EMC®VNX™ シリーズ VNX™ CIFSの構成と管理

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download EMC®VNX™ シリーズ VNX™ CIFSの構成と管理

Transcript

EMC®VNX™ シリーズ VNX™ CIFSの構成と管理

EMC®VNX™ シリーズ
リリース 7.0
VNX™ CIFSの構成と管理
P/N 300-011-826
リビジョン A02
EMCジャパン株式会社
〒151-0053 東京都渋谷区代々木2-1-1新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
Copyright © 1998 - 2011 EMC Corporation.不許複製。
September 2011 発行
EMC Corporationは、この資料に記載される情報が、発行日時点で正確であるとみなしていま
す。この情報は予告なく変更されることがあります。
このドキュメントの情報は「現状のまま」提供されます。EMC Corporationは、このドキュメ
ントに記載されている情報についていかなる種類の表現または保証もいたしかねます。また、
特に、特定の目的のための、市販性または適合性の暗黙の保証を否定します。
この資料に記載される、いかなるEMCソフトウェアの使用、複製、頒布も、当該ソフトウェア
ライセンスが必要です。
製品ラインに関する最新版の安全規格情報については、EMC Powerlinkの［テクニカルドキュ
メントおよびアドバイザリ］セクションを参照してください。
EMC製品名の最新のリストについては、EMC.comサイトの「EMC Corporation Trademarks」を
参照してください。
他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標
です。
2
VNX 7.0 CIFSの構成と管理
目次
序文.....................................................................................................................................................9
第 1 章 : はじめに.......................................................................................................................11
システム要件.....................................................12
ユーザーインタフェースの選択....................................13
関連情報.........................................................13
Windows Serverという語の使用................................14
第 2 章 : 概念...............................................................................................................................15
Active Directory.................................................17
Windows環境......................................................17
DNSサーバ........................................................18
NTPサーバ........................................................18
IPv6のベストプラクティス........................................19
ドメインの移行...................................................19
ドメイン参加CIFSサーバとスタンドアロンCIFSサーバ.................19
ネットワークインタフェースとCIFSサーバ..........................21
CIFS共有.........................................................21
国際文字サポート............................................22
国際標準対応サポートの有効化................................23
クォータ.........................................................24
Alias............................................................24
Kerberos認証.....................................................25
LDAP署名と暗号化.................................................26
Windows 2000のLDAPレジストリ設定............................27
Windows Server 2003のLDAPセキュリティポリシー..............27
Windowsの設定に VNX ldap SecurityLayerを統合する ...........28
VNX 7.0 CIFSの構成と管理
3
目次
ユーザー認証方法.................................................29
ユーザーマッピング..............................................31
ローカルユーザーおよびグループアカウント.......................31
ローカルユーザーアカウントの作成..........................32
管理者アカウント............................................34
ゲストアカウント...........................................34
その他のローカルユーザーアカウント........................35
仮想Data Mover...................................................35
グループポリシーオブジェクト...................................36
VNXでのGPOサポート..........................................36
制限付きグループのサポート..................................39
ACLの管理と適用.............................................40
参加のデリゲーション.............................................41
ホームディレクトリ..............................................42
権限とセキュリティ..........................................43
ホームディレクトリの使用に関する制限事項...................45
代替データストリームのサポート..................................45
SMBプロトコルのサポート..........................................47
SMB署名.....................................................47
シンボリックリンク..............................................48
SMB2のシンボリックリンクのサポート.........................49
便宜的ファイルロック............................................50
ファイル変更通知.................................................50
イベントログの自動アーカイブ....................................51
プランニングの考慮事項...........................................54
第 3 章 : 構成...............................................................................................................................55
CIFSサーバのWindowsドメインへの追加..............................56
Active Directoryのドメインアカウントの作成......................56
WINSサーバの追加.................................................56
CIFSサービスの起動...............................................57
Windows Server環境でのCIFSサーバの作成...........................58
CIFSサーバのWindowsドメインへの参加..............................59
既存コンピュータアカウントの参加...........................60
構成の確認..................................................60
CIFSアクセスのファイルシステムのマウント........................62
CIFSユーザーの共有作成...........................................63
ローカル共有の作成..........................................63
グローバル共有の作成........................................64
4
VNX 7.0 CIFSの構成と管理
目次
MMCまたはServer Managerを使用したグローバル共有の作成.......65
共有の確認..................................................66
管理タスク実行時のネットワークパスワードの入力.............67
スタンドアロンCIFSサーバの作成...................................67
MAC OSでのGUIによるCIFS共有の作成................................68
MAC OSでの手動によるCIFS共有の作成...............................69
第 4 章 : 管理中..........................................................................................................................71
Kerberos認証で維持するパスワードの最大数の設定...................72
LDAPセキュリティレベルの変更....................................72
現在のCIFS構成の確認.............................................73
CIFS構成と依存関係の確認.........................................74
ローカルユーザーをサポートするCIFSサーバの管理..................76
ドメインCIFSサーバ上でのローカルユーザーサポートの有効
化.......................................................76
Unisphereを使用したローカルユーザーサポートの有効化.......77
ローカルアドミニストレータアカウントのパスワード変更......79
同じドメイン内のCIFSサーバのアクセスと管理..................79
ワークグループ環境内のスタンドアロンCIFSサーバへのアクセ
スと管理.................................................79
スタンドアロンサーバでのゲストアカウントの有効化..........81
スタンドアロンサーバの削除......................................81
NetBIOS名の変更..................................................82
compnameの名称変更...............................................83
NetBIOSまたはコンピュータ名のエイリアス割り当て..................85
CIFSサーバへのNetBIOSエイリアスの追加.......................85
NetBIOS名へのNetBIOSエイリアスの追加........................86
CIFSサーバエイリアスの削除.................................86
NetBIOSエイリアスの削除.....................................87
エイリアスの表示............................................87
CIFSサーバとコメントの関連づけ...................................88
Windows Server環境でのCIFSサーバへのコメント追加............89
コメントのクリア............................................89
CLIからのコメント表示.......................................89
Windows XPクライアントでのコメント制限......................90
CIFSサーバパスワードの変更......................................91
SMB2ダイアレクトリリースの表示..................................92
開いているファイルの数と名前の表示...............................92
参加権限のデリゲーション.........................................93
VNX 7.0 CIFSの構成と管理
5
目次
ファイルシステムの管理..........................................94
同期書き込みの保証..........................................94
oplockの無効化..............................................95
ファイル変更通知の構成......................................95
CIFSサービスの停止...............................................97
CIFSサーバの削除.................................................97
Windows Server環境でのCIFSサーバの削除......................97
CIFS共有の削除...................................................98
特定の共有の削除............................................99
すべての共有の削除.........................................100
ドメイン移行の管理..............................................100
ユーザー認証方法の変更..........................................102
ユーザー認証方法の確認.....................................102
第 5 章 : 先進的な機能の活用...........................................................................................105
ホームディレクトリの有効化と管理...............................106
データベースの作成.........................................106
ホームディレクトリファイルの作成.........................106
ユーザープロファイルへのホームディレクトリの追加.........107
Data Moverでのホームディレクトリの無効化..................109
グループポリシーオブジェクトの管理............................109
GPO設定の表示..............................................110
GPO設定の更新..............................................111
GPOサポートの無効化........................................113
GPOキャッシュの無効化......................................113
代替データストリームの無効化...................................114
SMB署名の構成...................................................115
smbsigningパラメータを使用したSMB署名の構成................115
Data MoverでのSMB署名の無効化..............................115
GPOを使用したSMB署名の構成.................................116
Windowsレジストリを使用したSMB署名の構成...................116
SMB2プロトコルの管理............................................118
SMB2プロトコルの有効化.....................................118
SMB2プロトコルの無効化.....................................120
相対パスを使用したファイルのシンボリックリンク作成........120
デフォルトのシンボリックリンクの動作の変更.....................121
親ディレクトリへのターゲットパスを使用するシンボリック
リンクの有効化..........................................121
絶対パスを使用したシンボリックリンクの有効化..............123
6
VNX 7.0 CIFSの構成と管理
目次
CIFSクライアントを使用したシンボリックリンクへのアクセス.......124
コンピュータパスワードの自動変更の構成.........................126
パスワード変更間隔の変更...................................126
Windowsセキュリティログの場所変更..............................127
CIFSサーバのWindowsドメインへの参加：高度な手順.................128
disjointネームスペースおよび参加権限デリゲートによるCIFS
サーバのWindowsドメイン参加.............................128
同一ネームスペースおよび参加権限デリゲートによるCIFSサー
バのWindowsドメイン参加.................................129
ローカル管理者グループへの参加を実行するユーザーの追加.....130
ファイルフィルタリングのポップアップメッセージのカスタマイ
ズ...........................................................130
第 6 章 : トラブルシューティング........................................................................................133
EMC E-Lab Interoperability Navigator............................134
既知の問題と制限事項............................................135
シンボリックリンクの制限事項...................................140
エラーメッセージ...............................................141
EMCトレーニングおよびプロフェッショナルサービス................142
GPOの競合解決...................................................142
LDAP署名と暗号化................................................144
SMB署名の解決...................................................145
DNSに関する問題.................................................146
MSイベントビューアスナップイン................................146
付録 A : ホームディレクトリに関する追加情報...........................................................147
ホームディレクトリデータベースフォーマット...................148
ワイルドカード..................................................150
正規表現........................................................150
解析順序........................................................151
ゲストアカウント...............................................152
付録 B : MMCスナップインおよびプログラム................................................................153
Data Mover管理スナップイン .....................................154
AntiVirusの管理機能 ............................................154
ホームディレクトリ管理スナップイン ............................154
Data Moverセキュリティ設定スナップイン..........................154
VNX 7.0 CIFSの構成と管理
7
目次
用語集...........................................................................................................................................157
索引................................................................................................................................................161
8
VNX 7.0 CIFSの構成と管理
序文
製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の一環とし
て、EMCではハードウェアおよびソフトウェアの新規バージョンを定期的にリリースして
います。そのため、このドキュメントで説明されている機能の中には、現在お使いのソ
フトウェアまたはハードウェアのバージョンによっては、サポートされていないものもあ
ります。製品機能の最新情報については、お使いの製品のリリースノートを参照してく
ださい。
製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、EMC
の担当者にお問い合わせください。
VNX 7.0 CIFSの構成と管理
9
序文
注意事項の表記法
EMCでは、特別な注意を要する事項に次の表記法を使用します。
注：非常に重要であるが、けがや業務上の損失/データ損失には関係しない内容を示します。
業務上の損失/データ損失の可能性を警告する内容を示します。
回避しないと軽傷または中程度の傷害を招くおそれがある危険な状況を示します。
回避しないと重傷または死亡を招くおそれがある危険な状況を示します。
回避しないと重傷または死亡を招く危険な状況を示します。
情報の入手方法
EMCのサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。
製品情報：ドキュメント、リリースノート、ソフトウェアの更新、またはEMC製
品、ライセンス、サービスに関する情報については、http://Support.EMC.comにあ
るEMC Online Support Webサイトをご覧ください（登録が必要です）。
トラブルシューティング：EMCオンラインサポートのWebサイトにアクセスします。
ログインした後、該当する［Support by Product］ページを検索してください。
テクニカルサポート：テクニカルサポートおよびサービスリクエストについて
は、EMCオンラインサポートのWebサイトにあるEMCカスタマーサービスを参照し
てください。ログインした後、該当する［Support by Product］ページを検索し、
［ライブチャット］または［サービスリクエストの作成］のいずれかを選択します。EMC
Online Supportを通してサービス要求を開始するには、有効なサポート契約が必要
です。有効なサポート契約の入手方法の詳細や、アカウントに関する質問について
は、EMC販売担当者にお問い合わせください。
注：お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサ
ポート担当者へのお問い合わせはご遠慮ください。
ご意見
マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしてお
ります。
本書についてのご意見を以下のメールアドレスにお送りください。
[email protected]
10
VNX 7.0 CIFSの構成と管理
第1章
はじめに
EMC VNX では、CIFS（Common Internet File System）プロトコルがネッ
トワークファイルサービスのオープンスタンダードとして組み込まれ
ています。CIFSは、インターネット向けに設計されたファイルアクセス
プロトコルで、Microsoft Windowsオペレーティングシステムで分散ファ
イル共有に使用されるSMB（サーバメッセージブロック）プロトコルに
基づいています。CIFSプロトコルを使用すると、リモートユーザーが
ネットワークを介してファイルシステムへアクセスできるようになりま
す。
このドキュメントは、 VNX のマニュアルセットの一部であり、Windows
環境またはマルチプロトコル（WindowsおよびUNIX）環境の VNX 上での
CIFSの実装と、Windowsネットワーク内の VNX の管理を担当するシステ
ム管理者を対象としています。
次のようなトピックが含まれています。
トピック :
●
●
●
システム要件（12ページ）
ユーザーインタフェースの選択（13ページ）
関連情報（13ページ）
VNX 7.0 CIFSの構成と管理
11
はじめに
システム要件
表 1（12ページ）で、EMC®VNX™シリーズのソフトウェア、ハードウェア、ネットワーク、
ストレージの構成について説明します。
表 1. CIFSシステム要件
ソフトウェア
VNXバージョン7.0
ハードウェア
VNX
ネットワーク
Windows Serverドメイン：
●
次のものを使用してWindows Serverドメインを構成する必要があります。
●
AD（Active Directory）：
●
KerberosまたはNT LAN Managerのサポート
●
DNSサーバ
DNSサーバは動的な更新をサポートしている必要があります。DDNS（ダイナミック
DNS）がサポートされていない場合は、DNSサーバを手動で更新する必要があり
ます。ネーミングサービスを使用するようにData Moverを構成する手順について
は、「VNXネームサービスの構成」を参照してください。
●
NTP（ネットワークタイムプロトコル）サーバの構成
NTPサーバのクライアントとしてVNXを構成する手順について
は、「VNXタイムサービスの構成」を参照してください。
注： VNXは、SambaソフトウェアによるSMBとCIFSプロトコルの再実装をサポートしていません。
12
VNX 7.0 CIFSの構成と管理
はじめに
ユーザーインタフェースの選択
VNXでは、サポート環境やインタフェース設定に応じてネットワークストレージを柔軟に
管理することができます。このドキュメントでは、CLI（コマンドラインインタフェー
ス）を使用してData Mover上にCIFSを構成する方法について説明します。それらのタスク
の多くは、以下のVNX管理アプリケーションのいずれかを使用して実行することもできま
す。
●
EMC Unisphere™
●
MMC（Microsoft管理コンソール）スナップイン（Windows Serverのみ）
●
ACUC（Active Directoryユーザーとコンピュータ）拡張機能（Windows Serverのみ）
注： ADUCプラグインおよびCIFS移行ツールは64ビット版Windowsをサポートしていません。MMCス
ナップインは、64ビット版Windowsをサポートしています。
VNXの管理の詳細については、次の資料を参照してください。
●
EMCオンラインサポートWebサイト上のEMC VNXのマニュアル
●
Unisphereオンラインヘルプ
Unisphereの起動手順や、MMCスナップインおよびADUC拡張機能のインストール手順につい
ては、「 VNX for File管理アプリケーションのインストール」を参照してください。
VNXの管理アプリケーションに関する最新の追加情報については、「VNX for File Release
Notes」を参照してください。
関連情報
このドキュメントで解説されている機能に関連する具体的な情報については、次の資料を
参照してください。
●
「VNX用語集」
●
「EMC VNX Command Line Interface Reference for File」
●
「Parameters Guide for VNX for File」
●
「VNX ネームサービスの構成」
●
「Configuring Time Services on VNX」
●
「VNXユーザーマッピングの構成」
●
「Configuring Virtual Data Movers on VNX」
●
「Configuring and Managing Networking on VNX」
●
「Installing Management Applications on VNX for File」
ユーザーインタフェースの選択
13
はじめに
●
「VNXでのマルチプロトコル環境の管理」
●
「Managing Volumes and File Systems for VNX Manually」
●
「Using VNX Replicator」
●
「Using EMC Utilities for the CIFS Environment」
●
「Using International Character Sets on VNX for File」
●
「Using Windows Administrative Tools on VNX」
EMCオンラインサポートWebサイト上のEMC VNXドキュメント
EMC VNXシリーズのカスタマー向け資料一式は、EMCオンラインサポートWebサイトか
ら入手できます。テクニカルドキュメントを検索するには、http://Support.EMC.com
にアクセスします。Webサイトにログインした後、VNXの［Support by Product］ペー
ジをクリックし、必要な特定機能に関する情報を見つけます。
VNXウィザード
Unisphereソフトウェアでは、セットアップ作業および構成作業を行うためのウィザー
ドが使用できます。ウィザードの詳細については、Unisphereのオンラインヘルプを
参照してください。
重要： server_cifsコマンドでサポートされている詳細オプションについては、「EMC VNX for File
コマンドラインインタフェースリファレンス」を参照してください。
Windows Serverという語の使用
VNXのCIFS実装は、Windows Server 2000とWindows Server 2003で実質的に同一です。こ
のため、このドキュメントではWindows Serverという語を、オペレーティングシステム
とWindows Serverの後続バージョンの両方について使用しています。
14
VNX 7.0 CIFSの構成と管理
第2章
概念
VNX は、CIFS（Common Internet File Service）を含むさまざまなファ
イルアクセスプロトコルによるデータへのアクセスを提供する、マル
チプロトコルシステムです。Microsoft SMB（Server Message Block）
をベースとしたCIFSにより、主にWindowsプラットフォームから、イン
ターネットおよびイントラネットを介してファイルシステムを共有でき
ます。
VNX は、CIFSをユーザーモードアプリケーションではなく、オペレー
ションシステムのカーネル内に実装しています。この実装によって、
VNX は、ネイティブのWindows Serverの機能よりも高いパフォーマンス
を実現しています。
VNX がCIFSサーバとして構成されると、 VNX はWindows Serverに似た
ファイルアクセス機能を提供します。構成を行う間、 VNX は特定の
Windowsドメインにメンバーサーバとして参加します。
マルチプロトコルファイル共有環境で操作を行う場合、次の概念の一部
またはすべてを理解しておくことが必要になる場合があります。
トピック :
●
●
●
●
●
●
●
●
●
●
●
●
●
Active Directory（17ページ）
Windows環境（17ページ）
DNSサーバ（18ページ）
NTPサーバ（18ページ）
IPv6のベストプラクティス（19ページ）
ドメインの移行（19ページ）
ドメイン参加CIFSサーバとスタンドアロンCIFSサーバ（19ページ）
ネットワークインタフェースとCIFSサーバ（21ページ）
CIFS共有（21ページ）
クォータ（24ページ）
Alias（24ページ）
Kerberos認証（25ページ）
LDAP署名と暗号化（26ページ）
VNX 7.0 CIFSの構成と管理
15
概念
●
●
●
●
●
●
●
●
●
●
●
●
●
●
16
VNX 7.0 CIFSの構成と管理
ユーザー認証方法（29ページ）
ユーザーマッピング（31ページ）
ローカルユーザーおよびグループアカウント（31ページ）
仮想Data Mover（35ページ）
グループポリシーオブジェクト（36ページ）
参加のデリゲーション（41ページ）
ホームディレクトリ（42ページ）
代替データストリームのサポート（45ページ）
SMBプロトコルのサポート（47ページ）
シンボリックリンク（48ページ）
便宜的ファイルロック（50ページ）
ファイル変更通知（50ページ）
イベントログの自動アーカイブ（51ページ）
プランニングの考慮事項（54ページ）
概念
Active Directory
AD（Active Directory）は、Windowsネットワーク内で使用可能なリソースとサービスを
リストにします。 VNX でCIFSを構成する場合、ADUC（アクティブディレクトリユーザー
およびコンピュータ）または別のADコンテナ内にCIFサーバアカウント用の VNX コンテ
ナを作成します。
WindowsドメインにCIFSサーバを作成して参加させると、ADアカウントが自動的に作成さ
れます。処理の詳細については、 Windows Server環境でのCIFSサーバの作成（58ページ）
および CIFSサーバのWindowsドメインへの参加（59ページ）を参照してください。
Windows環境
図 1（17ページ）は、Windowsドメイン内の VNX
を示しています。この図に示された
Data Moverは、Windowsドメインのユーザーに対してCIFSファイルシステムの操作を提供
します。Data Moverに関連づけられたドメインは、Data Moverの構成時に宣言されます。
図 1. Windowsドメイン内の VNX
注： CIFS環境では、Data MoverはCIFSファイルサーバの機能を実行しますが、プリントやDNSサー
バなどのWindowsアプリケーションサーバの機能は実行しません。
Active Directory
17
概念
DNSサーバ
VNXは、次のDNS（ドメインネームシステム）機能をサポートしています。
●
DNSサービス名の解決：コンピュータ名ではなくサービス名を解決します。DNSは、LDAP
（Light Weight Directory Access Protocol）やKerberosなどの特定のサービスを実
行するマシンの一覧を返します。
●
DNS動的更新：DDNS環境における管理の煩雑さを緩和します。
Windows Server環境には、DNSサーバが必要です。Data MoverのDNSドメイン名とIPアドレ
スは、server_dnsコマンドによってドメインに定義されます。
IPv4とIPv6両方のDNSサーバが構成されているデュアルスタックドメインでは、それぞ
れのアドレスタイプにつき最低でも1つのインタフェースが、そのドメイン内のすべての
CIFSサーバ上でData Moverのために構成されていることを確認する必要があります。
ネームサービスの詳細については、「VNSネームサービスの構成」を参照してください。
Data MoverのCIFS構成に次のCIFSサーバが含まれる場合は、各Data Moverごとに複数のDNS
ドメインを構成する必要があります。
●
同一のWindowsフォレストにないドメイン用
●
同一のDNSサーバからサービスを受けていない
たとえば、Data Moverには、それぞれが互いに接続されていないパブリックネットワー
クおよびプライベートネットワークの2つのネットワークを接続できます。
注： server_dnsコマンドは、異なるドメインに対して繰り返し実行できます。
注：ほとんどのDNSリクエストは短いメッセージであるため、UDP（ユーザーデータグラムプロト
コル）が優先プロトコルとなります。DNSメッセージが512バイトを超えた場合、Data Moverは自動
的に、特定のリクエストプロセスに対してはTCP（Transmission Control Protocol）に切り換えま
す。DNSサーバがData Moverの近くに存在しない場合は、TCPプロトコルだけを強制する必要があり
ます。
NTPサーバ
Windows Server環境には、NTPサーバが必要です。単一障害点防止のため、最低でもドメ
インにつき2個のNTPサーバをセットアップすることを強く推奨します。
Data Moverと他の時間リソースとの間で、server_dataコマンドを使用して日付と時間を
同期する必要があります。Data Moverの同期方法については、「VNXタイムサービスの構
成」を参照してください。
18
VNX 7.0 CIFSの構成と管理
概念
IPv6のベストプラクティス
CIFSサーバでIPv6だけを使用することや、Data MoverでIPv6インタフェースだけを使用す
ることは避けます。
IPv6インタフェースだけを使用するData Moverを希望する場合、Data Moverが利用する
DNS、NIS、NTPサーバで、それらのサービスが動作するようにIPv6アドレスが構成されて
いる必要があります。
IPv6が導入されている場合、DNS、NIS、NTPサーバにはIPv4とIPv6アドレスの両方を構成
する。こうすることで、何かの理由でIPv6だけの状況が発生しても、これらのサービスは
動作を続ける。
ドメインの移行
VNX CIFSサーバは、Windowsドメイン内でメンバーサーバとして動作し、ドメインユー
ザーにデータストレージを提供します。CIFSファイルシステムに格納されたデータに
は、CIFSアカウントの派生元であるドメインSID（セキュリティID）に関連づけられたDACL
（任意のアクセスコントロールリスト）、SACL（システムアクセスコントロールリ
スト）、所有権などのセキュリティメタデータが含まれます。
Microsoftの生産終了が理由で、今のドメインを別のバージョンのドメインに移行する必
要が出てくる場合があります。Windowsドメインの移行プロセス中および移行後、ソース
ドメインのユーザーアカウントによって生成されたデータはすべて、ターゲットドメイ
ンのユーザーアカウントでアクセスできる必要があります。
注：ドメインの移行は複雑なタスクであるため、このドキュメントでは説明しません。ドメインの
移行の詳細については、Microsoftのマニュアルを参照してください。
VNXには、ドメイン移行中および移行後のデータ可用性についての要求を満たすために、
-Migrateと-Replaceという2種類のserver_cifsコマンドオプションが用意されています。
これらのオプションでは、あるWindowsドメイン（ソース）でCIFSユーザーが作成したリ
ソースに対して生成されたSID（セキュリティID）を、別のWindowsドメイン（ターゲッ
ト）に更新します。
注：ソースドメインとターゲットドメイン間で信頼関係が確立されている必要があります。これ
は、ドメインの移行に対するMicrosoftの要件です。
処理の詳細については、ドメイン移行の管理（100ページ）を参照してください。
ドメイン参加CIFSサーバとスタンドアロンCIFSサーバ
CIFSサーバは、Windowsドメインにメンバーとして参加させることも、他のどのような
Windowsドメインからも独立したスタンドアロンCIFSサーバとして動作させることもでき
ます。WindowsドメインのメンバーであるCIFSサーバはドメインベースのKerberosユーザー
IPv6のベストプラクティス
19
概念
認証を使用して、ドメイン内でのID（コンピュータアカウント）を維持し、ドメインコ
ントローラなどのサービス検出のためにドメインサイト情報を活用します。ドメインベー
スのCIFSサーバは、本番使用に適しています。CIFSサーバをドメインに参加することで、
すべてのドメイン内のユーザーがCIFSサーバに接続できます。
注： AD（Active Directory）ネームスペースがDNSネームスペースとは別に命名されている場合、
Windows環境でドメインにCIFSサーバを参加させることができます。
処理の詳細については、 Windows Server環境でのCIFSサーバの作成（58ページ）および
CIFSサーバのWindowsドメインへの参加（59ページ）を参照してください。
対照的に、スタンドアロンCIFSサーバはドメインおよびその関連サービスにアクセスでき
ません。スタンドアロンCIFSサーバに接続可能な唯一のユーザーは、スタンドアロンCIFS
サーバ上で作成、管理されているローカルユーザーアカウントを使用しているユーザー
だけで、ユーザー認証はすべてCIFSサーバが自身で行います。スタンドアロンCIFSサーバ
はテスト環境で役立ちます。処理の詳細については、スタンドアロンCIFSサーバの作成
（67ページ）を参照してください。
20
VNX 7.0 CIFSの構成と管理
概念
ネットワークインタフェースとCIFSサーバ
物理Data Mover上に作成され、インタフェースが指定されていないCIFSサーバはデフォル
トサーバになります。このサーバは、そのData Mover上の未使用のネットワークインタ
フェース、および以後作成する新しいインタフェースすべてと関連づけられます。その
Data Mover上にさらにCIFSサーバを作成するためには、そのサーバと関連づける1つ以上
のネットワークインタフェースを指定する必要があります。
ネットワークインタフェースをData Mover上の他のCIFSサーバへ割り当てることは、作
成時にも、後で必要になった時にも実行できます。CIFSサーバのデフォルト動作は、Data
Mover上にCIFSサーバを1つだけ作成する計画の場合に便利です。ネットワークインタ
フェースは、Data Mover上に最初に作成されたCIFSサーバへと明示的に関連づけておくこ
とが推奨されています。こうしておくことで、将来ネットワークインタフェースを増設
ことや、意図しないネットワークにCIFSトラフィックが流れるのを防止することが容易に
なります。デフォルトのCIFSサーバは、VDM（仮想Data Mover）がロードされているData
Mover上には作成できません。
それぞれ異なるドメインに関連づけられた複数のネットワークインタフェースを作成し、
各インタフェースに異なるCIFSサーバを割り当てることで、複数のWindowsドメインにア
クセスするネットワークインタフェースを使用できます。指定したData Mover上にIP
インタフェースを作成するには、server_ifconfigコマンドを使用します。詳細について
は、「VNXネットワークの構成と管理」を参照してください。
注：セキュリティ上の理由から、複数のWindowsドメインがある環境ではVDMまたは別々のData Mover
の使用を検討します。VDMの構成方法については、「VNX Virtual Data Moverの構成」を参照して
ください。
CIFS共有
server_exportコマンドを使用してファイルシステムのパス名をエクスポートすること
で、共有を作成します。作成した共有は、ネットワークドライブを共有にマッピングす
るか、共有のUNCパスに接続することにより、Windowsクライアントからアクセスできるよ
うになります。処理の詳細については、 CIFSユーザーの共有作成（63ページ）を参照し
てください。
server_exportコマンドのオプションの説明については、表 2（21ページ）を参照してく
ださい。
表 2. サーバエクスポートオプション
オプション
結果
ro
CIFSクライアントに対し、読み取り専用で共有を作成。
ネットワークインタフェースとCIFSサーバ
21
概念
表 2. サーバエクスポートオプション（続き）
オプション
結果
rw=<client>
[:<client>]...
CIFSクライアントに対し、read-mostlyで共有を作成。Readmostlyとは、ほとんどのクライアントに対しては読み取り専用で
エクスポートされますが、指定されたクライアントには読み取り/
書き込みでエクスポートされることを意味します。デフォルトで
は、パス名はすべてのクライアントに読み取り/書き込みでエク
スポートされます。クライアントは、<user_name>と<group_name>
のいずれかである可能性があります。<user_name>および
<group_name>は、Data Moverのパスワードファイルで定義され
ている必要があります。
注： Data Moveのユーザー認証がNTに設定されている場合、
このオプションは無視され、ファイルアクセスは共有およびファ
イルのACL（アクセス制御リスト）で制御されます。
maxusr=<maxusr>
共有に対して同時にアクセス可能な最大ユーザー数を設定。
最大ユーザー数をゼロに設定することはできません。
netbios=<netbios_Name> [,netbios=<netbios_Name>] ...
単一ドメインの共有と、server_cifsで作成された1つ以上のNetBIOS名との関連づけを実行。デフォルトでは、共有にNetBIOS
名が指定されていない場合、その共有はすべてのNetBIOS名
から識別されるグローバル共有となります。
国際文字サポート
Unicodeサポートが有効化されている場合、server_exportコマンドの-nameおよび-comment
オプションに、Unicode 3.0標準で定義されているマルチバイト文字すべてを使用できま
す。有効化されていない場合、これらのオプションにはASCII文字のみを使用できます。
-nameおよび-commentオプションには、次のような制限事項があります。
22
●
共有名の長さは、Unicodeをサポートしている場合は最長80文字までですが、サポート
していな場合は12文字に制限されます。
●
共有名には、次の文字を含めることはできません： /、\、%、"、NUL（ヌル文字）、
STX（ヘッダの開始）、SOT（テキストの開始）、LF（改行）。
●
共有名には、スペースや英数字以外の文字を含めることもできますが、スペースを使
用する場合には引用符で囲む必要があります。
●
共有名を「-」（ハイフン）や「@」記号で始めることはできません。「.」および「..」
は共有名として使用できません。
●
共有名で大文字と小文字は区別されませんが、大文字小文字はそのまま保持されます。
●
コメントの長さは256バイト（256文字のASCII文字または可変長マルチバイトUnicode
文字）以下に制限されています。
VNX 7.0 CIFSの構成と管理
概念
●
コメントには、次の文字を含めることはできません： NUL（ヌル文字）、STX（ヘッダ
の開始）、SOT（テキストの開始）。
国際標準対応サポートの有効化
多言語対応サポートは、Windows Serverでのみ有効にできます。Data MoverでUNIXま
たはSHAREユーザー認証を使用している場合、Active Directoryのドメインアカウン
トの作成（56ページ）に進みます。
VNXでは、Unicodeを有効にして、多言語対応をサポートする必要があります。
注： Unicodeが有効化されている場合、VNXではNTユーザー認証方法を使用する必要があります。
NTセキュリティがVNXのデフォルトのユーザー認証方法です。
ベストプラクティス
ベストプラクティスとして、インストール時にUnicodeをデフォルトオプションとし
て有効にしておきます。Unicodeを有効化するには、ファイルシステムを読み込む前
に有効化しておく必要があります。Unicodeを初めて有効化した場合は、ファイルシス
テムがスキャンおよび変換されている間、変換プロセスによりファイルシステムが使
用できなくなることがあります。
Unicodeを有効化すると、無効化してASCIIモードに戻すことはできません。
ASCIIフィルタリングに関する注意
ASCIIフィルタリングでは、以下の問題点に注意してください。
●
ASCIIフィルタリングを有効化した場合、ユーザーとコンピュータMMCスナップイン
などのMicrosoftの管理ツールからCIFSサーバを管理できないことがあります。
●
ASCIIフィルタリングが有効化されている間は、ファイル名で使用されている非ASCII
文字（7ビットを越える文字）でのファイルの作成や名称変更ができません。非ASCII
名のファイルにアクセスすることはできますが、ファイル名が文字化けしている場
合があります。
●
フィルタリングパラメータが設定されている場合、ASCIIフィルタリングがWindows
クライアントに適用されます。パラメータが設定され、少なくとも1つのcompname
が作成されている場合、すべてのcompnameを削除するまではパラメータを0にリセッ
トできません。
CIFS共有
23
概念
クォータ
VNXのCIFS実装では、ディスククォータがサポートされています。クォータは、VNXのCLI、
Unisphere、Windows Serverユーザーインタフェースを使用して構成できます。クォータ
の詳細については、「VNXでのクォータの使用方法」を参照してください。
クォータを使用するには、ファイルシステムを読み込む前に、クォータをファイルシス
テム上で有効化しておく必要があります。クォータを初めて有効化した場合は、クォータ
の初期化プロセスでスキャンされている間、ファイルシステム全体が使用できなくなりま
す。
Alias
エイリアスは、特定のリソースに複数の代替IDを提供します。エイリアスはセカンダリ
ネームとして機能するため、エイリアスによって、ローカルグループとプライマリNetBIOS
名またはコンピュータ名の同じセットを共有できます。
NetBIOSエイリアスは、別名をDNS（Domain Name System）ではなくWINS（Windows Internet
Naming Service）に登録します。NetBIOSエイリアスをDNSに登録するには、DNSに追加す
る必要があります。
クライアントでは、ネットワークコンピュータ、Windowsエクスプローラ、ネットワーク
ドライブの割り当てウィンドウからエイリアスに接続できます。
Microsoftの要件に基づき、WINSへの登録やブロードキャストアナウンスメントを行うた
めにエイリアスはドメイン全体で一意である必要があります。また、WINS名の競合を避け
るために、エイリアスは同一のData Mover内で一意である必要もあります。
パフォーマンスの理由から、エイリアスの数はCIFSサーバごとに10個までに制限すること
をお勧めします。エイリアスは、既存のサーバにも新規作成時のサーバにも追加できま
す。エイリアス名の制限の詳細については、「EMC VNX for Fileコマンドラインイン
タフェースリファレンス」を参照してください。
NetBIOSエイリアスとDNSエイリアスの比較
Financeという名前のファイルサーバを削除し、Accounting_and_Financeという新し
いファイルサーバに置き換えたとします。Financeという古いファイルサーバへの
マッピングが、既存ユーザーに残っている場合があります。FinanceというNetBIOSエ
イリアスを作成することで、各ユーザーが手動でマッピング先を変更する状況を避け
られます。NetBIOSエイリアスの作成で、古いマッピングが動作します。
DNSエイリアスはNetBIOSエイリアスとわずかに異なっています。DNSデータベースは、
通常次のような情報を持っています。
24
●
コンピュータ名をIPアドレスへマッピングする、アドレス（A）リソースレコー
ド。たとえば、ファイルサーバFinanceは10.20.30.40にマッピングされています。
●
ドメイン名を別のドメイン名にマッピングする、標準（CNAME）リソースレコー
ド。たとえば、finance.emc.comはaccounting.emc.comにマッピングされています。
VNX 7.0 CIFSの構成と管理
概念
処理の詳細については、 NetBIOSまたはコンピュータ名のエイリアス割り当て（85ペー
ジ）を参照してください。
Kerberos認証
KerberosKDC（Key Distribution Center）はADデータベースでセキュリティ原則に関する
情報の格納および取得を行います。Windows 2000以降の各ドメイン･コントローラは、ク
ライアントとサーバ間の信頼された仲介者として動作するKerberos KDCです。Kerberos認
証では、ドメインとの通信やWindowsネットワークサービスへのアクセスを試行するCIFS
サーバのIDを確認するためにKDCを使用します。
ドメインに参加しているコンピュータ、サーバ、またはクライアントはすべて、AD（Active
Directory）内のコンピュータアカウントに関連づけられた一意のパスワードを持ってい
ます。ドメインコントローラとの通信を試行するCIFSサーバのIDは、パスワードで認証
されます。
CIFSサーバをドメインに参加させるか、CIFSサーバのコンピュータアカウントパスワー
ドを変更すると、Kerberosはドメインコントローラと共有する、一連の暗号化および復
号化キーを生成します。KDCは、CIFSサーバから認証要求を受け取ると、Data Moverから
送信された事前認証データを復号化キーで復号化して認証を行います。復号化に成功し事
前認証データが正確であれば、CIFSサーバが認証されます。CIFSサーバが認証されると、
図 2（25ページ）に示すようにKDCはTGT（Ticket-Granting Ticket）と呼ばれる初期チ
ケットを発行します。TGTは、CIFSサーバがKDCにサービスをリクエストできるようにする
ための特別なチケットです。
図 2. Kerberos認証
MicrosoftのWebサイトには、Kerberos認証の詳細な説明が掲載されています。
複数のドメインコントローラを使用したドメイン構成では、コンピュータアカウントと
パスワードはADレプリケーション中にすべてのドメインコントローラにレプリケーショ
ンされます。ADレプリケーションはスケジュール設定された間隔で行われるため、新しい
パスワードですべてのドメインコントローラを更新するには時間がかかり、認証試行に
失敗する可能性があります。Data Moverは各CIFSサーバの新旧のパスワード履歴を保持し
ます。WindowsクライアントがData Moverで新しいセッションを開く場合は、CIFSサーバ
コンピュータアカウントパスワードから生成された復号化キーで、クライアントから送
信されたサービスチケットが復号化されます。復号化に失敗した場合は、以前のパスワー
ドから生成されたキーを使用して再度復号化が試行されます。同一ドメインコントロー
ラ上、もしくは、ADレプリケーションが行われない他のドメインコントローラ上でパス
ワードが2度更新された場合、Data Moverは最初に更新されたパスワードだけを使用し、2
度目のパスワードの変更は認識しません。
Kerberos認証
25
概念
処理の詳細については、 Kerberos認証で維持するパスワードの最大数の設定（72ページ）
を参照してください。
Kerberos Workstream
CIFSにより、WindowsクライアントはData Moverに接続して、共有をマウントすること
ができます。Windows Serverドメインの場合、Kerberos認証が認証メカニズムとして
使用されます。ただし、NTLM（Windows 2000以前）認証も下位互換性のために利用可
能です。
Kerberos認証が使用されない、または失敗した場合に、NTLM認証を使用すると、Windows
ドメインコントローラの負荷が大幅に増えます。また、NTLM認証は、Kerberos認証と
同程度に安全だとは考えられていません。
Kerberos Workstream機能はこの点に対応しています。Kerberosが正しく構成されてい
ない場合、つまり、SPNが存在しないか、同期がずれていてDNSホスト名エントリーと
一致しない場合、Kerberos認証が失敗し、クライアントはData Moverに接続するため
にNTLMに戻ることがあります。この場合、ユーザーは問題を診断および修正するため
に通知を受ける必要があります。
cifs.spncheckパラメータの詳細については、「VNX for Fileパラメータガイド」を
参照してください。server_cifsコマンドの-setspnオプションの詳細については、「EMC
VNX for Fileコマンドラインインタフェースリファレンス」を参照してください。
LDAP署名と暗号化
一部の環境では、VNXとAD（Active Directory）間で行われる通信は、LDAPを使って処理
されます。LDAPは、ドメインの参加や分離時、サーバアカウントパスワードの変更時、
GPOの更新時、ユーザーマッピングの保存にADを使用するようVNXを構成する場合に使用
されます。
LDAP BIND処理手順中は、SASL（Simple Authentication and Security Layer）プロトコ
ルを使用して、Kerberosでのドメインコントローラ（LDAPサーバ）に対する認証をData
Mover（LDAPクライアント）が行います。SASLプロトコルはData Moverとドメインコント
ローラに対し、LDAPクエリーと応答のためのセキュリティレイヤーをネゴシエーション
する手段を提供します。
署名済みセキュリティレイヤーは、仲介者がコンテンツに改ざんを加えていないことを
確認するために、ネットワーク上の各LDAPパケットの整合性をチェックします。暗号化セ
キュリティレイヤーは、クライアントとサーバ間でLDAPパケット内のデータが平文で送
信されることを防ぎます。
LDAPクライアント（この場合はData Mover）は、使用するセキュリティレベルについて
最終決定を行います。署名または暗号化に関するこのネゴシエーションは、LDAP接続ごと
に行われます。
デフォルトでは、ドメイン･コントローラはLDAPトラフィックのデータ保護の形式につい
て、どのような強制も行いません。レジストリ属性またはセキュリティポリシーは、ド
メインコントローラがLDAPメッセージ署名を強制するかどうかについて制御します。
26
VNX 7.0 CIFSの構成と管理
概念
注： Windowsでは、VNXなど、他のシステムからのLDAPメッセージの暗号化はサポートされています
が、WindowsでLDAPメッセージの暗号化を構成することはできません。
Windows 2000のLDAPレジストリ設定
表 3（27ページ）は、ドメインコントローラに対してLDAPメッセージ署名を強制する
ために必要なWindows 2000のレジストリ設定を示したものです。
表 3. LDAPメッセージ署名に必要なレジストリパラメータ
キーパス：
HKLM\System\CurrentControlSet\Services\NTDS
Key
パラメータ
値の名前：
LdapServerIntegrity
書式
REG_DWORD
価値
2（署名必須）、他の値は0（未定義）と1（なし）
注：レジストリの変更はドメイン内のドメインコントローラ間でレプリケーションされないため、
このレジストリパラメータは各ドメインコントローラで定義する必要があります。
Windows Server 2003のLDAPセキュリティポリシー
Windows Server 2003では、LDAPセキュリティポリシーはGPO（グループポリシーオブ
ジェクト）として定義され、ドメインコントローラまたはドメイン上で構成できます。
GPOセキュリティポリシーは、［管理ツール］ ➤ ［ドメインコントローラセキュリティポリシー（ま
たはドメインセキュリティポリシー）］ ➤ ［セキュリティ設定］ ➤ ［ローカルポリシー］ ➤ ［セキュリティ
オプション］の順に進み、［LDAPサーバ署名必須］を選択します。
注： LDAPサーバ署名必須ポリシーにドメインコントローラまたはドメインを適用すると、Windows
2000のLdapServerIntegrityレジストリパラメータが上書きされます。
表 4（28ページ）は、Windows Server 2003 GPO LDAPセキュリティポリシーと、対応す
るWindows 2000 LDAP LdapServerIntegrityレジストリパラメータ設定を示したもので
す。
LDAP署名と暗号化
27
概念
表 4. GPOおよびレジストリLDAPセキュリティポリシー設定
GPO LDAPセキュリティポリシー
設定
LDAPレジストリパラメータ設定
概要
未定義
0
LDAP署名は、ドメインコントロー
ラレベルで有効化または無効化
されていない。
なし
1
LDAP署名は、ドメインコントロー
ラでバインドするために必須では
ない。Data Moverがデータ署名を
必要とする場合は、ドメイン･コント
ローラでサポートする。
要署名
%2
LDAP署名は、TLS/SSL（Transport
Layer Security/Secure Socket
Layer）が起動されていない限り、
Data Moverとドメイン･コントローラ
間でネゴシエーションされる。
処理の詳細については、 LDAPセキュリティレベルの変更（72ページ）を参照してくだ
さい。
Windowsの設定に VNX ldap SecurityLayerを統合する
表 5（28ページ）は、Windows GPO LDAPセキュリティポリシー設定またはLDAPレジスト
リ設定に VNX ldap SecurityLayerパラメータ設定を統合する場合に実行されるセキュリ
ティアクションを示したものです。
表 5. Windowsの設定に VNX ldap SecurityLayer設定を統合する
VNX ldap SecurityLayerパラメータの設定
0
1
2
4
セキュリティレイ
ヤーなし
LDAPサーバと同じ整合性保護
プライバシー保護
署名または暗号化
なし
ドメイン･コントロー LDAPメッセージ署
ラの提示したセキュ名を使用
リティレイヤーを使
用
LDAPメッセージ暗
号化を使用
Windows LDAPセ
キュリティポリシー/
レジストリの設定
0（未定義）
1（なし）
2（要署名）
28
VNX 7.0 CIFSの構成と管理
LDAP BINDを拒否
概念
ユーザー認証方法
CIFSサービスを構成する前に、Data Moverのユーザー認証方法を定義する必要がありま
す。ユーザー認証方法は、Data Moverにログインしているユーザーに対し、Data Moverが
妥当性検査を行う方法を定義します。Windowsユーザーがログインすると、ユーザーのSID
（セキュリティID）、ユーザーのグループのSID、および（許可ではなく）アクセス権限
を含んだセキュリティアクセストークンが生成されます。このトークンは、アクセスを
決定するため共有などのすべてのCIFSオブジェクトのセキュリティの記述と比較されま
す。
ユーザー認証方法と、プロトコルレベルのVNXサポートを定義するdialectパラメータは、
Data Moverごとに設定され、Data Mover上のすべてのインタフェースに適用されます。そ
のため、Data Mover上のすべてのCIFSサーバは、同一のユーザー認証方法およびdialect
を使用する必要があります。コンピュータ名を作成する場合、認証をKerberosだけに制限
することができます。制限しない場合は、NTLM/NTLMSSPおよびKerberosが使用できます。
Data Moverは、デフォルトの認証方法としてNTユーザー認証を使用します。処理の詳細に
ついては、 Kerberos認証で維持するパスワードの最大数の設定（72ページ）を参照して
ください。
注： EMCでは、SHARE認証でData Moverを使用する代わりに、CIFSスタンドアロンサーバを使用す
ることを推奨します。処理の詳細については、スタンドアロンCIFSサーバの作成（67ページ）を
参照してください。
スタンドアロンサーバは、NT認証の長所をすべて持っています。
表 6（30ページ）には、NT、UNIX、SHAREユーザー認証方法の概要と比較が示されていま
す。
重要：適切な使用方法と制限事項について知るために、CIFSユーザー認証方法について確認する必
要があります。
ユーザー認証方法
29
概念
表 6. CIFSユーザー認証方法
NT
UNIX
SHARE
概要：
概要：
概要：
●
●
ドメイン･コントローラによる認
証後のみ、共有のためのアク
セスを許可。
NTLMの場合、クライアントは
認証のためにユーザー名と暗
号化されたパスワードとをData
Moverに送ります。
●
ファイル、ディレクトリ、共有レ
ベルACLをチェック。
●
デフォルトのユーザー認証方
法。
●
推奨。
仕組み：
●
●
クライアントは、ユーザー名と
暗号化されたパスワードをData
MoverまたはKerberosチケット
に送信する。ユーザー認証は、
ドメインコントローラがNTLM
V0.12（Windows Serverデフォ
ルト）およびLDAPを使用して行
います。
●
●
●
●
平文パスワードを使用。
ACLのチェックなし。
●
パスワードなし、または平文パ
スワードを使用。
●
読み取り専用か、読み取り/書
き込みかを確認。
●
ACLのチェックなし。
●
非推奨。
非推奨。
仕組み：
クライアントは、ユーザー名と平文
のパスワードをData Moverに送信
する。Data Moverは、Data Mover
またはNIS上のpasswdファイルを
チェックしてID情報を確認する。
仕組み：
●
共有の作成時にパスワードが
指定されていない場合、その
共有に接続しているすべての
ユーザーはアクセスを許可さ
れる。
●
パスワードが指定されている
場合、ユーザーはその共有に
接続するために指定されたパ
スワードを入力しなければなら
ない。
アクセスチェックは、ユーザー
およびグループのSID（セキュ
リティID）に対して行われる。
制限事項：
制限事項：
なし。
●
Unicodeは使用不可。
●
Unicodeは使用不可。
●
VDMは使用不可。
●
VDMは使用不可。
●
CAVA（Common AntiVirus
Agent）は使用不可。
●
CAVAは使用不可。
●
最大ファイルサイズは4 GB。
●
要件：
各WindowsユーザーにUNIXスタイ
ルのUIDおよびGIDが必要。
●
VNX 7.0 CIFSの構成と管理
制限事項：
最大ファイルサイズは4 GB。
要件：
●
30
認証は、ローカルファイル
（passwdおよびgroup）または
NISを使用し、Data Mover上で
実施。
要件：
各WindowsユーザーにUNIXス平文パスワードのサポートがクラ
イアントで有効化されている。
タイルのUIDおよびGIDが必
要。
平文パスワードのサポートが
クライアントで有効化されてい
る。
概念
表 6. CIFSユーザー認証方法（続き）
NT
UNIX
SHARE
使用状況：
使用状況：
使用状況：
●
●
高度なセキュリティが要求さ
れ、主にCIFSユーザーがアク
セスする構成において、もっと
も有用。
●
一般に、Windowsドメインが使
用できない場合に使用。
●
セキュリティ要件が非常に少な
い構成でのみ有用。
●
非推奨。
●
非推奨。
推奨。
ユーザーマッピング
VNX のユーザー（Microsoft WindowsユーザーまたはUNIXおよびLinuxユーザー）はすべ
て、一意の数字から成るUID（ユーザーID）とGID（グループID）で識別する必要がありま
す。ただしWindowsでは、ユーザーの識別に数字のIDを使用しません。その代わりに、SID
（security identifier）と呼ばれる文字列を使用します。そのため、 VNX 上のWindows
ファイル共有サービス（CIFS）を構成する前に、Windows SIDをUIDおよびGIDにマッピン
グする方法を選択する必要があります。
詳細については、「 VNX ユーザーマッピングの構成」を参照してください。
ローカルユーザーおよびグループアカウント
ローカルユーザーのサポートを有効化すると、CIFSサーバ上のローカルグループデー
タベースにローカルユーザーアカウントが作成されます。ローカルユーザーは、CIFS
サーバへのログインを試行すると、NTLMV1/V2によりローカルグループデータベースに
認証されます。CIFSサーバ上でローカルユーザーのサポートを有効化すると、ローカル
グループデータベースにはアドミニストレータおよびゲストという2つのローカルユー
ザーアカウントが作成されます。
ローカルユーザー機能を使用すると、CIFSサーバごとに最大128までのローカルユーザー
アカウントを作成できます。CIFSサーバ上のローカルユーザーアカウントをサポートす
ることには、以下の2つの目的があります。
●
ドメイン･コントローラが認証に使用できない場合でも、CIFSサーバへのアクセスを提
供する。ドメイン･コントローラが使用できない場合、ドメインユーザーアカウント
はCIFSサーバにアクセスできません。この場合、ローカルユーザー機能を使用すれ
ば、ローカルアカウントにログインすることでドメインCIFSサーバにアクセスできる
ようになります。
●
ドメインインフラストラクチャのないシンプルなCIFSサーバ構成の作成が可能になり
ます。このタイプのCIFSサーバはスタンドアロンサーバと呼ばれ、ドメインコント
ローラのような外部コンポーネントを必要としません。ユーザーは、ローカルユー
ザーアカウントを通じてスタンドアロンCIFSサーバにログインします。
ユーザーマッピング
31
概念
スタンドアロンサーバは、小規模な環境で使用したり、SHAREセキュリティモードを使
用するサーバの代わりに使用するための、低コストでオーバーヘッドの少ないサーバで
す。EMCでは、SHARE認証を使用するのではなく、スタンドアロンCIFSサーバを作成するこ
とを推奨します。処理の詳細については、スタンドアロンCIFSサーバの作成（67ページ）
を参照してください。
注：ローカルユーザーアカウントは、CIFSアクセスのためだけのものであり、UNIXへはマッピン
グできません。ローカルユーザーアカウントには、ドメインユーザーに使用されるマッピング方
法を使用したUIDの割り当ては行われません。ローカルユーザーのUIDは、VNXが特別な範囲から直
接割り当てます。
ローカルユーザーサポート用のData Moverでは、ユーザー認証メソッドをNTに設定し、
Unicodeサポートを有効化しておく必要があります。
注： Windows Server互換のCIFSサーバがKerberos認証だけを受け入れるように構成されている場
合、ローカルユーザーアカウントはサーバにログインできません。ローカルユーザーのログイン
を無効にするには、server_cifs認証をkerberosに設定する方法が便利です。
重要：有効化されたローカルユーザーのサポートは、無効化できません。ただし、個々のローカ
ルユーザーアカウントを無効化することはできます。
ローカルユーザーアカウントの作成
ローカルユーザーアカウントは、
Windows User ManagerまたはUser and Computer
Management MMCスナップインで管理できます。VNX CLI（コマンドラインインタフェー
ス）やUnisphereを使用して、ローカルユーザーアカウントは管理することはできませ
ん。ローカルユーザーアカウントは、CIFSサーバのローカルグループデータベースに
格納されています。
usrmgr.exeリソース
非Windows NTプラットフォームでは、usrmgr.exeはWindows Server Resource Kit Tools
から無償でダウンロードできます。
サポートされているアカウント管理機能
以下の管理機能がData Moverのローカルユーザーアカウント用にサポートされてい
ます。
32
●
新規ユーザーアカウントの作成
●
既存ユーザーアカウントの削除
●
ユーザーアカウントの名称変更
●
ログインウィンドウからのユーザーパスワードの変更
VNX 7.0 CIFSの構成と管理
概念
●
任意のWindowsネイティブ管理インタフェースからのユーザーパスワードのリセッ
ト
サポートされているユーザー名およびパスワード形式
ユーザー名およびパスワードには、以下の形式を使用する必要があります。
●
ユーザー名はUnicodeで最長256文字まで。ピリオドを末尾には使えず、以下の記号
も使えません。
" / \ [ ] : ; | = , + * ? < >
注： 256文字以外の制限は、ユーザーアカウントの作成に使用する管理ツールによるものです。
Windows User ManagerおよびComputer Management MMCは、ユーザー名を20文字に制限します。
●
パスワードはUnicodeで最大255文字まで。
●
コメントにはスペースやその他の英数字以外の文字を含めることができますが、ス
ペースを使用する場合は引用符で囲む必要があります。
サポートされているユーザープロパティ
表 7（33ページ）は、Data Moverでのローカルユーザーアカウント作成時におけ
る、ユーザープロパティのサポートの有無を一覧にしたものです。
表 7. ローカルユーザーアカウントの機能
特徴
サポート
未サポート
［新しいユーザー］ダイアログボッすべてサポートあり
クス：
●
ユーザー名
●
氏名
●
概要
●
パスワード
●
ユーザーは次回の変更時に
パスワード変更が必要
●
ユーザーはパスワードを変更
できない
●
パスワードを無期限にする
●
アカウントを無効にする
グループメンバーシップ
サポート
ローカルユーザーおよびグループアカウント
33
概念
表 7. ローカルユーザーアカウントの機能（続き）
特徴
ユーザー環境プロファイル
●
ユーザープロファイルパス
●
ログオンスクリプト名
●
ホームディレクトリ
サポート
未サポート
すべてサポートなし
ダイヤルイン情報
未サポート
ターミナルサービスプロファイル
すべてサポートなし
●
ターミナルサーバプロファイ
ルパス
●
ターミナルサーバホーム
ディレクトリ
管理者アカウント
アドミニストレータアカウントは、デフォルトで有効化され、CIFSサーバに対する完全
な管理者権限を持ちます。ローカルユーザーのサポートを有効化したときに指定したパ
スワードは、ローカルアドミニストレータアカウントの初期パスワードになります。
CIFSサーバにアドミニストレータアカウントでログインする前に、このパスワードを変
更する必要があります。処理の詳細については、ローカルアドミニストレータアカウ
ントのパスワード変更（79ページ）を参照してください。
注：スタンドアロンサーバでは、アドミニストレータアカウントを無効化できません。
ゲストアカウント
ゲストアカウントは、限定されたユーザー権限を持ち、デフォルトで無効化されていま
す。ゲスト・アカウントは、スタンドアロンCIFSサーバに対する非常にシンプルなアクセ
ス方法を提供します。このアカウントをパスワードを空にして有効化すると、すべての
ユーザーが認証なしにCIFSサーバにアクセスできます。
重要：ゲスト・アカウントは、認証ユーザー・グループのメンバーではありません。このためCIFS
サーバの安全を維持するために、共有上のACL（アクセス制御リスト）設定時には、Everyoneグルー
プではなく、Authenticated Usersグループを使用する必要があります。
34
VNX 7.0 CIFSの構成と管理
概念
Everyoneグループを使用するACLを持ったサーバ上に共有がすでに存在する場合は、これ
らのACLが認証ユーザー・グループを使用するように変更します。
注：アドミニストレータおよびゲスト・アカウントの名前は変更できます。
その他のローカルユーザーアカウント
ローカルユーザーアカウントは、属しているローカルグループからアクセス権および
権限を継承します。ローカルユーザーアカウントは、Windows管理ツールから作成、削
除、管理が行えます。
注： VNX は、一般的なWindowsグループ名であるEveryoneおよびAuthenticatedユーザーをサポート
しています。 VNX は、これらの一般的なグループ名の変更をサポートしていません。
仮想Data Mover
VDMは、管理目的でのCIFS環境の分割と複製を可能にする、ソフトウェア機能です。VDM
は、一群のCIFSサーバとその共有を格納します。
Windowsネットワークからは、VDMは1台のコンピュータのように見えます。VDMにはそれ自
体のイベントログ、ローカルユーザーとグループデータベース、CIFSサーバと共有、
UserMapperキャッシュがあります。これらは、同じVNXファイルシステム上の同じファイ
ルシステムへのアクセスにNFSとCIFSを使用する場合に利用可能です。
EMCでは、VDM内にCIFSサーバを作成することを推奨します。これにより、CIFSサーバとグ
ループデータベース、CIFS監査設定とイベントログの分離が実現します。CIFSサーバお
よびその関連づけられたファイルシステムが、これまでにVNX Replicatorを使用してレ
プリケーションされたことがある場合、このことは必須です。VDM内でのCIFSサーバに関
する例外は、CIFSサーバがアンチウィルアクティビティの経路指定に使用される場合で
す。
注：デフォルトのCIFSサーバとVDM内のCIFSサーバは、同一Data Mover上に共存できません。デフォ
ルトのCIFSサーバは、すべてのインターフェースに割り当てられたグローバルなCIFSサーバであり、
VDM内のCIFSサーバは指定したインターフェースを必要とします。Data Mover上にVDMが存在する場
合、デフォルトのCIFSサーバが作成されることはありません。デフォルトのCIFSサーバの使用を回
避するには、CIFサーバが使用するインタフェースを指定します。
VDMの詳細については、「VNX仮想Data Moverの構成」および「VNX Replicatorの使用方
法」を参照してください。
ローカルユーザーおよびグループアカウント
35
概念
グループポリシーオブジェクト
グループポリシーの設定はGPO（グループポリシーオブジェクト）に格納されます。GPO
は、Active Directoryでサイト、ドメイン、OU（組織単位）コンテナにリンクされていま
す。GPOは、ドメインコントローラによって、ドメイン内のすべてのドメインコントロー
ラに複製されます。
注：監査ポリシーの詳細については、Unisphereオンラインヘルプ内の「 Data Moverのセキュリ
ティ設定」を参照してください。
VNXでのGPOサポート
VNXは、Windows Serverドメインに参加しているCIFSサーバごとにGPO設定のコピーを取得
および保存することで、GPOをサポートしています。VNXは、GPO設定をData MoverのGPO
キャッシュに保存します。ただし、Data Mover上に複数のCIFSサーバが存在する場合で
も、各Data MoverのGPOキャッシュは1つだけです。
Data MoverでCIFSサービスを開始すると、VNXはGPOキャッシュに保存されている設定を読
み取り、Windowsドメインコントローラから最新のGPO設定を取得します。VNXは、CIFS
サーバがドメインに参加したときもGPO設定を取得します。GPO設定を取得後、VNXは設定
を90分ごとに自動的に更新します。処理の詳細については、 GPO設定の更新（111ページ）
を参照してください。
Data Mover上のCIFSサーバが別個の組織単位に属している場合、異なるGPO設定を設定で
きます。Data Moverに複数のCIFSサーバがある場合、システムはGPO監査とイベントログ
設定をGPOの競合解決（142ページ）に説明されている方法で処理します。
表 8（36ページ）に、VNXがサポートするGPO設定の概要を示します。
表 8. GPO設定
設定値
デフォルト値
Kerberos Max Clock Skew
15分
(minutes)（Kerberos最大クロッ
クスキュー）
LAN Manager認証レベル
VDMレジストリからLMCompatibilityLevelの
デフォルト： 1=ネゴシエートされれば
NTLMv2セッションセキュリティを使用
常にクライアント通信にデジタ Disabled
ル署名を行う
サーバが同意すれば、クライ Disabled
アント通信にデジタル署名を
行う
36
VNX 7.0 CIFSの構成と管理
概念
表 8. GPO設定（続き）
設定値
デフォルト値
常にサーバ通信にデジタル署 Disabled
名を行う
クライアントが同意すれば、
SMB1無効、SMB2有効
サーバ通信にデジタル署名を
行う
NTLM SSP最小クライアント
セキュリティ
VDMレジストリからNtlmMinClientSecのデ
フォルト： 0
NTLM SSP最小サーバセキュ VDMレジストリからNtlmMinServerSecのデ
リティ
フォルト： 0
サードパーティ製のSMBサー未使用
バへのパスワードを、暗号化
しないで送信する
コンピュータアカウントパス
ワード：定期的な変更を無効
にする
パラメータcifs.srvpwd updtMinutesが0でな
い限り、パスワード変更を無効にしない
最大コンピュータアカウントのパラメータcifs.srvpwd updtMinutes（0：パス
パスワードの有効期間
ワード変更なし）
Administratorオブジェクトの既 Disabled
定の所有者
アカウントログオンイベントの Disabled
監査
アカウント管理の監査
Disabled
ディレクトリサービスのアクセ Disabled
スの監査
ログオンイベントの監査
Disabled
オブジェクトアクセスの監査
Disabled
ポリシーの変更の監査
Disabled
特権使用の監査
Disabled
プロセス追跡の監査
Disabled
システムイベントの監査
Disabled
グループポリシーオブジェクト
37
概念
表 8. GPO設定（続き）
設定値
デフォルト値
ファイルとディレクトリのバックアドミニストレータ、バックアップオペレータ
アップ
ファイルとディレクトリのリストアドミニストレータ、バックアップオペレータ
ア
走査チェックのバイパス
サポートされているローカルグループすべ
て
セキュリティ監査の生成
アドミニストレータ
監査とセキュリティログの管
理
アドミニストレータ
ネットワーク経由でコンピュー Enabled
タへアクセス
ネットワーク経由でコンピュー Disabled
タへアクセスを拒否する
ファイルとその他のオブジェクアドミニストレータ
トの所有権の取得
EMCウイルスチェック
特権無効
EMC CEPPバイパスイベント特権無効
セキュリティログの最大サイ
ズ
500 KB
セキュリティログのゲストアク Disabled
セスの制限
セキュリティログの保持期間 10日間
セキュリティログの保持方法日数でイベントを上書き
システムログの最大サイズ
500 KB
システムログのゲストアクセ Disabled
スの制限
38
システムログの保持期間
10日間
システムログの保持方法
日数でイベントを上書き
VNX 7.0 CIFSの構成と管理
概念
表 8. GPO設定（続き）
設定値
デフォルト値
アプリケーションログの最大
サイズ
500 KB
アプリケーションログのゲスト Disabled
アクセスの制限
アプリケーションログの保持
期間
10日間
アプリケーションログの保持
方法
日数でイベントを上書き
バックグラウンドでのグループバックグラウンドでの更新を無効化しない
ポリシー更新の無効化
制限されたグループ
なし
グループポリシー更新間隔
（分）
90
更新間隔のオフセット（分）
0
注： SMB2署名はデフォルトで有効になっています。SMB2署名の仕様規則はSMB1と異なるからです。
SMB2の場合、トラフィックが署名されるのはクライアントまたはサーバのいずれかが通信への署名
を要求した場合だけです。
SMB1の場合、いったんクライアントとサーバの両方が署名を有効にすると、署名通信が行われます。
この理由から、クライアントが署名を要求していないのに署名を行うことがないよう、SMB1のデフォ
ルト値は無効になっています。
注：時間の同期は、CIFSサーバごとではなく、Data Moverごとに実行されます。複数のドメイン向
けにData Mover上に複数のCIFSサーバが構成されている場合は、これらのドメインのすべてのタイ
ムソースを同期する必要があります。
処理の詳細については、GPO設定の表示（110ページ）を参照してください。
制限付きグループのサポート
制限付きグループは、セキュリティに注意が必要なグループのデフォルトメンバーシッ
プを管理者が容易に定義また管理できるようにする、GPOセキュリティ設定です。制限付
きグループは、主にドメインのワークステーションやメンバーサーバでのローカルグ
ループのメンバーシップの構成に使用されます。
グループポリシーオブジェクト
39
概念
制限付きグループには、次の2つのプロパティを定義します。
●
メンバー：メンバーリストは、制限付きグループに誰が所属し、誰が所属しないかを
定義します。制限付きグループポリシーが強制的に適用されると、制限付きグループ
のその時点のメンバーのうち、メンバーリストに存在しないメンバーは削除されま
す。制限付きグループのその時点のメンバーでないがメンバーリストには存在する
ユーザーは、すべて追加されます。
●
所属先：所属先リストは、制限付きグループが所属先プロパティの下にリストされた
グループに確実に追加されるようにします。所属している他のグループから制限付き
グループを削除することはしません。
注：制限付きグループは、CIFSサービス開始後、自動的に適用されます。
ACLの管理と適用
Windows管理者は、MMC（Microsoft管理コンソール）GPO（グループポリシーオブジェク
ト）を使用して、それぞれのWindows環境を構成できます。このファイルシステムオブ
ジェクトを使用して、ACE（アクセスコントロールエントリー）を入力し、ユーザーや
グループに対してWindows内のファイルシステムオブジェクトへのアクセスを許可およ
び制限できます。ファイルシステムに対するACEのグループは、ACL（アクセスコント
ロールリスト）と呼ばれています。Windowsは、管理者が設定したセキュリティルール
に従い、ファイルシステムのACLを定期的に更新します。ルールが設定されていない場
合、更新サイクルは1時間半（90分）ごとに実行されます。
更新サイクルは、コンピュータリソースを集中的に使用する場合があります。特に、大
きくて、階層が深く、多数のディレクトリ分岐があるファイルシステムでは顕著です。
また、すぐには更新されないため、ACLの更新時刻とGPOルールの更新時刻の間でセキュリ
ティループホールが存在する場合もあります。このような理由から、オペレーティング
システムはファイルシステムACLの更新イベントを開始して、ファイルシステムに迅速
に変更を提供することができます。
VNX for Fileには、GPOのセキュリティ設定をファイルシステムに直接適用できるGUIツー
ルがあります。このツールは、Windows Serverからセキュリティの更新を適用するのと同
じ効果をもたらしますが、大規模なディレクトリにきわめて短時間で更新を適用できま
40
VNX 7.0 CIFSの構成と管理
概念
す。これは、セキュリティ設定はData Mover上でローカルに管理されているためです。図
3（41ページ）に、ユーザーおよびグループの追加方法を示します。
図 3. ユーザーおよびグループの追加
参加のデリゲーション
参加のデリゲーションでは、AD（active directory）アカウントの作成は参加アクション
と分離されています。したがって、AD内でCIFSサーバのコンピュータアカウントを作成
したユーザーとは別のユーザーが、CIFSサーバをドメインに参加させることができます。
処理の詳細については、ローカル管理者グループへの参加を実行するユーザーの追加（130
ページ）および参加権限のデリゲーション（93ページ）を参照してください。
表 9（42ページ）に、同一ネームスペースまたはdisjointネームスペースのADドメイン
で参加権限デリゲートを実行するために、 VNX 上で設定する必要があるドメイン参加パ
ラメータの値を示します。
注： disjointネームスペースフォレスト内の複数のドメインが、同一の階層ドメイン名を持って
いない場合、それらのドメインは別のドメインツリーに属しています。フォレスト内に複数のドメ
インツリーがある場合、各ツリールートドメインは独立しています。不整合の（disjoint）ネー
ムスペースは、フォレスト内のドメインツリー間の関係を表すために使用されるフレーズです。
参加のデリゲーション
41
概念
表 9. ドメイン参加パラメータの組み合わせ
参加のデリゲート先
djUseKpassword
djAddAdminToLg
djEnforceDhn
1（デフォルト）
0（デフォルト）
1（デフォルト）
Domain Adminsグループ
のメンバー（Microsoftの
デフォルト）
ドメインユーザーアカウ
ント
ドメイングローバルグ
ループ
ドメインローカルグルー 0
プ
ホームディレクトリ
VNX ホームディレクトリ機能を使用して、すべてのユーザーが接続する単一の共有を作
成できます。ユーザーごとに個別の共有を作成する必要はありません。
ホームディレクトリ機能を使用すると、各ユーザーのホームディレクトリとして動作す
るディレクトリをユーザー名に関連づけることができ、個人の共有や共有への接続プロセ
スの管理を簡素化できます。ホームディレクトリは各ユーザーのプロファイルでマップ
されます。これにより、ログイン時にホームディレクトリが自動的にネットワークドラ
イブに接続されます。
注：クライアントシステム（Citrix MetaframeやWindowsターミナルサーバなど）によって複数
のWindowsユーザーが同時にサポートされ、ファイルアクセス情報がキャッシュされる場合、 VNX
ホームディレクトリ機能は適切に動作しないことがあります。 VNX ホームディレクトリ機能で
は、 VNX クライアントからは各ユーザーのホームディレクトリパスが同じに見えます。
あるユーザーがホームディレクトリにファイルを書き込み、別のユーザーがホームディ
レクトリのファイルを読み込む場合、2番目の要求は最初のユーザーのホームディレクト
リからキャッシュされたデータを使用して実行されます。ファイルのパス名が同じため、
クライアントシステムではこれらのファイルが同一のファイルと見なされます。
Windows Serverシステムでは、MMC用 VNX ホームディレクトリ管理スナップインを使用
してホームディレクトリの有効化と管理ができます。スナップインのインストールの詳
細については、「VNX for File管理アプリケーションのインストール」を参照してくだ
さい。ホームディレクトリの有効化と管理の手順については、スナップインのオンライ
ンヘルプを参照してください。処理の詳細については、ホームディレクトリの有効化
と管理（106ページ）を参照してください。
42
VNX 7.0 CIFSの構成と管理
概念
権限とセキュリティ
5.6.50.1よりも前のバージョンでは、ホームディレクトリがシステムにより自動作成さ
れると、UNIXルート（UID=0x0）がそのディレクトリのオーナーとなり、そのディレクト
リに適用されている権限が、その親フォルダから継承されるか、継承される権限が何もな
い場合、［Everyone（グループ）フルコントロール］に設定されていました。
バージョン5.6.50.1以降では、ホームディレクトリに適用されたACL（アクセスコント
ロールリスト）からホームディレクトリへのアクセスに対する制御を強化する新しいメ
カニズムがシステムに導入されました。特に、このバージョンでは、自動的に新しく作成
されたホームディレクトリに適用される2つの新しいセキュリティオプションを提供す
る新規のレジストリフラグが追加されます。このフラグの3番目のオプションで、旧バー
ジョンの動作との互換性が保たれます。
注：自動的に作成されたホームディレクトリに適用されるデフォルトセキュリティは、バージョ
ン5.6.50.1以降で変更されました。レジストリエントリーを0x2に設定して、以前のセキュリティ
モデルに戻すことができます。
重要： ACLを本番使用に選択する前に、この新しい機能でACL（レジストリエントリー値0x1）をカ
スタマイズするために一時VDMおよびファイルシステムを作成することを推奨します。
レジストリエントリーには次の値が使用できます。
●
0x0（デフォルト）：このオプションにより、ACLがオーナーに制限されます。ログイ
ンしているユーザーのみがアクセス権を持ち、権限はフルコントロールに設定されま
す。ディレクトリのオーナーは、ログインしたユーザーになります。
親フォルダ内のみ（子フォルダは含まない）ホームディレクトリユーザー固有の権
限のセットを付与する親フォルダに、ACE（アクセスコントロールエントリー）が必
要です。親フォルダ上のこれらの権限を［認証を受けたユーザー］グループに付与す
ることをお勧めします。このグループにはすべてのホームディレクトリユーザーが
含まれますが、認証されていないユーザーは除外されます。ファイルシステムまたは
フォルダの対象となるホームディレクトリのユーザーが含まれるグループ（「ドメイ
ンユーザー」など）は、いずれも使用できます。このグループに付与される親フォル
ダ内の必須権限は次のとおりです。
●
•
フォルダの走査/ファイルの実行
•
List Folder/Read Data
•
フォルダの作成/データの追加
0x1：このオプションで、親から継承された値に基づき、ACLが設定されます。親から
の継承が許可されない場合にのみ、0x0を使用します。
親フォルダのACLには、CREATOR OWNER SIDに適用される継承可能なACLを設定する必要
があります。このCREATOR OWNER ACEによって、ユーザーは、ホームディレクトリに
おけるファイルとフォルダの作成、変更、実行、削除ができるようになる（またはフ
ルコントロール権限を持つ）はずです。このACEを親ディレクトリのACLに設定し、
ホームディレクトリ
43
概念
［サブフォルダおよびファイルのみ］または［このフォルダ、サブフォルダ、ファイ
ル］に適用します。このACLの適用に失敗すると、ホームディレクトリのユーザーが
ホームディレクトリを使用できなくなります。必要に応じて、他のACEも適用され、
親のACLからの継承ができます。
さらに、ホームディレクトリユーザー固有の権限セットを親フォルダ内のみ（子フォ
ルダは含まない）に付与する親フォルダのACLでのACEが必要です。親フォルダ上のこ
れらの権限を［認証を受けたユーザー］グループに付与することをお勧めします。こ
のグループにはすべてのホームディレクトリユーザーが含まれますが、認証されて
いないユーザーは除外されます。ファイルシステムまたはフォルダの対象となるホー
ムディレクトリのユーザーが含まれるグループ（「ドメインユーザー」など）は、
いずれも使用できます。このグループに付与される親フォルダ内の必須権限は次のと
おりです。
•
フォルダの走査/ファイルの実行
•
List Folder/Read Data
•
フォルダの作成/データの追加
注：このACEで付与される権限は、固有のインテントでない限り、継承からサブフォルダへの伝
播を許可することはできません。
●
0x2：このオプションで、以前の動作（UNIXルートオーナー、親のACLを継承、あるい
は継承するものがない場合は［Everyoneフルコントロール］）に戻ります。UNIXルー
トユーザーはホームディレクトリフォルダを所有します。
ホームディレクトリフォルダが作成されると、親フォルダのACLに、サブフォルダに
適用するACEが含まれている場合、ホームディレクトリフォルダは、その親フォルダ
のACLからACEを継承できます。ACLが継承される場合、ホームディレクトリユーザー
がメンバーとなるグループに対して、読み取り、書き込み、実行、削除の各権限（ま
たはフルコントロール）を与えるホームディレクトリのACLが作成されたときに、こ
のACLに継承されるACEが存在していることを確認してください。このACEは親ディレク
トリのACLに設定され、［サブフォルダおよびファイルのみ］または［このフォルダ、
サブフォルダ、ファイル］に適用される必要があります。このACLの適用に失敗する
と、ホームディレクトリのユーザーがホームディレクトリを使用できなくなります。
必要に応じて、他のACEも適用され、親のACLからの継承ができます。
親フォルダのACLからACEが継承されない場合、ホームディレクトリの作成時に、この
ディレクトリのフルコントロールが［Everyone］グループに付与されます。
親フォルダからのACLの継承が許可されない場合にのみ、0x2を使用することをお勧め
します。ホームディレクトリフォルダにそのACLを継承させたい場合は、0x1レジス
トリエントリー値を使用することをお勧めします。これで（rootのオーナー権が特に
要求されていない限り）、ホームディレクトリフォルダのオーナーが、実際のホー
ムディレクトリユーザーになります。
ホームディレクトリにアクセス権のあるユーザー以外のユーザーをすべて除外するた
めに、ACLを手動で調整しない限り、親フォルダを0x2モードで共有したり、エクスポー
トしたりしないことをお勧めします。
44
VNX 7.0 CIFSの構成と管理
概念
各Data Mover/X-bladeおよびVDMには固有のレジストリがあるため、このセキュリティオ
プションについて固有の値が設けられます。デフォルト値はすべて同じです。レジストリ
キーと値は次のとおりです。
Key: ［HKEY_LOCAL_MACHINE\Software\EMC\Homedir］
値：［Flags］
次のように入力します。DWORD
Data: 0x0（デフォルト）
このレジストリ設定を変更するには、Windowsでregeditまたはregedt32を使用し、CIFS
サーバのレジストリに接続してFlags値を編集します。このレジストリの変更を反映させ
るには、CIFSサービスを再起動する必要はありません。
ホームディレクトリの使用に関する制限事項
特別な共有名「HOME」は、ホームディレクトリ用に予約
るため、次の制限事項が適用されます。
されています。この制限があ
●
ホームディレクトリ機能は、SHAREまたはUNIXレベルのセキュリティで構成されてい
るCIFSサーバでは使用できない。
●
HOMEという共有が作成されている場合、ホームディレクトリ機能を有効化できない。
●
ホームディレクトリ機能を有効化している場合、HOMEという共有を作成できない。
詳細については、付録 A を参照してください。
代替データストリームのサポート
Windows NTのリリース時に、MicrosoftではNTFS（Windows NTファイルシステム）とADS
（代替データストリーム）の概念を導入しました。この機能は、MDS（複数データスト
リーム）としても知られています。データストリームは、データとファイルについての
情報とが格納される独立したリソースです。1つのデータストリームだけでファイルが構
成されるFAT（file allocation table）ファイルシステムと異なり、NTFSでは複数のデー
タストリームを使用して、ファイルとメタデータ（ファイルのアクセス権、暗号化、時
間情報、グラフィック情報など）が保存されます。
Microsoftは、NTFSを使用しているサーバがMacintoshクライアントのファイルサーバと
しても動作可能にすることを当初の目的として、ADSを作成しました。表 10（45ページ）
に示すとおり、MacintoshのHFS（Hierarchical File System）ではファイルを表現するの
に2つの基本エレメントを使用します。
表 10. HFSエレメント
Element
目的
データフォーク
ファイルのデータを格納する
ホームディレクトリ
45
概念
表 10. HFSエレメント（続き）
Element
目的
リソースフォーク
ファイルについての情報を格納す
る
NTFSファイルには1つのプライマリデータストリームと、オプションで1つ以上の代替
データストリームが含まれます。プライマリデータストリームはデータフォークとし
て動作し、代替データストリームはリソースフォークとして動作します。
図 4（46ページ）に示すように、ファイルの［プロパティ］ダイアログボックス内の［概
要］タブで追加情報の参照と設定を行えます
図 4. ［プロパティ］ダイアログボックス - ［概要］タブ
VNXは、ファイルおよびディレクトリのADSをサポートしていますが、次の制限がありま
す。
●
ディレクトリのストリームはマウントポイントでサポートされる。ファイルシステ
ムがマウントポイントでマウントされると、マウントされたファイルシステムのルー
トディレクトリストリームだけが表示される。ファイルシステムがマウントされて
いない場合、マウントポイントのストリームが表示される。
●
ファイルまたはディレクトリごとに64,000ストリームという制限がある。
ADSはデフォルトで有効になっています。処理の詳細については、代替データストリー
ムの無効化（114ページ）を参照してください。
46
VNX 7.0 CIFSの構成と管理
概念
SMBプロトコルのサポート
SMB（サーバメッセージブロック）は、TCPポート経由でネットワーク越しにサーバから
ファイル、印刷、通信サービスをリクエストするためにCIFSプロトコルで使用される、基
幹プロトコルです。プロトコルのレベルは、新しいSMB接続を確立するときにクライアン
トとサーバによってネゴシエートされます。VNXはSMB1とSMB2の両方をサポートし、デフォ
ルトではSMB1が有効化されています。
注： SMB2プロトコルは、Microsoft Windows VistaおよびMicrosoft Windows Server 2008システム
でサポートされています。SMB2では、SMB1の性能が改良されています。
処理の詳細については、 SMB2プロトコルの管理（118ページ）を参照してください。
VNXがサポートするSMB 2.1の機能
VNXは、Microsoft Windows 7とWindows 2008 Release 2 Serverで、次のSMB 2.1機能
をサポートしています。
●
リース機能により、oplockメカニズムよりも長い時間、クライアントがサーバと
データキャッシュの同期を保てるようになりました。SMB2リースはoplockと比較
すると壊れにくいため、SMB2クライアントとサーバとの間のネットワークトラ
フィックが減少し、パフォーマンスが向上しました。smb2.capabilitiesパラメー
タによって、Virtual Data Moverを含めたData Mover全体でサポートされている
SMB2機能の指定が可能になりました。新しいSMB2クライアントがData Moverに接続
するとき、このパラメータを変更するとSMBネゴシエーションに影響します。SMBプ
ロトコルの管理の詳細については、「VNX for Fileパラメータガイド」を参照し
てください。
●
バッファなし書き込みオプションは、ファイルがどのように開かれたかにかかわら
ず、サーバ側バッファなしでクライアントがファイルの書き込みを行う機会を提供
します。これは、クライアントがFILE_FLAG_WRITE_THROUGHオプションの付いたファ
イルをバッファなし書き込み実行のために再度開いてしまうことを防止します。
概念情報については、 SMB2ダイアレクトリリースの表示（92ページ）を参照してく
ださい。
SMB署名
SMB署名は、SMBプロトコル内のメカニズムで、パケットの傍受、改竄、再生が行われてい
ないことを保証するために使用されます。SMB署名は、パケットが第三者によって変更さ
れていないことだけを保証します。署名によって、SMB1の各パケットに8バイトの署名が
追加されます。SMB2では16バイトの署名が使用されます。クライアントとサーバは、この
署名を使用してパケットの整合性を検証します。
SMB署名を動作させるには、トランザクションが行われているクライアントとサーバでSMB
署名が有効化されている必要があります。Windows Serverドメインコントローラは、デ
SMBプロトコルのサポート
47
概念
フォルトではクライアントがSMB署名を使用するよう要求します。Data Mover上に作成さ
れたCIFSサーバではすべて、SMB署名がデフォルトで有効化されています。
詳細については、 SMB署名の解決（145ページ）を参照してください。
注： Windows NT（SP4以降）では、SMB署名はレジストリを使用して設定します。Windows Serverド
メイン以上では、GPOポリシーで設定します。
Data Moverでは、状況に応じてクライアント側とサーバ側のSMB署名が使用されます。Data
Moverはどのような場合にどちらの種類の署名を使用するのか、次に例を示します。
●
●
Data Moverがサーバとして動作する場合：
•
クライアントが共有をマップするとき
•
ファイル移行サービスを使用するとき
Data Moverがクライアントとして動作する場合：
•
GPO（グループポリシーオブジェクト）設定を取得するとき
•
ファイル移行サービスを使用するとき
処理の詳細については、 SMB署名の構成（115ページ）を参照してください。
シンボリックリンク
シンボリックリンクは、別のノード（ターゲットノードと呼ばれるファイルまたはディ
レクトリ）を示す、UNIXクライアントによって作成された特別なノードです。ターゲット
ノードは、パス名としてシンボリックリンクノード内で定義されます。Windowsクライ
アントはターゲットに対するシンボリックリンクを解決するかまたはシンボリックリン
クに従う必要があるため、通常、WindowsクライアントにとってNFSシンボリックリンク
は意味がありません。ただし、特定の環境では、VNXは、シンボリックリンクを使用して
UNIXクライアントがアクセスするファイルとディレクトリと同じものにWindowsクライア
ントがアクセスできるように、Windowsクライアントに対するシンボリックリンクを解決
します。
シンボリックリンクを使用することによって、CIFSクライアントは、単一の共有からData
Mover上の複数のファイルシステムにアクセスできます。これにより、実際にはシンボリッ
クリンクによってリンクされた個別の複数のファイルシステムで構成されているネーム
スペースが、1つの大きなネームスペースとして表示されます。shadow followabsolutpath
パラメータを有効化した後に、Data Mover上の複数のファイルシステムにアクセスでき
る単一のCIFS共有を作成できます。処理の詳細については、 CIFSクライアントを使用し
たシンボリックリンクへのアクセス（124ページ）を参照してください。
CIFSユーザーの代わりにData Moverがターゲットにアクセスできる場合は、ユーザーはシ
ンボリックリンク自体ではなくそのターゲットを参照します。ユーザーはシンボリック
リンクに従って移動したことを認識しません。ターゲットにアクセスできない場合は、
ユーザーはファイルとしてシンボリックリンクを参照しますが、そのファイルにアクセ
スすることはできません。
48
VNX 7.0 CIFSの構成と管理
概念
デフォルトでは、VNXは、次の条件を満たす場合に、Windowsクライアントに対してシンボ
リックリンクを解決します。
●
ターゲットがリンク自体が存在するディレクトリに対して相対的である。つまり、ター
ゲットに絶対パス（フルパス名）が含まれていない。
●
ターゲットがリンク自体と同じ共有内にある。ターゲットに、「..」コンポーネント
を使用して上位を参照するパス名が含まれていない。
CIFSクライアントの代わりにData Moverによってシンボリックリンクが解決される場
合、Data Moverではシンボリックリンク自体とシンボリックリンクのターゲットを区
別できません。このため、シンボリックリンクがディレクトリを参照し、Windowsユー
ザーがシンボリックリンクを削除しようとした場合、リンクとリンクが参照するディレ
クトリのコンテンツが削除されます。
シンボリックリンクによって表されるファイルに対してMicrosoft Officeアプリケー
ションを使用しないでください。ファイルが更新されると、Microsoft Officeでは、シ
ンボリックリンクのターゲットディレクトリではなく、シンボリックリンクを含んで
いるディレクトリ内に更新されたファイルが作成されます。
ターゲットにアクセスできない場合、Windowsクライアントを通してシンボリックリン
クを削除することはできません。削除プロセス中に、Microsoft Explorerが（アクセス
できない）ファイルを開こうとしますが、失敗します。
詳細については、シンボリックリンクの制限事項（140ページ）を参照してください。
SMB2のシンボリックリンクのサポート
SMB2プロトコルでは、UNIXのようなシンボリックリンクがサポートされています。この
リンクを使用すると、アプリケーションでは宛先ファイルシステムのオブジェクト（ファ
イルまたはディレクトリ）に透過的にアクセスできます。
システムで作成できるシンボリックリンクのタイプを以下に示します。
●
リンクのターゲットに、ファイルまたはディレクトリを指定できる。この両方がサポー
トされている。存在しないターゲットへのリンクの作成もサポートされている。
●
絶対シンボリックリンクは、C:\windowsのように、ファイルまたはディレクトリの絶
対パスを指し示すリンクである。
●
相対シンボリックリンクは、..\..\file.txtのように、相対パスを使用してファイル
またはディレクトリを指し示すリンクである。
●
UNC（Universal Naming Conventions）シンボリックリンクは、
\\server\share1\dir\foobar.txtのように、ネットワークファイルまたはディレクト
リを示すリンクである。
処理の詳細については、相対パスを使用したファイルのシンボリックリンク作成（120ペー
ジ）を参照してください。
シンボリックリンク
49
概念
便宜的ファイルロック
便宜的ファイルロック（oplock）は、CIFSクライアントがサーバに送信する前にファイ
ルデータをローカルにバッファできるようにすることで、ネットワークパフォーマンス
を改善します。このロックは、ファイルシステムごとに構成され、デフォルトでは有効
化されています。oplockの無効化が推奨されているデータベースアプリケーションを使
用していない場合や、データの重要性が高く、データ消失がいっさい許容されない場合
は、oplockをオンのままにします。VNXは次のように、レベルII、排他的、バッチoplock
をサポートしています。
●
レベルII oplock：レベルII oplockがかかると、複数のクライアントがファイルにア
クセスしているが、まだ誰もファイルを変更していないことがクライアントに通知さ
れます。レベルII oplockでは、クライアントはキャッシュまたは先読みされている
ローカル情報を使用して読み取り処理やファイルの属性の取得を実行します。その他
のファイルアクセスリクエストはすべて、サーバに送信される必要があります。
●
排他的oplock：排他的oplockがかかると、他にファイルを開いているクライアントが
ないことがクライアントに通知されます。バッチoplockでは、クライアントはキャッ
シュまたは先読みされている情報を使用して、ファイルが閉じるまであらゆるファイ
ル操作を実行できます。ファイルを閉じるときには、内容と属性に関してファイルの
状態に加えられたすべての変更をサーバに反映させる必要があります。
●
バッチoplock：バッチoplockがかかると、他にファイルを開いているクライアントが
ないことがクライアントに通知される。バッチoplockでは、クライアントはキャッシュ
または先読みされている情報を使用して、ファイルのオープン/クローズを含む、あら
ゆるファイル操作を実行できます。クライアントマシンのローカルプロセスによっ
てファイルが閉じられても、サーバでは、ファイルを開いたまま保持できます。この
メカニズムによって、クライアントによる余分なオープン/クローズリクエストをス
キップできるため、ネットワークトラフィック量が削減されます。
注：フィルタoplockは、リモートファイルサーバでは利用できません。
処理の詳細については、 oplockの無効化（95ページ）を参照してください。
ファイル変更通知
Windowsプラットフォームで動作し、Win32 APIを使用するアプリケーションは、ファイル
の作成、変更、名称変更といった、ファイルやディレクトリ内容の変更の通知を受け取る
よう、CIFSサーバ（またはローカルOS）に登録できます。たとえば、この機能によって、
CIFSサーバ（またはローカルOS）に常にポーリングしなくても、ディスプレイのリフレッ
シュが必要なタイミング（Windowsエクスプローラ）や、キャッシュのリフレッシュが必
要なタイミング（Microsoft Internet Information Server）を把握することができます。
Win32 APIおよびCIFSプロトコルでは、監視対象にディレクトリツリーのルートを指定す
る機能がサポートされています。サブディレクトリが指定されている場合、指定された
ディレクトリよりも上で発生した変更はアプリケーションに通知されません。
50
VNX 7.0 CIFSの構成と管理
概念
特定のディレクトリのサブディレクトリで発生した変更を監視するには、アプリケーショ
ンでWatchSubTreeビットも設定します。デフォルトでは、ルートの下のディレクトリで発
生する変更の監視は、最大512ディレクトリレベルまでサポートされています。変更通知
応答を受信した後、アプリケーションでは、モニタリング処理を再実行またはリセットし
て、その後の変更も通知されるようにする必要があります。変更内容をバッファリングす
ることや、監視をリクエストするクライアントへの応答として送信される通知を1回のみ
にすることもできます。処理の詳細については、ファイル変更通知の構成（95ページ）
を参照してください。
注：ファイル変更通知機能は、純粋なCIFS環境だけで使用可能です。サポートされるのは、Data
Moverのユーザー認証方法がNTに設定されている場合だけです。
イベントログの自動アーカイブ
Windowsオペレーティングシステムでは、アプリケーションはイベントログメカニズム
を使用して、それぞれのイベントをログに記録できます。VNXでは現在、セキュリティ、
システム、アプリケーションという3種類のイベントログがサポートされています。
これらのログの物理形式には、「evt」と呼ばれるMicrosoftの形式が使用されています。
この形式では、一部のフィールドが32ビットの整数値で保存されるため、4 GBのサイズ制
限があります。Windows Server 2008は、この制限のないフォーマット「evtx」を導入し
ています。
イベントログの自動アーカイブ機能により、特定のトリガーポリシーでのイベントロ
グを自動的にアーカイブし、全くイベントを失うことなく新しいイベントログを記録し
続けることができます。アーカイブは、Windowsレジストリのパラメータで定義されてい
る時間またはイベントログサイズに基づきトリガーされます。このため、必要なだけ多
くのイベントの保持を可能にすることで、「evt」形式の4 GBの制限を打開できます。唯
一の制限事項はファイルシステムのサイズです。また、保存ポリシーを指定して、保存
期間またはアーカイブディスクの合計サイズに基づきイベントログアーカイブがリサ
イクルされるようになるまで、イベントログアーカイブを保持することができます。表
11（52ページ）で詳細を参照してください。
パラメータはすべて各VDMのWindowsレジストリに保存されます。したがって、個々のVDM
には独自の構成が用意されます。パラメータは、regeditのような標準ツールを使用して
参照および編集できます。
特定のログファイルのアーカイブファイルは、アクティブなイベントログファイルと
同じディレクトリに保存されます。
重要：自動アーカイブは、アクティブログファイルがルートファイルシステムやVDMルート
ファイルシステムになく、イベントログの保存期間が無限に設定されていない場合のみ有効です。
パフォーマンス上の理由から専用のファイルシステムを使用することを推奨します。
アクティブログファイルの場所は、次のレジストリエントリーを編集して変更できま
す。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Logname\File
イベントログの自動アーカイブ
51
概念
イベントログの保存期間は、イベントビューアから、または次のレジストリエントリー
で設定できます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Logname\Retention
アーカイブは作成されるたびに、次の名前で名称変更されます。
Logname-YYYY-MM-DD-HH-MM-SS.evt
ここで：
●
Lognameはログの名前（セキュリティなど）
●
YYYY：年
●
MM：月
●
DD：日
●
HH：時間
●
MM：分
●
SS：秒
アーカイブログファイル名の日付部分は、ファイルがアーカイブされたときにGMT日付
です。このファイル内のイベントにこの日付より後のものは存在しません。ファイルシ
ステムまたはログファイルが一杯になった場合、管理者が適切なアクションを実行でき
るように、イベントはControl Stationに送信されます。
evt形式のファイルは、Windowsの標準イベントビューアで読み取れます。
注：システムメモリ量によっては、Windows 2000、Windows XP、Windows Server 2003システムの
制限のために、巨大なログファイルを参照できないことがあります。ただし、Windows Vista、
Windows 7、Windows Server 2008にはこの制限はありません。
表 11. イベントログの自動アーカイブ用のWindowsレジストリパラメータ
キー名
Type
備考
AutoArchiveEnabled
DWORD
1 = このログの自動アーカイブは有効
0 = このログの自動アーカイブは無効
AutoArchiveTriggerPolicyTime
52
VNX 7.0 CIFSの構成と管理
STRING
アクティブログファイルが時間間隔でアーカイブさ
れることを指定します。このフィールドの形式は次の
とおりです。
●
日数の後に「days」、例、40days
●
時間数の後に「hours」、例、300hours
概念
表 11. イベントログの自動アーカイブ用のWindowsレジストリパラメータ（続き）
キー名
Type
備考
AutoArchiveTriggerPolicySize
STRING
ログファイルサイズが指定されたサイズに達した
場合にアクティブログファイルがアーカイブされる
ことを指定します。このフィールドの形式は次のとお
りです。
AutoArchiveRetentionPolicyTime
STRING
●
最大イベントログサイズの割合、例、50%。最
大イベントログサイズは、Windowsイベント
ビューアを使用して、またはログレジストリキー
「MaxSize」で直接定義できます。
●
キロバイトのサイズの後に「kb」、例、512kb
●
メガバイトのサイズの後に「mb」、例、128mb
●
ギガバイトのサイズの後に「gb」、例、3gb
保存期間に基づきアーカイブファイルを削除可能
にする保存ポリシーを指定します。形式は次のいず
れかです。
●
日数の後に「days」、例、40days
●
時間数の後に「hours」、例、300hours
注：保存ポリシーが設定されていない場合、アー
カイブファイルは削除されません。この場合は、ファ
イルシステムが一杯になる前にアーカイブファイル
を手動で削除または移動します。
AutoArchiveRetentionPolicySize
STRING
イベントログのすべてのアーカイブで専有されてい
る合計サイズに基づき、アーカイブファイルを削除
可能にする保存ポリシーを指定します。形式は次の
いずれかです。
●
ログファイルの最大サイズの割合の後に「%」、
例、400%. 最大ログサイズは、Windowsイベント
ビューアで設定可能な値です。
●
キロバイトのサイズの後に「kb」、例、512kb
●
メガバイトのサイズの後に「mb」、例、128mb
●
ギガバイトのサイズの後に「gb」、例、3gb
注：保存ポリシーが設定されていない場合、アー
カイブファイルは削除されません。この場合は、ファ
イルシステムが一杯になる前にアーカイブファイル
を手動で削除または移動します。
イベントログの自動アーカイブ
53
概念
表 11. イベントログの自動アーカイブ用のWindowsレジストリパラメータ（続き）
キー名
Type
備考
AutoArchiveLastArchiveDate
STRING
このログの最終アーカイブのGMT日付です。形式
はYYYYMMDDHHMMSSです。このフィールドは読
み取り専用で、自動アーカイブが有効化されている
場合のみ有効です。
プランニングの考慮事項
表 12（54ページ）に、CIFSの構成を始める前にWindows Server環境で実行する必要があ
るタスクの概要を示します。
表 12. CIFSの予備セットアップ
アクション
手順
国際標準対応サポートの有効化
国際標準対応サポートの有効化（23ページ）
ネットワークインタフェースの作成
ネットワークインタフェースとCIFSサーバ（21
ページ）
日付と時間を同期するようNTPサーバ NTPサーバ（18ページ）
を構成
54
DNSサーバの構成
DNSサーバ（18ページ）
ドメインへの参加
Active Directoryのドメインアカウントの作成
（56ページ）
CIFSアクセス用ファイルシステムの
作成、マウント、エクスポート
CIFSアクセスのファイルシステムのマウント
（62ページ）
クォータの構成
クォータ（24ページ）
VNX 7.0 CIFSの構成と管理
第3章
構成
重要： CIFSの構成を開始する前に、プランニングの考慮事項（54ページ）を
確認してください。
Data Mover上でCIFSを構成するタスクは、次のとおりです。
トピック :
●
●
●
●
●
●
●
●
●
●
●
CIFSサーバのWindowsドメインへの追加（56ページ）
Active Directoryのドメインアカウントの作成（56ページ）
WINSサーバの追加（56ページ）
CIFSサービスの起動（57ページ）
Windows Server環境でのCIFSサーバの作成（58ページ）
CIFSサーバのWindowsドメインへの参加（59ページ）
CIFSアクセスのファイルシステムのマウント（62ページ）
CIFSユーザーの共有作成（63ページ）
スタンドアロンCIFSサーバの作成（67ページ）
MAC OSでのGUIによるCIFS共有の作成（68ページ）
MAC OSでの手動によるCIFS共有の作成（69ページ）
VNX 7.0 CIFSの構成と管理
55
構成
CIFSサーバのWindowsドメインへの追加
VNXベースのCIFSサーバをWindowsドメインに追加する前に、 Active Directoryのドメイ
ンアカウントの作成（56ページ）で作成するCIFSサーバを識別するために、Windowsド
メインコントローラにマシンアカウントを追加する必要があります。
注：この手順は、UNIXまたはSHAREユーザー認証を使用している場合には不要です。
1. プライマリドメインコントローラで、［スタート］ ➤ ［管理ツール］ ➤ ［サーバマネー
ジャ］の順に選択します。
2. ［コンピュータ］メニューで、［ドメインに追加］を選択します。［コンピュータをドメイ
ンに追加］ダイアログボックスが表示されます。
3. ［Windows NTワークステーションまたはサーバ］を選択し、［コンピュータ名］フィールドに
CIFSサーバのNetBIOS名を入力します。［追加］をクリックします。
注： NetBIOS名は、 Active Directoryのドメインアカウントの作成（56ページ）で作成する
CIFSサーバを識別するために使用される名前です。
Active Directoryのドメインアカウントの作成
ユーザーアカウントは、CIFSサーバが参加するドメインと同じActive Directoryフォレ
ストにあるドメインに属している必要があります。
1. ご使用の環境でCIFSサーバを作成するのに使用するのと同じコンピュータ名で、新し
いコンピュータを作成します。
2. CIFSサーバを CIFSサーバのWindowsドメインへの参加（59ページ）に説明されている
方法でWindowsドメインに参加させます。
注： CIFSサーバはNT環境で自動的にWindowsドメインに参加します。
WINSサーバの追加
アクション
WINS サーバをCIFS構成に追加してData Mover上のすべてのCIFSサーバで使用するには、次のコマン
ドシンタクスを使用します。
$ server_cifs <mover_name> -add wins= <ip_addr> [, wins= <ip_addr> ,...]
ここで：
<mover_name> = Data Moverの名前。
<ip_addr> = WINSサーバのIPv4アドレス。
56
VNX 7.0 CIFSの構成と管理
構成
アクション
（例：
server_2にWINSサーバを2つ追加するには、次のように入力します。
$ server_cifs server_2 -add wins=172.31.255.255,wins=172.168.255.255
出力
server_2: 処理完了
注： WINS（Windows Internet Naming Service）サーバのリストは、wins=オプションで追加された
順に処理され、最初に指定されたサーバが優先WINSサーバになります。たとえば、WINSサーバが1,500
ミリ秒でタイムアウトすると、リストの次のWINSサーバが使用されます。WINSのタイムアウトを構
成するには、wins.TimeOutMSパラメータを使用します。
CIFSサービスの起動
CIFSの予備的構成が完了したら、
各Data MoverのCIFSプロトコルをアクティブ化する
ためにCIFSサービスを起動する必要があります。
アクション
CIFSサービスを起動するには、次のコマンドの文法を使用します。
$ server_setup <mover_name> -Protocol cifs -option start [= <n> ]
ここで：
<mover_name> = Data MoverまたはVDMの名前。
[= <n> ] = CIFSユーザーのスレッド数（Data Moverが1 GBのメモリを搭載している場合、デフォルトは96ス
レッドになりますが、1 GBを越えるメモリを搭載している場合、デフォルトのスレッド数は256になります）。
（例：
server_2でCIFSサービスを起動するには、次のように入力します。
$ server_setup server_2 -Protocol cifs -option start
出力
server_2 : done
注： CIFSサービスの起動後にスレッド数を変更するには、サービスを停止し、新しいスレッド数で
再起動する必要があります。処理の詳細については、 CIFSサービスの停止（97ページ）を参照し
てください。
CIFSサービスの起動
57
構成
Windows Server環境でのCIFSサーバの作成
CIFSサービスを開始した後、Data Mover上にCIFSサーバを作成します。
同じWindowsドメイン内で、NetBIOSとcompnameとを混在させないでください。混在させ
ると、Data Moverがドメインと接続できなくなります。
アクション
Data Mover上のWindows Server環境でCIFSサーバを作成するには、次のコマンドシンタクスを使用しま
す。
$ server_cifs <mover_name> -add compname = <comp_name> , domain = <full_domain_name> [, netbios
= <netbios_name> ][, interface = <if_name> ][, dns = <if_suffix> ]
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<comp_name> = Windows Server互換CIFSサーバ。
<full_domain_name> = Windows環境の完全なドメイン名。
<netbios_name> = （オプション）デフォルトのNetBIOS名の代わりに使用されるNetBIOS名。
<comp_name>の最初の15文字がNetBIOSの命名規則に準拠しない場合、またはデフォルト以外の名前を
使用する場合は、オプションのNetBIOS名を入力します。
注： CIFSサーバに割り当て可能なcompnameは1つだけです。エイリアスを作成することで、CIFSサーバに
複数のNetBIOS名を割り当てることもできます。
<if_name> = 構成対象のCIFSサーバが使用するインタフェース。CIFSサーバを追加し、（interfaces=オプショ
ンで）インターフェースを指定していない場合は、このサーバがデフォルトCIFSサーバとなり、Data Mover上
のCIFSサーバに割り当てられていないすべてのインターフェースを使用します。各Data Moverに存在でき
るデフォルトのCIFSサーバは1台だけです。
注：リンクローカルインタフェースは VNX でサポートされていないため、CIFSサーバに追加できません。
<if_suffix> = DNS更新用インタフェースのための、別のDNSサフィックス。デフォルトでは、DNSサフィックス
はドメインから生成されます。このDNSオプションは、Data MoverのDNS設定には影響しません。
（例：
server_2上にCIFSサーバdm32-ana0を作成するには、次のように入力します。
$ server_cifs server_2 -add
compname=dm32-cge0,domain=universe.com,netbios=eng23b,interface=cge0,dns=nasdocs.emc.com
出力
server_2 : done
処理の詳細については、 NetBIOSまたはコンピュータ名のエイリアス割り当て（85ペー
ジ）を参照してください。
58
VNX 7.0 CIFSの構成と管理
構成
CIFSサーバのWindowsドメインへの参加
CIFSサーバは、Windows Server環境でWindowsドメインに参加する必要があります。
アクション
CIFSサーバをWindowsドメインに参加させるには、次のコマンドの文法を使用します。
$ server_cifs<mover_name>-Join compname=<comp_name>,domain=<full_domain_name>,
admin=<domain_administrator_name>,ou=<organizational_unit>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<comp_name> = AD内のCIFSサーバのアカウントの名前。
<full_domain_name> = WindowsドメインのDNS名。
<domain_administrator_name> = ドメインの管理者権限を持つユーザーのログイン名。このユーザーは、管理
者アカウントのパスワードの入力が要求されます。
<organizational_unit> = AD内でCIFSサーバのアカウントが作成されるコンテナ。
（例：
管理者アカウントを使用してdm112-cge0をADドメインnasdocs.emc.comに参加させ、このサーバをEngineering\Computers組織単位に追加するには、次のように入力します。
$ server_cifs server_2 -Join
compname=dm112-cge0,domain=nasdocs.emc.com,admin=administrator,ou="ou=Computers:ou=Engineering"
出力
注
server_2 : Enter Password: *******
done
ユーザーアカウントとユーザーパスワードは、ADに
アカウントを作成するときに使用され、マシンアカウ
ントが追加された後は保存されません。
注： unjoinコマンドを使用してCIFSサーバがWindowsドメインから削除された場合、CIFSサーバを
Windowsドメインに再度参加させるためには、joinコマンドを再実行する必要があります。
さまざまな構成でのCIFSサーバのWindowsドメイン参加について詳しくは、CIFSサーバの
Windowsドメインへの参加：高度な手順（128ページ）を参照してください。
CIFSサーバのWindowsドメインへの参加
59
構成
既存コンピュータアカウントの参加
CIFSサーバを既存のコンピュータアカウントに参加させるには、次の手順に従います。
●
Windowsコンピュータアカウントがすでに存在する場合、コンピュータがすでにコン
ピュータアカウントに参加しているかどうかを判断するため、VNXは
servicePrincipalName属性をチェックします。
●
属性が設定されていない場合、Data Moverは新しいCIFSサーバを既存のアカウントに
参加させます。servicePrincipalName属性がすでに設定されている場合、Data Mover
はエラーを発生させ、アカウントがすでに存在するというメッセージをログに記録し
ます。
アクション
それでもCIFSサーバをこのコンピュータアカウントに参加させる場合は、次のように入力するとアカウント
を再使用できます。
$ server_cifs server_2 -Join compname=dm32-ana0,domain=nsgprod.xyzcompany.com,admin=administrator -option
reuse
CIFSサーバをドメインに参加させるときに、VNXは次のことを行います。
●
既存のアカウントを検索するか、CIFSサーバ用アカウントをActive Directoryに作成
して、構成を完了する。
●
dnsHostName属性、servicePrincipalName属性などの属性をコンピュータアカウント
に設定する。
構成の確認
CIFSサーバがドメインに参加する処理中に、システムはAD（Active Directory）内にある
コンピュータアカウントの次の属性を構成します。
●
dNSHostName
●
servicePrincipalName
注：作成済みのコンピュータアカウントの属性dNSHostNameおよびservicePrincipalNameは、参加
前は空である必要があります。ドメインに参加すると、これらの属性に値が割り当てられます。
1. ldp.exeを使用して構成を確認するには、ドメイン管理者の認証情報を使用してドメイ
ンコントローラにログインします。
2. サポートツールがインストールされていることを確認します。
3. ［スタート］ ➤ ［ファイル名を指定して実行］の順に選択します。
4. 「ldp.exe」と入力し、［OK］をクリックします。
60
VNX 7.0 CIFSの構成と管理
構成
5. ADに接続し、BINDします。
6. dNSHostNameおよびservicePrincipalNameを含む属性が関連づけられている指定したコ
ンテナ（CN）の検索を実行します。
CIFSサーバのWindowsドメインへの参加
61
構成
CIFSアクセスのファイルシステムのマウント
ファイルシステムは、マウントされると、ローカルのディレクトリツリーに組み込まれ
ます。ファイルシステムは、デフォルトでは永続的にマウントされます。ファイルシス
テムを一時的にアンマウントし、ファイルサーバを再起動すると、ファイルシステムは
自動的に再マウントされます。
アクション
ファイルシステムをマウントするには、次のコマンドシンタクスを使用します。
$ server_mount<mover_name> [-option<options>] <fs_name><mount_point>
ここで：
<mover_name> = 物理Data MoverまたはVDMの名前。
<options> = ファイルシステムのマウントタイプは、rw（読み取り/書き込み）またはro（読み取り専用）のい
ずれかに指定できます。
<fs_name> = マウントされているファイルシステムの名前。
<mount_point> = スラッシュ（/）で始まる、マウントポイントの名前。
（例：
ファイルシステムufs1を読み取り/書き込み可能でマウントするには、次のように入力します。
$ server_mount server_2 -option rw ufs1 /ufs1
出力
server_2 : done
注：共有をマウントするとき、ロック動作やアクセス制御ポリシーといったデフォルトオプショ
ンが手動入力されていない場合は、オプションはアクティブですがマウントされたファイルシステ
ムのリストには表示されません。
デフォルトでは、VNXはファイルシステムへのアクセスにネイティブセキュリティポリ
シーを使用します。ネイティブアクセスポリシーとは、WindowsユーザーはACL（アクセ
ス制御リスト）を使用したディレクトリへのアクセスを許可され、UNIXユーザーはUNIX権
限を使用したディレクトリへのアクセスを許可されることをいいます。同一のファイル
システムにUNIXとWindowsの両方のクライアントからアクセスがある場合、ファイルシス
テムにアクセスチェックポリシーを設定する必要があります。そのような環境のセット
アップ方法については、「VNXでのマルチプロトコル環境の管理」を参照してください。
62
VNX 7.0 CIFSの構成と管理
構成
CIFSユーザーの共有作成
共有を作成してACL（アクセス制御リスト）を設定するには、コンピュータの管理MMCまた
はWindows NTのドメインサーバマネージャを使用します。ローカルユーザーをサポー
トするドメインCIFSサーバでは、ACL内でローカルおよびドメインのユーザーとグループ
を混在させることができます。
注： Windows管理ツールを使用して共有を作成する場合、server_exportの特別なCIFSエクスポート
オプションはすべて使用できなくなります。処理手順の詳細については、「VNXでのWindows管理
ツールの使用方法」を参照してください。
ローカル共有の作成
ローカル共有は、Data Mover上の単一のCIFSサーバからアクセス可能です。netbios=オプ
ションまたはMMCなどのWindows管理ツールで作成されたローカル共有は、コマンドの一
部としてNetBIOS名が指定されている場合、CLIからのみ管理できます。異なるNetBIOS名
に属している複数のCIFSエントリーで同一の<sharename>を持てるため、エントリーの検
索にはNetBIOS名が必要となります。概念情報については、 CIFS共有（21ページ）を参
照してください。
アクション
共有のパス名をエクスポートしてローカル共有を作成するには、次のコマンドシンタクスを使用します。
$ server_export <mover_name> -Protocol cifs -name <sharename> [ -option <options> ] <pathname>
ここで：
<mover_name> = 物理Data MoverまたはVDMの名前。
<sharename> = CIFS共有の名前。
<options> = 共有のエクスポートオプション。server_exportコマンドのオプションの説明については、表 2（21
ページ）を参照してください。
<pathname> = エクスポートするディレクトリのパス名。マウントポイントとすることができます。
（例：
server_2にcifs_shareというローカル共有を作成するには、次のように入力します。
$ server_export server_2 -Protocol cifs -name cifs_share -option netbios=dm32-cge0 /mntpt1
出力
server_2 : done
注：作成する<sharename>がすでに存在する場合、指定された新しい情報でパラメータが変更され
ます。グローバル共有と同じ名前のNetBIOS共有名を作成することはできません。
CIFSユーザーの共有作成
63
構成
グローバル共有の作成
グローバル共有は、Data Mover上のすべてのCIFSサーバからアクセス可能です。
アクション
共有のパス名をエクスポートしてグローバル共有を作成するには、次のコマンドシンタクスを使用します。
$ server_export <mover_name> -Protocol cifs -name
<sharename> [ -option <options> ] <pathname>
ここで：
<mover_name> = 物理Data MoverまたはVDMの名前。
<sharename> = CIFS共有の名前。
<options> = 共有のエクスポートオプション。
<pathname> = マウントポイントの名前。
（例：
server_2にcifs_shareという名前で読み取り専用のグローバル共有を作成するには、次のように入力しま
す。
$ server_export server_2 -Protocol cifs -name cifs_share -option ro /mntpt1
出力
server_2 : done
64
VNX 7.0 CIFSの構成と管理
構成
MMCまたはServer Managerを使用したグローバル共有の作成
通常、Windows管理ツールで作成された共有はローカル共有となり、Windowsクライアント
が使用するCIFSサーバからのみアクセスできます。ただし、cifs srvmgr.globalSharesパ
ラメータを使用すると、Server ManagerまたはMMC（Microsoft管理コンソール）で作成さ
れた共有がグローバル共有になるように動作を変更できます。
アクション
Server ManagerまたはMMCで作成されたすべての共有がグローバル共有になるようにするには、次のコ
マンドの文法を使用します。
$ server_param<mover_name>-facility cifs
-modify srvmgr.globalShares -value<new_value>
ここで：
<mover_name> = Data Moverの名前。
<new_value> = 0または1。
0はグローバル共有を無効にします。
1はグローバル共有を有効にします。
（例：
Server ManagerまたはMMCで作成されたすべての共有がグローバル共有になるようにするには、次のよ
うに入力します。
$ server_param server_2 -facility cifs -modify srvmgr.globalShares -value 1
出力
server_2 : done
注：パラメータとファシリティの名前は大文字と小文字が区別されます。
CIFSユーザーの共有作成
65
構成
共有の確認
エクスポートテーブル
内の共有は、常にControl Stationデータベースで一覧表示さ
れています。これは静的なテーブルであり、パーマネントエントリーだけを含んでいま
す。エクスポートテーブルに対する一時的な変更は表示されません。
アクション
共有を確認するには、次のコマンドの文法を使用します。
$ server_export <mover_name> -list -name
<sharename> [ -option <options> ]
ここで：
<mover_name> = 物理Data MoverまたはVDMの名前。
<sharename> = CIFS共有の名前。
<options> = 一覧表示のオプション。現在のところ、オプションは［netbios=<netbios_name>］の1種類だけで
す。共有にNetBIOS名が関連づけられている場合、この名前がエントリーを見つける際に必要になります。
異なるNetBIOS名に属している複数のCIFSエントリーに対して、同じ<sharename>が使用されている場合
があるからです。
（例：
server_2上の共有の一覧を表示するには、次のように入力します。
$ server_export server_2 -list -name cifs_share
出力
server_2 :
share “cifs_share" “/mntpt1" “Test Share" umask=022
maxusers=4294967295
概念情報については、 CIFS共有（21ページ）および国際文字サポート（22ページ）
を参照してください。
66
VNX 7.0 CIFSの構成と管理
構成
管理タスク実行時のネットワークパスワードの入力
共有にACL（アクセス制御リスト）を設定するなど、ユーザー名やグループ名を取得する
管理アクションを実行する場合には、管理者アカウント名とパスワードの入力が求められ
ます。
CIFSサーバのローカルユーザー名を指定するのにnet useコマンドを実行し、net useコ
マンド内にドメイン名を指定した場合、net useコマンドで使用した
<domainname>\<username>の組み合わせを入力する必要があります。
たとえば、次のコマンドを実行したとします。
net use \\192.168.56.24 /user:DomainX\UserY
この場合、ネットワークパスワードを要求されたときには、次のアカウント情報を入力
する必要があります。
DomainX\UserY
注： UserYは、ドメイン管理者およびCIFSサーバのローカル管理者を含むCIFSサーバの管理者グルー
プにデフォルトで属している必要があります。
スタンドアロンCIFSサーバの作成
概念情報については、ユーザー認証方法（29ページ）を参照してください。
注： Data MoverにSHARE認証を設定する代わりに、ローカルユーザーをサポートするCIFSスタンド
アロンサーバを使用することを推奨します。
アクション
スタンドアロンCIFSサーバを作成するには、次のコマンドの文法を使用します。
$ server_cifs<mover_name>-add standalone=<netbios_name>,workgroup=<work
group_name>[,interface=<if_name>][,local_users]
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<netbios_name> = CIFSサーバのNetBIOS名。
<workgroup_name> = Windowsワークグループの名前。この値は、アナウンスメントとWINS登録に使用されま
す。
<if_name> = CIFSサーバのIPインタフェース名。
（例：
server_2にスタンドアロンCIFSサーバdm32-ana0を作成してローカルユーザーサポートを提供するには、
次のように入力します。
CIFSユーザーの共有作成
67
構成
アクション
$ server_cifs server_2 -add standalone=dm112-cge0,workgroup=NASDOCS,interface=cge0,local_users
出力
Enter Password:*****
Enter Password Again:*****
server_2 : done
# server_cifs server_2
CIFS Server(standalone)
SERVE_ALONE[EMC] RC=2
注記
●
IIS（Internet Information Service）6.0を使用して
いる場合、IIS、Data Mover、クライアントでユー
ザー名およびパスワードが同一である必要があ
ります。
●
パスワードは、CIFSサーバ上のローカルアドミ
ニストレータアカウントに割り当てられ、ASCII文
字だけで指定される必要があります。ローカル
ユーザーサポートを有効にしてCIFSサーバの
ローカルユーザーやグループを管理できるよう
にする前に、Windowsシステムから一時パスワー
ドを変更する必要があります。変更するパスワー
ドには、Unicode文字を含めることができます。
●
local_usersオプションを選択すると、server_cifsコ
マンドを使用したときに、ローカルアドミニスト
レータパスワードに割り当てられるパスワードの
入力が要求されます。このオプションは、スタン
ドアロンサーバを初めて作成するときに入力す
る必要があります。local_usersオプションを入力
しないと、このコマンドの実行は失敗します。
●
初めて作成を行った後にサーバの再構成を行っ
ている場合は、local_usersオプションを入力しな
いでください。アドミニストレータパスワードをリ
セットするには、local_usersオプションを使用しま
す。ただしこのパスワードは、Windowsから変更
されたものである場合には、リセットできません。
●
VDMがロードされているData Mover上にスタンド
アロンサーバを作成する場合は、IPインター
フェースを指定する必要があります。
終了後
処理の詳細については、ローカルアドミニストレータアカウントのパスワード変更（79
ページ）およびスタンドアロンサーバでのゲストアカウントの有効化（81ページ）
を参照してください。
MAC OSでのGUIによるCIFS共有の作成
はじめに
68
●
［Finder］をクリックし、［移動］ ➤ ［ユーティリティ］ ➤ ［ターミナル］を選択します。
●
管理者パスワードでログインします。
VNX 7.0 CIFSの構成と管理
構成
手順
［WindowsドメインへのMACの参加］
1. 管理ツールディスクをインストールします（MAC OSクライアントのみに適用可能）。
2. ネットワーク構成を開きます。［Appleアイコン］ ➤ ［システム環境設定］ ➤ ［ネットワーク］
をクリックします。
3. ［詳細］ボタンをクリックし、［DNS］タブを選択します。
4. Windows DNS IPアドレスを設定し、［検索ドメイン］をお使いのWindowsドメインに設定
します。
5. ［アプリケーションユーティリティ］ウィンドウから、［ディレクトリユーティリティ］を起動しま
す。
6. ［Finder］をクリックし、［移動］ ➤ ［ユーティリティ］ ➤ ［ターミナル］を選択します。
7. 変更を行うには、ロックアイコンをクリックしてディレクトリサービスのロックを
解除します。
注：これらの変更は、ローカルMACクライアントアドミニストレータが行う必要があります。
8. ［サービス］で、［Active Directory］をダブルクリックしてドメインに参加します。
9. Active Directory情報を入力して、［OK］をクリックします。
10. ［検索ポリシー］にActive Directory含まれており、その検索フィールドに［カスタムパ
ス］オプションが指定されていることを確認します。［Active Directory］を最初の灰
色以外の位置に移動します。
［CIFS共有のマウント］
1. ［移動］ ➤ ［サーバーへ接続］をクリックします。
2. ［サーバアドレス］フィールドにサーバ名と共有名を入力して［接続］をクリックしま
す。
3. ログイン画面が表示されます。ユーザー名とパスワードを入力し、［接続］をクリック
します。
4. これで、デスクトップでCIFS共有を参照できます。
［CIFS共有のアンマウント］
1. デスクトップでCIFS共有を参照します。
2. ［イジェクト］アイコンをクリックして共有をアンマウントします。
MAC OSでの手動によるCIFS共有の作成
はじめに
●
［Finder］をクリックし、［移動］ ➤ ［ユーティリティ］ ➤ ［ターミナル］を選択します。
●
管理者パスワードでログインします。
MAC OSでの手動によるCIFS共有の作成
69
構成
アクション
CIFS共有を作成するには、次のコマンドシンタクスを使用します。
sudo mount-t smbfs//Domain\;password:user@ <servername>/<sharename>/<mountpoint>;::
ここで：
<servername> = サーバの名前
<sharename> = CIFS共有の名前
<mount_point> = サーバのマウントポイントへのパス
注：
Mount_smbfs：サーバに接続できませんでした：ホストへのルートが見つかりません：サーバ名が
見つかりません（/etc/hostsファイルを確認してください）。
Mount_smbfs：サーバが接続を拒否しました：認証エラー：ドメインユーザーとパスワードが正し
いかどうかを確認してください。
Mount_smbfs：マウントエラー：/mountpoint：ファイルが存在します：同じ名前の共有がすでに
マウントされています。
共有が正しくマウントされているかどうかを確認するには、次のコマンドシンタクスを使用します。
mount
注： smbfsオプションが表示されるかどうかを確認します。
70
VNX 7.0 CIFSの構成と管理
第4章
管理中
CIFSの管理に関するタスクは、次のとおりです。
トピック :
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
Kerberos認証で維持するパスワードの最大数の設定（72ページ）
LDAPセキュリティレベルの変更（72ページ）
現在のCIFS構成の確認（73ページ）
CIFS構成と依存関係の確認（74ページ）
ローカルユーザーをサポートするCIFSサーバの管理（76ページ）
スタンドアロンサーバの削除（81ページ）
NetBIOS名の変更（82ページ）
compnameの名称変更（83ページ）
NetBIOSまたはコンピュータ名のエイリアス割り当て（85ページ）
CIFSサーバとコメントの関連づけ（88ページ）
CIFSサーバパスワードの変更（91ページ）
SMB2ダイアレクトリリースの表示（92ページ）
開いているファイルの数と名前の表示（92ページ）
参加権限のデリゲーション（93ページ）
ファイルシステムの管理（94ページ）
CIFSサービスの停止（97ページ）
CIFSサーバの削除（97ページ）
CIFS共有の削除（98ページ）
ドメイン移行の管理（100ページ）
ユーザー認証方法の変更（102ページ）
VNX 7.0 CIFSの構成と管理
71
管理中
Kerberos認証で維持するパスワードの最大数の設定
アクション
Kerberos認証用に維持されるパスワードの最大数を指示するには、次のコマンドシンタクスを使用します。
$ server_param<mover_name>-facility
cifs -modify srvpwd.maxHistory -value<new_value>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<new_value> = 指定したパラメータに設定する値で、次の意味を持つ。
●
1を指定すると、現在のパスワードだけが維持される。
●
2～10を指定すると、現在のパスワードと、指定した数から1を引いた数に等しい以前のパスワード数が
維持される。
●
デフォルト値は2。
（例：
現在のパスワードと、2つの以前のパスワードを認証に使用するには、次のように入力します。
$ server_param server_2 -facility cifs -modify srvpwd.maxHistory -value 3
出力
server_2 : done
注：パラメータとファシリティの名前は大文字と小文字が区別されます。認証に関する問題のトラ
ブルシューティングでパスワードのリセットが発生する場合、server_cifsコマンドを使用してCIFS
サーバパスワードをリセットします。
Data Moverは各CIFSサーバの新旧のパスワード履歴を保持します。概念情報については、
Kerberos認証（25ページ）を参照してください。Windows Active Directoryの一部であ
るコンピュータは、通常定期的な時間間隔でパスワードを変更します。処理の詳細につい
ては、 CIFSサーバパスワードの変更（91ページ）を参照してください。
LDAPセキュリティレベルの変更
デフォルトでは、ドメインコントローラが署名または暗号化のセキュリティレイヤーを
Data Moverに提示すると、Data Moverは署名（暗号化なしの整合性保護）を用いて応答し
ます。
以下のコマンドを機能させるためには、LDAPが通信を試行しているドメインに所属してい
るCIFSサーバを、指定したData Moverが含んでいる必要があります。
概念情報については、 LDAP署名と暗号化（26ページ）を参照してください。
72
VNX 7.0 CIFSの構成と管理
管理中
アクション
LDAPメッセージ用に使用するセキュリティのレベルを指定するには、以下のコマンドの文法を使用します。
$ server_param<mover_name>-facility
ldap -modify SecurityLayer -value<new_value>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<new_value> = 0, 1, 2, or 4.
0 = セキュリティレイヤーなし
1 = LDAPサーバと同じ
2 = 整合性保護
4 = プライバシー保護
（例：
LDAPメッセージのプライバシー保護を選択するには、次のように入力します。
$ server_param server_2 -facility ldap -modify SecurityLayer -value 4
出力
注
server_2 : done
●
パラメータとファシリティの名前は大文字と小文
字が区別されます。
●
このコマンドの実行後はCIFSサーバを再起動し
てください。
現在のCIFS構成の確認
アクション
Data MoverのCIFS構成を表示するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name>
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2のCIFS構成を表示するには、次のように入力します。
$ server_cifs server_2
現在のCIFS構成の確認
73
管理中
出力
CIFSサービスが開始されている場合
server_2 :
256 Cifs threads started
Security mode = NT
Max protocol = NT1
I18N mode = ASCII
Home Directory Shares DISABLED
Usermapper auto broadcast enabled
Usermapper[0] = [127.0.0.1] state:active (auto discovered)
Enabled interfaces: (All interfaces are enabled)
Disabled interfaces: (No interface disabled)
CIFSサービスが開始されていない場合
$ server_cifs server_2
server_2 :
Cifs NOT started
Security mode = NT
Max protocol = NT1
I18N mode = ASCII
Home Directory Shares DISABLED
Usermapper auto broadcast enabled
Usermapper[0] = [127.0.0.1] state:active (auto discovered)
Enabled interfaces: (All interfaces are enabled)
Disabled interfaces: (No interface disabled)
注： server_cifsコマンドは、現在のところData Mover上に構成されたリンクローカルインタ
フェースを表示しません。
CIFS構成と依存関係の確認
アクション
CIFS構成とそのすべての依存関係または特定の依存関係をテストするには、次のコマンドシンタクス
を使用します。
$ server_checkup <mover_name> -test <component> -subtest <dependency>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<component> = テストするコンポーネント。この場合はCIFS。
<dependency> = テスト対象であるCIFS構成の、Kerberosサブシステムやローカルグループデータベースと
いった、特定の依存関係。
（例：
server_2上のすべてのCIFSの関連機能をチェックするには、次のように入力します。
$ server_checkup server_2 -test CIFS
74
VNX 7.0 CIFSの構成と管理
管理中
注：実際の出力の抜粋を次に示します。
出力
server_2 :
------------------------------------Checks-------------------------------------Component CIFS :
ACL : Checking the number of ACL per file system.....................*Pass
Connection: Checking the load of TCP connections of CIFS...................
Pass
Credential: Checking the validity of credentials...........................
Pass
DC : Checking the connectivity and configuration
of the DCs.........*Pass
DFS : Checking the DFS configuration files and DFS
registry.......... Pass
DNS : Checking the DNS configuration and connectivity
to DNS servers. Pass
EventLog : Checking the configuration of Windows Event
Logs............... Pass
FS_Type : Checking if all file systems are all DIR3 type.................
Pass
GPO : Checking the GPO configuration.................................
Pass
HomeDir : Checking the configuration of home directory
share............. Pass
CIFS構成と依存関係の確認
75
管理中
ローカルユーザーをサポートするCIFSサーバの管理
このセクションでは、次の管理タスクについて説明します。
●
ドメインCIFSサーバ上でのローカルユーザーサポートの有効化（76ページ）
●
Unisphereを使用したローカルユーザーサポートの有効化（77ページ）
●
ローカルアドミニストレータアカウントのパスワード変更（79ページ）
●
同じドメイン内のCIFSサーバのアクセスと管理（79ページ）
●
ワークグループ環境内のスタンドアロンCIFSサーバへのアクセスと管理（79ページ）
●
スタンドアロンサーバでのゲストアカウントの有効化（81ページ）
ドメインCIFSサーバ上でのローカルユーザーサポートの有効化
アクション
ローカルユーザーをサポートするWindows Server互換のCIFSサーバを作成するには、または既存のCIFS
サーバにローカルユーザーのサポートを追加するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -add compname = <comp_name>
, domain = <full_domain_name> , interface = <if_name> ,
wins = <ip_addr> [: <ip_addr> ][, local_users ]
ここで：
<mover_name> = Data Moverの名前。
<comp_name> = CIFSサーバのcompname。
<full_domain_name> = WindowsドメインのDNS名。
<if_name> = インタフェースの名前。
<ip_addr> = WINSサーバのIPv4アドレス。
一時的なローカル管理者パスワードを作成するよう、プロンプトが表示されます。
（例：
server_2上にローカルユーザーサポート付きでドメインCIFSサーバdm32-ana0を作成する場合、次のよう
に入力します。
$ server_cifs server_2 -add compname=dm112-cge0,domain=NASDOCS,interface=cge0,wins=192.168.24.18,local_users
76
VNX 7.0 CIFSの構成と管理
管理中
出力
注
●
パスワードは、CIFSサーバ上のローカルアドミ
ニストレータアカウントに割り当てられ、ASCII文
字だけで指定される必要があります。ローカル
ユーザーサポートを有効にしてCIFSサーバの
ローカルユーザーやグループを管理できるよう
にする前に、Windowsシステムから一時パスワー
ドを変更する必要があります。変更するパスワー
ドには、Unicode文字を含めることができます。
●
local_usersオプションを選択すると、server_cifsコ
マンドを使用したときに、ローカルアドミニスト
レータパスワードに割り当てられるパスワードの
入力が要求されます。初めて作成を行った後に
サーバの再構成を行っている場合は、local_users
オプションを入力しないでください。アドミニスト
レータパスワードをリセットするには、local_users
オプションを使用します。ただしこのパスワード
は、Windowsから変更されたものである場合に
は、リセットできません。
Enter Password:*****
Enter Password Again:*****
server_2 : 処理完了
# server_cifs server_2
CIFS Server CIFS_SERVER1[W2K] RC=4 (local users
supported)
処理の詳細については、 CIFS構成と依存関係の確認（74ページ）およびローカルアド
ミニストレータアカウントのパスワード変更（79ページ）を参照してください。
注： -add netbios=<netbios_name>およびdomain=<domain_name>オプションにより、指定した
<netbios_name>および<domain_name>を割り当てるWindows NTFS CIFSサーバでローカルユーザー
サポートを有効化できます。
概念情報については、ローカルユーザーおよびグループアカウント（31ページ）を参
照してください。
Unisphereを使用したローカルユーザーサポートの有効化
注：既存のCIFSサーバでローカルユーザーサポートを有効化するには、CIFSサーバを右クリック
し、［プロパティ］＞［ローカルユーザーが有効］オプションを選択します。
1. ブラウザを起動して、「http://<IP_Address_of_the_Control_Station>」のように
Control StationのIPアドレスを入力します。
2. VNX for FileのUnisphereにログインします。
3. 左側にあるナビゲーションペインで、セットアップするシステムを選択します。
4. メニューを展開して［CIFS］を選択します。［CIFSサーバ］タブを選択します。
5. ［作成］をクリックすると、新しいCIFSサーバが作成されます。
ローカルユーザーをサポートするCIFSサーバの管理
77
管理中
6. ［ローカルユーザーの有効化］オプションを選択して、CIFSサーバでのローカルユーザー
サポートを有効化します。スタンドアロンCIFSサーバでは、ローカルユーザーサポー
トがデフォルトで有効になっています。
78
VNX 7.0 CIFSの構成と管理
管理中
ローカルアドミニストレータアカウントのパスワード変更
スタンドアロンCIFSサーバまたはローカルユーザーが有効なドメインCIFSサーバ上の
ローカルユーザーとグループを管理できるようにするには、パスワードを変更する必要
があります。Windows Serverクライアントの場合は、ドメインに参加しているマシンから
スタンドアロンサーバのパスワードを変更することはできません。処理の詳細について
は、スタンドアロンCIFSサーバの作成（67ページ）を参照してください。
1. ローカル管理者アカウントのパスワードを変更するには、Windowsクライアントにログ
インし、［Ctrl + Alt + Delete］を押します。
2. ［パスワードの変更］をクリックします。［パスワードの変更］ダイアログボックスが
表示されます。
3. 各フィールドで、以下のように入力します。
a. ［ユーザー名］フィールドに、［Administrator］と入力します。
b. ［ログオン先］フィールドに、CIFSサーバの名前またはIPアドレスを入力します。
c. ［古いパスワード］フィールドに、ローカルユーザーサポートを有効化したときに
入力した、元の管理者アカウントのパスワードを入力します。
d. ［新しいパスワード］と［新しいパスワードの確認］フィールドに、ローカル管理者ア
カウントの新しいパスワードを入力します。
同じドメイン内のCIFSサーバのアクセスと管理
1. 同じドメイン内のいずれかのコンピュータで［コンピュータの管理］を開きます。
2. ［操作］ ➤ ［別のコンピュータに接続］を選択します。［コンピュータの選択］ダイアロ
グボックスが表示されます。
3. CIFSサーバ名またはIPアドレスを入力します。
注： CIFSサーバ名またはIPアドレスがDNSで解決可能な限り、CIFSサーバ名とIPアドレスをロー
カルのC:\WINDOWS\system32\drivers\etc\hostsファイルに追加する必要はありません。
ワークグループ環境内のスタンドアロンCIFSサーバへのアクセスと管理
1. スタンドアロンCIFSサーバ名を、C:\WINDOWS\System32\Drivers\etc\hostsファイルに
あるローカルWindowsシステムのHostファイルに入力します。ネットワーク上でブラウ
ジングが必要な場合や、NetBIOS名の解決が必要だがサブネット上にWINSが確立されて
いない場合、スタンドアロンCIFSサーバ名をlmhostsファイルに追加します。
ローカルユーザーをサポートするCIFSサーバの管理
79
管理中
2. Windowsログオンセッションにセキュリティコンテキストを提供するには、次のコマ
ンドシンタクスを使用します。
net use \\ <standalone_server>/user:<Local_Username>
ここで：
= IPv4またはIPv6アドレス。MMCスナップインに対しては、スタンドア
ロンNetBIOS名。
<standalone_server>
<Local_Username>
= スタンドアロンサーバ上で管理権限を持つアカウントのユーザー名。
（例：
スタンドアロンサーバ192.168.56.24に接続するには、次のように入力します。
net use \\192.168.56.24 /user:administrator
出力：
<IP_address>のパスワードを入力します。
The command completed successfully.
3. ［コンピュータの管理］を開きます。［操作］ ➤ ［別のコンピュータへ接続］に移動します。
［コンピュータの選択］ダイアログボックスが開きます。
4. CIFSサーバ名を入力します。ユーザー名とパスワードの入力を求めるプロンプトは表
示されません。コンソールが開き、ローカルグループデータベースがサーバ上で管
理可能になります。セキュリティ認証は既存のログオンセッションに対してだけ有効
です。アクセスするシステムに接続するには、Windowsシステムにログインするごと
に、ステップ2を繰り返します。
注：入力したパスワード、または［コンピュータの管理］のCIFSサーバのローカルグループ
データベースにアクセスするための手順が正しくない場合、エラーメッセージUnable to access
the computer xxxxx The error was: Access is deniedが表示されます。
80
VNX 7.0 CIFSの構成と管理
管理中
スタンドアロンサーバでのゲストアカウントの有効化
usrmgr.exeを使用してスタンドアロンサーバへ接続するには、ワークグループ環境内の
スタンドアロンCIFSサーバへのアクセスと管理（79ページ）で説明されているように、
CIFSサーバのIPC$共有への接続を最初に作成しておく必要があります。
概念情報については、ゲストアカウント（34ページ）を参照してください。
1. ［ユーザーマネージャ］を開きます。
2. スタンドアロンサーバに接続します。
a. ［ユーザー］ ➤ ［ドメインの選択］を選択します。
b. ［ドメイン］フィールドに次のように入力します。
\\ <standalone_server>
各項目の意味は以下のとおりです。
<standalone_server>
= IPアドレス。MMCスナップインの場合はスタンドアロンNetBIOS
名。
c. ［OK］をクリックします。
d. プロンプトが表示されたら、アドミニストレータアカウントでログインします。
3. ［ゲスト］アカウントをダブルクリックします。［ユーザープロパティ］ダイアログ
ボックスが開きます。
4. ゲストアカウントを構成し、［OK］をクリックします。ゲストアカウントのセキュ
リティ強化のため、アカウントにパスワードを追加することもできます。ゲストアカ
ウントパスワードでログインするすべての不明ユーザーは、ゲストとしてログインさ
れます。
5. ［ユーザーマネージャ］で、［ポリシー］ ➤ ［ユーザー権限］と選択します。［ユー
ザー権限ポリシー］ダイアログボックスが表示されます。
6. ［ネットワーク経由でコンピュータへアクセス］許可を新規ゲストアカウントに付与します。
スタンドアロンサーバの削除
アクション
スタンドアロンCIFSサーバを削除するには、次のコマンドの文法を使用します。
$ server_cifs<mover_name> -delete standalone=<netbios_name>
[-remove_localgroup][,alias=<alias_name>...][,interface=<if_name>]
ここで：
<mover_name> = Data MoverまたはVDMの名前。
ローカルユーザーをサポートするCIFSサーバの管理
81
管理中
アクション
<netbios_name> = CIFSサーバのNetBIOS名。
（例：
server_2からスタンドアロンサーバdm32-cge0を削除するには、次のように入力します。
$ server_cifs server_2 -delete standalone=dm32-cge0
出力
server_2 : done
注：ローカルユーザーをサポートするCIFSサーバを削除し、古いサーバと同じくローカルユー
ザーをサポートしする新しいCIFSサーバを古いサーバと同じ名前で作成する場合、この新しいサー
バにはオリジナルのローカル管理パスワードが必要となります。このため、新しいCIFSサーバに新
しいパスワードを設定することはできません。処理の詳細については、 Kerberos認証で維持するパ
スワードの最大数の設定（72ページ）を参照してください。
ヒント： -remove_localgroupオプションを追加した場合、Data MoverはCIFSサーバのローカルグルー
プ情報をData Moverのパーマネントストレージから恒久的に削除します。aliasとinterfaceオプ
ションを追加すると、エイリアスとインタフェースだけが削除され、CIFSサーバは残ります。同一
のdeleteコマンド内でaliasオプションとinterfaceオプションを組み合わせて使用できます。
NetBIOS名の変更
NetBIOS名を変更するには、まず、ドメインに新しい名前を追加します。このとき、Windows
NT Server Manager、またはWindows Server のユーザーとコンピュータMMC（Microsoft管
理コンソール）スナップインを使用します。
NetBIOS名を変更すると、システムは次の動作を実行します。
●
NetBIOSを一時的に無効にし、接続しているすべてのクライアントの接続を切断する。
●
新しいNetBIOS名に関連づけるローカルグループを更新する。
●
新しいNetBIOS名に対応するすべての共有を更新する。
●
サーバとドメインコントローラ間のアカウントパスワードを保守する。
●
元のNetBIOS名の登録を解除し、すべてのWINSサーバに新規名を登録する。
●
元のNetBIOS名に関連づけられているエイリアスをすべて保持する。
●
名称変更されたNetBIOSを有効にする。
●
renameコマンドはサーバのNetBIOS名を変更するが、サーバのcompnameは変更しない。
アクション
NetBIOS名を名称変更するには、次のコマンドシンタクスを使用します。
82
VNX 7.0 CIFSの構成と管理
管理中
アクション
$ server_cifs <mover_name> -rename -netbios <old_name> <new_name>
ここで：
<mover_name> = Data Moverの名前。
<old_name> = name of the current NetBIOS.
<new_name> = name of the new NetBIOS.
（例：
server_2のNetBIOS名をdm102-cge0からdm112-cge0に名称変更するには、次のように入力します。
$ server_cifs server_2 -rename -netbios dm102-cge0 dm112-cge0
出力
server_2 : done
server_cifs -Joinと-Unjoinによる処理手順では、compnameに新しいコンピュータアカ
ウントを生成するため、そのコンピュータ名の元のアカウントは失われます。
compnameの名称変更
新規名にローカルグループ、共有、ファイルシステム権限を保存したまま、Windows
ServerのData Moverを名称変更するには、次の手順に従います。この例では、W2ktempを
W2kProdに変更しています。
1. 次のように入力して、元のcompnameをドメインから削除します。
$ server_cifs server_2 -Unjoin compname=W2kTemp,domain=abc.com,admin=Administrator
2. 次のように入力して、compnameをData MoverのCIFS構成から削除します。
$ server_cifs server_2 -delete compname=W2kTemp
3. 次のように入力して、compnameをData MoverのCIFS構成にNetBIOS名として追加し直し
ます。
$ server_cifs server_2 -add netbios=W2kTemp,domain=abc,interface=fsn01
4. 次のように入力して、NetBIOSサーバを名称変更します。
$ server_cifs server_2 -rename netbios W2kTemp W2kProd
5. 次のように入力して、Data MoverのCIFS構成からStep 4で変更されたNetBIOS名を削除
します。
$ server_cifs server_2 -delete netbios=W2kProd
6. 次のように入力して、新しいcompnameをCIFS構成とAD（アクティブディレクトリ）に
追加します。
compnameの名称変更
83
管理中
$ server_cifs server_2 -add compname=W2kProd,domain=abc.com,interface=fsn01
7. 次のように入力して、新しいcompnameをCIFS構成とAD（アクティブディレクトリ）に
参加させます。
$ server_cifs server_2 -Join compname=W2kProd,domain=abc.com,admin=Administrator
84
VNX 7.0 CIFSの構成と管理
管理中
NetBIOSまたはコンピュータ名のエイリアス割り当て
概念情報については、 NetBIOSエイリアスとDNSエイリアスの比較（32ページ）を参照し
てください。エイリアスを管理するには、次のタスクを実行します。
●
CIFSサーバへのNetBIOSエイリアスの追加（85ページ）
●
NetBIOS名へのNetBIOSエイリアスの追加（86ページ）
●
CIFSサーバエイリアスの削除（86ページ）
●
NetBIOSエイリアスの削除（87ページ）
●
エイリアスの表示（87ページ）
CIFSサーバへのNetBIOSエイリアスの追加
アクション
エイリアスをCIFSサーバに追加するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -add compname = <comp_name> , domain = <full_domain_name> ,
alias = <alias_name> [, alias = <alias_name2> ...]
ここで：
<mover_name> = Data Moverの名前。
<comp_name> = 指定されたドメイン内のCIFSサーバの名前。
<full_domain_name> = Windows環境の完全なドメイン名。
<alias_name> = コンピュータ名のエイリアス。
（例：
winserver1という名前のコンピュータに3つのエイリアスを追加するには、次のように入力します。
$ server_cifs server_2 -add
compname=winserver1,domain=NASDOCS.emc.com,alias=winserver1-a1,alias=winserver1-a2,alias=winserver1-a3
出力
server_2 : done
重要： server_cifs -add alias=コマンドはNetBIOSエイリアスを作成します。
NetBIOSまたはコンピュータ名のエイリアス割り当て
85
管理中
NetBIOS名へのNetBIOSエイリアスの追加
アクション
NetBIOS エイリアスをNetBIOS名に追加するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -add netbios = <netbios_name> , domain = <domain_name> ,
alias = <alias_name> [, alias = <alias_name2> ...]
ここで：
<mover_name> = Data Moverの名前。
<netbios_name> = CIFSサーバのNetBIOS名。
<domain_name> = Windows環境のドメイン名。
<alias_name> = NetBIOS名のエイリアス。
（例：
NetBIOS dm102-cge0に3個のエイリアスを宣言するには、次のように入力します。
$ server_cifs server_2 -add
netbios=dm102-cge0,domain=NASDOCS.emc.com,alias=dm102-cge0-a1,dm102-cge0-a2,dm102-cge0-a3
出力
server_2: 処理完了
CIFSサーバエイリアスの削除
アクション
compnameのエイリアスを削除するには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>-delete compname=<comp_name>,
alias=<alias_name>[,alias=<alias_name2>,...]
ここで：
<mover_name> = Data Moverの名前。
<comp_name> = CIFSサーバの名前。
<alias_name> = コンピュータ名のエイリアス。
（例：
winserver1に割り当てられているエイリアスdm102-cge0-a1を削除するには、次のように入力します。
$ server_cifs server_2 -delete compname=winserver1,alias=dm102-cge0-a1
86
VNX 7.0 CIFSの構成と管理
管理中
出力
server_2: done
ヒント：エイリアスオプションを指定した場合、エイリアスだけが削除され、CIFSサーバは残りま
す。エイリアスオプションを指定しない場合、Windows Server環境のCIFSサーバがData Moverの
CIFS構成から削除されます。
NetBIOSエイリアスの削除
アクション
1つ以上のNetBIOSエイリアスをCIFSサーバから削除するには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>-delete netbios=<netbios_name>,
alias=<alias_name> [,alias=<alias_name2>,...]
ここで：
<mover_name> = Data Moverの名前。
<netbios_name> = CIFSサーバのNetBIOS名。
<alias_name> = NetBIOS名のエイリアス。
（例：
dm102-cge0に割り当てられているエイリアスdm102-cge0-a2を削除するには、次のように入力します。
$ server_cifs server_2 -delete netbios=dm102-cge0,alias=dm102-cge0-a2
出力
server_2: done
ヒント：エイリアスオプションを指定した場合、エイリアスだけが削除され、CIFSサーバは残りま
す。エイリアスオプションを指定しない場合、Windows Server環境のCIFSサーバがData Moverの
CIFS構成から削除されます。
エイリアスの表示
アクション
サーバ上のエイリアスの一覧を表示するには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>
ここで：
NetBIOSまたはコンピュータ名のエイリアス割り当て
87
管理中
アクション
<mover_name> = Data Moverの名前。
（例：
server_2のエイリアスを表示するには、次のように入力します。
$ server_cifs server_2
出力
CIFS Server (Default) dm102 -cge0 [C1T1]
Alias(es): dm102-cge0-a1,dm102-cge0-a2,dm102-cge0-a3
Full computer name=dm2-cge0.c1t1.pt1.c3lab.nasdocs.emc.com
realm=C1T1.PT1.C3LAB.NASDOCS.EMC.COM
Comment='EMC-SNAS:T5.2.7.2'
if=cge0 l=172.24.100.55 b=172.24.100.255 mac=0:6:2b:4:0:7f
FQDN=dm102-cge0.c1t1.pt1.c3lab.nasdocs.emc.com (Updated
to DNS)
CIFSサーバとコメントの関連づけ
コメントをCIFSサーバに関連づけることができます。コメントにより、説明的な情報を
CIFSサーバに追加できます。
●
使用できない文字：二重引用符（"）、セミコロン（;）、アクセント（`）、コンマ
（,）は、コメント文では使用しないでください。これらの特殊文字を使用しようとす
ると、エラーメッセージが表示されます。また、感嘆符（!）は単一引用符（’）に
続く場合にのみ使用できます。
●
デフォルトのコメント：明示的にコメントを追加しない場合、システムは
EMC-SNAS:T<x.x.x.x>という形式のデフォルトコメントを追加します。<x.x.x.x>はNAS
ソフトウェアのバージョンです。
コメントは、CIFSサーバを最初に作成するとき、および作成後に追加できます。
コメントを関連づけるには、次のタスクを実行します。
88
●
Windows Server環境でのCIFSサーバへのコメント追加（89ページ）
●
コメントのクリア（89ページ）
●
CLIからのコメント表示（89ページ）
●
Windows XPクライアントでのコメント制限（90ページ）
VNX 7.0 CIFSの構成と管理
管理中
Windows Server環境でのCIFSサーバへのコメント追加
アクション
Windows環境でコメントを追加するには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>-add compname=<compname_name>,
domain=full_domain_name-comment “comment"
ここで：
<mover_name> = Data Moverの名前。
<comp_name> = Windows Server互換CIFSサーバ。
<full_domain_name> = Windows環境の完全なドメイン名。
<comment> = コメントの内容。
（例：
Windows Server環境で「EMC_VNX」というコメントをserver_2に追加するには、次のように入力します。
$ server_cifs server_2 -add compname=dm32-ana0,domain=NASDOCS.emc.com -comment "EMC_VNX"
概念情報については、国際文字サポート（22ページ）を参照してください。
注：サーバ管理やコンピュータの管理MMCでは、コメントの追加や編集は行えません。コメントを
変更するには、server_cifs _addコマンドを繰り返します。ドメインコンピュータを参照している
場合は、コメントの変更が遅くなることがあります。このような遅延は、Data Moverで約12分ごと
（起動時は例外で、最初の1分間に5回ブロードキャストされる）に実行される、名前とコメントの
ブロードキャストとこの操作が重なった場合に発生します。
コメントのクリア
コメントをクリアするには、次の例のように、1文字のスペースを指定してserver_cifs
-addコマンドを実行します。
アクション
server_2のコメントをクリアするには、次のように入力します。
$ server_cifs server_2 -add netbios=dm32-ana0,domain=capitals -comment " "
CLIからのコメント表示
CLIから CIFSサーバ構成を表示すると、CIFSサーバに関する他の情報とともにコメント
が表示されます。
CIFSサーバとコメントの関連づけ
89
管理中
アクション
構成情報を表示するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name>
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2の構成情報を表示するには、次のように入力します。
$ server_cifs server_2
出力
server_2 :
32 Cifs threads started
Security mode = NT
.
(material deleted)
.
DOMAIN CAPITALS
SID=S-1-5-15-c6ab149b-92d87510-a3e900fb-ffffffff
>DC=BOSTON(172.16.20.10) ref=2 time=0 ms
DC=NEWYORK(172.16.20.50) ref=1 time=0 ms
CIFS Server (Default) DM32-ANA0[CAPITALS] (Hidden)
Alias(es): CFS32
Comment=’EMCVNX’
if=ana0 l=172.16.21.202 b=172.16.21.255 mac=0:0:d1:1d:b7:25
if=ana1 l=172.16.21.207 b=172.16.21.255 mac=0:0:d1:1d:b7:26
Windows XPクライアントでのコメント制限
コメントを変更すると、変更はWindows XPインタフェースの一部にのみ反映されます。ド
メインウィンドウのコンピュータ名の場合、変更は即座にWindows XPクライアントに反
映されます。ただし、Windows XPのエクスプローラの場合、この変更は割り当て済みの
ネットワークドライブ名に反映されません。
コメントは、Windows XPクライアントでネットワークドライブを最初に割り当てるとき
にローカルのレジストリに保存され、割り当て済みのドライブ名として表示されます。ク
ライアントでは、手動でレジストリが変更されるまで、割り当て済みのドライブ名とし
て、保存されたコメントが引き続き使用されます。割り当て済みのネットワークドライ
ブ名を［エクスプローラ］また［マイコンピュータ］から手動で変更すると、変更され
た名前は別のレジストリエントリーに保存され、エクスプローラまたはレジストリで再
度変更されるまで、そのクライアントではこの名前が使用されます。
EMCでは、CIFSサーバの初期セットアップの一環としてコメントを設定することをお勧め
します。
90
VNX 7.0 CIFSの構成と管理
管理中
CIFSサーバパスワードの変更
通常、Windows Active Directoryのメンバーであるコンピュータでは、定期的（12時間ご
と、7日ごとなど）にドメインアカウントのパスワードが変更されます。
アクション
CIFSパスワードと暗号化キーをリセットするには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -Join compname= <comp_name> ,
domain= <full_domain_name> , admin= <admin_name> -option resetserverpasswd
ここで：
<mover_name> = Data Moverの名前。
<comp_name> = CIFSサーバの名前。
<full_domain_name> = Windows環境の完全なドメイン名。
<admin_name> = ドメイン内の管理者権限を持つユーザーのログイン名。このユーザーは、管理者アカウン
トのパスワードの入力が要求されます。
（例：
server_2のCIFSパスワードと暗号化キーをリセットするには、次のように入力します。
$ server_cifs server_2 -Join compname=winserver1,domain=nasdocs.emc.com,admin=compadmin -option
resetserverpasswd
出力
server_2: Enter Password: ******
done
Data Moverでドメインコントローラのパスワードを変更する間隔を設定する方法につい
ては、コンピュータパスワードの自動変更の構成（126ページ）を参照してください。
注： Windows NTモードでCIFSサーバを作成すると、デフォルトのパスワードが割り当てられます。
Data Moverでは、ドメインコントローラと通信するときにパスワードの変更が試みられます。パス
ワードの変更が失敗すると、CIFSサーバではデフォルトのパスワードがそのまま使用されます。デ
フォルトのパスワードは、パスワードをリセットする必要があるサーバの名前であるからです。Data
Moverでドメインコントローラのパスワードを強制的に更新するには、CIFSサービスを再開します。
処理の詳細については、 CIFSサービスの起動（57ページ）を参照してください。
CIFSサーバパスワードの変更
91
管理中
SMB2ダイアレクトリリースの表示
アクション
現在のSMB2ダイアレクトリリースを表示するには、次のコマンドシンタクスを使用します。
$ server_cifs <movername> -option audit
ここで：
<movername> = Data Moverの名前。
（例：
server_2の現在のSMB 2ダイアレクトリリースを表示するには、次のように入力します。
$ server_cifs server_2 –option audit
出力
AUDIT Ctx=0x11f22820, ref=2, W2K8 Client(VISTA-PDO) Port=50772/445
DPDOW2K8[LHIPV6DOM1] on if=dpdo:1
CurrentDC 0x11e97020=LH-DEV-DC1
Proto=SMB2.02, Arch=Win2K8, RemBufsz=0xffff, LocBufsz=0xffff, popupMsg=1
開いているファイルの数と名前の表示
アクション
開いているファイルの数と名前を表示するには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>-option audit [,user=<user_name>]
[,client=<client_name>][,full]
ここで：
<mover_name> = Data Moverの名前。
<user_name> = ユーザー名には、「<user_name>」のみ、「ドメイン名\<user_name>」、または「<us-
[email protected]>」を使用できます。
<client_name> = マシンの名前で、文字列またはIPアドレスを使用できます。
（例：
server_2で開いているファイルの数と名前を表示するには、次のように入力します。
$ server_cifs server_2 -option audit,full
92
VNX 7.0 CIFSの構成と管理
管理中
出力
AUDIT Ctx=0xdffcc404, ref=2, Client(fm-main07B60004)
Port=36654/139
NS40_1[BRCSLAB] on if=cge0_new
CurrentDC 0xceeab604=W2K3PHYAD
Proto=NT1, Arch=UNKNOWN, RemBufsz=0xfefb, LocBufsz=0xffff,
popupMsg=1
0 FNN in FNNlist NbUsr=1 NbCnx=0
Uid=0x3f NTcred(0xcf156a04 RC=1 NTLM Capa=0x401) 'BRCSLAB\gustavo'
CHECKER
AUDIT Ctx=0xde05cc04, ref=2, XP Client(BRCSBARREGL1C) Port=1329/445
NS40_1[BRCSLAB] on if=cge0_new
CurrentDC 0xceeab604=W2K3PHYAD
Proto=NT1, Arch=Win2K, RemBufsz=0xffff, LocBufsz=0xffff,
popupMsg=1
0 FNN in FNNlist NbUsr=1 NbCnx=2
Uid=0x3f NTcred(0xceeabc04 RC=3 NTLMSSP Capa=0x11001) 'BRCSLAB\gustavo'
CHECKER
Cnxp(0xceeaae04), Name=IPC$, cUid=0x3f Tid=0x3f, Ref=1,
Aborted=0
readOnly=0, umask=22, opened files/dirs=0
Cnxp(0xde4e3204), Name=gustavo, cUid=0x3f Tid=0x41, Ref=1,
Aborted=0
| readOnly=0, umask=22, opened files/dirs=2
Fid=64, FNN=0x1b0648f0(FREE,0x0,0), FOF=0x0 DIR=\
Notify commands received:
Event=0x17, wt=0, curSize=0x0, maxSize=0x20, buffer=0x0
Tid=0x41, Pid=0xb84, Mid=0xec0, Uid=0x3f, size=0x20
Fid=73, FNN=0x1b019ed0(FREE,0x0,0), FOF=0xdf2ae504 (CHECK)
FILE=\New Wordpad Document.doc
MMC（Microsoft管理コンソール）を使用して開いているファイルを参照する方法の詳細に
ついては、「VNXでのWindows管理ツールの使用方法」を参照してください。
ヒント： Microsoft Windows 7 SMB2クライアントの場合、サブオプションfullでData Mover上の現在
キャッシュされているリース情報を表示します。
参加権限のデリゲーション
参加権限をデリゲートすると、権限を与えられたユーザーはCIFSサーバをそのドメイ
ンに参加させることができます。このユーザーが特定のWindows権限を持っている必要は
ありませんが、CIFSサーバと同じADフォレストに存在する必要があります。
参加権限をデリゲートするには、次のパラメータを設定します。
●
cifs djUsekpassword
●
cifs djAddAdminToLg
●
cifs djEnforceDhn
参加権限のデリゲーション
93
管理中
注： Data Moverでは、WindowsクライアントはKerberosではなくNTLMSSPモードを使用して認証され
るため、djEnforceDhnはアクセス権限に対する一時的な手段として使用します。
詳細については、「VNX for Fileパラメータガイド」を参照してください。概念情報
については、参加のデリゲーション（41ページ）を参照してください。
ファイルシステムの管理
ファイルシステムを管理するには、次のタスクを実行します。
●
同期書き込みの保証（94ページ）
●
oplockの無効化（95ページ）
●
ファイル変更通知の構成（95ページ）
同期書き込みの保証
cifssyncwriteオプションは、ファイルサーバへの書き込みすべてが同期的に行われるこ
とを保証します。VNXが特定のデータベースファイルの保存に使用される場合、同期書き
込みの保証は重要です。EMCでは、電源喪失などのさまざまな障害シナリオでのデータ消
失やファイル破損を回避するために、このオプションを指定することを推奨します。
アクション
ファイルシステムをマウントして、同期書き込みが確実に行われるようにするには、次のコマンドシンタク
スを使用します。
$ server_mount<mover_name>-option cifssyncwrite<fs_name> <mount_point>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<fs_name> = マウントされているファイルシステムの名前。
<mount_point> = マウントポイントの名前。
（例：
同期書き込みが確実に行われるようファイルシステムufs1をマウントするには、次のように入力します。
$ server_mount server_2 -option cifssyncwrite ufs1 /ufs1
出力
server_2 : done
94
VNX 7.0 CIFSの構成と管理
管理中
oplockの無効化
概念情報については、便宜的ファイルロック（50ページ）を参照してください。
EMCでは、oplockをオフにするよう指示されているデータベースアプリケーションを使
用する場合、およびどのようなデータの損失も許されない重要なデータを扱う場合を除
き、oplockをオンのままにしておくことを推奨します。oplockが有効化されている場合、
Windows Serverのクラッシュやネットワークの問題の発生時に、Microsoftネットワーク
でデータの損失が起きることがあります。
アクション
特定のファイルシステムのoplockを無効化するには、次のコマンドシンタクスを使用します。
$ server_mount<mover_name>-option nooplock<fs_name><mount_point>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<fs_name> = マウントされているファイルシステムの名前。
<mount_point> = マウントポイントの名前。
（例：
oplockを無効化してファイルシステムufs1をマウントするには、次のように入力します。
$ server_mount server_2 -option nooplock ufs1 /ufs1
出力
server_2 : done
注： oplocksを無効化した場合、パフォーマンスの低下を感じる場合があります。
ファイル変更通知の構成
このコマンドを使用する前に、ディレクトリファイルを開いておく必要があります。概
念情報については、ファイル変更通知（50ページ）を参照してください。
注：ファイル変更通知は、デフォルトで有効になっています。パフォーマンスの問題がある場合
は、通知オプションの無効化を検討できます。
アクション
ファイルシステムの通知機能を無効化するには、次のコマンドシンタクスを使用します。
$ server_mount<mover_name>-option nonotify<fs_name><mount_point>
ファイルシステムの管理
95
管理中
アクション
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<fs_name> = マウントされているファイルシステムの名前。
<mount_point> = マウントポイントの名前。
（例：
server_2のファイルシステムufs1の通知機能を無効化するには、次のように入力します。
$ server_mount server_2 -option nonotify ufs1 /ufs1
出力
server_2 : done
表 13（96ページ）に、ファイル変更通知オプションについての情報を示します。
表 13. ファイル変更通知オプション
オプション
概要
範囲
例
triggerlevel=<value>
変更を監視するディレクト <value>は、16進数形式で次の例では、最大15ディ
リのレベル数を指定す
ある必要があります。
レクトリレベルに設定し
る。
ています。
デフォルト値： 512レベル
（0x00000200）
$ server_mount server_2
-option "triggerlevel=
0x0000000f" ufs1 /ufs1
notifyonwrite
ファイルシステムへの書デフォルト値：無効
き込みアクセスを通知す
る。
このオプションは、アプリ
ケーションがファイルを閉
じる前にファイル書き込
み通知を必要とする場合
に有効です。
notifyonaccess
変更された時刻を通知すデフォルト値：無効
る。
notifyonwriteを有効化す
る例を次に示します。
$ server_mount server_2
-option notifyonwrite ufs1
/ufs1
notifyonaccessとnotifyonwriteを有効化する例を次
に示します。
$ server_mount server_2
-option notifyonaccess,
notifyonwrite ufs1 /ufs1
注：パフォーマンスのため、notifyonwriteおよびnotifyonaccessオプションはデフォルトでは無
効化されています。
96
VNX 7.0 CIFSの構成と管理
管理中
CIFSサービスの停止
アクション
Data MoverのCIFSサービスを停止するには、次のコマンドシンタクスを使用します。
$ server_setup <mover_name> -Protocol cifs -option stop
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2でCIFSサービスを停止するには、次のように入力します。
$ server_setup server_2 -Protocol cifs -option stop
出力
server_2: 処理完了
Data MoverでCIFSサービスを停止すると、ユーザーはそのData Mover上のすべてのCIFS
サーバにアクセスできなくなります。
CIFSサーバの削除
はじめに
CIFSサーバを削除する前に、MMC（Microsoft管理コンソール）またはServer Managerを使
用して、アクティブなセッションをすべて終了させます。
書き込み処理中にCIFSサーバ（Windows ServerまたはWindows NT）の停止や削除を行う
と、データが失われる可能性があります。この手順を実行する前に、CIFSサーバを使用
できなくなることをあらかじめ全ユーザーに知らせてください。
Windows Server環境でのCIFSサーバの削除
1. ドメインに参加しているコンピュータを解除するには、次のコマンドシンタクスを使
用します。
$ server_cifs <mover_name> -Unjoin compname = <comp_name> , domain = <full_domain_name>
各項目の意味は以下のとおりです。
<mover_name>
<comp_name>
= Data Moverの名前。
= CIFSサーバのコンピュータ名。
<full_domain_name>
= Windows環境の完全なドメイン名。
（例：
CIFSサービスの停止
97
管理中
ドメインuniverse.comに参加しているコンピュータを削除するには、次のように入力
します。
$ server_cifs server_2 -Unjoin compname=dm32-cge0,domain=universe.com
2. CIFSサーバを削除するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -delete compname = <comp_name> [ -remove_localgroup ][, alias =
<alias_name> ...][, interface = <if_name> ]
各項目の意味は以下のとおりです。
<mover_name>
<comp_name>
= Data Moverの名前。
= CIFSサーバのコンピュータ名。
（例：
CIFSサーバを削除するには、次のように入力します。
$ server_cifs server_2 -delete compname=dm32-cge0
ヒント： -remove_localgroupオプションを追加した場合、Data MoverはCIFSサーバのローカルグ
ループ情報をData Moverのパーマネントストレージから恒久的に削除します。aliasとinterface
オプションを追加すると、エイリアスとインタフェースだけが削除され、CIFSサーバは残りま
す。同一のdeleteコマンド内でaliasオプションとinterfaceオプションを組み合わせて使用でき
ます。
注： -deleteコマンドでは、PDC（primary domain controller）からのNetBIOSエントリーは削除さ
れません。
CIFS共有の削除
共有を削除すると、ユーザーはその共有にアクセスできなくなります。CIFS共有に対する
すべてのアンエクスポートは永続的なものです。つまり、CIFS共有がアンエクスポートさ
れると、そのエントリーはエクスポートテーブルから削除されます。ユーザーにファイ
ルシステムへのアクセスを提供するには、そのファイルシステムを再度エクスポートす
る必要があります。
共有を削除する前に、すべてのユーザーがその共有との接続を切断していることを確認し
てください。ディレクトリまたはファイルシステムを、アンマウントする前にData Mover
からエクスポートすると、次回そのファイルシステムにアクセスを試行したときに、共
有へ接続できなくなります。
注：デフォルトでは、Windows管理ツールで作成された共有はローカル共有になります。処理の詳
細については、 CIFSユーザーの共有作成（63ページ）を参照してください。CLIでローカル共有を
削除するには、server_exportコマンドの実行時にNetBIOS名を指定する必要があります。
98
VNX 7.0 CIFSの構成と管理
管理中
特定の共有の削除
アクション
CIFS共有を削除するには、次のコマンドの文法を使用します。
$ server_export <mover_name> -unexport -name <sharename> [ -option <options> ]
ここで：
<mover_name> = 物理Data MoverまたはVDMの名前。
<sharename> = CIFS共有の名前。
<options> = 一覧表示のオプション。現在のところ、オプションはnetbios=<netbios_name>の1種類だけです。
共有にNetBIOS名が関連づけられている場合、この名前がエントリーを見つける際に必要になります。異
なるNetBIOS名に属している複数のCIFSエントリーに対して、同じ<sharename>が使用されている場合が
あるからです。
（例：
server_2から共有cifs_shareを削除するには、次のように入力します。
$ server_export server_2 -unexport -name cifs_share
出力
server_2: 処理完了
CIFS共有の削除
99
管理中
すべての共有の削除
このオプションの使用は、慎重に行ってください。すべての共有を削除した後は、すべ
てのマウントされたファイルシステムに対するユーザーの接続をリストアするため、各
Data Moverの各パスを再度エクスポートして、エクスポートテーブルを再構築する必要
があります。
アクション
すべてのCIFS共有を削除するには、次のコマンドの文法を使用します。
$ server_export<mover_name>-Protocol cifs -unexport -all
ここで：
<mover_name> = 物理Data MoverまたはVDMの名前。
（例：
server_2のすべての共有を削除するには、次のように入力します。
$ server_export server_2 -Protocol cifs -unexport -all
出力
server_2: done
注：共有を削除しても、基板となるファイルシステムは削除されません。
ドメイン移行の管理
server_cifs -Migrateコマンドは、ソースドメインのユーザーおよびグループアカウン
ト名とターゲットドメインのユーザーおよびグループアカウント名を一致させることに
より、すべてのソースドメインのSIDをターゲットドメインのSIDに更新します。このオ
プションで指定されたインタフェースは、各オブジェクトのSIDを検索するため、まずロー
カルサーバに、その後ローカルサーバの対応するソースおよびターゲットのドメイン
コントローラに問い合わせを行います。
server_cifs -Migrateコマンドオプションを使用する前に、次の点を確認してください。
100
●
Migrateオプションでは、どのようなドメイン移行ツールも事前に実行する必要はな
い。
●
Migrateオプションの場合：
•
ソースおよびターゲットのドメインコントローラが存在する必要がある。
•
ソースドメインとターゲットドメイン間で信頼関係が確立されている限り、
server_cifsコマンドで同じインタフェースまたはNetBIOS名を指定できる。
VNX 7.0 CIFSの構成と管理
管理中
•
異なるインタフェースまたはNetBIOS名を使用するには、ソースドメイン用とター
ゲットドメイン用の2つのCIFSサーバをData Mover上に構成する必要がある。
アクション
ファイルシステムufs 1についてACLデータベース内のSIDすべてをeng.emc.com:nb=dm112-cge1:if=cge1
からnasdocs.emc.com:nb=dm112-cge0:if=cge0へ移行するには、次のように入力します。
$ server_cifs server_2 -Migrate ufs1 -acl eng.emc.com:nb=dm112-cge1:if=cge1 nasdocs.emc.com:nb=dm112-cge0:if=cge0
出力
server_2: done
server_cifs -Replaceコマンドは、古いドメインのヒストリSIDを、新しいドメインの新
しいSIDで置き換えます。このオプションで指定されたインタフェースは、各オブジェク
トのSIDとヒストリSIDを検索するため、まずローカルサーバに、その後ローカルサーバ
の対応するターゲットドメインコントローラに問い合わせを行います。
server_cifs -Replaceコマンドオプションを使用する前に、次の点を確認してください。
●
Replaceオプションでは、ドメイン移行ツールを使用して最初にアカウントの移行を行
う必要がある。
●
Replaceオプションでは、ユーザーまたはグループごとにクォータが設定される。
アクション
ufs1のSIDを置き換えるには、次のように入力します。
$ server_cifs server_2 -Replace ufs1 -acl:nb=dm112-cge0:if=cge0
出力
server_2: done
概念情報については、ドメインの移行（19ページ）を参照してください。
注：ローカルグループの更新後は、すべての変更をターゲットドメインに反映させるために、
Data Mover上のCIFSサーバを再起動します処理の詳細については、 CIFSサービスの停止（97ペー
ジ）および CIFSサービスの起動（57ページ）を参照してください。
ドメイン移行の管理
101
管理中
ユーザー認証方法の変更
デフォルトでは、 VNX はNTユーザー認証方法を使用します。ドメインCIFSサーバとロー
カルユーザーサポートが有効なスタンドアロンサーバの両方でNTユーザー認証を使用
します。セキュリティおよびその他の理由により、UNIXやSHAREユーザー認証は使用しな
いよう強く推奨します。詳細については、ユーザー認証方法（29ページ）を参照してく
ださい。
アクション
Data Moverのユーザー認証方法を変更するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -add security= <security_mode>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<security_mode> = NT、UNIX、またはSHARE。
（例：
server_2のユーザー認証方法をUNIXに設定するには、次のように入力します。
$ server_cifs server_2 -add security=UNIX
出力
server_2 : done
ユーザー認証方法の確認
アクション
Data Moverに設定されているユーザー認証方法をチェックするには、次のコマンドの文法を使用します。
$ server_cifs <mover_name>
ここで：
<mover_name> = Data MoverまたはVDMの名前。
（例：
server_2のユーザー認証方法を確認するには、次のように入力します。
$ server_cifs server_2
102
VNX 7.0 CIFSの構成と管理
管理中
出力
server_2 :
256 Cifs threads started
Security mode = NT
Max protocol = NT1
I18N mode = UNICODE
Home Directory Shares DISABLED
usermapper auto broadcast enabled
usermapper[0] = [128.221.253.2] state:active (auto discovered)
usermapper[1] = [128.221.252.2] state:active (auto discovered)
Default WINS servers = 172.24.101.108
Enabled interfaces: (All interfaces are enabled)
Disabled interfaces: (No interface disabled)
Unused Interface(s):
if=cge1 l=172.24.100.61 b=172.24.100.255 mac=0:60:16:4:43:ec
if=cge2 l=172.24.100.62 b=172.24.100.255 mac=0:60:16:4:43:e9
if=cge3 l=172.24.100.71 b=172.24.100.255 mac=0:60:16:4:43:e8
DOMAIN W2KPAGCHILD1NBN FQDN=child1.win2kpag.ad.root SITE=NET-100
RC=5
SID=S-1-5-15-f7d03a54-f0a67e26-297741d6-ffffffff
>DC=LNSGC046(172.24.101.46) ref=2 time=9 ms (Closest
Site)
>DC=LNSGC108(172.24.101.108) ref=3 time=1 ms (Closest
Site)
CIFS Server CS80-DM4-CGE0[W2KPAGCHILD1NBN] RC=40
Alias(es): CS80DM4-ALIAS1,CS80DM4-ALIAS2,CS80DM4-ALIAS3,CS80DM4-ALIAS4,CS80DM4ALIAS5,CS80DM4-ALIAS6,CS80DM4-ALIAS7,CS80DM4-ALIAS8,CS80DM4-ALIAS9,CS80DM4-ALIAS10
Full computer name=cs80-dm4-cge0.child1.win2kpag.ad.root
realm=CHILD1.WIN2KPAG.AD.ROOT
Comment='EMC-SNAS:T5.5.15.0'
if=cge0 l=172.24.100.47 b=172.24.100.255 mac=0:60:16:4:43:ed
wins=172.24.101.108
FQDN=cs80-dm4-cge0.pag.emc.com (Updated to DNS)
Password change interval: 30分
Last password change: Thu Dec 20 14:09:07 2005 GMT
Password versions: 1088, 1087
注： Data Mover上にCIFSサーバが存在する場合、ユーザー認証方法は既存のCIFSサーバが使用して
いるため、リセットできません。
ユーザー認証方法の変更
103
管理中
104
VNX 7.0 CIFSの構成と管理
第5章
先進的な機能の活用
次のような先進のCIFS機能があります。
トピック :
●
●
●
●
●
●
●
●
●
●
●
ホームディレクトリの有効化と管理（106ページ）
グループポリシーオブジェクトの管理（109ページ）
代替データストリームの無効化（114ページ）
SMB署名の構成（115ページ）
SMB2プロトコルの管理（118ページ）
デフォルトのシンボリックリンクの動作の変更（121ページ）
CIFSクライアントを使用したシンボリックリンクへのアクセス（124
ページ）
コンピュータパスワードの自動変更の構成（126ページ）
Windowsセキュリティログの場所変更（127ページ）
CIFSサーバのWindowsドメインへの参加：高度な手順（128ページ）
ファイルフィルタリングのポップアップメッセージのカスタマ
イズ（130ページ）
VNX 7.0 CIFSの構成と管理
105
先進的な機能の活用
ホームディレクトリの有効化と管理
ホームディレクトリ機能はデフォルトでは無効化されています。Unisphereオンライン
ヘルプに記載されているように、ホームディレクトリは、CIFSサーバを作成してCIFSサー
ビスを開始してから有効化します。概念情報については、ホームディレクトリ（42ペー
ジ）を参照してください。
ホームディレクトリ機能を管理するには、次のタスクを実行します。
1. データベースの作成（106ページ）
2. ホームディレクトリファイルの作成（106ページ）
3. ユーザープロファイルへのホームディレクトリの追加（107ページ）
4. Data Moverでのホームディレクトリの無効化（109ページ）
データベースの作成
1. ホームディレクトリ機能を使用するには、homedirという名前のデータベースを作成
します。このデータベースにより、各ドメインやユーザー名の組み合わせがユーザー
のホームディレクトリの場所にマップされます。
2. 初期エントリーの作成中にData Moverに新規データベースを作成するには、ホーム
ディレクトリスナップインを使用します。
ホームディレクトリファイルの作成
アクション
Data Mover上でホームディレクトリを有効にするには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>-option homedir
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2でホームディレクトリを有効にするには、次のように入力します。
$ server_cifs server_2 -option homedir
出力
server_2 : done
ホームディレクトリデータベースファイルについて詳しくは、付録 Aを参照してくだ
さい。
106
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
注： EMCは、ホームディレクトリの作成について、ホームディレクトリ管理MMCスナップインを使
用してユーザーのホームディレクトリエントリーの作成と編集を行うことを推奨します。MMCス
ナップインでは、ユーザーがエントリーを入力すると、妥当性検査が行われます。homedirファイ
ルを作成または編集するとき、誤ったエントリーを入力すると、ホームディレクトリ環境が使用で
きなくなる場合があります。ディレクトリの自動作成の詳細については、VNX管理MMCスナップイン
のオンラインヘルプを参照してください。
ユーザープロファイルへのホームディレクトリの追加
アクション
ユーザーが個々のホームディレクトリにアクセスできるようにするには、ホームディレクトリをそれぞれの
ユーザープロファイルの次のパスにマップする必要があります。
\\ <cifs_server> \ HOME
ここで：
<cifs_server> = CIFSサーバのIPアドレス、コンピュータ名、またはNetBIOS名。
HOME = ホームディレクトリ機能のために予約されている、特別な共有名。
（例：
dm32-cge0の各ユーザープロファイルでホームディレクトリをマップするには、次のように入力します。
\\dm32-cge0\HOME
ユーザープロファイルにホームディレクトリを追加するには、次のタスクを実行しま
す。
●
Windows Serverでのホームディレクトリの追加（107ページ）
●
正規表現を使用したホームディレクトリの追加（109ページ）
Windows Serverでのホームディレクトリの追加
1. ドメイン管理者アカウントでWindows Serverにログインします。
2. ［スタート］をクリックし、［プログラム］ ➤ ［管理ツール］ ➤ ［Active Directory ユーザー
とコンピュータ］の順に選択します。
3. ［ユーザー］をクリックして、右側のパネルにユーザーを表示します。
4. ユーザーを右クリックし、［プロパティ］を選択します。［サンプルユーザープロパティ］
ウィンドウが表示されます。
5. ［プロファイル］タブをクリックし、［ホームフォルダ］セクションで、次の作業を実
行します。
a. ［接続ドライブ］を選択します。
b. ホームディレクトリにマッピングするドライブ文字を選択します。
ホームディレクトリの有効化と管理
107
先進的な機能の活用
c. ［パス］フィールドに次のように入力します。
\\<cifs_server>\HOME
各項目の意味は以下のとおりです。
<cifs_server>
= CIFSサーバのIPアドレス、コンピュータ名、またはNetBIOS名。
6. ［OK］をクリックします。
108
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
正規表現を使用したホームディレクトリの追加
1. ドメイン管理者アカウントでWindows Serverにログインします。
2. ［スタート］ ➤ ［プログラム］ ➤ ［管理ツール］ ➤ ［Celerra管理］の順に選択します。
3. ［Homedir］フォルダアイコンを右クリックし、［新規作成］ ➤ ［ホームディレクトリエン
トリー］の順に選択します。ホームディレクトリのプロパティウィンドウが表示され
ます。
4. ホームディレクトリプロパティのプロパティウィンドウで、次の作業を実行しま
す。
a. ［ドメイン］に、正規表現を入力します。この例では、DOCで始まるすべてのドメイン
名がこの表現に一致します。
b. ［ユーザー］に、正規表現を入力します。この例では、すべてのユーザー名がアスタ
リスクに一致します。
c. ［パス］に、\homedirs\と入力します。この例では、homedirsは、ホームディ
レクトリが格納されている共有です。はユーザーのログイン名です。まだディレ
クトリが存在しない場合は、ユーザーのログイン名と同じ名前のディレクトリが作
成されます。
5. ［OK］をクリックします。
正規表現（150ページ）で詳細を参照してください。
Data Moverでのホームディレクトリの無効化
アクション
Data Moverのホームディレクトリを無効にするには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -option homedir=no
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2でホームディレクトリを無効にするには、次のように入力します。
$ server_cifs server_2 -option homedir=no
グループポリシーオブジェクトの管理
GPO（グループポリシーオブジェクト）を管理するには、次のタスクを実行します。
●
GPO設定の表示（110ページ）
●
GPO設定の更新（111ページ）
ホームディレクトリの有効化と管理
109
先進的な機能の活用
●
GPOサポートの無効化（113ページ）
●
GPOキャッシュの無効化（113ページ）
概念情報については、グループポリシーオブジェクト（36ページ）を参照してくださ
い。
GPO設定の表示
注： Windows Serverドメインに参加している各CIFSサーバのGPO（グループポリシーオブジェク
ト）を表示できます。
アクション
Data Moverの現在のGPO設定を表示するには、次のコマンドシンタクスを使用します。
$ server_security <mover_name> -info -policy gpo
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2の現在のGPO設定を表示するには、次のように入力します。
$ server_security server_2 -info -policy gpo
出力
server_2:
Server compname: k10eqa19s2
Server NetBIOS: K10EQA19S2
.
.
.
by days
Retention Method for application log server list: k10eqa19s2
Disable background refresh of Group Policy: 未定義
Group Policy Refresh interval (minutes): 60
Refresh interval offset (minutes): 5
GPO Last Update time (local): Wed Sep 10 14:47:42 EDT
2007
GPO Next Update time (local): Wed Sep 10 15:50:42 EDT
2007
注：すべてのData Mover上にあるCIFSサーバすべてのGPO設定を表示するには、server_securityコ
マンドのALLオプションを使用します。
110
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
GPO設定の更新
CIFS サービスの動作中または再起動後、Data Moverでは次の更新間隔のいずれかに基づ
いてGPO（グループポリシーオブジェクト）設定が更新されます。
●
ドメインに定義する場合、更新間隔は0（10秒ごとに更新）～64,800分（45日ごとに更
新）の範囲で設定可能。
●
ドメインに定義しない場合、Data Moverではデフォルトの更新間隔の90分が使用され
る。
GPOを更新するには、次のタスクを実行します。
●
GPO自動更新の無効化（111ページ）
●
全Data MoverのGPO設定の手動更新（112ページ）
●
特定のドメインのGPO設定の手動更新（112ページ）
GPO自動更新の無効化
アクション
GPOの自動更新を無効化するには、GPO設定の「バックグラウンドでのグループポリシー更新の無効化」
を有効化します。
出力
Disable background refresh of Group Policy: Enabled
Group Policy Refresh interval (minutes): 90
Refresh interval offset (minutes): 未定義
GPO Last Update time (local): Wed Sep 10 14:47:42 EDT 2007
GPO Background Update disabled, must be updated manually
グループポリシーオブジェクトの管理
111
先進的な機能の活用
全Data MoverのGPO設定の手動更新
MMC（Microsoft管理コンソール）またはサーバマネージャからグループポリシーを変更
する場合、 VNX のGPO設定を強制的に更新できます。
アクション
Data MoverのGPO設定の更新を強制するには、次のコマンドシンタクスを使用します。
$ server_security <mover_name> -update -policy gpo
ここで：
<mover_name> = すべてのData Mover。
（例：
server_2のGPO設定を強制的に更新するには、次のように入力します。
$ server_security server_2 -update -policy gpo
出力
server_2 : done
注：すべてのData Mover上のCIFSサーバすべてでGPO設定を更新するには、server_securityコマン
ドでALLオプションを使用します。
特定のドメインのGPO設定の手動更新
アクション
特定のドメインのData MoverのGPO設定を強制的に更新するには、次のコマンドシンタクスを使用します。
$ server_security <mover_name> -update -policy gpo domain= <domain_name>
ここで：
<mover_name> = Data Moverの名前。
<domain_name> = CIFSサーバのドメイン名。
（例：
NASDOCSドメインのserver_2のGPO設定を更新するには、次のように入力します。
$ server_security server_2 -update -policy gpo domain=NASDOCS
出力
server_2 : done
注： NASDOCSドメイン内のすべてのCIFSサーバのGPO設定を更新するには、server_securityコマン
ドでALLオプションを使用します。
112
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
GPOサポートの無効化
GPO（グループポリシーオブジェクト）は、デフォルトでData Moverごとに有効になっ
ています。GPOサポートが無効化されている場合、 VNX からWindowsドメインコントロー
ラにアクセスできないため、関連する VNX の機能ではそれぞれのデフォルト設定が自動
的に使用されます。
cifs gpoパラメータの詳細については、「VNX for Fileパラメータガイド」を参照し
てください。
アクション
GPOサポートを無効化するには、次のコマンドシンタクスを使用します。
$ server_param <mover_name> -facility cifs -modify gpo -value 0
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2のGPOサポートを無効化するには、次のように入力します。
$ server_param server_2 -facility cifs -modify gpo -value 0
出力
server_2 : done
注：パラメータとファシリティの名前は大文字と小文字が区別されます。
GPOキャッシュの無効化
Data Moverは、 Windowsドメインコントローラから取得したGPO（グループポリシー
オブジェクト）設定をキャッシュします。GPOキャッシュを使用すると、ドメインコント
ローラにアクセスできないときでもData MoverでGPO設定を即座に取得できます。
キャッシュされた設定をData Moverで使用しない場合は、GPOキャッシュを無効化できま
す。GPOキャッシュが無効の場合、Data MoverはWindowsドメインコントローラから設定
を取得する必要があります。
cifs gpocacheパラメータの詳細については、「VNX for Fileパラメータガイド」を参
照してください。
注： GPOキャッシュが無効化されていて、 VNX からWindowsドメインコントローラにアクセスでき
ない場合、関連する VNX 機能ではそれぞれのデフォルト設定が使用されます。
グループポリシーオブジェクトの管理
113
先進的な機能の活用
アクション
GPOキャッシュを無効化するには、次のコマンドシンタクスを使用します。
$ server_param <mover_name> -facility cifs -modify gpocache -value 0
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2のGPOキャッシュを無効化するには、次のように入力します。
$ server_param server_2 -facility cifs -modify gpocache -value 0
出力
server_2 : done
注：パラメータとファシリティの名前は大文字と小文字が区別されます。
代替データストリームの無効化
ADS（代替データストリーム）のサポートは、shadowストリームパラメータで制御され、
デフォルトで有効になっています。ADSのサポートの無効化が望ましいケースもまれにあ
りますが、通常EMCでは代替データストリームのサポートを有効にしておくことを推奨し
ます。代替データストリームのサポート（45ページ）で詳細を参照してください。
shadowストリームパラメータの詳細については、「VNX for Fileパラメータガイド」を
参照してください。
アクション
ADSサポートを無効化するには、次のコマンドシンタクスを使用します。
$ server_param<mover_name>-facility shadow -modify stream -value 0
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2のADSサポートを無効化するには、次のように入力します。
$ server_param server_2 -facility shadow -modify stream -value 0
出力
server_2 : done
114
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
SMB署名の構成
SMB（サーバメッセージブロック）署名を
構成するには、次のタスクを実行します。
●
smbsigningパラメータを使用したSMB署名の構成（115ページ）
●
Data MoverでのSMB署名の無効化（115ページ）
●
GPOを使用したSMB署名の構成（116ページ）
●
Windowsレジストリを使用したSMB署名の構成（116ページ）
概念情報については、 SMBプロトコルのサポート（47ページ）を参照してください。
smbsigningパラメータを使用したSMB署名の構成
cifs.smbsigningパラメータは、Data Mover上のSMB（サーバメッセージブロック）署名
を制御するパラメータで、Data Mover上のすべてのCIFSサーバに適用されます。このパラ
メータは個別のData Moverや VNX に構成され、クライアント側署名とサーバ側署名を制
御します。
cifs.smbsigningパラメータの使用方法の詳細については、「VNX for Fileパラメータ
ガイド」を参照してください。
Data MoverでのSMB署名の無効化
アクション
SMB署名を無効化するには、次のコマンドシンタクスを使用します。
$ server_param <mover_name> -facility cifs -modify smbsigning -value 0
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2のSMB署名サポートを無効化するには、次のように入力します。
$ server_param server_2 -facility cifs -modify smbsigning -value 0
出力
server_2: 処理完了
SMB署名の構成
115
先進的な機能の活用
GPOを使用したSMB署名の構成
サーバ側とクライアント側の SMB（サーバメッセージブロック）署名を個別に制御す
る必要がある場合は、図 5（116ページ）のようにGPOを構成できます。これらのGPO（グ
ループポリシーオブジェクト）は［既定のドメインセキュリティの設定］で確認でき、すべ
てのドメインコントローラから設定できます。
［既定のドメインセキュリティの設定］にアクセスするには、［スタート］ ➤ ［コントロールパネ
ル］ ➤ ［管理ツール］ ➤ ［ドメインセキュリティポリシー］の順に進みます。
図 5. ［既定のドメインセキュリティの設定］のSMB署名GPO
注： GPOを使用したSMB署名の構成はドメイン内のすべてのクライアントとサーバに適用され、個々
のレジストリ設定を上書きします。
Windowsレジストリを使用したSMB署名の構成
表 14（117ページ）に、SMB署名で使用できるグループポリシーオブジェクトを示しま
す。
116
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
表 14. SMB署名GPO
GPO名
制御内容
Data Moverのデフォルト設定
Microsoftネットワークサーバ：常サーバ側SMBコンポーネントで署 Disabled
に通信にデジタル署名を行う
名が必要かどうか
Microsoftネットワークサーバ：クサーバ側SMBコンポーネントで署 Disabled
ライアントが同意すれば、通信に名が有効化されているかどうか
デジタル署名を行う
Microsoftネットワーククライアンクライアント側SMBコンポーネント Disabled
ト：常に通信にデジタル署名を行で署名が必要かどうか
う
Microsoftネットワーククライアンクライアント側SMBコンポーネント Enabled
ト：サーバが同意すれば、通信にで署名が有効化されているかどう
デジタル署名を行う
か
SMB（サーバメッセージブロック）署名は、Windowsレジストリでも構成できます。Windows
NT環境など、使用可能なGPO（グループポリシーオブジェクト）がない場合はレジスト
リの設定を使用します。
レジストリの設定は、構成対象の個別のサーバまたはクライアントにのみ適用されます。
レジストリの設定は個別のWindowsワークステーションとサーバで行われ、個別のWindows
ワークステーションとサーバに適用されます。レジストリ設定は4個（サーバ側署名に2
個、クライアント側署名に2個）あり、SMB署名GPOと同じように機能します。
注：次のレジストリ設定は、Windows NT SP 4以降での使用に適しています。これらのレジストリ
エントリーはWindows Server内に存在しますが、GPOを使用して設定する必要があります。
サーバ側署名
サーバ側署名の設定は次の場所に保存されます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\
表 15（117ページ）は、サーバ側SMB署名のレジストリエントリーを示しています。
表 15. サーバ側SMB署名のレジストリエントリー
レジストリエントリー
値
目的
enablesecuritysignature
0：無効（デフォルト）
SMB署名が有効であるかどうかを
指定する
1：有効
requiresecuritysignature
0：無効（デフォルト）
1：有効
SMB署名が必須であるかどうかを
指定する
SMB署名の構成
117
先進的な機能の活用
クライアント側署名
クライアント側署名の設定は次の場所に保存されます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters\
表 16（118ページ）は、クライアント側SMB署名のレジストリエントリーを示していま
す。
表 16. クライアント側SMB署名のレジストリエントリー
レジストリエントリー
値
目的
enablesecuritysignature
0：無効
SMB署名が有効であるかどうかを
指定する
1：有効（デフォルト）
requiresecuritysignature
0：無効（デフォルト）
1：有効
SMB署名が必須であるかどうかを
指定する
SMB2プロトコルの管理
SMB2プロトコルを管理するタスクは、次のとおりです。
●
SMB2プロトコルの有効化（118ページ）
●
SMB2プロトコルの無効化（120ページ）
●
相対パスを使用したファイルのシンボリックリンク作成（120ページ）
概念情報については、 SMBプロトコルのサポート（47ページ）を参照してください。
SMB2プロトコルの有効化
アクション
SMB2プロトコルを有効化するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -add security=NT,dialect=SMB2
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2でSMB2プロトコルを有効化するには、次のように入力します。
$ server_cifs server_2 -add security=NT,dialect=SMB2
118
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
出力
処理完了
SMB2プロトコルの管理
119
先進的な機能の活用
SMB2プロトコルの無効化
アクション
SMB2プロトコルを無効化し、SMB1プロトコルを有効化するには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -add security=NT,dialect=NT1
ここで：
<mover_name> = Data Moverの名前。
（例：
server_2でSMB2プロトコルを無効化し、SMB1プロトコルを有効化するには、次のように入力します。
$ server_cifs server_2 -add security=NT,dialect=NT1
出力
処理完了
相対パスを使用したファイルのシンボリックリンク作成
概念情報については、 SMB2のシンボリックリンクのサポート（49ページ）を参照して
ください。
アクション
SMB2クライアント上のMS DOSコンソールからシンボリックリンクを作成するには、次のコマンドシンタクス
を入力します。
mklink <symlink> <target>
ここで：
<symlink> = シンボリックリンクの名前。
<target> = ターゲットの場所と名前。
（例：
SMB2クライアント上のMS DOSから完全パス名を使用してファイルへのシンボリックリンク「target1」を作
成するには、次のように入力します。
mklink target1 myData\applicationData\file1.txt
120
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
出力
d:\temp>mklink link0.txt report.txt
symbolic link created for link0.txt <<===>>
report.txt
d:\temp>
注：絶対パスまたはUNCパスを使用したシンボリックリンクも同じ方法で作成します。ディレクト
リを指し示すシンボリックリンクを作成する場合は、ディレクトリであることを示すためにmklink
/dを使用します。
デフォルトのシンボリックリンクの動作の変更
シンボリックリンクのデフォルトの動作を変更するには
●
絶対パスを使用したシンボリックリンクの有効化（123ページ）
●
親ディレクトリへのターゲットパスを使用するシンボリックリンクの有効化（121ペー
ジ）
親ディレクトリへのターゲットパスを使用するシンボリックリンクの有効化
デフォルトでは、Data Moverは、「..」コンポーネントを使用して上位を参照するパス名
を持つシンボリックリンクを解決しません。
Data MoverがWindowsクライアントの代わりにシンボリックリンクを上位にたどれるよ
うに shadow followdotdotパラメータを有効化すると、Windowsクライアントに提示さ
れるネームスペース内で無限ループが発生する可能性がありますネームスペースの検索
を実行するアプリケーションは、無限ループ内で停止するリスクがあります。
アクション
ターゲットパス名の「..」コンポーネントでData Moverがシンボリックリンクをたどることができるようにする
には、次のコマンドシンタクスを使用します。
$ server_param <movername -facility shadow -modify followdotdot -value 1
ここで：
<movername> = Data Moverの名前
（例：
server_2の親ディレクトリのターゲットパスでシンボリックリンクを有効にするには、次のように入力します。
$ server_param server_2 -facility shadow -modify followdotdot -value 1
デフォルトのシンボリックリンクの動作の変更
121
先進的な機能の活用
出力
server_2 : done
122
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
絶対パスを使用したシンボリックリンクの有効化
デフォルトでは、Data Moverは、絶対パス（フルパス名）を含むシンボリックリンクを
たどりません。
注：絶対パスをたどることができるようにshadow followabsolutpathパラメータを有効化すると、
ターゲットはData Moverによって解釈されます。Data Moverは、Data Mover上のルートファイルシ
ステムに相対的なパスだけを解決することができます。これがVirtual Data Moverである場合は、
このパスはVDMのルートである必要があります（例：/mountpoint/directory）。それ以外の場合は、
Windowsクライアントはターゲットにアクセスできません。
注： NFSを使用して、クライアントはシンボリックリンクのターゲットパスを読み取り、クライ
アント上でローカル検索を行ってターゲットにアクセスしようとします。NFSクライアントには、絶
対パスのターゲットにアクセスするために、Data Moverと同じマウントポイントが必要です。
アクション
ターゲットが絶対パスの場合に、Data Moverがシンボリックリンクをたどることができるようにするは、次の
コマンドシンタクスを使用します。
$ server_param <movername> -facility shadow -modify followabsolutpath -value <new_value>
ここで：
<movername> = Data MoverまたはVDMの名前
<new_value> = ビットリスト
●
ビット0：
0 = 絶対パスを含むシンボリックリンクは許可されません
1 = 絶対パスを含むシンボリックリンクをたどることができます
●
ビット1：
0 = root（UID 0）が所有する絶対シンボリックリンクだけをたどることができます
1 = すべての絶対シンボリックリンクをたどることができます
注：ビット1が設定されると、NFSクライアントがData Mover内の任意の場所への絶対シンボリックリンク
を作成できるようになるため、NFSアクセスに対して潜在的なセキュリティの問題が発生します。ビット1が
設定されていない場合は、root（uid 0）が所有するリンクだけがたどられます。
(例：
ターゲットが絶対パスの場合にシンボリックリンクを有効にするには、次のように入力します。
$ server_param server_2 -facility shadow -modify followabsolutpath -value 1
デフォルトのシンボリックリンクの動作の変更
123
先進的な機能の活用
出力
server_2 : done
CIFSクライアントを使用したシンボリックリンクへのアクセス
シンボリックリンクを作成するには、root権限を持っている必要があります
。
Control StationとNFSクライアントを使用して、次の手順を実行します。
1. shadow followabsolutpathパラメータを設定して、絶対パスのシンボリックリンクを
有効にします。
（例：
ターゲットが絶対パスの場合にserver_2でシンボリックリンクにアクセスできるよう
にするには、次のように入力します。
$ server_param server_2 -facility shadow -modify followabsolutpath -value 1
2. ファイルシステムをマウントします。
（例：
ufs1およびufs2をマウントするには、次のように入力します。
$ server_mount server_2
server_2 :
root_fs_2 on / uxfs,perm,rw
root_fs_common on /.etc_common uxfs,perm,ro
ufs1 on /ufs1 uxfs,perm,rw
ufs2 on /ufs2 uxfs,perm,rw
3. 最上位のファイルシステムの共有を作成します。
（例：
ufs1の共有を作成するには、次のように入力します。
$ server_export server_2
server_2 :
export "/ufs1"
share "ufs1" "/ufs1" netbios=NS700-JB1 maxusr=4294967295 umask=22
4. 最上位のファイルシステムをNFSクライアントにマウントします。
（例：
ufs1をNFSクライアントにマウントするには、次のように入力します。
# mount 192.168.101.238:/ufs1 /ufs1 # mount 192.168.101.238:/ufs1 on /ufs1 type nfs (rw,addr=192.168.101.238)
5. シンボリックリンクをセカンドファイルシステムに作成します。
（例：
シンボリックリンクをufs1からufs1に作成するには、次のように入力します。
124
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
# ln -s /ufs2 fslink2 # ls -l
total 8
lrwxrwxrwx 1 root root 5 Jun 10 2004 fslink2 -> /ufs2
drwxr-xr-x 2 root root 8192 Jun 9 12:14 lost+found
注：リンクされているファイルシステムのチェックポイントは、最上位のファイルシステム
の下に表示されません。これらのチェックポイントを表示するには、リンクされたファイルシ
ステムのディレクトリ内で操作する必要があります。
コマンドln -s /ufs2 fslink2がData Moverに適用されるとき、fslink2がパス/ufs2に
リンクされます。ufs1共有にアクセスするCIFSクライアントは、次の図に示すように、
ディレクトリの1つとしてfslink2を表示できます。
注： NFSクライアントは、fslink2にアクセスできません。これは、NFSクライアントが、Data
Moverでそのパスを認識しないためです。
CIFSクライアントを使用したシンボリックリンクへのアクセス
125
先進的な機能の活用
コンピュータパスワードの自動変更の構成
次のいずれかを実行することによって、コンピュータパスワード変更をアクティブ化で
きます。
●
GPO（グループポリシーオブジェクト）にパスワード変更間隔を設定する。Data Mover
ではこのポリシーが取得され、ドメイン内のすべてのCIFSサーバに適用されます。
●
cifs srvpwd.updtMinutesパラメータを設定する。この設定は、GPOポリシーによって
上書きされます。
●
srvpwdインタフェースを使用して、特定のCIFSサーバのパスワード変更間隔を変更す
る。この設定は、GPOポリシーによって上書きされます。
システムパラメータcifs srvpwd.updtMinutes を使用すると、Data Moverによってドメ
インコントローラのパスワードが変更される間隔を設定できます。
cifs srvpwd.updtMinutesパラメータの詳細については、「VNX for Fileパラメータガ
イド」を参照してください。
パスワード変更間隔の変更
アクション
パスワード変更間隔を変更するには、次のコマンドシンタクスを使用します。
$ server_param <mover_name> -facility cifs
-modify srvpwd.updtMinutes -value <new_value>
ここで：
<mover_name> = Data Moverの名前。
<new_value> = CIFSサーバのパスワード変更間隔の最小値。値を0にすると、サーバパスワードを7日マイ
ナス1時間後に変更可能にします。値を720にすると、サーバパスワードを12時間後に変更可能にします。
値を1440にすると、サーバパスワードを24時間後に変更可能にします。
（例：
パスワードの変更間隔を1日（1,440分）に設定するには、次のように入力します。
$ server_param server_2 -facility cifs -modify srvpwd.updtMinutes -value 1440
出力
server_2: 処理完了
126
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
Windowsセキュリティログの場所変更
デフォルトでは、各Data MoverのWindowsセキュリティログはc:\security.evtに保存さ
れます。このログファイルには、512 KBというサイズの制限があります。各Data Mover
のC$共有を介してセキュリティログにアクセスできます。
\\<netbiosnameofdatamover>\C$\security.evt
Windows Serverでは、セキュリティログの場所は C:\WINNT\System32\config\security.evt
です。ここにあるData MoverのWindowsセキュリティログにアプリケーションからアクセ
スしようとすると、エラーになります。ただし、Data MoverのWindowsセキュリティログ
の場所とサイズ制限は変更できます。
レジストリの変更を誤ると、システムの再インストールが必要になるような、システム
全体におよぶ深刻な問題が発生する場合があります。このツールは、自己責任において
お使いください。
Data MoverのWindowsセキュリティログには、次の2つの方法のいずれかでアクセスでき
ます。
1. 新しい場所にセキュリティログを格納するファイルシステムを作成します。
2. /WINNTというマウントポイントでファイルシステムをData Moverにマウントし、共
有します。
3. CIFSクライアントからData Moverの新しいWINNT共有に接続し、WINNTディレクトリの
下にSystem32\configというフォルダ構造を作成します。これで、パス
「\\<netbiosnameofdatamover>\C$\WINNT\System32\config」にアクセスできるように
なります。
4. ドメイン管理者として、Windowsレジストリエディタを使用して次のステップを実行
します。
a. レジストリエディタ（regedt32.exe）を実行します。
b. ［レジストリ］メニューで［コンピュータの選択］を選択し、Data MoverのNetBIOS名
を選択します。
c. ［ウィンドウ］メニューで［Hkey Local Machine on Local Machine］サブツリーを選択
し、キー［System\CurrentControlSet\Services\Eventlog\Security］へ移動しま
す。
d. 文字列［File: REG_EXPAND_SZ:c:\security.evt］を選択します。
e. ［編集］メニューで、［文字列］を選択します。
f. 文字列を編集して「c:\WINNT\System32\config\security.evt」とします。
g. ［OK］をクリックし、レジストリエディタを終了します。これで、Data Mover上
で発生するすべてのWindowsセキュリティイベントが、新しい場所のセキュリティ
イベントログに記録されます。
Windowsセキュリティログの場所変更
127
先進的な機能の活用
CIFSサーバのWindowsドメインへの参加：高度な手順
はじめに
構成の前提条件は、Microsoftサポート技術情報 article 258503 DNS Registration Errors
5788 and 5789 when DNS Domain and AD Domain Name Differに基づいています。この記
事では、ドメインレベルの権限の設定方法が説明されています。
Microsoftサポート技術情報 article 258503で説明されている構成の前提条件が必要なの
は、CIFSクライアント上のDNSドメイン名が変更され、新しいDNSドメイン名がCIFSクライ
アントのAD（Active Directory）ドメイン名と一致しない場合だけです。
追加および参加の手順では、次のタスクを実行します。
●
Windows Server環境でのCIFSサーバの作成（58ページ）
●
disjointネームスペースおよび参加権限デリゲートによるCIFSサーバのWindowsドメイ
ン参加（128ページ）
●
同一ネームスペースおよび参加権限デリゲートによるCIFSサーバのWindowsドメイン参
加（129ページ）
●
ローカル管理者グループへの参加を実行するユーザーの追加（130ページ）
手順
CIFSサーバを作成してWindowsドメインに参加させる手順は、次の場合に異なります。
●
DNSドメイン名がコンピュータのWindowsドメイン名と不整合である。
●
ユーザーアカウントがデリゲートされている。
注：概念情報については、参加のデリゲーション（41ページ）を参照してください。詳細につい
ては、Microsoft Technet WebサイトのDisjoint Namespaceを参照してください。
disjointネームスペースおよび参加権限デリゲートによるCIFSサーバのWindowsドメ
イン参加
アクション
CIFSサーバをWindowsドメインに参加させるには、次のコマンドシンタクスを使用します。
$ server_cifs <mover_name> -Join compname = <comp_name.FQDN> ,
domain = <full_domain_name> , admin = <user_name> @ realm
ここで：
<mover_name> = Data MoverまたはVDMの名前。
128
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
アクション
<comp_name> = Active Directory内のCIFSサーバのアカウント名。disjointネームスペースの場合、「comp-
name.FQDN」と入力する必要があります。入力しないと、AD属性は更新されません。次に例を示します。
compname=dm32-cge0.nasdocs.emc.com
<full_domain_name> = Windows環境の完全なドメイン名。
<user_name> @realm = デリゲートされたユーザーログイン名およびActive Directoryのドメイン名。
（例：
CIFSサーバdm32-ana0をuniverse.comドメインに参加させるには、次のように入力します。
$ server_cifs server_2 -Join compname=dm32-cge0.nasdocs.emc.com,domain=universe.com,[email protected]
出力
CIFS Server SERVER1[WIN] RC=2
Full computer name=server1.win.com
realm=WIN.COM
Comment='EMC-SNAS:T5.6.43.0'
if=cge0 l=172.24.100.47 b=172.24.100.255
mac=0:60:16:4:43:ed
FQDN=server1.abc.net (Updated to DNS)
Password change interval: 720 minutes
Last password change: Thu Feb 26 10:28:23 2009
GMT
Password versions: 53, 52
注
ユーザーアカウントとユーザーパスワードは、Active
Directoryにアカウントを作成するときに使用され、マ
シンアカウントが追加された後は保存されません。
注： <comp_name>の値は、CIFSサーバのインタフェースのFQDN（完全修飾ドメイン名）に一致して
いる必要があります。たとえば、Windowsドメインがwin.com、DNSプライマリサフィックスがabc.net、
CIFSサーバがserver1の場合、コマンドはserver_cifs <mover_name> -Join c
ompname=server1.abc.net,domain=win.comとなります。
同一ネームスペースおよび参加権限デリゲートによるCIFSサーバのWindowsドメイ
ン参加
アクション
CIFSサーバをWindowsドメインに参加させるには、次のコマンドシンタクスを使用します。
$ server_cifs<mover_name>-Join compname=<comp_name>,
domain=<full_domain_name>,admin=<user_name>@realm
ここで：
<mover_name> = Data MoverまたはVDMの名前。
<comp_name> = Active Directory内のCIFSサーバのアカウント名。
<full_domain_name> = Windows環境の完全なドメイン名。
CIFSサーバのWindowsドメインへの参加：高度な手順
129
先進的な機能の活用
アクション
<user_name> @realm = デリゲートされたユーザーログイン名およびActive Directoryのドメイン名。
（例：
CIFSサーバdm32-ana0をuniverse.comドメインに参加させるには、次のように入力します。
$ server_cifs server_2 -Join compname=dm32-cge0,domain=universe.com,[email protected]
出力
注
server_2 : Enter Password: *******
done
ユーザーアカウントとユーザーパスワードは、Active
Directoryにアカウントを作成するときに使用され、マ
シンアカウントが追加された後は保存されません。
ローカル管理者グループへの参加を実行するユーザーの追加
各CIFSサーバには、次のユーザーグループのセットがあらかじめ作成されています。
Administrators、Users、Guests、Power Names、Account Operators、Backup Operations、
Replicator。Administratorsグループには、CIFSサーバの管理権限を持つユーザーとグ
ループが含まれます。デフォルトでは、AdministratorsグループにはDomain Adminsグルー
プのエントリーが1件含まれています。このエントリーにより、Domain Adminsグループの
各メンバーにCIFSサーバを管理する権限が付与されます。
ユーザーをローカル管理者グループに追加して、ユーザーがCIFSサーバを管理できるよう
にするには、cifs djAddAdminToLgパラメータを1に設定します。詳細については、「VNX
for Fileパラメータガイド」を参照してください。
ファイルフィルタリングのポップアップメッセージのカスタマイズ
次のエラーコードをcifsmsg.txtファイルで使用できます。
●
FileDeletedByVC
●
FileRenamedByVC
●
FileModifiedByVC
●
File_ReservedName
●
Remote
●
NoSpace
●
QuotaExceeded
●
GroupQuotaExceeded
●
TreeQuotaExceeded
1. rootとしてControl Stationにログインします。
130
VNX 7.0 CIFSの構成と管理
先進的な機能の活用
2. 次のコマンドシンタクスを使用して、cifsmsg.txtファイルをData MoverからControl
Stationにコピーします。
# server_fileserver_<x> -get cifsmsg.txt cifsmsg.txt
各項目の意味は以下のとおりです。
<x>
= Control Stationへコピーして編集するcifsmsg.txtがあるData Mover。
（例：
server_2からファイルをコピーするには、次のように入力します。
# server_file server_2 -get cifsmsg.txt cifsmsg.txt
注：このファイルが存在しない場合は、ファイルを作成し、次のステップに示す情報を指定す
る必要があります。このファイルを作成しなかった場合、VNXはポップアップウィンドウでデ
フォルトのメッセージを使用します。
3. テキストエディタで次のファイルを開きます。次のシンタクスを使用して、エラー
メッセージを変更します。
$ error.<error.condition.code>=
<popup message line 1>
.
.
.
<pop-up message line n>
.
各項目の意味は以下のとおりです。
<error.condition.code>
<pop-up message line>
= メッセージを送信する状態。
= 送信するメッセージ（状態の説明、連絡先情報、推奨されるアク
ションなど）。
重要：最後の行はピリオド（.）である必要があります。
すべてのポップアップメッセージには、共有名およびファイル名も含まれています。
ヒント：次の構文を使用すると、さまざまなメッセージに同じテキストを繰り返し入力する必要
がなくなります。
$ error.<error.condition.code3>=$ error.<error.condition.code2>
4. ファイルを保存して閉じ、次のように入力します。
$ server_file server_2 -put cifsmsg.txt cifsmsg.txt
ファイルフィルタリングのポップアップメッセージのカスタマイズ
131
先進的な機能の活用
5. cifsmsg.txtファイルに加えた変更内容を反映するには、次のコマンドシンタクスを
使用してData Mover（<x>）上のCIFSサービスを再起動（停止および開始）します。
$ server_setupserver_<x>-P cifs -o stop
$ server_setupserver_<x>-P cifs -o start
132
VNX 7.0 CIFSの構成と管理
第6章
トラブルシューティング
製品ラインのパフォーマンスと機能を継続的に改善および強化するため
の努力の一環として、EMCではハードウェアおよびソフトウェアの新規
バージョンを定期的にリリースしています。そのため、このドキュメン
トで説明されている機能の中には、現在お使いのソフトウェアまたはハー
ドウェアのバージョンによっては、サポートされていないものもありま
す。製品機能の最新情報については、お使いの製品のリリースノートを
参照してください。
製品が正常に機能しない、またはこのドキュメントの説明どおりに動作
しない場合には、EMCカスタマーサポート担当者にお問い合わせくださ
い。
「VNXの問題解決ロードマップ」には、EMC Online Support Webサイトの
使用および問題の解決の詳細が記載されています。
次のようなトピックが含まれています。
トピック :
●
●
●
●
●
●
●
●
●
●
EMC E-Lab Interoperability Navigator（134ページ）
既知の問題と制限事項（135ページ）
シンボリックリンクの制限事項（140ページ）
エラーメッセージ（141ページ）
EMCトレーニングおよびプロフェッショナルサービス（142ページ）
GPOの競合解決（142ページ）
LDAP署名と暗号化（144ページ）
SMB署名の解決（145ページ）
DNSに関する問題（146ページ）
MSイベントビューアスナップイン（146ページ）
VNX 7.0 CIFSの構成と管理
133
トラブルシューティング
EMC E-Lab Interoperability Navigator
EMC E-Lab™ Interoperability Navigatorは検索可能なWebベースのアプリケーションで
す。このアプリケーションから、EMC相互運用性サポートマトリックスにアクセスできま
す。これは、EMC Online Support Webサイト（http://Support.EMC.com）から入手できま
す。ログイン後、該当する［Support by Product］ページを探し、［Tools］を見つけて
［E-Lab Interoperability Navigator］をクリックします。
134
VNX 7.0 CIFSの構成と管理
トラブルシューティング
既知の問題と制限事項
表 17（135ページ）に、Windows環境でVNXを管理する場合に発生する可能性がある既知の
問題について説明し、解決策を示します。
表 17. Windows環境の既知の問題と解決策
既知の問題
現象
解決策
NTユーザー認証の使用時に、特
定のWindows 95クライアントがData
Moverからドライブをマッピングで
きない場合がある。
クライアントからData Moverに送信
されたドメイン名が不適切に指定
されている、または、username.domainがData Moverのpasswdファイ
ルにマッピングされていない。
クライアントが正しいドメイン名を
Data Moverのpasswdファイルに送
信していることを確認する。
クライアントが正しいドメインを送
信していることを確認するには、次
の手順を実行します。
1. ［コントロールパネル］の［ネッ
トワーク］オプションで、［ネット
ワーククライアント］（Microsoft
ネットワーク用クライアント）を
ダブルクリックする。
2. ［全般］プロパティで、正しいド
メイン名が表示されていること
を確認する。
NTユーザー認証で、サーバへの
接続試行時にエラーメッセージ
Windows NTユーザーアカウントが
PDCドメインから失われた可能性
がある。または、Data Moverがこ
「アクセスするには正しいパスワーのユーザーに使用するUIDを決定
ドおよびユーザー名が必要です」
できなかった。
が表示され、ユーザー名とパス
ワードの入力画面が表示される。
Windows NTユーザーをドメインの
PDCに追加し、そのユーザーを
UNIXのユーザー名とUIDにマッピ
ングします。
クライアントにマッピングされてい UNIXのパーミッションビットが、共
る共有にファイルまたはディレクト有ディレクトリに書き込むための権
リを作成できない。
限をユーザーに許可するように設
定されていない。
アクセスポリシーを変更するか、
またはディレクトリをControl Stationまたは他のUNIXクライアントに
NFSでマウントし、ユーザーが書き
込むことができるよう、chmodを使
用して適切なUNIX権限を設定す
る。
注：この状況は、アクセスポリ
シーが適切に設定されていない場
合に発生します。詳細は、「VNX
での」「マルチプロトコル環境
の」「管理」を参照してください。
既知の問題と制限事項
135
トラブルシューティング
表 17. Windows環境の既知の問題と解決策（続き）
既知の問題
現象
解決策
Windowsクライアントが平文パス
ワードを使用してサーバにアクセ
スできない。（たとえば、VNXが
UNIXモードの場合にこうした状況
が起きる場合がある。）
SMB redirectorは暗号化されてい暗号化されていないパスワードを
ないパスワードを、以前のWindows 有効化するようにレジストリを変更
NTバージョンとは異なる方法で処する必要があります。
理する。SMB redirectorは、レジス
レジストリの変更を誤
トリのエントリーに暗号化されてい
ると、システムの再イ
ないパスワードが追加されない限
次のエラーメッセージが表示され
ンストールが必要にな
り、暗号化されていないパスワー
る場合もある。
るような、システム全
ドを送信しない。
体におよぶ深刻な問
The Account is not authorized to
題が発生する場合が
login from this station
あります。このツール
は、自己責任において
お使いください。
1. レジストリエディタ
（regedt32.exe）を実行する。
2. HKEY_LOCAL_MACHINEサブ
ツリーから
System\CurrentControlSet\Services\rdr\parameters
a. このキーの下に、EnablePlainTextPasswordという
新しいDWORDのレジストリ
キーを作成する。
b. 値を1に設定する。
c. コンピュータを再起動しま
す。
3. ［編集］メニューで［値の追加］を
選択する。
4. 以下を追加します。
値の名前： EnablePlainTextPassword
データタイプ： REG_DWORD
Data: 1
5. ［OK］をクリックし、レジストリエ
ディタを終了する。
6. Windows NTをシャットダウンし
136
VNX 7.0 CIFSの構成と管理
トラブルシューティング
表 17. Windows環境の既知の問題と解決策（続き）
既知の問題
現象
解決策
てリスタートします。
注： Windows Serverクライアント
では、GPOを使用します。
この処理手順は、 Microsoftサポー
ト技術情報のQ166730（文書番号）
から引用しています。
NTユーザー認証の使用時に、クラドメイン･コントローラが見つからな PDCまたはBDCが使用中かどうか
イアントがサーバに接続できず、い。
をチェックします。PDCドメインを識
ユーザー名およびパスワードを要
別できるWINSサーバにData Mover
求するウィンドウがクライアント側
がアクセスできるかどうかをチェッ
に表示されない。
クします。または、同一ローカル
サブネットにData MoverとしてPDC
またはBDCを置きます。
サーバのNetBIOS名がPDCドメイ
ン上にあるコンピュータアカウント
として登録されていないか、信頼
関係がクライアントとサーバドメイ
ン間で確立されていない。
PDCにコンピュータアカウントを追
加します。コンピュータアカウント
が存在する場合は、コマンドを実
行する前にそのアカウントを削除
して再度追加します。ドメイン間に
信頼関係を確立する方法の詳細
server_logに、次のメッセージが記
については、Microsoft NT Server
録される場合がある。
4.0のマニュアルを参照してくださ
い。
The SAM database on the
Windows NT server does not have
a complete account for this
workstation trust relationship.
既知の問題と制限事項
137
トラブルシューティング
表 17. Windows環境の既知の問題と解決策（続き）
既知の問題
現象
解決策
CIFSサーバをドメインに追加後、
システムがDNSレコードを更新で
きないことを示す次のエラーメッ
セージが、server_cifs出力に表示
される。
DNSサーバのゾーンに、別のコン
ピュータアカウント用と同一の
FQDN（完全修飾ドメイン名）が含
まれている。
●
DNSサーバがゾーンの動的更
新を受け入れているかを確認
します（ゾーンのプロパティ）。
●
DNSサーバのゾーンに、別の
コンピュータアカウント用と同
一のFQDNが異なるIPアドレス
で含まれていないことを確認し
ます。
●
ゾーンがセキュアな動的更新
だけを受け入れる場合、レコー
ドの［セキュリティ］タブの内容
を確認し、アクセス制御リスト
に「S-1-5...」というエントリーが
所有者名として含まれている
かどうかチェックします。こうし
たセキュリティエントリーは、
そのレコードが削除されたコン
ピュータアカウントに属してい
ることを示しています。DNSレ
コードを手動で削除する必要
があります。
FQDN=dm4a140-ana0.
c1t1.pt1.c3lab.
nsgprod.emc.com
(Update of "A" record failed during
update: Operation refused for
policy or security reasons)
138
VNX 7.0 CIFSの構成と管理
トラブルシューティング
表 17. Windows環境の既知の問題と解決策（続き）
既知の問題
現象
CIFSサーバのドメインへの参加試ドメインアドミニストレータアカウ
行時に、以下のエラーメッセージントがロックアウトされている。こ
が表示される。
れは通常、別のユーザーが同じ管
理者アカウントで別のシステムに
Error 4020: server_2 :
ログインしているときに発生しま
す。
failed to complete command
解決策
［ユーザーアカウントのプロパティ］
ウィンドウの［アカウント］タブにあ
る［アカウントのロックアウト］チェッ
クボックスをオフにします。
Possible server_log error
messages: 2004-03-11
13:42:29: SMB: 3:
DomainJoin::
getAdminCreds:
gss_acquire_cred_ext failed:
Miscellaneous
failure. Clients credentials have
been revoked.
2004-03-11 13:42:29: ADMIN: 3:
Command failed: domjoin
compname=dm3-A121ana0 domain=c1t1.pt1.
c3lab.nsgprod.emc.com
admin=c1t1admin
password=6173399
D179D3999673D init
既知の問題と制限事項
139
トラブルシューティング
表 17. Windows環境の既知の問題と解決策（続き）
既知の問題
現象
解決策
［Windows 2000 以前のコンピュー
タに、このアカウントの使用を許
可］オプションを有効化せずにコン
ピュータを作成すると、次のメッ
セージが表示される。
［新しいオブジェクト - コンピュー
タ］ダイアログボックスで［Windows
2000 以前のコンピュータに、この
アカウントの使用を許可］オプショ
ンを有効化しないままコンピュータ
がドメインコントローラ上に作成さ
れたため、アクセスが拒否される。
コンピュータを削除し、［Windows
2000 以前のコンピュータに、この
アカウントの使用を許可］オプショ
ンを有効化して、再度コンピュータ
を作成します。
0xC0000022 2004-04-26
10:49:40: SMB: 3:
Srv=<Celerra_
netbios_name>
buildSecureChanel
=Authenticate2
InvalidReply E=0xc
Windows NTドメインからWindows ドメインサフィックスは、DDNSでアップグレードを行う前に、ドメイン
2000ドメインにアップグレード後、ハードコードされてしまうため変更サフィックスを変更します。
Windows 2000のセットアップ中にできない。
オリジナルのドメインサフィックス
を変更できない。
VNX共有上でWebディレクトリへの
接続を試行したときにIIS（Internet
Information Services）6.0へのアク
セスが拒否される。
ユーザー名とパスワードがローカ
ルユーザーデータベースにあっ
ても、IISのWebログに「
ローカルユーザーのサポートを有 IIS 6.0、Data Mover、およびクライ
効にしたスタンドアロンのCIFSサーアントで、同一のユーザー名およ
バでは、ユーザー名とパスワードびパスワードを指定します。
が、IIS 6.0、Data Mover、クライア
ントで一致している必要がある。
bad user name or password
」というエラーが表示される。
シンボリックリンクの制限事項
ファイルリンクの制限事項は、次のとおりです。
●
140
最上位のファイルシステムから下位のファイルシステムへのリンクをユーザーがたど
ると、最上位のファイルシステムに対するアクセスチェックポリシーが下位のファ
イルシステムに適用される。
VNX 7.0 CIFSの構成と管理
トラブルシューティング
●
（ユーザーの接続元である）最上位のファイルシステムのファイルシステムサイズ
は、下位のファイルシステムのサイズを反映しない。
●
クォータは、ファイルシステムごとに常にレポートされる。下位のファイルシステム
上にユーザー、グループ、またはツリーがある場合、各ファイルシステムが個別にレ
ポートされる。
●
通知リクエストがWatchTreeビットを使用して最上位のファイルシステムに対して設
定されている場合、下位のファイルシステムに対する変更によって通知が起動される
ことはない。
●
一部のリクエストは、開いているファイルの完全パス名を返す。ファイルシステムで
開いているファイルがシンボリックリンクを使用してアクセスされている場合、返さ
れるパスが予期しないパスになる可能性がある。
●
シンボリックリンクを使用してファイルシステム間を移動する場合は、コマンドcd
..によって、シンボリックリンクを含むディレクトリが返されないことがある
（Microsoft Windows Explorerを使用する場合は、これは問題にならない）。
●
バックアップからリンクされているファイルシステムにファイルをリストアする場合
は、常に、最初にシンボリックリンクをリストアする必要がある。これ以外の場合、
全体のリストアは最上位のファイルシステムに対して行われる。
●
下位のファイルシステムがData Moverにマウントされない場合、シンボリックリンク
はCIFSクライアントに対するディレクトリとして表示される。このディレクトリは、
Data Moverのルートファイルシステムである。
エラーメッセージ
すべてのイベントメッセージ、アラートメッセージ、ステータスメッセージには、問
題のトラブルシューティングに役立つ詳細情報と推奨されるアクションが提供されていま
す。
メッセージの詳細を表示するには、次のいずれかの方法を使用します。
●
Unisphereソフトウェア：
•
●
CLI：
•
●
イベント、アラート、ステータスメッセージを右クリックして選択し、［Event
Details］、［Alert Details］、［Status Details］を表示します。
nas_message -info <MessageID>と入力します。<MessageID>は、メッセージのID番
号です。
「Celerra Error Messages Guide」：
エラーメッセージ
141
トラブルシューティング
•
●
このガイドで、それ以前のリリースのメッセージ形式でのメッセージに関する情報
を見つけます。
EMC Online Support Webサイト：
•
EMCオンラインサポートのWebサイトで、エラーメッセージの概要説明のテキスト
またはメッセージIDを使用してナレッジベースを検索してください。EMCオンライン
サポートログインした後、適切な［Support by Product］ページにアクセスし、エラー
メッセージを見つけます。
EMCトレーニングおよびプロフェッショナルサービス
EMCカスタマーエデュケーションコースは、インフラストラクチャに対する投資全体の
効果を最大限に高めるために、自社の環境内でEMCストレージ製品群を連携させる方法に
ついて学ぶのに役立ちます。EMCカスタマーエデュケーションの利点は、世界各国に設置
された便利な最新のラボで、オンライントレーニングや実地トレーニングを受けられる
ことです。EMCカスタマートレーニングコースは、EMCのエキスパートによって開発およ
び提供されています。コースおよび登録の情報については、EMC Online Support Webサイ
ト（http://Support.EMC.com）をご覧ください。
EMCプロフェッショナルサービスは、システムの効率的な導入を支援します。コンサルタ
ントがお客様のビジネス、ITプロセス、およびテクノロジーを評価し、所有する情報を最
大限に活かせる手法をお勧めします。ビジネスプランから導入まで、ITスタッフを酷使
したり新たな人材を採用したりせずに、必要な各種サポートを受けることができます。詳
細についてはEMCカスタマーサポート担当者にお問い合わせください。
GPOの競合解決
監査ポリシーは、Data Mover上の複数のサーバの設定を組み合わせ、最も安全な設定を使
用することによって解決されます。CIFSサーバはドメインへの参加順に処理されます。イ
ベントログポリシーは、CIFSサーバの関連するすべての設定の中から最も安全な設定を
使用することによって解決されます。たとえば、アプリケーションログの最大サイズの
設定では、Data Mover上の各サーバのログサイズ設定が確認され、最も大きなサイズが
使用されます。表 18（142ページ）は、競合の解決を必要とするGPO設定の一覧です。
表 18. 競合の解決を必要とするGPO設定
設定名
CIFSサーバ間での共有
（はい/いいえ）
競合の解決の必要性（は指定可能な値
い/いいえ）
監査：
アカウントログオンイベ ○
ントの監査
142
VNX 7.0 CIFSの構成と管理
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
トラブルシューティング
表 18. 競合の解決を必要とするGPO設定（続き）
設定名
CIFSサーバ間での共有
（はい/いいえ）
競合の解決の必要性（は指定可能な値
い/いいえ）
アカウント管理の監査
○
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
ディレクトリサービスのア ○
クセスの監査
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
ログオンイベントの監査 ○
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
オブジェクトアクセスの監 ○
査
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
ポリシーの変更の監査
○
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
特権使用の監査
○
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
プロセス追跡の監査
○
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
システムイベントの監査 ○
○
「監査しない」、「成功」、
「失敗」、「成功および失
敗」
○
○
64～4194240
セキュリティログの最大 ○
サイズ
○
64～4194240
システムログの最大サイ ○
ズ
○
64～4194240
イベントログ：
アプリケーションログの
最大サイズ
GPOの競合解決
143
トラブルシューティング
表 18. 競合の解決を必要とするGPO設定（続き）
設定名
CIFSサーバ間での共有
（はい/いいえ）
競合の解決の必要性（は指定可能な値
い/いいえ）
アプリケーションログの
ゲストアクセスの制限
○
○
「有効」、「無効」
セキュリティログのゲスト ○
アクセスの制限
○
「有効」、「無効」
システムログのゲストア ○
クセスの制限
○
「有効」、「無効」
アプリケーションログの
保持
○
○
「日数でイベントを上書
き」、「必要に応じてイベ
ントを上書き」、「イベント
を上書きしない」
セキュリティログの保持 ○
○
「日数でイベントを上書
き」、「必要に応じてイベ
ントを上書き」、「イベント
を上書きしない」
システムログの保持
○
○
「日数でイベントを上書
き」、「必要に応じてイベ
ントを上書き」、「イベント
を上書きしない」
アプリケーションログの
保持方法
○
○
0～365
セキュリティログの保持 ○
方法
○
0～365
システムログの保持方法 ○
○
0～365
LDAP署名と暗号化
*ドメイン･コントローラはLDAPメッセージ署名を必要とします。この署名が得られない場
合は、以下のエラーメッセージがログに記録されます。
00002028: LdapErr: DSID-0C090169, comment: The server requires binds to turn on integrity checking if
SSL\TLS are not already active on the connection.
LDAP署名または暗号化に関して何らかの問題が発生した場合は、以下の手順に従いま
す。
144
VNX 7.0 CIFSの構成と管理
トラブルシューティング
1. ドメインコントローラ上で、LDAPセキュリティポリシー（Windows Server 2003）ま
たはLDAPレジストリ設定（Windows 2000）のいずれかを［署名なし］に設定します。
2. ldap SecurityLayerパラメータを0に設定します。
3. Data Moverを再起動します。
SMB署名の解決
Windowsドメインでは、サーバ側とクライアント側のSMB署名の設定を個別に構成できま
す。
●
必須：クライアントまたはサーバでSMB署名をすべてのトランザクションで使用する必
要がある。
●
有効：クライアントまたはサーバでSMB署名がサポートされているが、トランザクショ
ンに必須ではない。
●
無効：クライアントまたはサーバでSMB署名がサポートされていない。
CIFS接続では、Data MoverおよびCIFSクライアントの条件に基づいて、SMB署名がアクティ
ブ化されます。これらの条件は、追加された2つのビット（有効と必須）で表現されます。
条件はData Mover上の次の3つの値を元に計算されます。
1. cifs.smbSigningパラメータ
2. GPO設定
3. レジストリの値
CIFSクライアントでは、有効と必須のビットを定義するために enabled and required.独
自のアルゴリズムを実行します。表 19（145ページ）および表 20（145ページ）で説
明されているマトリックスが、その接続のために署名が有効化されているかどうかを判定
するのに使用されます。
表 19. SMB1署名の解決用マトリックス
クライアント
SMB1
必須
有効
無効
必須
署名済み
署名済み
失敗
有効
署名済み
署名済み
署名なし
無効
失敗
署名なし
署名なし
サーバ
表 20. SMB2署名の解決用マトリックス
クライアント
SMB署名の解決
145
トラブルシューティング
サーバ
SMB2
必須
有効
必須
署名済み
署名済み
有効
署名済み
署名なし
注： cifs.smbSigningパラメータのデフォルト値は変更しないことをお勧めします。
DNSに関する問題
VNXを構成する場合、以下のDNSに関する問題に直面する場合があります。
●
Windows Server環境では、ドメインが.comや.orgなどのトップレベルのドメインの場
合、ドメインコントローラは自分自身をDNSに登録しません。このルールは、Windows
Registryを使用するか、グループポリシーの［トップレベルのドメインゾーンを更
新する］オプションを有効化することで変更できます。
注： Data Moverは、このレジストリエントリーと同等のエントリーを持っておらず、グループ
ポリシーを使用しません。これは、Data Moverはサービスエントリーではなく、ホストエント
リーのDNSゾーンだけを更新するためです。
●
2つのWindowsベースのDNSサーバが同じDNSゾーンで稼働している場合、競合は数分間
に及ぶことがあります。ADが統合されたゾーンを持つDNS環境では、リソースレコー
ドのレプリケーションは定期的に行われるADのレプリケーションに依存します。レプ
リケーションは、変更された直後には行われません。これはMicrosoft製品の制限事項
です。
MSイベントビューアスナップイン
VNX CIFSサーバは、MSイベントビューアスナップインによる VNX CIFSサーバ上のログ
参照をサポートしています。MMCをCIFSサーバに接続する手順については、「VNXでの
Windows管理ツールの使用方法」を参照してください。
Windows VistaまたはWindows Server 2008のイベントビューアからCIFSサーバに接続し
たときに、イベントビューアのヘルプに問題が生じた場合は、次の手順を実行します。
1. MicrosoftのサポートWebサイト Windows ヘルププログラム (WinHlp32.exe) が Windows
に含まれなくなるから、.hlpファイル用の古い実行ファイルをダウンロードしてイン
ストールします。
2. Windows 2003またはWindows XPマシンからファイルC:\Windows\Help\els.hlpを取得
し、Windows VistaやWindows Server 2008マシンにインストールします。
146
VNX 7.0 CIFSの構成と管理
付録 A
ホームディレクトリに関する追加
情報
このセクションでは、ホームディレクトリの有効化と管理（106ペー
ジ）に記載されている、オプションのホームディレクトリ機能に関す
る追加情報が記載されています。このセクションの情報は、ホームディ
レクトリ構成を作成または管理するユーザーを対象としています。
トピック :
●
●
●
●
●
ホームディレクトリデータベースフォーマット（148ページ）
ワイルドカード（150ページ）
正規表現（150ページ）
解析順序（151ページ）
ゲストアカウント（152ページ）
VNX 7.0 CIFSの構成と管理
147
ホームディレクトリに関する追加情報
ホームディレクトリデータベースフォーマット
このセクションでは、ホームディレクトリデータベースのエントリーの形式について説
明します。
EMCでは、ホームディレクトリの作成と維持を、ホームディレクトリMMC（Microsoft管
理コンソール）スナップインを使用して行うことを推奨します。このスナップインでは、
エントリーの妥当性検査が行われ、エントリーが適切かつ完全であることが確認されま
す。
次のテーブルには、ホームディレクトリデータベースの基本フォーマットが含まれてい
ます。
書式
データベースには、ユーザーごとのエントリーが含まれています。各エントリーには、次の形式が使用され
ます。
<domain>:<username>:</path> [:regex][:create][:ro][:<umask>]
ここで：
<domain> = Windowsドメイン名（FQDNではなくNetBIOSとすること）。
<username> = ユーザーのWindowsユーザー名。
</path> = 親ホームディレクトリのUNIXパス。
create = ターゲットディレクトリが存在しない場合、新規作成。
regex = ドメインとユーザー名に正規表現を使用。
ro = 読み取り専用ファイルアクセス（デフォルトは読み取り/書き込み）
<umask> = 共有にNFS権限を決定できるようにするためユーザーマスクとする、ユーザーファイル作成
<mask>。
データベースには、コメントが含まれる場合があります。コメント行は#で始まります。
（例：
データベースの例を次に示します。
# Comment - These entries specify users in the galaxy
domain.
galaxy:glenn:/mnt1/usr1
galaxy:grissom:/mnt2/usr2
galaxy:armstrong:/mnt2/usr3
ここで：
# = コメントテキストの前に指定する文字
galaxy = Windowsドメイン
glenn、grissom、armstrong = ユーザー名
/mnt1/usr1、/mnt/usr2、/mnt/usr3 = glenn、grissom、armstrongそれぞれ個別のホームディレクトリ。
148
VNX 7.0 CIFSの構成と管理
ホームディレクトリに関する追加情報
書式
ワイルドカード
マップファイルにはワイルドカードエントリーを使用できます。ワイルドカード（150ページ）で詳細を参照し
てください。
（例：
ワイルドカードエントリーを使用したデータベースの例を次に示します。
*:*:/mnt3/guest
galaxy:*:/mnt3/CIFS
galaxy:glenn:/mnt1/usr1
galaxy:grissom:/mnt2/usr2
galaxy:armstrong:/mnt2/usr3
作成
マップファイルで、自動的に作成する必要のあるディレクトリを指定できます。親ディレクトリが存在してい
る必要があります。次の例では、ディレクトリusr1を作成する前にディレクトリsalesが存在している必要があ
ります。
（例：
自動的に作成されるディレクトリのエントリーを使用したデータベースの例を次に示します。
galaxy:glenn:/mnt1/sales/usr1:create
正規表現
マップファイルには正規表現を使用できます。正規表現の詳細については、VNX管理MMCプラグインのオ
ンラインヘルプを参照してください。
（例：
正規表現エントリーを使用したデータベースの例を次に示します。
nasdocs:*:/ufs/user4/<d>/:regex:create
nasdocs:^[a-g]:/ufs/user1/<d>/:regex:create
nasdocs:^[h-p]:/ufs/user2/<d>/:regex:create
nasdocs:^[q-z]:/ufs/user3//:regex:create
Umask[Umask]
マップファイルには、新規作成されるディレクトリとファイルに権限を設定する、NFS権限マスクを使用でき
ます。このマスクは、CIFS ACLには影響しません。
注
データベースの各フィールドは、区切り文字「:」で区切る必要があります。
ホームディレクトリデータベースフォーマット
149
ホームディレクトリに関する追加情報
ワイルドカード
マップファイルでは、ドメインおよびユーザー名フィールドにワイルドカード（*）を使
用できます。ワイルドカードを使用すると、データベースに個々のエントリーを作成する
ことなく、ホームディレクトリを複数のユーザーに割り当てることができます。
たとえば、ユーザー名フィールドにワイルドカードを使用すると、特定のドメインの全
ユーザーがワイルドカードエントリーに該当します。この場合、そのパス内でそのユー
ザーのWindowsユーザー名が付けられたディレクトリが、ユーザーのホームディレクトリ
になります。
このため、データベースにgalaxy:*:/mnt3/CIFS/が含まれている場合、galaxyドメイン内
のすべてのユーザーは/mnt3/CIFS/の下にある、自分のユーザー名に一致するホームディ
レクトリにアクセスできます。たとえば、galaxyドメインのuser1はホームディレクト
リ/mnt3/CIFS/user1に、user2はホームディレクトリ/mnt3/CIFS/user2にアクセスできま
す。ワイルドカードエントリーはデータベースの最初に指定し、個別のエントリーはそ
の後に指定する必要があります。詳細については、解析順序（151ページ）を参照してく
ださい。
正規表現
ホームディレクトリのデータベースエントリーを、英数字およびサポートされている2
種類のワイルドカード（「*」と「.」）だけを使用して定義するとき、必要なパターンを
コード化するのが非常に難しい場合があります。本来もっと単純に実現できることに、膨
大な数のホームディレクトリエントリーを使用してしまうことがよくあります。ホー
ムディレクトリでは、データベースエントリーのドメイン名とユーザー名の指定に正規
表現を使用することできわめて高い柔軟性を実現し、この問題を解決しました。表 21
（150ページ）に、ホームディレクトリデータベースの管理を簡素化するため、どのよ
うな正規表現をデータベースで使用できるか、例を示します。
表 21. ホームディレクトリデータベースでの正規表現の使用例
150
ドメイン名
ユーザー名
一致する
一致しない
[ENGINEERING|FINANCE]
.*
ENGINEERINGドメインと
FINANCEドメインのユー
ザーすべて
他のドメインのユーザー
.*
[wdc|moc].*
すべてのドメインの中で、名前の先頭が2つの略号
名前が契約者略号「wdc」のどちらでもないユー
（Widget Development
ザー
Corp）または「moc」（Manufacturing Operations
Consultants）で始まる
ユーザーすべて
VNX 7.0 CIFSの構成と管理
ホームディレクトリに関する追加情報
表 21. ホームディレクトリデータベースでの正規表現の使用例（続き）
ドメイン名
ユーザー名
一致する
一致しない
.*
.* [2] [0-9] {3}.*
すべてのドメインの中で、名前の中に、要求されて
joe2006のようにユーザーいる連続した数字を持た
名の中に2から始まる4桁ないユーザー
の数字があるユーザーす
べて
正規表現は、ホームディレクトリの管理を簡素化するために使用する必要があります。
しかし、思いがけず指定した正規表現が意図したユーザーとは別のユーザーに一致してし
まうことがないように、注意を払う必要があります。
注： EMCでは、正規表現を使用する場合にはユーザー名とディレクトリの作成と編集に VNX 管理MMC
プラグインを使用することを推奨します。MMCプラグインでは、入力時に正規表現の妥当性検査が行
われます。.homedirファイルを作成または編集するときに誤った正規表現を入力すると、ホーム
ディレクトリ環境が使用できなくなる場合があります。
VNX 管理MMCプラグインのオンラインヘルプには、 VNX における正規表現の実装に関す
る追加情報が記載されています。
解析順序
Data Moverでは、データベースは上から下に解析されます。ワイルドカードを使用する場
合、複数のdomain:userのペアが該当する場合があります。Data Moverでは、一致する
domain:userのペアが見つかると、ユーザーのディレクトリのパスが検索されます。パス
の下にユーザーのディレクトリが存在すると、そのディレクトリがユーザーのホームディ
レクトリとしてマップされます。該当するディレクトリが存在しない場合、Data Moverは
データベースの解析を続行して、ユーザーのホームディレクトリを探します。
たとえば、次のようなワイルドカードエントリーが含まれているデータベースがあると
します。
galaxy:*:/homes1/
galaxy:*:/homes2/
galaxy:*:/homes3/
user1のHOMEディレクトリをマップするとき、ディレクトリ構造が次のようになっている
とします。
/homes1/user1：存在しない
/homes2/user1：存在する
/homes3/user1：存在しない
Data Moverでgalaxy:user1に該当するエントリーのみを探す場合、最初のマップエント
リーで解析は停止されます。ただし、Data Moverは、galaxy:user1に該当するエントリー
解析順序
151
ホームディレクトリに関する追加情報
が見つかった後、user1ディレクトリのパスを確認します。user1ディレクトリが見つから
ない場合、Data Moverはデータベースの解析を続行します。前述の例では、2番目のエン
トリーが一致すると見なされるため、このディレクトリがuser1のホームディレクトリと
してマップされます。
ゲストアカウント
不定期に使用するユーザーやゲストユーザーのために、ゲストディレクトリをデータ
ベースに指定できます。データベースに登録されていないユーザーがドメインからログイ
ンすると、ゲストディレクトリが割り当てられます。ゲストディレクトリエントリー
には、次の例のように、ドメインとユーザー名にワイルドカードが含まれます。
*:*:/mnt3/guest
152
VNX 7.0 CIFSの構成と管理
付録 B
MMCスナップインおよびプログラ
ム
VNX では、Windows ServerやWindows XPコンピュータから VNX のユー
ザーおよびData Moverのセキュリティ設定を管理するために、一連のMMC
（Microsoft管理コンソール）スナップインおよびプログラムがサポート
されています。
EMCでは、Microsoft SFU（Services for UNIX）またはIMU（Identity
Management for UNIX）の使用を推奨します。
トピック :
●
●
●
●
Data Mover管理スナップイン（154ページ）
AntiVirusの管理機能（154ページ）
ホームディレクトリ管理スナップイン（154ページ）
Data Moverセキュリティ設定スナップイン（154ページ）
VNX 7.0 CIFSの構成と管理
153
MMCスナップインおよびプログラム
Data Mover管理スナップイン
Data Mover管理は、複数のMMCスナップインで構成されます。これらのスナップインを使
用すると、Windows ServerやWindow XPコンピュータからData Moverのウイルスチェッ
ク、ホームディレクトリ、セキュリティ設定を管理できます。
AntiVirusの管理機能
AntiVirus管理スナップインを使用すると、CAVA（ Common AntiVirus Agent）やサード
パーティのアンチウイルスプログラムで使用されるウイルスチェックパラメータ
（viruschecker.confファイル）を管理できます。CAVAおよびサードパーティのアンチウ
イルスプログラムがWindows Serverにインストールされている必要があります。CAVAの
詳細については、「VNX Event Enablerの使用方法」を参照してください。
ホームディレクトリ管理スナップイン
ホームディレクトリ管理スナップインを使用すると、ユーザー名とディレクトリを関連
づけて、そのディレクトリがユーザーのホームディレクトリとして機能するようにでき
ます。ホームディレクトリ機能により、個人の共有の管理や個人にアクセスするプロセ
スが簡素化されます。
Data Moverセキュリティ設定スナップイン
Data Moverのセキュリティ設定は、［監査ポリシー］ノードと［ユーザー権限割り当て］
ノードで構成されます。
監査ポリシー
監査ポリシーノードを使用すると、セキュリティログに記録されたData Moverのセ
キュリティイベントを確認できます。確認後はWindowsイベントビューアを使用し
て、セキュリティログを参照できます。ログは、成功または失敗した試行のみを記録
するか、両方とも記録するか、両方とも記録しないかのいずれかの方法で記録できま
す。監査ポリシーノードに表示される監査ポリシーは、ADUC（Active Directoryの
ユーザーとコンピュータ）でGPOとして使用可能なポリシーのサブセットです。監査ポ
リシーは、選択されたData Moverだけに適用されるローカルポリシーです。監査ポリ
シーノードを使用してGPO監査ポリシーを管理することはできません。
ユーザー権限割り当て
ユーザー権限割り当てノードを使用すると、どのユーザーとグループにData Moverへ
のログイン権限やタスクの実行権限を付与するかを管理できます。ユーザー権限割り
当てノードに表示されるユーザー権限割り当ては、ADUC（Active Directoryのユーザー
154
VNX 7.0 CIFSの構成と管理
MMCスナップインおよびプログラム
とコンピュータ）でGPO（グループポリシーオブジェクト）として使用可能なユー
ザー権限割り当てのサブセットです。ユーザー権限割り当ては、選択されたData Mover
だけに適用されるローカルポリシーです。ユーザー権限割り当てノードを使用してGPO
ポリシーを管理することはできません。
詳細については、スナップインまたはプログラムのオンラインヘルプを参照してくだ
さい。
Data Moverセキュリティ設定スナップイン
155
MMCスナップインおよびプログラム
156
VNX 7.0 CIFSの構成と管理
用語集
A
ACL（アクセスコントロールリスト）
特定のオブジェクトへのアクセスが許可されたユーザーとグループに関する情報を提供する
ACE（アクセスコントロールエントリー）のリスト。
AD（Active Directory）：
Windowsオペレーティングシステムに含まれている、高度なディレクトリサービス。ネット
ワーク上のオブジェクトに関する情報を格納し、LDAP（Lightweight Directory Access
Protocol）などのプロトコルを通じて、この情報をユーザーやネットワーク管理者が利用で
きるようにします。
ADUC（Active Directoryのユーザーとコンピュータ）
日常的なActive Directory管理タスクを実行するように設計された管理ツール。これらのタ
スクには、ディレクトリに格納されたオブジェクトに対する作成、削除、変更、移動、選択
の権限が含まれます。これらのオブジェクトには、組織単位、ユーザー、連絡先、グループ、
コンピュータ、プリンタ、共有ファイルの各オブジェクトが含まれます。
C
CIFS（Common Internet File System）
Microsoft SMB（Server Message Block）に基づいたファイル共有プロトコル。インターネッ
トおよびイントラネットを介してファイルシステムを共有できます。
CIFSサーバ
ファイルの転送にCIFSプロトコルを使用する論理サーバ。Data Moverは、CIFSサーバの多数
のインスタンスをホストできます。各インスタンスをCIFSサーバと呼びます。
CIFSサービス
Data Mover上で実行され、ネットワーク上やMicrosoft Windowsベースのコンピュータ上にお
ける共有を提供するCIFSサーバのプロセス。
VNX 7.0 CIFSの構成と管理
157
用語集
D
Data MoverDataMover
VNX for Fileのキャビネットコンポーネント。ストレージデバイスからデータを取得し、
そのデータをネットワーク上のクライアントが使用できるようにする独自のオペレーティン
グシステムを実行します。これは「ブレード」とも呼ばれます。
DNS（ドメインネームシステム）
UNIXネットワークまたはTCP/IPネットワーク上のコンピュータをドメイン名で参照できる、
名前解決ソフトウェア。DNSサーバは、ドメイン名、ホスト名、それらに対応するIPアドレス
のデータベース、アプリケーションサーバによって提供されるサービスを保持します。
ntxmap も参照してください。
domain
共通のセキュリティおよびユーザーアカウント情報を共有しているMicrosoft Windows Server
とその他のコンピュータとで構成される、論理グループ。コンピュータやユーザーなどのす
べてのリソースは、ドメインメンバーであり、一意に識別されるドメイン内にアカウントを
持ちます。ドメイン管理者はドメイン内の各ユーザーに1つのアカウントを作成し、ユーザー
はドメインに一度ログインします。ユーザーは、個々のサーバにはログインしません。
L
LDAP（Lightweight Directory Access Protocol）
TCP/IPを使用して直接実行される業界標準の情報アクセスプロトコル。Active Directoryお
よびLDAPベースのディレクトリサーバのプライマリアクセスプロトコルです。LDAPバー
ジョン3は、IETF（Internet Engineering Task Force）のRFC 2251においてProposed Standard
の一連の文書で定義されています。
N
NetBIOS名
WINSで識別される名前。WINSはこの名前をIPアドレスにマッピングします。
Network Basic Input/Output System（NetBIOS）
IBMのパーソナルコンピュータのために開発されたネットワークプログラミングインタ
フェースとプロトコル。
NFS（Network File System）
ローカルディスクに接続されたネットワークデバイスであるかのように簡単に、クライア
ントコンピュータからネットワーク経由でファイルにアクセスできるネットワークファイ
ルシステムプロトコル。
NTFS
Windows NT（以降のバージョンも含む）の標準ファイルシステム。NTFSは、FATファイルシ
ステムに代わって、Microsoft Windowsのファイルシステムとして推奨されています。NTFS
は、FATの改善点が反映されています。メタデータおよび高度なデータ構造の使用により、パ
フォーマンス、信頼性、ディスク領域の使用率が改善され、さらにセキュリティACL（アクセ
スコントロールリスト）やファイルシステムのジャーナル処理など、拡張機能が追加され
ています。
158
VNX 7.0 CIFSの構成と管理
用語集
S
SAM（Security Access ManagerまたはSecurity Accounts Manager）
ユーザーがネットワーク上のリソースを使用するための認証を行うMicrosoft Windowsのサー
ビス。SAMデータベースには、Windows NTドメインのセキュリティおよびユーザーアカウン
トに関するすべての情報が保存されます。
V
VDM（仮想Data Mover）：
VNX for File ソフトウェアの機能。CIFSサーバの管理分割、CIFS環境のレプリケーション、
Data Mover間におけるCIFSサーバの移動を行うことができます。
W
Windows NTドメイン
Microsoft Windows NTサーバが制御および管理している、Microsoft Windowsのドメイン。
ユーザーとグループアカウントおよびNetBIOSネームスペースの管理にSAMデータベースを使
用します。Windows NTドメインには、SAMの読み取り/書き込みコピーを持つPDC（プライマリ
ドメインコントローラ）が1台と、SAMの読み取り専用コピーを持つBDC（バックアップドメ
インコントローラ）が場合により複数存在します。
ドメインおよびドメインコントローラも参照してください。
Windowsドメイン
Microsoft Windows Serverが制御および管理している、Microsoft Windowsのドメイン。すべ
てのシステムリソースの管理にはActive Directoryが使用され、名前解決にはDNSが使用さ
れます。
WINS（Windowsインターネットネームサービス）
IPアドレスをコンピュータ名（NetBIOS名）に動的にマップするソフトウェアサービス。こ
のサービスを使用すると、把握と記憶が難しいIPアドレスを使用する代わりに、名前を使用
してリソースにアクセスできます。WINSサーバは、Windows NT 4.0以降のバージョンの
Microsoftオペレーティングシステムを実行するクライアントをサポートします。
き
共有名：
特定のCIFSサーバからCIFSユーザーが利用可能な、ファイルシステムまたはファイルシス
テム上のリソースに与えられる名前。異なるCIFSサーバから共有されている複数の共有は、
同一の名前を持つことがあります。
く
グループポリシーオブジェクト（GPO）
Windowsオペレーティングシステムでは、管理者はグループポリシーを使用して、ユーザー
およびコンピュータのグループに対する構成オプションを定義できます。Windowsグループ
ポリシーオブジェクトは、ローカル、ドメイン、ネットワークセキュリティの設定などの
管理要素を制御できます。
VNX 7.0 CIFSの構成と管理
159
用語集
さ
サーバメッセージブロック（SMB）
ネットワーク経由でサーバによるファイル、印刷、通信のサービスを要求するために、イン
ターネットで使用できるよう拡張されたCIFSプロトコルで使用される基幹プロトコル。CIFS
プロトコルはSMBを使用して、LAN、イントラネット、インターネットなどのさまざまな種類
のホストに対する安全なファイルアクセスおよび転送機能を提供します。
た
代替データストリーム（ADS）
代替データストリームでは、ファイルを複数のデータストリームに関連づけることができ
ます。たとえば、text.txtというファイルは、ADS名または専用のディレクトリ参照プログラ
ムによってのみアクセスできるtext.txt:secret（filename:streamnameという形式）という
名前のADSを指定できます。
て
デフォルトCIFSサーバ
CIFSサーバを追加するときに、（server_cifs -addコマンドのinterfaces=オプションを使用
して）インタフェースを指定しない場合に作成されるCIFSサーバ。デフォルトCIFSサーバは、
Data Mover上の他のCIFSサーバに割り当てられていないすべてのインターフェースを使用し
ます。
に
認証
ファイルやディレクトリなどのリソース、オブジェクト、サービスにアクセスしようとして
いるユーザーのIDを確認するためのプロセス。
ふ
ファイルシステム
システム上でファイルとディレクトリをカタログ化して管理する方式。
ファイル配置テーブル（FAT）
MS-DOSやその他のWindowsベースのオペレーティングシステムによって、ファイルの整理や
管理に使用されるファイルシステム。ファイル配置テーブル（FAT）はFATまたはFAT32ファ
イルシステムを使用してボリュームをフォーマットするときにWindowsによって作成される
データ構造です。Windowsでは各ファイルの情報がFATで保存されるため、後でファイルを取
得できます。
160
VNX 7.0 CIFSの構成と管理
索引
A
Active Directory、CIFSサーバの追加 60
Active Directory
CIFSサーバの追加 129
コンピュータアカウントの作成 93
ASCIIフィルタリング 23
制限事項 23
C
DNS(続く)
問題 146
E
EMC E-Lab Navigator 134
G
GPO
ACLの管理と適用 40
SMB署名の構成 116
キャッシュの無効化 113
サポート 36
サポートの無効化 113
設定の更新 111
設定の表示 111
CIFS
依存関係のテスト 74
イベントログの自動アーカイブ 51
構成のテスト 74
シンボリックリンクへのアクセス 124
停止 97
プロトコル 11
ロードマップ 55
cifs srvmgr.globalSharesパラメータ 65
cifs.smbsigning 115
cifssyncwriteオプション 94
CIFSサーバ
Windows 2000での削除 97
参加権限のデリゲーション 93
CIFSサービス
停止 97
CIFSサービスの起動 57
K
KDC 25
Kerberos 25
L
LDAP
署名
暗号化 26
セキュリティポリシー 27
トラブルシューティング 144
レジストリ設定 27
D
Data Mover
ユーザー認証 29, 102
dialect 29
DNS
構成 18
M
MDS
VNX上 46
VNX 7.0 CIFSの構成と管理
161
索引
MDS(続く)
概要 45
アカウント(続く)
ローカルユーザー 32
N
い
NetBIOS
名の変更 82
一覧表示、エクスポートされた共有 66
O
oplock 50
S
server_mountコマンド 94
server_mountコマンドファイルシステムのマウン
トコマンド、server_mount 62
shadow followabsolutpath 123
shadow followdotdotパラメータ 121
SMB署名
GPOを使用した構成 116
概要 47
構成 115
U
Unicode、サポートの有効化 23
え
エイリアス
CIFSサーバに割り当て 85
NetBIOS名への割り当て 86
削除 86, 87
定義 24
エクスポートされた共有、一覧表示 66
エラーメッセージ 141
か
概要
ユーザー認証方法 29
確認、CIFS構成 74
完全修飾ドメイン名、追加 56
管理ツール、Windowsツールを使用 65
き
共有
アンエクスポート
削除 98
一覧表示 66
グローバル
ローカル 21, 63
V
VNX File Server
Windows 17
W
Windows
VNX File Server 17
コンピュータアカウントの追加 56
プラットフォームの比較 15
Windows 2000/Windows Server 2003
Kerberos認証 25
WINS、サーバの追加 56
あ
アカウント
ゲスト 32
162
VNX 7.0 CIFSの構成と管理
く
クォータ 24
け
ゲストアカウント 34
こ
構成
CIFSサーバ名の追加 56
CIFSサービスの起動 57
DNS 18
Unicode 23
サーバをドメインに参加 60, 129
コメント
CLIからの表示 89
索引
コンピュータアカウントパスワード 25
コンピュータパスワード、パスワードの自動変
更、自動変更 126
ドメインの移行、SIDのサポート、ターゲットド
メインの更新 19
トラブルシューティング 133
さ
な
削除
名前解決、WINS 56
Windows 2000のCIFSサーバ 97
サーバ、ドメインに追加 56
参加
CIFSサーバのWindowsドメイン 59
高度 128, 129
disjointネームスペース 128
同じネームスペース 129
に
認証、Kerberos 25
は
システム要件 12
情報、関連 13
署名、SMB 47
シンボリックリンク 121, 124
CIFS 124
パスワード
Kerberos 25
コンピュータアカウント 25
ヒストリ 25
パラメータ
cifs srvmgr.globalShares 65
shadow followabsolutpath 123
shadow followdotdot 121
す
ひ
スタンドアロンサーバ 31, 79
アクセス 79
スレッド 57
ヒストリ、パスワード 25
開いているファイル
名前と数 92
せ
ふ
セキュリティ、Data Moverとのネゴシエーション
72
ファイルシステム
oplock 50
同期書き込みの保証 94
マウントタイプ 62
ユーザー認証 29
ファイル変更
通知オプション 96
トラッキング 50
ファイル変更通知 95
フォーマット、ホームディレクトリデータベー
ス 148
複数データストリームのサポート 45
し
た
多言語対応 23
つ
追加
WINSサーバ 56
エイリアス 85, 86
通知、ファイル変更 50
へ
と
同期書き込み、保証 94
ドメイン
Windowsコンピュータアカウントの追加 56
サーバの追加 56
複数のサポート 21
便宜的ファイルロック 50
ほ
ホームディレクトリデータベース
フォーマット 148
VNX 7.0 CIFSの構成と管理
163
索引
ホームディレクトリ
概要 42
制限事項 45
ユーザープロファイルへの追加 107
ま
マウントタイプ 62
ろ
め
ローカルユーザーサポート
管理パスワード 79
ゲストアカウント 34
スタンドアロンサーバ 31
デフォルトアカウント 31
要件 32
ローカルユーザーアカウント、作成 32
ロードマップ 55
メッセージ、エラー 141
ゆ
ユーザーインタフェース、選択 13
164
ユーザー認証モード
設定 102
定義済み
NT 29
ユーザープロファイル、ホームディレクトリの
追加 107
VNX 7.0 CIFSの構成と管理