windows2008之DFS分布式文件系统

2023年11月27日发(作者：)

一、分布式文件系统概述：

文件服务的必要性：数据可能以静态文件的形式存在，例如办公文档、图像信息以及电子表

格等；也可能以数据库、事件日志、音频、视频数据流等形式存在。在这些情况下，信息都

是作为文件集的形式存在并且允许管理。随着时间的推移，存储和维护的数据越来越多，查

找和访问数据困难越来越大，文件集中管理的需求越来越迫切。

Windows2008的文件服务：Windows Server 2008的文件服务是Windows管理体系架构中

重要的组成部分，文件服务做为WINDOWS2008的一个基本角色，在功能上有了本质的提

升，同时在保证文件安全方面也有了质的飞跃。文件服务提供了有助于存储管理、启用文件

复制、管理共享文件夹、确保快速搜索文件以及启用对UNIX客户端计算机进行访问的技术。

Windows Server 2008的文件服务包括分布式文件系统（DFS）、磁盘配额、文件屏蔽等几

个部分

安装文件服务：在安装Windows Server 2008时，文件服务没有作为必选组件安装，需要

网络管理员根据实际情况定制安装。启动server manager后，选择“角色”功能选项，单击

“添加角色”超链接，启动“添加角色”向导，在“选择服务器角色”对话框的“角色”列表中选择

“文件服务”，如下图所示。根据向导提示继续安装文件服务。 Windows Server 2008中，

将文件服务器、分布式文件系统、文件服务器资源管理器、网络文件系统服务（NFS）以及

Windows搜索服务集成在一起，这些服务均属于文件系统中的一部分

文件服务角色安装完毕后，在“管理工具”中就会增加：文件服务器管理器、dfs management

等与文件服务有关的管理工具。

分布式文件系统：（DFS）作为一种服务，使得网网管员可以把局域网中不同文件服务器上

的共享文件夹组织在一起，构建成一个目录逻辑树。用户不必知道这些共享文件夹到底在哪

台服务器上，也不必一一搜索并映射他们，只需访问共享的DFS根目录，就能够很轻松地

访问分布在网络上的文件或文件夹。

通过分布式文件系统（DFS）将相同的文件同时存储到网络上多台服务器后，便可以具备以

下的功能。

1）提高文件的访问效率：当客户端通过DFS来访问文件时，DFS会引导客户端从离客户端

最近的服务器来访问文件，如此便可提高文件的访问效率。

实际上DFS是提供客户端一份服务器列表（引用列表），这些服务器内都有客户端所需要的

文件，但是DFS会将最接近客户端的服务器，例如跟客户端同一个AD DS站点放在列表最前

面，以便让客户端优先从这台服务器来访问文件。

2）提高文件的可用性：即使位于服务器列表中最前面的服务器发生意外故障，客户端仍然

会从列表中的下一台服务器来取得所需的文件，也就是说DFS提供故障转移功能。

3）服务器负载平衡功能：每一客户端所获得的列表中的服务器先后顺序都不相同，因此它

们所访问的服务器也可能不相同，也就是说不同客户端可能会从不同服务器来访问所需文

件，因此可以减轻单一服务器的负担。

DFS的架构：

Windows server 2008是通过文件服务角色内的DFS命名空间和DFS复制这两个服务来创建

DFS，

DFS命名空间（DFS namespace）

可以通过DFS命名空间来将位于不同服务器内的共享文件夹组合在一起同，并以一个虚拟文

件夹的树状对结构呈现给客户端。DFS命名空间分为以下两种：

域命名空间（domain-base namespace）：它将命名空间的设置数据存储到AD和命名空间服

务器的内存缓冲区内。如果已创建多台命名空间服务器的话，它还具备命名空间的故障转移

功能。

独立命名空间（stand-alone namespace）:它将命名空间的设置数据存储到命名空间服务器的

注册表和内存缓冲区内。由于独立命名空间只能有一台命名空间服务器，因此并不具备命名

空间的故障转移功能，除非采用服务器群集。

命名空间服务器（namespace server）

它是用来主控命名空间的服务器。如果是域命名空间的话，则这台服务器可以是成员服务器

或域控制器，而且可以设置多台命名空间服务器；如果是独立命名空间的话，则这台服务器

可以是成员服务器、域控制器或独立服务器，不过只能够有一台命名空间服务器。

命名空间根目录（namespace root）

它是命名空间的起始点，以上图为例，此根目录的名称为public、命名空间的名称为

lic，而且它是一个域命名空间，其名称是以域名开头（）。如果

这是一个独立命名空间，则命名空间的名称会以计算机名开头，例如：server1public。

由上图中可看出，此命名空间根目录对应到命名空间服务器的一个共享文件夹，默认

是%systemdrive%DFSRootspublic，它必须位于NTFS磁盘分区。

文件夹（folder）和文件夹目标（folder target）

这些虚拟文件夹的目标分别对应到其他服务器内的共享文件夹，当客户端浏览文件夹树时，

DFS会将客户端引导到文件夹目标所对应的共享文件夹。上图中共有3个文件夹。

Pictures：此文件夹有两个目标，分别对应到服务器server2的c:pictures和server3的

c:pictures共享文件夹。它具备文件夹的排错功能，例如客户端在读取文件夹pictures内的

文件时，即使server2故障，他仍然可以从server3的c:pictures读到文件。当然server2的

c:pictures和server3的c:pictures内所存储的文件应该相同（同步）。

Database：这个文件夹有两个目标，分别对应到服务器server3的d:database和server4的

d:database共享文件夹，它也具备文件夹的故障转移功能。

Reports：这个文件夹只有一个目标，对应到服务器server4的d:reports共享文件夹，由于

目标只有一个，故不具备故障转移功能。

DFS复制（DFS replication）

在上图中文件夹pictures的两个目标所对应到的共享文件夹，其内提供给客户端的文件必须

相步，而这个同步动作可由DFS复制服务来自动执行。DFS复制服务使用一个称为远程差分

压缩的压缩演算技术，它能够检测到文件有更改的地方，因此复制文件时仅会复制有更改的

数据，而不是整个文件。

复制拓朴：是用来描述DFS内各服务器之间的逻辑连接关系，可以选择以下几种拓朴来复制

文件。如下图：

集散：它将一台服务器当作是中枢，并创建和其他所有服务器（支点）之间的连接，文件是

从中枢复制到所有的支点，并且也会从支点复制到中枢。支点之间并不会直接相互复制文件。

完整网状：它会建立所有服务器之间的相互连接，文件会从每一台服务器直接复制到其他所

有的服务器。

自定义拓朴：可以自已建立各服务器之间的逻辑连接关系。

DFS的系统需求：

独立命名空间服务器的计算机可以是域控制器、成员服务器或独立服务器，而域命名空间服

务器的计算机可以是域控制器或成员服务器。

参与DFS复制的服务器必须位于同一个AD DS树系，被复制的文件夹必须位于NTFS磁盘分

区内。

二、分布式文件系统实战演练：

创建一个如下图所示的域命名空间。图中有3台服务器都是windows server 2008，而且

server1为域控制器、server2和server3都是成员服务器

推荐步骤：

1、 先将域环境创建好：先在server1上安装AD服务，然后将server2和server3主机加入安

装好的域。过程略

2、 安装DFS的相关组件：

Server1(192.168.5.6)是命名空间服务器，它需要安装DFS命名空间服务。这台计算机同

时也是域控制器。我们要利用这台服务器来管理DFS，因此需要安装DFS命名空间服务

和DFS管理工具。

Server2(192.168.5.4)和server3(192.168.5.5)这两台目标服务器需要相互复制pictures共享

文件夹内的文件，因此它们都需要安装DFS复制服务。安装DFS复制服务时，系统会顺

便自动安装DFS管理工具，可以在server2或server3来管理DFS.

3、在server1上安装DFS命名空间服务和DFS管理工具

安装DFS命名空间服务和DFS管理工具的方法为：“开始→管理工具→服务器管理器”。

安装DFS命名空间服务，如图所示：

安装DFS管理工具，如图所示：

4、在server2和server3上安装所需的DFS组件：

分别在server2和server3上安装DFS复制服务，而此服务是通过添加“文件服务”角色的

方式来安装的（若“文件服务”已安装，则通过“添加角色服务”来安装）。

方法为：“开始→管理工具→服务器管理器”。如图所示：

5、在server2和server3上新建共享文件夹

新建上图中文件夹pictures所对应到的两个目标文件夹，也就是server2和server3中的文件

夹c”pictures，并将其设置为共享文件夹。假设共享名都是pictures，同时复制一些文件到

server3的c:pictures内，以便于验证这些文件是否确实可以通过DFS机制被复制到server2。

（请利用NTFS权限和共享权限来确保其内文件和子文件夹的安全）

6、创建新的命名空间

在server1上选择“开始→管理工具→DFS Management”如下图，单击“命名空间”右方的

“新建命名空间”。

选择server1（192.168.5.6）主机来扮演命名空间服务器后单下一步。

设置命名空名称（public）后单击下一步。

（系统默认会在命名空间服务器的%systemdrive%磁盘内新建DFSRootspublic共享文件夹，

共享名为public，且所有的用户都有只读的权限。若要更改设置的话，单击图中的“编辑设

置”）

选择命名空类型，这里我选择“基于域的命名空间”，由于域名为，因此完整名称

是lic。单击一步（若报错，建议重启系统）

按照向导完成其余的操作。

7、新建文件夹

以下将创建DFS文件夹pictures，其两个目标分别对应到server2中pictures和server3中

pictures

设置好后连续单击两次“确定”。在出现是否创建复制组对话框中选择“否”，有关复制组和

复制机制会在后面讲到。

完成后的画面如下图。之后如果要添加目标的话，可单击图中右边的“添加文件夹目标”

复制组和复制设置

若一个DFS文件夹有多个目标的话，这些目标所对应的共享文件夹内的文件必须同步，我们

可以让这些目标之间自动复制文件来同步，不过需要将这些目标所在的服务器设置为同一个

复制组，并做必要的设置。

单击文件夹pictures右方的“复制文件夹”。(若报错“RPC不可用”，可以查与RPC有关服务

是否启用，并重启系统)

采用默认设置的复制组名和文件夹名即可（也可以自行设置名称），直接单击一步

在“主要成员”对话框中选择server3。当DFS第1次开始执行复制文件时，会将这台主要

成员内的文件复制到其他所有目标。

其他步骤按向导依次完成。

等侍一段时间，就会将server3中的pictures内的文件复制server2的pictures内。从第2次

开始复制时，系统会依照复制拓朴来决定复制方式。

若要修改复制设置，单击下图左方的复制组，然后通过右方窗格来更改复制设置。

若不想让server3将文件复制到server2，请将server3到server2的单向连接关系禁用，操作

如图：

从客户端测试DFS功能是否正常

在客户端上输入192.168.5.6访问DFS

所访问到的文件是位于server2还是server3，可以利用以下方法来检查：分别到server2和

server3上，选择“开始—管理工具—计算机管理”如下图：

添加多台命名空间服务器

域命名空间的DFS架构内可以安装多台命名空间服务器，以便提供更高的可用性。所有的命

名空间服务器都必须隶属于相同的域

首先在这台新的命名空间服务器安装“DFS命名空间服务”，安装方法参考上面的相关操作，

只是在安装“DFS命名空间服务”过程中选择“以后使用服务器管理器中的‘DFS管理’管

理单元创建命名空间”（并不需要创建，因为它将使用现有的命名空间lic）如

下图所示：

接下来到server1上运行DFS管理控管台。如下图，右击命名空间lic,选择“添

加命名空间服务器”，输入或浏览服务器名称（新的命名空间服务器主机）

客户端的引用设置

当DFS客户端要访问命名空间内的资源（文件夹或文件等）时，域控制器或命名空间服务器

会为客户端提供一个引用列表。此列表内包含着拥有此资源的目标服务器，客户端会尝试从

位于列表中最前面的服务器来访问所需的资源，如果这台服务器因故无法提供服务时，客户

端会转向列表中的下一个目标服务器。

如果某台目标服务器因故必须暂停服务，例如要关机维护，此时应避免客户端被连接到这台

服务器，也就是不要让这台服务器出现在引用列表中，其设置方法右击该服务器，选择“禁

用文件夹目标”。

还有，如何决定引用列表中目标服务器的先后顺序呢？方法是：右击命名空间

lic选择“属性”，如图所示：

缓存持续时间：当客户端取得引用列表后，会将这份列表缓冲到计算机内，以后客户端需要

此份列表时，可以直接从缓冲区来取来，不需要再向命名空间服务器或域控制器来索取，如

此便可以提高运行效率，但是这份位于缓冲内的列表有一定的有效期限，这个期限就是通过

上图中“缓存持续时间”来设置的。

客户端所取得的引用列表中，目标服务器被排列在列表中的先后顺序如下：

如果目标服务器和客户端是位于同一个AD DS站点，则服务器会被列在列表中的最前面，如

果有多台服务器的话，这些服务器会被随机排列。

如果目标服务器和客户端是位于不同AD DS站点，则这些服务器会被排列在跟客户端同一个

站点的服务器之后，而且这些服务器之间有着以下的排列方法：

最低成本：如果这些服务器分别位于不同的AD DS站点，则站点链接成本最低的优先，如果

成本相同的话，则随机排列。

随机顺序：无论目标服务器位于哪一个AD DS站点内，以随机顺诹来排列这些服务器

排除客户端站点之外的目标：只要目标服务器跟客户端在不同的AD DS站点，就不将这些目

标服务器无于引用列表内。

客户端故障回复：当DFS客户端所访问的首先目标服务器因故无法提供服务时，客户端会转

向列表中的下一个目标服务器，即时之后原先故障的首选服务器恢复正常了，客户端仍然会

继续访问这一台并不是最佳的服务器，如果希望原来那一台首选服务器恢复正常后，客户端

能够自动转回到此服务器，可以选择“客户端故障回复到首选目标”。

三、文件服务器的管理

Windows server 2008通过文件服务器与文件服务器资源管理器这两个组件来加强服务器的

管理工作，而我们需要通过添加“文件服务”角色的方式来安装这两个组件，其安装方法

“开始→管理工具→服务器管理器”，单击“角色”右边的“添加角色”来安装文件服务，

如下图所示：

安装完成后，就可以通过“开始”---“管理工具”---“文件服务器资源管理器”来管理服务

器。

建议用户先设置当发生磁盘配额超出事件、配置磁盘使用报告或发生文件屏蔽事件时，就自

动发送电子邮件来通知指定的系统管理员或造成事件发生的用户，不过需要先设置与邮件有

关的参数：右击“文件服务器资源管理器”，选择“配置选项”，如下图所示：

配置存储报告：可以通过下图右方的“操作”窗口来计划配置新的报告、编辑现有的服告任

务或立即生成报告。

磁盘配额管理：盘配额是一种基于用户和分区的文件存储管理。通过磁盘配额管理，网管员

可以对本地用户或登录到本地电脑中的远程用户能够使用的磁盘空间进行合理分配，每一个

用户只能使用网管员分配的磁盘空间。磁盘配额对每一个用户都是透明的，当用户查询可以

使用的磁盘空间时，系统只将配额允许的空间报告给用户，超过配额限制时，系统会提示磁

盘空间已满。

磁盘配额根据用户存储的所有文件占用的磁盘空间来计算用户磁盘空间的使用情况，和文

件所在的位置无关。文件的所有权通过文件安全信息中的安全标识符进行标识。Windows

Server 2008提供了卷的磁盘配额跟踪以及控制磁盘空间使用情况的功能。磁盘配额是以文

件所有权为基础的，只应用于卷且不受卷的文件夹结构及物理磁盘布局的影响。它用于监视

个人用户卷的使用情况，因此每个用户对磁盘空间的利用都不会影响同一卷上其他用户的磁

盘配额。

磁盘配额提供两种类型，一种是硬配额，一种是软配额

在以前的学习过程中我们已经学习过了磁盘配额的管理，它是用来跟踪每个用户在每个磁盘

内的配额。然而在文件服务器资源管理器内，则是以磁盘或文件夹为单位，而且不论用户是

谁，例如可以限制c:pictures文件夹内最多可以存储10M的数据，而在张三将6M的数据

存储到此文件夹后，如果用户李四要存储一个5M的文件到此文件夹的话，李四会被拒绝。

加为此文件夹总容量不允许超过10M

文件屏蔽

文件服务器是文件的集散地，存储着大量的数据资料。在Windows系统中的某个目录下可

以仅允许写入某种类型的文件，或者禁止写入某种类型的文件，下面介绍如何简单实现这个

功能。

在Windows Server 2008操作系统中，提供了文件屏蔽功能，网管员可以将需要限制的文件

类型定义为文件类型限制组，将此组指派给目标文件夹，任何用户（包括管理员）在把限制

类型的文件写入目标文件夹时，将出现“目标文件夹访问被拒绝”的提示信息。文件屏蔽的主

要目的是限制非法授权文件写入定义的文件夹。

文件屏蔽要首先创建限制文件组，然后创建屏蔽模板，最后部署屏蔽策略。

创建限制文件组

限制文件组，顾名思义就是定义需要限制的文件类型，支持通配符（*，？等）定义。文件

服务安装完成后，预定义了11个文件组。顺次选择“服务器管理器→角色→文件服务→共享

和存储管理→文件服务器资源管理器→文件屏蔽管理→文件组”选项，即可查看默认的限制

文件组，如图所示。

屏蔽模板定义了哪些文件组被监控以及监控方式，有主动屏蔽和被动屏蔽两种模式。主动屏

蔽将屏蔽文件组中定义的文件类型所关联的文件；被动屏蔽仅监控文件组中定义的文件，但

不限制写入目标文件夹。

选择“开始→管理工具→服务器管理器”选项，在打开的窗口中选择“服务器管理器→角色→

文件服务→共享和存储管理→文件服务器资源管理器→文件屏蔽管理→文件屏蔽模板”选

项，文件服务安装完成后，预定义了5个文件屏蔽模板，如图所示

选择目标文件夹后，将创建的文件屏蔽模板绑定到目标文件夹即可。

在下图的窗口中选择“文件屏蔽”，右击“文件屏蔽”，在弹出的快捷菜单中选择“创建文件屏蔽”

命令，显示“创建文件屏蔽”对话框。从“文件屏蔽属性”区域的“从此文件屏蔽模板派生属性”

下拉列表中选择屏蔽策略，单击“创建”按钮，即可完成文件屏蔽策略的创建，如图所示

四、隐藏用户无权限访问的共享文

让用户没有权限访问的共享文件夹隐身,这样保证了一定程度上数据的安全同时也解决文件

服务器的共享文件繁多让用户浪费时间寻找属于自己的文件夹的苦恼

首先为测试使用建立两个账户,test1和test2,隶属于test组

设置共享目录并设置共享权限：

设置NTFS权限：只保留能访问该目录的用户和组，其他无关的用户和组均删除。如下图所

示：

在客户端访问文件服务器的共享，使用test1或test2用户访问，可以看到在pictures共享目

录中有两个目录test1和test2目录。

假设test1用户只能访问test1文件夹，而test2用户只能访问test2文件夹，当test1共享访问

pictures目录时只能看到test1目录，而test2用户也一样。

具体操作方法如图所示：

删除无权访问test1文件夹的相关用户和组，只添加有权限的用户（如administrtor、test1用

户）

test2文件夹也做和test1一样的设置，只不过test2文件夹只能被test2用户和administrator

用户访问。

在客户端访问文件服务器的共享，使用test1或test2用户访问，可以看到在pictures共享目

录中只能看该用户有权限的文件夹，而无权限的文件夹看不到了。