UNIX-Computer reagieren auf Lock-Anforderungen mit Advisory Locking. Das bedeutet, dass das
Betriebssystem für eine Datei keine Lock-Semantik erzwingt. Anwendungen, die nach Locks suchen,
können diese effizient verwenden. Server for NFS implementiert jedoch auch für über NFS empfangene
Lock-Anforderungen Mandatory Locks. Dadurch wird sichergestellt, dass durch NFS erfasste Locks durch
das Server Message Block (SMB) Protokoll und für Anwendungen, die auf die Dateien lokal zugreifen,
sichtbar sind. Mandatory Locks werden durch das Betriebssystem erzwungen.
Server for NFS Authentication DLL contra Service for User für Active Directory-Domänencontroller
Auf einem Windows Storage Server 2003 R2 Storage Server, ist Server for NFS für die Authentifizierung
von UNIX-Benutzern als entsprechende Windows-Benutzer auf eine Domänencontrollerfunktion namens
Service for User (S4U) angewiesen. Windows Server-Betriebssysteme vor Windows Server 2003
und Windows Storage Server 2003 unterstützen S4U nicht. Vergleichbar verwenden die älteren
Services for UNIX (SFU), Services for NFS und Windows Storage Server 2003 NFS-Veteilungen die
S4U-Funktion in gemischten Umgebungen nicht. Sie sind noch immer darauf angewiesen, dass auf den
Domänen-Controllern die Server for NFS Authentication DLL installiert ist.
Deshalb muss der Administrator die Server for NFS Authentication DLL in den folgenden Fällen auf
Windows 2000-Domänencontroller installieren:
•
Die NFS-Dateiserverumgebung verwendet frühere NFS-Versionen (NAS, SFU usw.).
•
Die Windows-Domänenumgebung verwendet Domänen-Controller aus der Zeit vor 2003.
Tabelle 21
bietet ein Leitfaden zur Entscheidung, wann die NFS Authentication DLL anstelle der älteren
S4U-NFS und R2 MSNFS verwendet werden sollte.
Tabelle 21 Authentifizierungstabelle
Domänen-Controller-
Typ
Älterer Domänen-
Controller (vor
WSS2003)
Aktuelle Domänen-
Controller (WSS2003
und höher)
Die S4U-Erweiterungen des Kerberos-Protokolls bestehen aus der Service-for-User-to-Proxy
(S4U2Proxy) Erweiterung und der Service-for-User-to-Self (S4U2Self) Erweiterung. Weitere
Informationen zu S4U2-Erweiterungen finden Sie in den Kerberos-Artikeln unter den folgenden URLs:
http://searchwindowssecurity.techtarget.com/originalContent/0,289142,sid45_gci1013484,00.html
(für IT-Mitarbeiter) und
(für Entwickler).
Installation der NFS Authentication DLL auf Domänen-Controllern
HINWEIS:
Wenn die Authentifizierungssoftware nicht auf sämtlichen Domänen-Controllern installiert
wird, zu denen Benutzernamensverknüpfungen bestehen – einschließlich den primären
Domänen-Controllern, Sicherungsdomänen-Controllern und Active Directory-Domänen – werden diese
Benutzernamensverknüpfungen nicht ordnungsgemäß funktionieren.
Sie müssen die in Services for UNIX 3.5 integrierte Version von NFS Authentication installieren. Sie können
Services for UNIX 3.5 kostenlos herunterladen unter http://go.microsoft.com/fwlink/?LinkId=44501.
So installieren Sie die Authentifizierungssoftware auf den Domänen-Controllern:
1.
Suchen Sie in den SFU 3.5-Dateien nach dem Verzeichnis SFU35SEL_EN.
102
Microsoft Services for Network File System (MSNFS)
Älteres NFS (vor
WSS2003 R2)
NFS Authentication DLL
auf Domänen-Controller
erforderlich
NFS Authentication DLL
auf Domänen-Controller
erforderlich
http://msdn.microsoft.com/msdnmag/issues/03/04/SecurityBriefs/default.aspx
MSNFS (WSS2003 R2)
NFS Authentication DLL auf Domänen-Controller
erforderlich
Verwendet den integrierten S4U (auf dem
Domänen-Controller). Wird nicht von der NFS
Authentication DLL auf dem Domänen-Controller
beeinflusst.