Как правильно установить и настроить файловый сервер на Windows Server

В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

• Процессор может быть самый простой;
• Оперативная память также не сильно используется;
• Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
2. Сервер должен быть подключен к источнику бесперебойного питания;
3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

1. Проверяем правильность настройки времени и часового пояса;
2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
4. Для удаленного администрирования, включаем удаленный рабочий стол;
5. Устанавливаем все обновления системы.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление — Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

• Службы хранения;
• Файловый сервер;

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Мониторинг

1. Сетевую доступность сервера;
2. Свободное дисковое пространство;
3. Состояние жестких дисков.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
2. Выполнить действия анализатора соответствий рекомендациям.
3. Провести живой тест работы сервиса с компьютера пользователя.

Нельзя удалить файл или папку в томе файловой системы NTFS

В этой статье описывается, почему не может быть удален файл или папка в томе файловой системы NTFS. Кроме того, эта статья поможет решить эту проблему.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 320081

Внутри организации NTFS обрабатывает папки как особый тип файлов. Таким образом, файл word в этой статье указывает файл или папку.

Причина 1: файл использует ACL

Файл нельзя удалить, если он использует список управления доступом (ACL). Чтобы устранить эту проблему, измените разрешения для файла. Возможно, вам придется оказаться владельцем файлов, чтобы изменить разрешения.

Администраторы имеют неявную возможность владения любым файлом, даже если им не было явно предоставлено никаких разрешений на доступ к файлу. Владельцы файлов имеют неявную возможность изменять разрешения на доступ к файлам, даже если им явным образом не предоставлены разрешения на доступ к файлу. Таким образом, может потребоваться получить право собственности на файл, предоставить себе разрешения на удаление файла, а затем удалить файл.

Вы не можете использовать определенные средства безопасности для отображения или изменения разрешений, так как файл имеет не канонический ACL

Чтобы обойти эту проблему, используйте другое средство (например, более поздней сборки Cacls.exe).

Элементы управления доступом (ACL) в ACL имеют определенную предпочтительные последовательности в зависимости от их типа. Например, AS, которые отоают доступ, как правило, выданы перед AES, которые предоставили доступ. Однако ничего не мешает программе написать ACL с ACL с ACL в любой произвольной последовательности. В некоторых более ранних версиях Windows проблемы происходили, когда Windows пытался прочитать эти не канонические ALS. Иногда эти ALS нельзя изменить правильно с помощью графического редактора безопасности Microsoft Windows Explorer. Эта проблема была исправлена в более поздних версиях Windows. Если у вас эта проблема, используйте наиболее новую версию Cacls.exe. Даже если вы не можете отобразить или изменить ACL на месте, вы можете написать новый ACL, чтобы получить доступ к файлу.

Причина 2: используется файл

Файл нельзя удалить, если он используется. Чтобы устранить эту проблему, определите процесс, который имеет открытый handle, а затем закроем этот процесс.

В зависимости от того, как открыт файл, удалить его, возможно, не удастся. Например, файл открыт для монопольного доступа, а не для общего доступа. Вы можете использовать различные средства для определения процессов с открытыми деснами для файлов, когда это необходимо.

Признаки этой проблемы могут отличаться. Для удаления файла можно использовать команду Delete. Но файл не удаляется до тех пор, пока открытый файл не освободит файл. Кроме того, вы можете не получить доступ к диалоговом окну «Безопасность» для файла, который ожидает удаления. Чтобы устранить эту проблему, определите процесс, который имеет открытый handle, а затем закроем этот процесс.

Причина 3. Повреждения файловой системы препятствуют доступу к файлу

Файл нельзя удалить, если файловая система повреждена. Чтобы устранить эту проблему, запустите совладку Chkdsk на томе диска, чтобы исправить ошибки.

Следующие причины могут повредить файловую систему и поместить файлы в проблемное состояние:

• Плохой сектор на диске
• Другое неисправное оборудование
• Ошибки программного обеспечения

Типичные операции могут по-разному сбой. Когда файловая система обнаруживает повреждения, она занося в журнал событий событие и обычно получает сообщение с запросом на запуск Chkdsk. В зависимости от характера повреждения Chkdsk может восстановить или не восстановить данные файла. Однако Chkdsk возвращает файловую систему в внутренне согласованное состояние.

Причина 4. Файлы существуют в путях, которые имеют более MAX_PATH символов

При проблемах с путем к файлу нельзя открыть, изменить или удалить файл.

Решение 1. Используйте автоматически сгенерированное имя 8.3 для доступа к файлу

Чтобы устранить эту проблему, может потребоваться использовать автоматическое имя 8.3 для доступа к файлу. Это разрешение может быть самым простым решением, если путь является глубоким, так как имена папок слишком длинные. Если путь 8.3 также слишком длинный или если для тома отключены имена 8.3, перейдите к разрешению 2. Дополнительные сведения об отключании имен файлов 8.3 в томах NTFS см. в разделах NTFS, чтобы отключить создание имен 8.3.

Решение 2. Переименование или перемещение глубокой папки

Переименуем папку так, чтобы целевые файлы, которые находятся ниже, MAX_PATH больше не существовали. В этом случае начните с корневой папки или любого другого удобного места. Затем переименуем папки, чтобы у них были более короткие имена. Если это не устраняет эту проблему, например, если файл имеет более 128 папок в глубине, перейдите к решению 4.

Решение 3. Соберите диск с папкой в структуре пути

Соберите диск с папкой внутри структуры пути к целевому файлу или папке. Этот метод сокращает виртуальный путь.

Например, предположим, что у вас есть путь, структурированный следующим образом:

В этом случае общее число символов составляет более 255 символов. Чтобы ухудстить длину этого пути, до 73 символов, соберите диск с SubfolderName4.

Решение 4. Используйте сетевую папку, которая находится так же глубоко, как и папка

Если разрешения 1, 2 и 3 не являются удобными или не устраняют проблему, создайте сетевую папку, расположенную на максимально глубоком дереве папок. Затем переименуем папки, чтобы получить доступ к этой папке.

Решение 5. Использование средства, которое может проходить по глубоким путям

Многие программы Windows ожидают, что максимальная длина пути будет меньше 255 символов. Эти программы выделяют достаточно внутреннего хранилища для обработки этих типовых путей. NTFS не имеет этого ограничения и может иметь гораздо более длинные пути.

Эта проблема может возникнуть, если в какой-то момент в структуре папок создается достаточно глубокая папка, а затем создается глубокая структура ниже этой точки с помощью этой папки. Некоторые средства, которые работают локально в дереве папок, могут не иметь возможности проходить по всему дереву, начиная с корневого. Возможно, вам придется использовать эти средства особым образом, чтобы они могли обходить обойму. В этой ситуации в документации по API CreateFile описывается способ обхода всего дерева.

Как правило, вы можете управлять файлами с помощью создавного программного обеспечения. Если у вас есть программа, которая может создавать файлы с более глубокой глубиной, вы можете использовать эту же программу для удаления файлов или MAX_PATH управления ими. Как правило, вы можете удалять файлы, созданные в папке, с помощью одной и той же папки.

Причина 5: имя файла содержит зарезервированное имя в пространстве имен Win32

Если имя файла содержит зарезервированное имя в пространстве имен Win32, например lpt1, удалить файл будет нельзя. Чтобы устранить эту проблему, переименуйте файл с помощью программы, не относяской к Win32. Для использования файла можно использовать средство POSIX или любое другое средство, использующее соответствующий внутренний синтаксис.

Кроме того, можно использовать некоторые встроенные команды для обхода стандартных зарезервированных проверок имен Win32, если для указания пути к файлу используется определенный синтаксис.

Если вы открываете ладок файла с помощью типичного механизма Win32 CreateFile, определенные имена файлов зарезервированы для устройств DOS старого стиля. Для обеспечения обратной совместимости эти имена файлов запрещены, и их нельзя создать с помощью типичных вызовов файлов Win32. Эта проблема не является ограничением NTFS.

Вы можете использовать программу Win32, чтобы обойти стандартные проверки имен, которые проводятся при создания или удалении файла с помощью того же метода, который используется для обхода папок ниже MAX_PATH . Кроме того, некоторые средства POSIX не подвергаются этим проверкам имен.

Причина 6: имя файла содержит недопустимое имя в пространстве имен Win32

Файл нельзя удалить, если имя файла содержит недопустимое имя. Например, имя файла имеет конечное пространство или итоге или имя файла состоит только из пробела. Чтобы устранить эту проблему, используйте средство, использующее соответствующий внутренний синтаксис для удаления файла. Для работы с этими файлами можно использовать синтаксис с некоторыми «\\?\» средствами. Пример:

Причина этой проблемы аналогична причине 4. Если вы используете типичный синтаксис Win32, чтобы открыть файл, имя которого имеет пробелы или 00-е, то перед открытием фактического файла пробелы или зоны в конце будут срезаются. Например, у вас есть два файла в одной папке с именем и обратите внимание на пробел AFile.txt AFile.txt после имени файла. Если вы попытались открыть второй файл с помощью стандартных вызовов Win32, откройте первый файл. Аналогичным образом, если у вас есть файл, имя которого является пробелом и вы пытаетесь открыть его с помощью стандартных вызовов Win32, откройте родительную папку файла. В этой ситуации, если попытаться изменить параметры безопасности для этих файлов, вы либо не сможете сделать это, либо вы можете неожиданно изменить параметры для разных файлов. В таком случае может показаться, что у вас есть разрешение на доступ к файлу с ограничениями ACL.

Сочетания причин

Иногда могут возникнуть сочетания этих причин. Это может сделать процедуру удаления файла более сложной. Например, при входе в систему с учетной записью администратора компьютера может возникнуть сочетание причин 1 (у вас нет разрешений на удаление файла) и 5 (имя файла содержит знак в конце, который приводит к перенаправлению доступа к файлу в другой файл или в несущестующий файл), а удалить файл нельзя. Если попытаться устранить причину 1, завладев файлом и добавив разрешения, вы все равно не сможете удалить файл, так как редактор ACL в пользовательском интерфейсе не может получить доступ к соответствующему файлу из-за причины 6.

В этой ситуации можно использовать с помощью средства Subinacl с коммутатором (эта с помощью набора ресурсов) для изменения прав владельца и разрешений для файла, который в противном случае /onlyfile недоступен. Пример:

Эта команда является одной командной строкой, которая была оболочка для учитаемости.

В этом примере командной строки изменяется файл, содержащий конечное пространство, чтобы учетная запись домена\администратора была владельцем файла, а эта учетная запись полностью контролирует C:\

файл. Теперь этот файл можно удалить с помощью команды Del с тем же «\\?\» синтаксисом.