netapp存储配置练习_CIFS

2023年12月8日发(作者：)

netapp存储配置练习_CIFS

NetApp存储基础学习汇总(第三部分)

目录

一、什么是CIFS (2)

1.1、定义 (2)

1.2、CIFS通用Internet 文件系统 (4)

1.3、使用CIFS SETUP命令 (5)

1.4、创建和访问共享 (10)

1.5、启动或者关闭CIFS协议 (11)

二、CIFS概念深入学习 (12)

2.1、CIFS概述 (12)

2.2、CIFS和NFS的对比 (13)

2.3、CIFS所服务的环境 (13)

2.4、什么叫工作组 (13)

2.4.1、如何加入工作组 (13)

2.4.2、Workgroup中机器名解析 (14)

2.4.4、工作组中如何做用户验证 (14)

2.4.5、存储加入工作组 (14)

2.4.6、存储在工作组中如何进行用户验证 (15)

2.4.7、工作组的缺点 (15)

2.5、什么是域 (15)

2.5.1、域中的机器名解析 (15)

2.5.2、加入域 (16)

2.5.3、域中如何进行用户认证 (16)

2.5.4、域里典型的几类机器 (17)

2.5.5、将存储加入域 (17)

2.5.6、在域环境的存储如何进行用户认证 (17)

2.5.7、存储加入Windows 2000或之后版本的域 (18)

2.5.8、存储在Windows 2000或之后版本域中如何认证用户 (18)

2.5.9、在混合的windows域中 (18)

2.5.10、什么是NetBIOS (18)

2.6、什么是Non-Windows Workgroup (18)

2.6.1、存储作为Non-Windows Workgroup服务器 (19)

2.6.2、存储加入Non-Windows Workgroup（环境中包括LDAP和DNS） (19)

2.7、三种方式比较 (20)2.8、工作组和域中的CIFS特性 (20)

2.9、Session, Share Access和File Authorization，客户端和服务器如何通讯 (21)

2.10、在NETAPP FILER上开始使用CIFS (22)

三、CIFS SETUP详解 (23)

3.1、通常一个CIFS SETUP过程 (23)

3.2、CIFS SETUP将存储加入工作组完全过程 (23)

3.3、工作组模式下，访问控制如何设置 (27)

3.4、实际案例测试 (29)

3.5、共享级访问 (31)

3.6、支持CIFS环境的一些文件 (31)

Active Directory domain authentication (32)

Multiprotocol or NTFS-only 补充一下 (32)

几个和DC有关的cifs 子命令 (34)

共享资源的认证 (35)

Share-level Access (35)

File Permission Attributes with Data ONTAP (36)

Files Created to Support the CIFS Environment (37)

CIFS Default Shares Created as a Result of cifs setup (37)

NETAPP FILER的administration host: (37)

Purpose of a Domain Administrator and Local Administrator Accounts (38)

cifs shares (38)

Share Management by Using the cifs access Command (39)

Displaying CIFS Shares (39)

Creating a Share (39)

cifs access修改用户 (41)

CIFS Sessions (42)

Stopping and Restarting CIFS Services (43)

我的DC用起来不大正常,不知道啥原因 (43)

Auto Home Share on the Storage System (45)

Auditing CIFS Events (46)

CIFS Opportunistic Locks (47)

杀毒 (47)

CIFS性能分析工具之cifs stat (48)

cifs_stat Options (48)

cifs top (49)NTFS-only 或者Multiprotocol (49)

/etc/ and /etc/passwd (50)

FILER提供的用户转换 (51)

一、什么是CIFS

1.1、定义

CIFS是一种网络共享协议发展自微软的SMB协议。当使用CIFS，任何应用程序都可以通过网络访问和操作远程计算机上的文

件和目录。

在一个网络环境中,一个windows客户端用户有以下的需求：

●发现其它的计算机

●从角色是服务器的机器获取资源。

这样就需要做以下工作:

●请求用户的验证(验证用户身份)与服务器之间建立会话。

●请求用户授权(权限)来访问共享和资源(目录和文件)。

netapp> dns info

DNS is enabled

DNS caching is enabled

0 cache hits

0 cache misses

0 cache entries

0 expired entries

0 cache replacements

IP Address State Last Polled Avg RTT Calls Errs

-------------------------------------------------------------------------------------------------------------

192.168.50.105 NO INFO

0 0 0

202.106.0.20 NO INFO

0 0 0

Default domain: /doc/

Search domains: /doc/

C:UsersAdministrator>net use 192.168.50.217

密码或用户名在192.168.50.217 无效。

为'192.168.50.217' 输入用户名: administrator

输入192.168.50.217 的密码:

命令成功完成。

C:UsersAdministrator>net view 192.168.50.217

在192.168.50.217 的共享资源共享名类型使用为注释

-------------------------------------------------------------------------------

HOME Disk Default Share

test Disk

wangjun Disk

windowstest Disk

命令成功完成。

C:UsersAdministrator>net use * /del /y

您有以下的远程连接:

192.168.50.217c$

192.168.50.217IPC$

继续运行会取消连接。

在与192.168.50.217c$ 的连接中，有打开的文件和/或没有结束的目录搜索。

命令成功完成。

二者的区别

"域"和"工作组"都是由一些计算机组成，比如我们可以把公司的每个部门组织成一个"域"或者一个"工作组"，网络部、软件部、

销售部、客户服务部等等。这种组织关系和物理上电脑之间的连接没有关系，是逻辑意义上的。一个网络中可以创建多

个"域"和多个"工作组"。

它们之间的区别可以归结为以下几点：

◆首先创建方式不同，"工作组"可以由任何一个计算机的主人来创建，他在"工作组"输入新名

称，重新启动一下就创建了一个新组，每一个电脑都可以创建一个组。而"域"只能由服务

器来创建，其他的计算机只能加入这个域。

◆其次是安全机制不同，在"域"中有可以登录该域的帐号，这些由域管理员来建立。在"工作

组"中不存在组帐号，只有本机上的帐号和密码。

◆再次登录方式不同，在工作组方式下，计算机启动后自动就在工作组中。登录"域"是要提

交"域用户名"和"密码"，一旦登录，便被赋予相应的权限。

1.2、CIFS通用 Internet 文件系统

samba - Windows SMB/CIFS 协议的文件服务器。

The samba software suite is a collection of programs that implements the Server Message Block(commonly abbreviated as

SMB) protocol for UNIX protocol is sometimes also referred to as the Common Internet File System (CIFS),

LanManager or NetBIOS protocol.

通用网际文件系统（CIFS）是微软服务器消息块协议（SMB）的增强版本，是计算机用户在企业内部网和因特网上共享文件

的标准方法。CIFS 通过定义一种与应用程序在本地磁盘和网络文件服务器上共享数据的方式相兼容的远程文件访问协议使之

能够在因特网上进行协作。CIFS 在TCP/IP 上运行，利用因特网上的全球域名服务系统（DNS）增强其可扩展性，同时为因

特网上普遍存在的慢速拨号连接优化。CIFS 利用重定向包可以通过网络发送至远端设备，而重定向器也利用CIFS 向本地计

算机的协议栈发出请求。

CIFS 提供如下关键特点：

●文件访问的完整性：CIFS 支持一套通用的文件操作：打开、关闭、读，写以及搜索。CIFS 也支

持文件和记录的锁定和解锁。CIFS 允许多个客户端访问和更新同一个文件，它通过提供文件共享和文件锁定功能来避免发生冲突。

●为慢速链接优化：CIFS 已被优化过，使之能在慢速拨号线路上良好运行，结果就是为使用调制

解调器访问因特网的用户提供了改善的性能。

●安全性：CIFS 服务器既支持匿名传输，也支持对于指定文件的安全的、需要验证的访问。同时，

也易于管理文件和目录的安全策略。

●高性能和可扩展性：CIFS 服务器和操作系统高度集成，为最大化系统性能而优化。CIFS 支持

Windows 95 之后的所有微软平台。它也支持其它流行的操作系统，如UNIX、VMS、Macintosh 、IBM LAN server等。

●使用统一码（Unicode）文件名：文件名可以使用任何字符集，而不局限于为英语或西欧语言设

计的字符集。

●全局文件名：用户不必挂载远程文件系统也能直接查阅到全局有效名称，而不是只有本地意义的

那些名称。

1.3、使用CIFS SETUP命令

Windows域是一组计算机共享域主服务器上的目录数据库。把Filer加入windows domain如果你：

●需要集中管理

●整合windows拓扑

●使用域控制器进行账户验证。

cifs setup命令执行为存储执行最初的CIFS设置。在执行cifs setup之前你必须有CIFS license,另外存储必须可以与域主服务器

通讯。Cifs setup可以通过console口或者telnet来执行，rsh执行不了。

收集下列信息:

●Windows domain的名字。

●Wins服务器的名字,最多可以4个(这是可选项)

●域主服务器的管理员名和密码

●是否存储要被设置为多协议或者NTFS安全风格的。

●安全验证时哪种风格的windows域、windows工作组还是UNIX密码验证。

只有‖Domain administrator‖的用户或者‖Administrators‖组有权限通过filerC$访问根卷。

将存储加入windows active directory，在这个过程中，推荐在存储上创建一个本地管理员账户(TAN(机器名)administrator)。

当域控制器不可访问的时候这个账户允许接受从windows客户端来的访问。CIFS需要创建本地/etc/passwd和/etc/group，缺省

的/etc/passwd文件包含条目'root','pcuser',和'nobody'。将filer机器账户加入域里面，需要有充足的权限。

下图：Wins服务器里可以看见存储了。1.4、创建和访问共享

作为管理员在存储上创建了目录和qtrees,但是用户是不可能自动获得它们的，你必须创建与目录或者qtrees一致的共享,用户才

可以访问他们。

在创建共享的时候，你必须提供：目录或者qtree的全路径名。共享的名字，用户用共享名来访问目录或qtree。

DataONTAP 共享的命名规则与windows是类似的,共享名由$符号来结束是隐藏的共享和特定的共享名，比如:ADMIN$和

IPC$是保留的,共享名大小写不敏感。

在创建共享的时候，你还可以指定一些选项：共享的描述同时在线的用户数量的限制

当创建完共享后,就可以用cifs access命令去设置或修改共享的ACL(Access Control List).

这是cifs access可以设置的权限。

1.5、启动或者关闭CIFS协议

cifs terminate命令用来停止CIFS服务.如果一个主机名指定了，则这个主机上面的所有cifs session都将被终止。如果没有指定

主机名，则所有连接到filer的CIFS进程都将被终止。如果用户通过共享有打开的文件，可以在cifs terminate命令后面加上-t选

项，这样可以提示用户保存文件，关闭服务。

二、CIFS概念深入学习

前面讨论了UNIX世界中我们使用NAS主要是NFS，接下来讨论在日常办公和中小企业中使用更为普遍的NAS访问的方法

CIFS。

CIFS是Common Internet FileSystem的首字母缩写，也就是通用Internet文件系统。它是一种基于服务器消息块协议

SMB（Server Message Blockprotocol）的网络文件系统访问协议，最先由Microsoft公司设计并应用，主要使用在Windows客

户端与服务器之间的文件访问请求。现在，CIFS协议的其他实现方式也可以使其他类型的客户端和服务器与Microsoft操作系

统之间实现通信交互和操作交互。

2.1、CIFS概述

Microsoft推出SMB（server message block）后，进一步发展，使其扩展到Internet上，成为common internet file system。

CIFS采用C/S模式，基本网络协议：TCP/IP和IPX/SPX；

两种资源访问模式：

（1）、 share level security：所有用户的共享资源访问口令是相同的，主要在win9x中使用；

（2）、 user level security：win NT以后的OS只提供ULS，用于必须提供正确的U/P，并且每个用户权

限可以是不同的。

C/S的交互模式：类似于三次握手；三个交互：

（1）、协议选择；双方选择合适的协议进行交互；（2）、身份验证；按选定的协议登录server，由server对client进行身份验证；

（3）、资源获取；认证通过后，server和client进行交互，进行文件读写等操作。

注意：相同win OS 中，所有机器都是对等的，扮演双重角色，可以作sever，也可以是client；

CIFS是一种协议，和具体的OS关系不大，Unix在安装samba后可以使用CIFS；

2.2、CIFS和NFS的对比

（1）CIFS面向网络连接的共享协议，对网络传输的可靠性要求高，常使用TCP/IP；NFS是独立于传输的，可使用TCP或

UDP；

（2）NFS缺点之一，是要求client必须安装专用软件；而CIFS集成在OS 内部，无需额外添加软件；

（3）NFS属无状态协议，而CIFS属有状态协议；NFS受故障影响小，可以自恢复交互过程，CIFS 不行；从传输效率上

看，CIFS优于NFS，没用太多冗余信息传送；

（4）两协议都需要文件格式转换，NFS保留了unix的文件格式特性，如所有人、组等等；CIFS则完全按照win的风格来作。

2.3、CIFS所服务的环境

Netapp filer可以被加入到下面几种服务环境中:

Windows workgroup

Domain,又分为两种情况

●Windows NT 4.0(早期服务器版本)

●Windows 2000 (or later) Active Directory?

Non-Windows workgroup.

注意: The non-Windows workgroup is also referred to as ―UNIX? clear text password workgroup‖ and the ―etc/passwd-

style workgroup.‖

后面会对每种情况都做一个说明,并比较它们各自的优点和缺点。

2.4、什么叫工作组

Windows工作组是简单的、连接到网络的计算机的逻辑组织，它可以共享资源、比如文件夹和文件。

对于winNT每个计算机有自己的Security Accounts Manager数据库或者对于win2000及之后的操作系统有local security数据

库，它们来执行用户验证和授权。

每个用户要想访问另一台机器上的资源必须在这个机器上有一个有效的账户。

2.4.1、如何加入工作组

一台机器想要加入“工作组”，需要向同一子网中的机器广播它的标识，Machine-C加入工作组通过广播它的标识给Machine-A

和Machine-B。机器A的（master browser）捕捉到广播包后，升级（master browse list）这个列表里面包含了工作组里面的

机器名, 然后它会向整个工作组广播，告诉其它机器这个列表已经更新，一般这个过程最多持续15分钟，从master browser接

受到新标识，到广播到整个工作组。工作组中的Machine-B和Machine-C就会拉已经更新的(master browse list)到它们本地机

器的（machine browse list）.

这样一个用户就会通过子网中browse list发现其它机器。

2.4.2、Workgroup中机器名解析

工作组是如何做机器名解析工作的呢?一个用户在子网中广播它想查询的机器名。

比如Machine-C广播想要查询Machine-B 的IP地址. Machine-B响应名字查询通过广播把自己的IP地址告诉Machine-C。

2.4.4、工作组中如何做用户验证每台机器有一个本地帐户数据库，里面包含用户帐户、密码、组信息和用户权限等信息。当一个用户计划访问另一台机器的资

源的时候（这时是服务器-客户机模式），在远程机器用户验证成功后会建立一个会话。

如下图：Machine-C中有本地帐户数据库（保存本地的用户信息）和master list(保存工作组中的机器列表)。如果Machine-B要

访问Machine-C机器上的资源，则Machine-B向C发出用户验证请求，而Machine-C 收到请求后，通过本地用户帐户来验证

Machine-B的用户名和密码。当Machine-B用户验证成功之后, Machine-B的用户和Machine-C之间就建立起一个会话。注意：

要将机器B用于验证的用户信息要加入机器C，才有可能通过验证。

2.4.5、存储加入工作组

当一个存储加入工作组，它将作为服务器为客户端提供服务，它将向同一子网中的机器广播自己的标识。其它机器

会“拉”master browse li到本地并更新本机上的“master browse list”，但是存储不会做这个动作，因为它的觉得永远是服务器，

不需要去发现其他机器。

如果存储的角色是服务器，则客户端会请求其上面的资源

●需要用户验证(验证用户的ID)以便和服务器建立会话。

●需要用户授权(权限)以便访问共享和资源(比如文件夹和文件)

2.4.6、存储在工作组中如何进行用户验证

与上面计算机在工作组中进行用户验证类似。以下图为例机器B的用户向存储发出用户验证的请求. 存储验证机器B的用户用存

储上的本地用户帐户数据库里面的用户名和密码，验证完毕后，机器B和存储之间就建立了一个会话。

通过验证的用户可以浏览存储上面的资源，但是必须是共享出来的资源而且是按照权限来浏览共享资源。

2.4.7、工作组的缺点

工作组有如下缺点：一个用户想要访问每台机器则必须在每台机器上都有帐户。任何一个变化，比如密码，则必须在每台机器都修改一遍。机器加入或离开（关机）都需要广播一遍。有15分钟的延迟，才能完全更新完机器列表

browse list不能跨子网，因为广播信息不能跨子网。

2.5、什么是域

一个Windows域是连入网络的计算机的逻辑组织，它们分享位于域控制器的目录数据库。域控制器集中的管理来自网络的用

户访问。包括：

●用户登录

●用户验证

●访问共享资源和目录的用户组信息

2.5.1、域中的机器名解析

机器名和它们的IP地址被加入（或注册到）机器名解析服务器。这个动作可以是动态的也1可以是由系统管理员手工操作。

名字解析服务器将机器名翻译为IP地址。当用户准备访问某台机器上的共享时，它发送机器名到名字解析服务器然后服务器返

回机器的IP地址。

2.5.2、加入域

●一个机器通过域控制器加入域。●域控制器把机器账户加入目录数据库。

2.5.3、域中如何进行用户认证

为了用户登录和用户会话认证，用户要被加入域控制器的目录数据库

1.在域控制器执行用户验证。

2.当用户发送请求，域控制器检查用户名和密码的目录。

●用户登录访问（使用domain-user帐户）

●用户会话认证来建立会话

机器B的用户请求登录到机器B. 域控制器在domain-user帐户检查机器B的用户名和密码. 当用户信息认证成功，然后机器B用

户就可以登录到机器B了。

机器A的用户向机器B请求用户会话验证. 机器B到控制器来验证机器A的用户，域控制器验证机器A 的用户成功，则机器A和机

器B之间建立会话。

可见在域环境中，要访问域的资源，用户验证都是在域控制器中进行的。

2.5.4、域里典型的几类机器

一个典型的windows域环境有以下几类机器：

1.客户机请求服务器提供服务。

2.成员服务器(member servers)

●没有配置为域控制器的服务器，是域成员之一，为客户端提供资源。

3.域控制器(DCs)：Windows服务器配置来保存和维护一份目录，包含下列内容：

●在域里注册机器帐户(机器名)

●用户名和密码来认证域用户

4.域里的名字解析服务器：Windows服务器解析机器名为IP地址。

服务类型

●WINS (Windows Internet Naming Service) for Windows NT 4.0 domains.

●DNS (Domain Name System) for Windows 2000 (or later) domains.

2.5.5、将存储加入域

当存储加入域中，就成为成员服务器之一，为客户端提供服务。域控制器将存储系统的机器名加入域控制器的目录数据库。

2.5.6、在域环境的存储如何进行用户认证

（已经加入域控制器）的Domain users可以浏览存储系统中可得到的共享，然后请求访问存储中的共享资源。

●用户会话验证通过在域控制器集中验证用户名和密码，验证成功后，用户就可以与存储建立会话。

●用户必须是授权访问共享资源的。

●用户可以通过网络（比如telnet会话），用本地帐户来管理存储，但是用户不能本地登录到存储来访

问数据。

注意：1.客户机B向存储发送建立用户会话验证请求。注意不是向域控制器。

2.然后member server到域控制器验证客户端B的用户。注意验证是发生在域控制器。

3.域控制器验证客户端B用户成功后，在存储和客户机B之间建立会话。

2.5.7、存储加入Windows 2000或之后版本的域

●存储注册到DNS服务器，也可以由系统管理员手工加入DNS。

●存储询问DNS服务器下列机器的名字和IP地址：域控制器、LDAP服务器和Kerberos?服务器。

●将存储加入域（通过域控）

●域控制器返回信任存储

●存储作为域里面一个成员服务器。

2.5.8、存储在Windows 2000或之后版本域中如何认证用户存储在域中作为成员服务器，存储询问域控制器所在域的DNS服务

器。域控制器执行活动目录用户验证用Kerberos. Kerberos V5是一个处理用户或系统标识的标准安全协议。

2.5.9、在混合的windows域中

在混合了Windows NT 4.0和Windows 2000及以后版本的域环境中，用WINS和DNS来解析服务器名。WINS和DNS可以同时

运行在Windows2000及之后版本的基于活动目录的域中。

老版本的Window客户端只依靠WINS来解析机器名. 它们是基于NetBIOS-based的客户端：Windows 95, Windows 98, and

Windows NT.

2.5.10、什么是NetBIOS

Network Basic Input/Output System (NetBIOS)是一个Application Programming Interface (API)，它

提供简单网络服务是用户可以共享和使用其它机器的资源。

NetBIOS over TCP/IP (NBT or NetBT)是win2000之前CIF所使用的标准协议。

NBT is used with Windows 95, Windows 98, and Windows NT.

2.6、什么是Non-Windows Workgroup一个non-Windows workgroup是一个连入网络计算机的逻辑组织，它共享资源给Window客户端

用户; 其中的机器既不是工作组也不是域的成员。这个服务器环境也叫：

UNIX clear text password workgroup

/etc/passwd-style workgroup

2.6.1、存储作为Non-Windows Workgroup服务器当存储作为non-Windows workgroup服务器,它为客户端提供服务。.

在一个全UNIX（包括LINUX）的工作环境，里面有许多UNIX工作站和很少的Windows客户端里面的用户需要CIFS资源.服务器起到存储用户信息的目录用户名, 密码和组信息),有下列三种方式来保存:

(1)、存储本地的/etc/password文件

(2)、Network Information Services (NIS)服务器

(3)、Lightweight Directory Access Protocol (LDAP服务器服务器可以提供主机名解析，有下面三种方式:

(1)、存储本地的/etc/hosts文件(2)、Network Information Services (NIS)服务器

(3)、DNS服务器

2.6.2、存储加入Non-Windows Workgroup（环境中包括LDAP和DNS）存储注册机器名&IP地址到DNS服务器或系统管理员手工加入。存储向DNS服务器询问LDAP服务器的名字和IP.存储到LDAP服务器检索用户名、密码和组信息。