SMB 2.x/3 クライアントトラフィックに対する clustered Data ONTAP での共有のシンボリックリンク設定と DFS アドバタイズメントの影響は何ですか

に適用されます

• clustered Data ONTAP 8.3
• clustered Data ONTAP 8.2

回答

ネットアップでは、 UNIX シンボリックリンク（シンボリックリンク）の設定が、クラスタを実行する環境全体と連動して、 CIFS クライアントで予期しない動作が発生する可能性がある状況を特定しています。Windows 7 、 Window 8 、 Vista 、 Windows 2008 R2 、 Windows 2012 などの SMB 2/SMB3 を使用する SMB （ Server Message Block ）クライアントのみが影響を受けます。SMB1 を使用するクライアント（ Windows XP など）は影響を受けません。この記事では、 clustered Data ONTAP で利用できる symlink 設定と、 7-Mode で動作する Data ONTAP の設定を比較しています。シンボリックリンクとその全体的な設定については、完全にはレビューされません。この資料では、次の 3 つの環境について説明します。

• データパスに Riverbed WAN アクセラレータがある環境。
• 「トラバース / 実行」の NTFS アクセス許可を削除した環境。
• ローカルセキュリティ設定が有効になっている環境では、「ネットワーク認証用のパスワードと資格情報の保存を許可しません」。

注意：ネットアップの製品マニュアルに記載されているとおりに、シンボリックリンクを正しく設定する必要があります。上記の環境のいずれかが見つからない場合、シンボリックリンクアクセスは問題なく動作します。この記事では、シンボリックリンクを正しく設定またはトラブルシューティングする方法については説明していません。この記事を参照する前に、 Data ONTAP 製品のマニュアルを参照して、シンボリックリンクのセットアップを検証してください。この記事では、シンボリックリンクの設定がこれら 3 つの特定の環境にどのように影響するかについて説明します。シンボリックリンクの説明は、シンボリックリンクの NTFS 実装ではなく、 UNIX クライアントを介してシンボリックリンクを作成し、 CIFS クライアントがリンクにアクセスできるようにすることです。この記事の最後の更新時点では、任意のモードで実行されている Data ONTAP は NTFS シンボリックリンクをサポートしていません。

Data ONTAP 7-Mode

シンボリックリンクの使用は、通常、以下に示すオプションと CIFS 共有設定によって制御されます。これらの設定に加えsymlink.translations て、ファイルもあります。このファイルの概要は、この資料には記載されていません。詳細について[1]は、ご使用のストレージコントローラで実行されている Data ONTAP 7-Mode のリリースに対応した『ファイルアクセス管理ガイド』を参照してください。

• CIFS オプション：cifs.symlinks.enableこのオプションは、 SMB クライアントが遭遇したときにシンボリックリンクをたどるかどうかを制御します。シンボリックリンクは、相対シンボリックリンクまたは絶対シンボリックリンクのいずれかになります。
• CIFS 共有設定：共有を作成または変更する場合、 Widelink または NowIDelink の設定を使用して、シンボリックリンクをさらに制御できます。この特定の設定では、シンボリックリンクが存在する共有パス外の場所へのシンボリックリンクのリダイレクトを許可または禁止します。さらに、 Widelink の設定によって Data ONTAP 7-Mode が起動され、 Distributed File System （ DFS ）と呼ばれる SMB 機能のサポートが通知されます。

clustered Data ONTAP ：

clustered Data ONTAP でのシンボリックリンクの使用は、いくつかの異なる設定によって制御されます。クラスタで実行されているリリースによっては、単一の共有レベル設定が存在する場合もあれば、最近のリリースでは、 DFS のアドバタイズメントを制御する追加のグローバルオプションが存在する場合もあります。

• CIFS 共有の 'symlink-properties' プロパティ：この特定の共有設定はシンボリックリンクを追跡する機能を制御し、基本的にはシンボリックリンクを機能させることができます。注意： SMB Autolocation は Widelink に依存しています。そのためには、 symlink-properties を「 symlinks-and-widelink 」（ 9.0 以降）または「 enable 」（ 9.0 以前）に設定する必要があります。定義できる値は次のとおりです。
  • enable ：読み取りアクセスと書き込みアクセスの両方でシンボリックリンクを有効にできます（ ONTAP 9.0 以降では廃止予定）。
  • read_only 、 enable ： symlink を読み取り専用アクセスで有効にできます（ ONTAP 9.0 以降では廃止予定）
  • hided ： SMB クライアントがシンボリックリンクを追跡できません。SMB クライアントが、その場所のディレクトリを列挙する場合、シンボリックリンク名は返されません。（ ONTAP 9.0 以降では廃止予定）
  • symlink ：このプロパティは、読み取り / 書き込みアクセス用のローカルシンボリックリンクを有効にします。CIFSオプション「-is-advertise-dfs-enabled」がtrueに設定されている場合でも、DFS通知は生成されません。
  • symlinks-and-widelinks: このプロパティは、ローカルのシンボリックリンクとワイドリンクの両方で読み取り / 書き込みアクセスを可能にします。CIFS オプション -is-advertise-dfs-enabled が false に設定されている場合でも、ローカルシンボリックリンクとワイドリンクの両方に対して DFS アドバタイズが生成されます。
  • disable - シンボリック リンクとワイドリンクを無効にします。CIFSオプション「-is-advertise-dfs-enabled」がtrueに設定されている場合でも、DFS通知は生成されません。
  • "" （ null または空白）：シンボリックリンクは、列挙されているディレクトリに表示されます。ただし、 SMB クライアントはシンボリックリンクをたどることはできません
• CIFS 「is-advertise-dfs-enabled」オプション：このオプションは、 clustered Data ONTAP 8.2.3 および 8.3 で導入されました。この設定は、 DFS と呼ばれる SMB 機能のアドバタイズメントがあるかどうかを制御します。DFS アドバタイズメントは、「 Widelink 」であるシンボリックリンクを正しく動作させるためのものです。この特定のアドバタイズメントは、クライアントが CIFS 共有に最初に接続している間に発生します。この機能の設定は「 true 」または「 false 」です。このオプションの設定は、 clustered Data ONTAP で DFS をアドバタイズする方法を制御します。
  • true - 共有プロパティの設定に関係なく、共有への接続時に DFS が通知されます。
  • false - 共有への接続時に DFS が常にアドバタイズされるとは限りません。「 false 」に設定すると、 clustered Data ONTAP は、共有プロパティ設定の「 mylink - properties 」を保留し、 DFS 機能のアドバタイズ方法についての詳細なガイダンスを提供します。

このセクションでは、いくつかの異なるシナリオの概要を説明します。環境に関連する以下の特定のセクションを参照して、シンボリックリンクが持つ影響と、環境に最適な設定を理解してください。次に示すコマンドは、現在定義されている設定と、必要に応じて変更する方法を示しています。


clustered Data ONTAP 8.2.3/8.3 以降で必要な設定を確認および変更する方法

• CIFS 設定の確認：
  • symlink-properties の共有設定
    cli::> cifs share show –vserver <SVM_Name> -fields symlink-properties
  • DFS アドバタイズメントの CIFS オプション
    cli::>set advanced (answer Y)
cli::>cifs options show –vserver <SVM_Name> -fields is-advertise-dfs-enabled
• CIFS 設定の変更：
  • symlink-properties の共有設定
    cli::> cifs share modify –vserver prod01 –share-name test –symlink-properties <enable|hide|read_only,enable|"" (null)>
  • DFS アドバタイズメントの CIFS オプション
    cli::> set advanced (answer Y)
cli::> cifs options modify –vserver prod01 –is-advertise-dfs-enabled <true|false>

注意： symlink-properties 値を変更すると、このオプションが変更されたときにクライアントのリブートが必要になる場合があります。クライアントは、共有への接続時に DFS がアドバタイズされた方法をキャッシュします。共有に接続しているクライアントと共有から切断しているクライアント間でオプションが変更された場合、再起動せずに共有に再接続することはできません。各セクションの表には、 clustered Data ONTAP の設定とその影響に関するさまざまなシナリオの詳細が記載されています。また、設定の組み合わせに基づいて、 clustered Data ONTAP のどの機能が影響を受ける可能性があるかを示すグラフも表示されます。影響[2]を受ける clustered Data ONTAP 機能の詳細については、クラスタで実行されているバージョンの『ファイルアクセス管理ガイド』を参照してください。このマニュアル[3]は、ネットアップのサポートサイトから入手できます。

Guidance』

使用例 1 ：シンボリックリンクとリバーベッド WAN アクセラレーション - 関連する問題をサポートするには、 Riverbed WAN アクセラレータを実行しているユーザが clustered Data ONTAP 8.2.3 以降をインストールする必要があります。これにより、個々の共有レベルから CIFS オプションとしてグローバルに DFS のアドバタイズメントを制御できます。いくつかのシナリオと潜在的な影響を説明する別のチャートを次に示します（ 2 ）。「 Riverbed Acceleration of SMB2/3 」と「 clustered Data ONTAP Feature Impacted 」の列に注目してください。Riverbed カラムには、 SMB2 トラフィックと SMB3 トラフィックのどちらが設定に基づいてアクセラレーションの対象になるかが反映されます。列に「 N 」がある場合、データの高速化が影響を受けます。「 Y 」の場合は、 Riverbed デバイスの設定に応じて、 SMB2/SMB3 トラフィックが高速化の対象になります。シンボリックリンクへの影響を詳しく説明する列を、最後の (2) 列で説明する必要があるかもしれません。これらの列には、影響を受ける clustered Data ONTAP 機能があるかどうか、影響を受ける場合はどの機能があるかが示されます。 

この KB 記事の公開または最終更新時点での Riverbed には、「 FS 機能」と呼ばれる特定の SMB 機能アドバタイズメントに関連する互換性の問題があります。Riverbed デバイスが DFS のサポートをアドバタイズする共有を通過すると、 SMB2 と SMB3 のクライアントトラフィックは高速化されません。Riverbed は現在この問題を認識しています。詳細については、 Riverbed サポートにお問い合わせください。 

clustered Data ONTAP 8.2.3 または 8.3 以降

使用例 2 ：シンボリックリンクとトラバース / 実行権限 - CIFS 共有が NTFS 形式の認証を持つボリュームによってホストされている場合、 共有のルートにあるフォルダにトラバース / 実行 NTFS アクセス許可がない場合、シンボリックリンクの設定は SMB2 対応クライアントからのデータへのアクセスに影響を与える可能性があります。 

例：

• Admin はボリュームを作成しcifsvol1、ジャンクションにマウントします /cifsvol1
• 管理者がに共有を作成cifsvol1$ します to /cifsvol1
• 管理者はZ: drive cifsvol1$ 、次のフォルダ構造にマッピングして作成します
  • Z:foo
  • Z:foosubfoo
• admin は/Execute”'subfoo'、「 traverse 」権限を user という名前domainbobbyjのサブディレクトリから削除します。他のすべての権限は変更しません。
• clustered Data ONTAP の管理者が共有「fooshare」を作成し、共有のパス/cifsvol1/foo/subfoo
  を指定します。注：共有パスのルートは、管理者がtraverse/execute「」権限を削除したのと同じ場所を指します）。
• domainbobbyj ユーザが \toaster.domain.localfooshare にドライブをマッピングしようとしました
• domainbobbyjユーザにユーザ名とパスワードの入力を求められます

これは、このユースケースの説明を示す単なる例です。共有は、ボリュームのジャンクションパスの下または下にある任意の有効なパスに対して作成できます。共有がジャンクションのルートに作成: /cifsvol1されている場合、つまり共有マップは成功しています。このユースケースでtraverse/executeは、共有が直接ポイントする場所から権限を削除する必要があります。clustered Data ONTAP では、 symlink の設定によって SMB 機能「 FS 」がアドバタイズされることがあります。DFS がアドバタイズされると、 Microsoft の特定の SMB クライアントに影響を与える可能性がある状況が発生します。詳細について[4]は、次の Microsoft KB を参照してください。以下の表は、シンボリックリンク設定の影響とトラバース / 実行権限の不足を示しています。

clustered Data ONTAP 8.2.3 または 8.3 以降

使用例 3 ：ローカルセキュリティポリシー「ネットワークアクセス：ネットワーク認証のためのパスワードと資格情報の保存を許可しない」[5]このローカルセキュリティ設定の詳細については、次の Microsoft KB 文書を参照してください。GPO またはコントロールパネルを使用してこのポリシーを設定すると、ネットワークドライブのマッピングに使用するのと同じユーザーとしてログインしていても、ネットワーク共有に接続できなくなる可能性があります。詳細については、次の例を参照してください。

• ドメインUser bobbyjは、上記の GPO が定義されたワークステーションにログインします
• Bobbyj ドライブへのマッピングを試み、 Windows エクスプローラを使用してドライブをマッピングしますが、その場合は、別のクレデンシャルで接続するオプションが選択されます
• プロンプトが表示されたらbobbyj 、適切なクレデンシャルを指定します（これらのクレデンシャルは、ログオンしているユーザまたはアクセス権を付与されている別のユーザと同じにすることができます）。
• ドライブマッピングが失敗し、エラーメッセージ「A specified logon session does not exist. It may already have been terminated'

注意：クライアントが'net use「 Windows コマンドライン/user:<username>」を実行し、オプションを指定した場合も、同じ状況が発生します。これも、 DFS がアドバタイズされる方法と、 DFS がアドバタイズされるときに GPO を設定するとクライアントにどのように影響するかに起因します。次の表に、さまざまな設定と GPO の影響を示します。

clustered Data ONTAP 8.2.3 または 8.3 以降

追加情報

ここにテキストを追加します。