ONTAP の共有のシンボリックリンク設定とDFS通知がSMBクライアントトラフィックに与える影響
すべてのとおり
環境
- ONTAP 9
- Data ONTAP 8 7-Mode
回答
- ネットアップでは、UNIXシンボリックリンクと呼ばれるUNIXシンボリックリンクをクラスタが実行される全体的な環境と組み合わせて使用すると、CIFSクライアントが想定外の動作を引き起こす可能性があるという状況を特定しています。
- Window 10、Windows Server 2016、Windows Server 2019などのSMB2/SMB3を使用するServer Message Block(SMB)クライアントが影響を受けます。
- SMB1(Windows XPなど)を使用するクライアントは影響を受けません。
- この記事では、ONTAP 9で使用できるシンボリックリンク設定と、Data ONTAP 7-Modeで使用されているシンボリックリンク設定を比較します。
- シンボリックリンクとその全体的な設定は網羅的には行われません。
- この資料では、次の3つの環境について説明します。
- データパスにリバーベッドWANアクセラレータがある環境。
- 「トラバース/実行」のNTFS権限を削除した環境。
- ローカルセキュリティ設定「ネットワーク認証のためのパスワードと資格情報の保存を許可しない」が有効になっている環境。
注意:ネットアップの製品マニュアルに記載されているとおりに、シンボリックリンクを正しく設定する必要があります。上記の環境のいずれかが見つからない場合、シンボリックリンクアクセスは問題なく動作します。この記事では、シンボリックリンクを正しく設定またはトラブルシューティングする方法については説明していません。この記事を参照する前に、 Data ONTAP 製品のマニュアルを参照して、シンボリックリンクのセットアップを検証してください。この記事では、シンボリックリンクの設定がこれら 3 つの特定の環境にどのように影響するかについて説明します。シンボリックリンクの説明は、シンボリックリンクの NTFS 実装ではなく、 UNIX クライアントを介してシンボリックリンクを作成し、 CIFS クライアントがリンクにアクセスできるようにすることです。この記事の最後の更新時点では、任意のモードで実行されている Data ONTAP は NTFS シンボリックリンクをサポートしていません。
Data ONTAP 7-Mode
シンボリックリンクの使用は、通常、以下に示すオプションと CIFS 共有設定によって制御されます。これらの設定に加えsymlink.translations
て、ファイルもあります。このファイルの概要は、この資料には記載されていません。詳細について[1]は、ご使用のストレージコントローラで実行されている Data ONTAP 7-Mode のリリースに対応した『ファイルアクセス管理ガイド』を参照してください。
- CIFS オプション:
cifs.symlinks.enable
このオプションは、 SMB クライアントが遭遇したときにシンボリックリンクをたどるかどうかを制御します。シンボリックリンクは、相対シンボリックリンクまたは絶対シンボリックリンクのいずれかになります。 - CIFS 共有設定:共有を作成または変更する場合、 Widelink または NowIDelink の設定を使用して、シンボリックリンクをさらに制御できます。この特定の設定では、シンボリックリンクが存在する共有パス外の場所へのシンボリックリンクのリダイレクトを許可または禁止します。さらに、 Widelink の設定によって Data ONTAP 7-Mode が起動され、 Distributed File System ( DFS )と呼ばれる SMB 機能のサポートが通知されます。
ONTAP 9
ONTAP 9でのシンボリックリンクの使用は、いくつかの異なる設定によって制御されます。DFS の通知機能は、 SVM にグローバルに適用されるほか、個々の共有プロパティに適用されます。
- CIFS 共有の 'symlink-properties' プロパティ:この特定の共有設定はシンボリックリンクを追跡する機能を制御し、基本的にはシンボリックリンクを機能させることができます。注意: SMB Autolocation は Widelink に依存しています。そのためには、 symlink-properties を「 symlinks-and-widelink 」( 9.0 以降)または「 enable 」( 9.0 以前)に設定する必要があります。定義できる値は次のとおりです。
- enable :読み取りアクセスと書き込みアクセスの両方でシンボリックリンクを有効にできます( ONTAP 9.0 以降では廃止予定)。
- read_only 、 enable : symlink を読み取り専用アクセスで有効にできます( ONTAP 9.0 以降では廃止予定)
- hided : SMB クライアントがシンボリックリンクを追跡できません。SMB クライアントが、その場所のディレクトリを列挙する場合、シンボリックリンク名は返されません。( ONTAP 9.0 以降では廃止予定)
- symlink :このプロパティは、読み取り / 書き込みアクセス用のローカルシンボリックリンクを有効にします。CIFSオプション「-is-advertise-dfs-enabled」がtrueに設定されている場合でも、DFS通知は生成されません。
- symlinks-and-widelinks: このプロパティは、ローカルのシンボリックリンクとワイドリンクの両方で読み取り / 書き込みアクセスを可能にします。CIFS オプション -is-advertise-dfs-enabled が false に設定されている場合でも、ローカルシンボリックリンクとワイドリンクの両方に対して DFS アドバタイズが生成されます。
- disable - シンボリック リンクとワイドリンクを無効にします。CIFSオプション「-is-advertise-dfs-enabled」がtrueに設定されている場合でも、DFS通知は生成されません。
- "" ( null または空白):シンボリックリンクは、列挙されているディレクトリに表示されます。ただし、 SMB クライアントはシンボリックリンクをたどることはできません
- CIFS 「
is-advertise-dfs-enabled
」オプション:このオプションは、 clustered Data ONTAP 8.2.3 および 8.3 で導入されました。この設定は、 DFS と呼ばれる SMB 機能のアドバタイズメントがあるかどうかを制御します。DFS アドバタイズメントは、「 Widelink 」であるシンボリックリンクを正しく動作させるためのものです。この特定のアドバタイズメントは、クライアントが CIFS 共有に最初に接続している間に発生します。この機能の設定は「 true 」または「 false 」で、 ONTAP 9 での DFS の通知方法をこのオプションの設定で制御します。- true - 共有プロパティの設定に関係なく、共有への接続時に DFS が通知されます。
- false - 共有への接続時に DFS が常にアドバタイズされるとは限りません。「 false 」に設定すると、 ONTAP 9 は共有プロパティ設定「 ymlink-properties 」に優先し、 DFS 対応の通知方法を追加します。
このセクションでは、いくつかの異なるシナリオの概要を説明します。環境に関連する以下の特定のセクションを参照して、シンボリックリンクが持つ影響と、環境に最適な設定を理解してください。次に示すコマンドは、現在定義されている設定と、必要に応じて変更する方法を示しています。
必要な設定を確認および変更する方法
: ONTAP 9
- CIFS 設定の確認:
- symlink-properties の共有設定
cli::> cifs share show –vserver <SVM_Name> -fields symlink-properties
- DFS アドバタイズメントの CIFS オプション
cli::>set advanced (answer Y)
cli::>cifs options show –vserver <SVM_Name> -fields is-advertise-dfs-enabled
- symlink-properties の共有設定
- CIFS 設定の変更:
- symlink-properties の共有設定
cli::> cifs share modify –vserver prod01 –share-name test –symlink-properties <enable|hide|read_only,enable|"" (null)>
- DFS アドバタイズメントの CIFS オプション
cli::> set advanced (answer Y)
cli::> cifs options modify –vserver prod01 –is-advertise-dfs-enabled <true|false>
- symlink-properties の共有設定
注意: symlink-properties 値を変更すると、このオプションが変更されたときにクライアントのリブートが必要になる場合があります。クライアントは、共有への接続時に DFS がアドバタイズされた方法をキャッシュします。共有に接続しているクライアントと共有から切断しているクライアント間でオプションが変更された場合、再起動せずに共有に再接続することはできません。各セクションのチャートには、 ONTAP 9 の設定とその影響に関するさまざまなシナリオの詳細が表示されます。また、設定の組み合わせによって影響を受ける可能性のある ONTAP 9 の機能も示されます。
Guidance』
使用事例 1 –シンボリックリンクとリバーベッド WAN の高速化 -
Riverbed WAN アクセラレータには 'FS Capability ( FS 機能) ' という特定の SMB 機能アドバタイズメントを含む互換性のある問題が含まれている場合があります。Riverbed デバイスが DFS のサポートをアドバタイズする共有を通過すると、 SMB2 と SMB3 のクライアントトラフィックは高速化されません。Riverbed は現在この問題を認識しています。詳細については、 Riverbed のサポートにお問い合わせください。
ONTAP 9
symlink.properties 共有設定 | CIFS オプションの is-advertise-dfs-enabled 設定: | SMB2/3 の高速化を実現 | シンボリックリンクは機能します | 影響を受ける ONTAP 9 機能です | 影響を受ける ONTAP 9 機能 | |
シナリオ 1 | 有効にする | True | 注 | Y | 注 | N/A |
シナリオ 2 | 有効にする | False | 注 | Y | 注 | N/A |
シナリオ 3 | 読み取り専用。有効にします | True | 注 | Y | 注 | N/A |
シナリオ 4 | 読み取り専用。有効にします | False | 注 | Y | 注 | N/A |
シナリオ 5 | hide または "" ( null ) | True | 注 | 注 | Y | シンボリック リンクとワイド リンク |
シナリオ 6 | hide または "" ( null ) | False | Y | 注 | Y | シンボリックリンク、ワイドリンク、および自動リンク |
使用例 2 :シンボリックリンクとトラバース / 実行権限 - CIFS 共有が NTFS 形式の認証を持つボリュームによってホストされている場合、 共有のルートにあるフォルダにトラバース / 実行 NTFS アクセス許可がない場合、シンボリックリンクの設定は SMB2 対応クライアントからのデータへのアクセスに影響を与える可能性があります。
例:
- Admin はボリュームを作成し
cifsvol1
、ジャンクションにマウントします/cifsvol1
- 管理者がに共有を作成
cifsvol1$
します to/cifsvol1
- 管理者は
Z: drive
cifsvol1$
、次のフォルダ構造にマッピングして作成しますZ:foo
Z:foosubfoo
- admin は
/Execute”
'subfoo'
、「 traverse 」権限を user という名前domainbobbyj
のサブディレクトリから削除します。他のすべての権限は変更しません。 - ONTAP 9 の管理者が共有を作成
fooshare
し/cifsvol1/foo/subfoo
、共有のパスを提供します。注:共有パスのルートは、管理者がtraverse/execute
権限「」を削除した場所を指しています。 domainbobbyj
ユーザが \toaster.domain.localfooshare にドライブをマッピングしようとしましたdomainbobbyj
ユーザにユーザ名とパスワードの入力を求められます
これは、このユースケースの説明を示す単なる例です。共有は、ボリュームのジャンクションパスの下または下にある任意の有効なパスに対して作成できます。共有がジャンクションのルートに作成: /cifsvol1
されている場合、つまり共有マップは成功しています。このユースケースでtraverse/execute
は、共有が直接ポイントする場所から権限を削除する必要があります。ONTAP 9 では、シンボリックリンクを設定すると、 SMB 機能「 FS 」がアドバタイズされる可能性があります。DFS がアドバタイズされると、 Microsoft の特定の SMB クライアントに影響を与える可能性がある状況が発生します。詳細について[2]は、次の Microsoft KB を参照してください。以下の表は、シンボリックリンク設定の影響とトラバース / 実行権限の不足を示しています。
ONTAP 9
cifs オプションの is-advertise-dfs-enabled 設定 | symlink.properties が設定されました |
トラバース / 実行権限 が削除されました |
シンボリックリンクは 機能します |
ドライブマッピングが成功します | 影響を受ける ONTAP 9 機能です | 影響を受ける ONTAP 9 機能 | |
シナリオ 1 | True | 有効にする | Y | Y | 注 | 注 | N/A |
シナリオ 2 | True | 読み取り専用。有効にします | Y | Y | 注 | 注 | N/A |
シナリオ 3 | True | hide または "" ( null ) | Y | 注 | 注 | Y | シンボリックリンク、ワイドリンク、および自動リンク |
シナリオ 4 | False | 有効にする | Y | Y | 注 | 注 | N/A |
シナリオ 5 | False | 読み取り専用。有効にします | Y | Y | 注 | 注 | N/A |
シナリオ 6 | False | hide または "" ( null ) | Y | 注 | Y | Y | シンボリックリンク、ワイドリンク、および自動リンク |
使用例 3 :ローカルセキュリティポリシー「ネットワークアクセス:ネットワーク認証のためのパスワードと資格情報の保存を許可しない」[3]このローカルセキュリティ設定の詳細については、次の Microsoft KB 文書を参照してください。GPO またはコントロールパネルを使用してこのポリシーを設定すると、ネットワークドライブのマッピングに使用するのと同じユーザーとしてログインしていても、ネットワーク共有に接続できなくなる可能性があります。詳細については、次の例を参照してください。
- ドメイン
User bobbyj
は、上記の GPO が定義されたワークステーションにログインします Bobbyj
ドライブへのマッピングを試み、 Windows エクスプローラを使用してドライブをマッピングしますが、その場合は、別のクレデンシャルで接続するオプションが選択されます- プロンプトが表示されたら
bobbyj
、適切なクレデンシャルを指定します(これらのクレデンシャルは、ログオンしているユーザまたはアクセス権を付与されている別のユーザと同じにすることができます)。 - ドライブマッピングが失敗し、エラーメッセージ「
A specified logon session does not exist. It may already have been terminated'
注意:クライアントが'net use
「 Windows コマンドライン/user:<username>
」を実行し、オプションを指定した場合も、同じ状況が発生します。これも、 DFS がアドバタイズされる方法と、 DFS がアドバタイズされるときに GPO を設定するとクライアントにどのように影響するかに起因します。次の表に、さまざまな設定と GPO の影響を示します。
ONTAP 9
cifs オプションの is-advertise-dfs-enabled 設定 | symlink.properties が設定されました |
GPO が適用されていますか |
ドライブマッピングが成功します | シンボリックリンクは 機能します |
影響を受ける ONTAP 9 機能です | 影響を受ける ONTAP 9 機能 | |
シナリオ 1 | True | 有効にする | 注 | Y | Y | 注 | N/A |
シナリオ 2 | True | 読み取り専用。有効にします | 注 | Y | Y | 注 | N/A |
シナリオ 3 | True | hide または "" ( null ) | 注 | Y | 注 | Y | シンボリックリンク、ワイドリンク、および自動リンク |
シナリオ 4 | False | 有効にする | Y | 注 | Y | 注 | N/A |
シナリオ 5 | False | 読み取り専用。有効にします | Y | 注 | Y | 注 | N/A |
シナリオ 6 | False | hide または "" ( null ) | Y | 注 | 注 | Y | シンボリックリンク、ワイドリンク、および自動リンク |
追加情報
[4] シンボリックリンクと DFS の設定によって影響を受ける可能性のある SMB 機能の詳細については、 SMB サーバベースのサービスの導入を参照してください