45 Utilizzo di FLR con VNXe 46 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS CAPITOLO 5 Utilizzo di CEE CAVA con VNXe Questo capitolo contiene i seguenti argomenti: l l l Panoramica CAVA..................................................................................................48 Requisiti di sistema e limitazioni...........................................................................49 Configurazione di CEE CAVA per i server NAS VNXe................................................ 49 Utilizzo di CEE CAVA con VNXe 47 Utilizzo di CEE CAVA con VNXe Panoramica CAVA VNX Common Event Enabler (CEE) fornisce una soluzione antivirus (Common Anti-Virus Agent) per client che usano il sistema VNXe. Utilizza i protocolli CIFS (Common Internet File System) standard del settore in un dominio Windows 8, Windows 7, Windows Server 2012, Windows Server 2008 o Windows 2003. Common Anti-Virus Agent (CAVA) utilizza software antivirus di terze parti, per identificare ed eliminare i virus noti prima che infettino i file presenti nel sistema VNXe. Nonostante i server NAS VNXe (data mover) siano resistenti ai virus, anche i client Windows necessitano di protezione. La protezione dai virus sui client riduce la possibilità che il client memorizzi un file infetto sullo storage server e tutela il client se apre un file infetto. La soluzione CEE utilizza i componenti seguenti: l Server NAS VNXe che esegue il client di controllo antivirus CEE CAVA l Motore antivirus (AV) di terze parti l Software CEE CAVA Occorre installare un motore AV di terze parti e il software CEE CAVA almeno su un sistema Windows Server 2012, Windows Server 2008 o Windows Server 2003 oppure su una workstation Windows 7 o Windows 8 nel dominio con il sistema VNXe. Tale server è del tipo AV. Nota Se il software AV di terze parti è in esecuzione su una workstation Windows 7 o Windows 8, anche CEE CAVA può essere eseguito sulla workstation Windows 7. Server NAS VNXe I server NAS VNXe gestiscono operazioni per i file system e le share Windows (CIFS), per i file system e le share Linux/UNIX (NFS) o per entrambi. Per una soluzione CEE CAVA, il sistema VNXe necessita di uno o più server NAS configurati per le share CIFS o per share sia CIFS sia NFS. Client di controllo antivirus CEE CAVA Il client di controllo antivirus (VC) è un agent CEE CAVA in esecuzione nel server NAS VNXe. Il client VC interagisce con il motore AV, che elabora le richieste dal client VC. La scansione dei virus è supportata solo per l'accesso CIFS. Durante l'esecuzione della scansione o di altre operazioni collegate, l'accesso al file da qualsiasi client CIFS è bloccato. Il client VC esegue le seguenti operazioni: l Mette in coda e comunica i nomi dei file a CEE CAVA per la scansione. l Fornisce e conferma i trigger evento per le scansioni. I possibili trigger evento comprendono: n Un file viene rinominato nel sistema VNXe. n Un file viene copiato o salvato nel sistema VNXe. n Un file viene modificato e chiuso nel sistema VNXe. Assistenza software antivirus di terze parti La soluzione CEE CAVA utilizza un software antivirus di terze parti, denominato motore AV, per identificare ed eliminare i virus noti prima che infettino i file presenti nel sistema 48 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di CEE CAVA con VNXe VNXe. Per i motori AV supportati da EMC fare riferimento alla Support Matrix di VNXe sul sito web del Supporto Online EMC (http://italy.emc.com/vnxesupport). Software CEE CAVA Il software CEE CAVA è un'applicazione sviluppata da EMC in funzione su un server Windows (denominato server AV). Comunica con un motore antivirus standard in esecuzione su uno o più server per effettuare la scansione dei file CIFS memorizzati su un sistema VNXe o VNX o un Celerra Network Server. Snap-in di gestione CIFS VNX Lo snap-in di gestione CIFS EMC VNX è uno snap-in MMC per Unisphere. Utilizzare questo snap-in per visualizzare o modificare i parametri di controllo antivirus CEE per i server NAS VNXe. Requisiti di sistema e limitazioni La soluzione VEE CAVA necessita degli elementi seguenti: l Un sistema con un server NAS configurato nella rete. l Ogni server NAS VNXe deve avere un pool CAVA costituito da un minimo di due server CAVA. È specificato nel file viruschecker. conf del server NAS. l Uno snap-in EMC VNX CIFS Management installato su un sistema client che abbia accesso al dominio VNXe. Per informazioni sull'installazione di questo snap-in, vedere Installazione di un software host per CIFS a pagina 9. l Se si utilizza Windows Server 2008, è necessario compilare manualmente il file cava.mof durante l'utilizzo dello strumento di dimensionamento EMC cavamon. l Software antivirus di terze parti in esecuzione su uno o più server AV nel dominio. VEE CAVA supporta ambienti Windows a 32 bit e 64 bit e motori AV di terze parti corrispondenti. La versione del motore AV richiesta dipende dal sistema operativo. Per conoscere i requisiti di sistema più recenti per software di terze parti, consultare la relativa documentazione o sito web. l Software VEE CAVA installato su ciascun server AV nel dominio. Conservazione a livello di file L'amministratore antivirus (AV) è tenuto ad aggiornare i file di definizione dei virus su tutti i motori AV residenti nei pool VEE CAVA e a eseguire periodicamente una scansione completa del file system, per rilevare file infetti di conservazione a livello di file (FLR). Protocolli non CIFS La soluzione CEE CAVA è destinata ai client su cui è in esecuzione esclusivamente il protocollo CIFS. Se i client utilizzano i protocolli NFS o FTP per spostare o modificare alcuni file, la soluzione CEE CAVA non esegue la scansione di tali file alla ricerca di virus. Configurazione di CEE CAVA per i server NAS VNXe Per implementare una soluzione CEE CAVA per i server NAS VNXe, eseguire queste attività: l Configurazione degli account utente dominio a pagina 50 Software CEE CAVA 49 Utilizzo di CEE CAVA con VNXe l Configurazione dei parametri del controllo antivirus a pagina 52 l Installazione di software antivirus di terze parti a pagina 55 l Installazione di CEE CAVA a pagina 55 l Avvio del motore AV CEE a pagina 56 Configurazione degli account utente dominio In questo argomento sono elencati i passaggi necessari per configurare un account utente dominio con i diritti di controllo antivirus. L'installazione di CEE CAVA richiede un account utente Windows che i server NAS VNXe riconoscano come dotato del privilegio di controllo antivirus EMC. Questo account utente consente ai server NAS di distinguere le richieste CEE CAVA da tutte le altre richieste dei client. Procedura 1. Creare un account utente dominio Active Directory per l'utente antivirus: a. Eseguire il login a Windows Server 2012, Windows Server 2008 o Windows Server 2003 come amministratore di dominio. b. Dalla barra delle applicazioni, fare clic su Start e selezionare Impostazioni > Pannello di controllo > Strumenti di amministrazione > Utenti e computer di Active Directory. c. Nella struttura ad albero della console di gestione VNX, fare clic con il pulsante destro del mouse su Utenti e selezionare Nuovo > Utente d. Nella finestra di dialogo Nuovo oggetto - Utente, specificare nome, cognome e nome di accesso per il nuovo utente, quindi fare clic su Avanti. e. Nella finestra di dialogo Password: a. Inserire e confermare una password. b. Selezionare Nessuna scadenza password. c. Fare clic su Avanti, quindi su Fine. Il servizio CEE CAVA verrà eseguito nel contesto di questo account. 2. Creare un gruppo locale per ciascun server NAS presente nel dominio e aggiungere il nuovo utente antivirus (utente virus), creato al punto 1. a. In Utenti e computer di Active Directory, fare doppio clic su EMC Celerra e fare clic su Computer. b. Nel riquadro Computer, fare clic con il pulsante destro del mouse sul server NAS e selezionare Gestisci. c. Nella finestra Gestione computer, in Utilità di sistema, fare doppio clic su Utenti e gruppi locali. d. Fare clic con il pulsante destro del mouse su Gruppi e selezionare Nuovo gruppo. e. Nella finestra di dialogo Nuovo gruppo, inserire il nome di un gruppo (ad esempio controllori virus) e una descrizione del gruppo, quindi fare clic su Aggiungi. f. Nella finestra di dialogo Seleziona utenti, computer o gruppi: Per Windows 8, Windows 7, Windows Server 2012, Windows Server 2008 o Windows Server 2003: a. Inserire il nome dell'account utente AV creato al punto 1: 50 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di CEE CAVA con VNXe b. Fare clic su Controlla nomi. c. Fare clic su OK per chiudere la finestra di dialogo Seleziona utenti, computer o gruppi, quindi fare clic su OK per ritornare alla finestra di dialogo Nuovo gruppo. g. Fare clic su Crea, quindi su Chiudi. Il gruppo è stato creato e aggiunto all'elenco gruppi. 3. Assegnare i diritti di controllo virus EMC al nuovo gruppo locale: Nota non è possibile utilizzare gli strumenti di Impostazione delle policy locali di Microsoft Windows per gestire le assegnazioni dei diritti utente in un file system VNXe, perché tali strumenti non consentono di gestire le assegnazioni dei diritti utente in remoto. a. Fare clic su Start e selezionare Impostazioni > Pannello di controllo > Strumenti di amministrazione > Gestione di file EMC VNX in CIFS. b. Se il server NAS VNXe è già selezionato (il nome compare dopo Data Mover Management), passare al punto 3e. c. Se il server NAS VNXe non è selezionato: a. Nella finestra Gestione VNX, fare clic con il pulsante destro del mouse su Data Mover Management e selezionare Connessione a data mover. b. Nella finestra di dialogo Seleziona data mover, selezionare il server NAS VNXe selezionando il dominio dalla casella di riepilogo Cerca in: e quindi selezionando il server NAS dall'elenco o inserendo il nome del computer, l'indirizzo IP o nome NetBIOS del server NAS VNXe nella casella Nome. d. Fare doppio clic su Gestione data mover e su Impostazioni di protezione data mover. e. Fare clic su Assegnazione dei diritti utente e, nel riquadro destro, fare doppio clic su Controllo virus EMC. f. Nella finestra di dialogo Impostazione policy di protezione, fare clic su Aggiungi. g. Nella finestra Seleziona utenti o gruppi: a. Selezionare il server NAS dalla casella di riepilogo Cerca in:. b. Selezionare il gruppo antivirus creato al punto 2. c. Fare clic su Aggiungi, quindi su OK per ritornare alla finestra di dialogo Impostazioni di protezione. h. Fare clic su OK. La policy di controllo antivirus EMC ora riporta il gruppo locale di file system. Nonostante questo diritto sia un privilegio locale e non un privilegio di dominio, opera comunque una distinzione tra gli utenti antivirus e gli altri utenti di dominio. 4. Assegnare diritti di amministrazione locali all'account utente antivirus su ciascun host su cui verrà eseguito il software del motore antivirus, ossia che rappresenterà il server antivirus (AV). Configurazione degli account utente dominio 51 Utilizzo di CEE CAVA con VNXe Nota se il server antivirus è un controller di dominio, l'account utente di controllo virus dovrebbe appartenere al gruppo dell'amministratore di dominio e non al gruppo dell'amministratore locale, poiché il gruppo dell'amministratore locale non è gestito su un controller di dominio. Per ciascun server AV nel dominio: a. Fare clic su Start e selezionare Impostazioni > Pannello di controllo > Strumenti di amministrazione > Gestione computer b. Nella finestra Gestione computer, dal menu Azione, selezionare Connetti a un altro computer. c. Nella finestra Seleziona computer, selezionare il server di controllo virus (AV) e fare clic su OK. d. Nella finestra Gestione computer: a. Espandere Utilità di sistema. b. Espandere Utenti e gruppi locali. c. Fare clic su Utenti. e. Fare clic con il pulsante destro del mouse sul nome dell'account utente AV creato al punto 1, quindi selezionare Proprietà. f. Nella finestra Proprietà account, fare clic sulla scheda Membri di e su Aggiungi. g. Nella finestra di dialogo Seleziona gruppi, all'interno della casella Immettere i nomi degli oggetti da selezionare, inserire Amministratori e fare clic su OK. h. Fare clic su OK per chiudere la finestra di dialogo Proprietà account. Configurazione dei parametri del controllo antivirus In questo argomento viene illustrata la procedura per configurare i parametri del controllo antivirus. Procedura 1. Dalla barra delle applicazioni, fare clic suStarte selezionare Impostazioni > Pannello di controllo > Strumenti di amministrazione > Gestione di file EMC VNX in CIFS. 2. Nella struttura ad albero della console di gestione VNX, espandere il nodo Gestione dei dati (per un sistema VNXe, le voci rappresentano i server NAS). La modalità antivirus appare nella struttura ad albero della console. Lo stato del servizio antivirus per il server NAS VNXe selezionato è Arrestato o In esecuzione. Nota se non si è selezionato un server NAS, è necessario selezionarne uno prima di poter utilizzare lo snap-in di gestione antivirus. Se è stato selezionato un server NAS, il nome appare accanto al nodo Gestione dei dati nella struttura ad albero della console. 3. Fare clic sul nodo antivirus. Nel riquadro dettagli appare l'elenco delle impostazioni dei parametri. 52 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di CEE CAVA con VNXe 4. Nel riquadro dettagli: a. Fare clic con il pulsante destro del mouse sul parametro da modificare e selezionare Proprietà. Viene visualizzata la finestra di dialogo Proprietà relativa al parametro specifico. Per una descrizione dei parametri, fare riferimento a Parametri nodo antivirus configurabili a pagina 53. b. Se il parametro contiene più impostazioni, immetterne i valori, fare clic su Aggiungi, quindi su OK. c. Se il parametro contiene un'unica impostazione, immetterne il valore e fare clic su OK. Parametri nodo antivirus configurabili La Tabella 9 a pagina 53 elenca i parametri configurabili per un nodo antivirus. Tabella 9 Parametri nodo antivirus configurabili Parametro Descrizione Esempio masks= Estensioni file da sottoporre a Effettuare la scansione di tutti i file: scansione. *.* Effettuare la scansione solo di file .exe, .com, .doc e .ppt: *.exe:*.com:*.doc:*.ppt excl= File o estensioni file da escludere durante la scansione. pagefile.sys:*.tmp addr= Indirizzi IP dei server AV. Server singolo 192.16.20.29 Più server 192.16.20.15:192.16.20.16:192.16.20.17 CIFSserver Nome del server NAS. Se non viene fornito un nome, viene utilizzato il server NAS predefinito. cifsserver1 maxsize=n Dimensioni massime in 0x1000000 caratteri esadecimali del file controllato. I file che superano queste dimensioni non vengono controllati. RPCRequestTimeout Timeout richiesta RPC in msec. Il valore predefinito è 25000 msec. 25000 RPCRetryTimeout 5000 Timeout nuovo tentativo RPC in msec. Se il server AV non risponde a una richiesta del server NAS entro il periodo di tempo specificato Configurazione dei parametri del controllo antivirus 53 Utilizzo di CEE CAVA con VNXe Tabella 9 Parametri nodo antivirus configurabili (continua) Parametro Descrizione Esempio nell'intervallo PRCRetryTImeout, il server NAS riprova a inviare la richiesta fino al raggiungimento del valore RPCRequestTimeout. Il valore RPCRetryTimeout predefinito è 5000 msec. surveyTime=n Intervallo di tempo in secondi 10 per la scansione di tutti i server AV noti. Questo parametro interagisce con il parametro di arresto in basso. Se un server AV non risponde a una richiesta, il parametro di arresto selezionato determina l'azione da intraprendere. Il surveyTime minimo è 1 secondo, il massimo è 4.294.967.295 secondi e il valore predefinito è 10 secondi. highWaterMark=xxx Quando il numero di richieste 200 in corso supera highWaterMark, un evento del registro viene inviato al server NAS. Il valore predefinito highWaterMark è 200. lowWaterMark=xxx Quando il numero di richieste 50 in corso è inferiore a lowWaterMark, un evento del registro viene inviato al server NAS. Il valore predefinito lowWaterMark è 50. shutdown Azione adottata quando un server AV non è disponibile. Le opzioni includono: shutdown=no Con shutdown=no, si shutdown=cifs continua a ritentare l'elenco dei server AV se nessun server shutdown=viruschecking AV è disponibile. Esistono due livelli: basso e alto. Quando uno dei due viene raggiunto, un evento del registro viene inviato al server NAS VNXe. Con shutdown=cifs, si arresta CIFS se non è disponibile alcun server AV (i client Windows non possono 54 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS Utilizzo di CEE CAVA con VNXe Tabella 9 Parametri nodo antivirus configurabili (continua) Parametro Descrizione Esempio accedere ad alcuna share VNXe). Con shutdown=viruschecking, si arresta il controllo antivirus se nessun server AV è disponibile (i client Windows possono accedere a qualsiasi share VNXe senza controllo antivirus). Installazione di software antivirus di terze parti Occorre installare un pacchetto software antivirus di terze parti supportato (engine AV) da ciascun host nel dominio che sarà un server AV. Per garantire che la scansione dei file rimanga attiva se un server AV passa offline o non è raggiungibile dal server NAS VNXe, è necessario configurare almeno due server AV nel dominio. Per l'elenco aggiornato degli engine e delle versioni AV supportati, fare riferimento all'EMC E-Lab™ Interoperability Navigator sul sito web del Supporto Online EMC (http://support.emc.com). Occorre installare qualsiasi pacchetto software antivirus di terze parti supportato, a eccezione del pacchetto Trend MicroServerProtect, su un host prima di installare CEE CAVA. Se si desidera installare il software antivirus Trend MicroServerProtect su un host, installare prima CEE CAVA come descritto in Installazione di CEE CAVA a pagina 55. Installazione di CEE CAVA Questo argomento fornisce informazioni importanti da conoscere prima di installare CAVA. Occorre installare CEE CAVA su ciascun host nel dominio che sarà un server AV. Rimozione delle versioni precedenti di CEE CAVA Se su un server AV risulta installata una versione precedente di CEE CAVA, rimuovere tale versione di CEE CAVA, riavviare il server e installare la nuova versione di CEE CAVA. Utilizzare la finestra del Pannello di controllo di Windows Installazione applicazioni per rimuovere le precedenti versioni di CEE CAVA. Per poter rimuovere dei programmi, sono richiesti i privilegi di amministratore locale. Nota Se non si rimuove la versione precedente di CEE CAVA prima di effettuare l'aggiornamento, è possibile scegliere l'opzione Rimuovi sulla pagina di installazione iniziale per rimuovere prima la versione precedente e proseguire poi con l'installazione. Reinstallazione di CEE CAVA Durante una reinstallazione di CEE CAVA, potrebbe comparire un messaggio di protezione dalla sovrascrittura se i file di installazione erano stati precedentemente decompressi nella directory temporanea. Se compare questo messaggio, dalla finestra del messaggio Protezione da sovrascrittura, fare clic su Sì tutti per sovrascrivere i file esistenti. Questa procedura garantisce la presenza della versione più recente dei file nella directory temporanea. Installazione di software antivirus di terze parti 55 Utilizzo di CEE CAVA con VNXe Installare il software CEE CAVA dal CD VNX Event Enabler come descritto in Server di rete EMC VNX: utilizzo di CEE Common AntiVirus Agent. Avvio del motore AV CEE In questo argomento viene illustrata la procedura per avviare il motore AV CEE (agent antivirus) sul sistema VNXe. Procedura 1. In VNXe Unisphere, selezionare Impostazioni > Impostazioni server NAS. 2. Nella sezione Altre opzioni, fare clic su Avvia Antivirus. Risultati Lo stato dell'antivirus diventa Antivirus in esecuzione. Nota Se il parametro del nodo antivirus shutdown è impostato su no, lo stato "in esecuzione" non significa necessariamente che l'antivirus sia in funzione. Controllo Sistema > Alert di sistema Per verificare che i server antivirus siano online. Per evitare problemi di accesso client, verificare che tutti i server antivirus siano accessibili e non esistano problemi con la configurazione. Per ulteriori informazioni sul parametro del nodo antivirus shutdown o altri parametri correlati, fare riferimento a Parametri nodo antivirus configurabili a pagina 53. 56 Serie EMC VNXe 3.1 Configurazione di host per l'accesso a file system CIFS