Utilisation d'un système VNXe avec des dossiers … · Serveur de dossiers partagés CIFS VNXe dans un domaine ... EMC VNXe3100 – Guide d'information sur le matériel ... Guide

Connexion au stockage

Gamme EMC® VNXe™ Utilisation d'un système VNXe avec des dossiers partagés CIFS VNXe OE version 2.4

RÉF. 300-010-548RÉV. 04

Utilisation d'un système VNXe avec des dossiers partagés CIFS2

Copyright © 2013 EMC Corporation. Tous droits réservés.

Publié en mai 2013

EMC estime que les informations figurant dans ce document sont exactes à la date de publication. Ces informations sont sujettes à modification sans préavis.

Les informations contenues dans ce document sont fournies « en l'état ». EMC Corporation ne fournit aucune déclaration ou garantie d'aucune sorte concernant les informations contenues dans cette publication et rejette plus spécialement toute garantie implicite de qualité commerciale ou d'adéquation à une utilisation particulière. L'utilisation, la copie et la diffusion de tout logiciel EMC décrit dans cette publication nécessitent une licence logicielle en cours de validité.

EMC2, EMC et le logo EMC sont des marques déposées ou des marques commerciales d'EMC Corporation aux États-Unis et dans d'autres pays. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs respectifs.

Pour obtenir les informations légales les plus récentes concernant votre famille de produits, consultez la section Documentations et conseils techniques du site Web de support en ligne EMC.

Sommaire

Préface

Chapitre 1 Configuration d'un hôte en vue de l'utilisation du stockage de dossiers partagés CIFS VNXe

Conditions requises pour la configuration d'un hôte en vue de l'utilisation du stockage CIFS VNXe................................................................................. 10

Conditions requises au niveau du VNXe ................................................ 10Conditions requises au niveau du réseau .............................................. 10Serveur de dossiers partagés CIFS VNXe dans un domaine Windows Active Directory ...................................................................... 10Serveur de dossiers partagés VNXe CIFS autonome ............................... 10

Logiciel Celerra pour les hôtes VNXe dans un environnement CIFS................ 11Présentation des logiciels pour hôtes VNXe dans un environnement CIFS .............................................................................. 11Installation du logiciel hôte dans un environnement CIFS...................... 12

Utilisation de Windows CA ........................................................................... 13Utilisation de la haute disponibilité du réseau ............................................. 14

Réseaux FSN ......................................................................................... 14Agrégation de liens ............................................................................... 16Configuration de l'agrégation de liens ................................................... 16

Utilisation du chiffrement CIFS ..................................................................... 18Configuration du stockage de dossiers partagés VNXe CIFS pour l'hôte (client) ....................................................................................... 19Configuration de l'accès des utilisateurs au partage CIFS dans Active Directory ................................................................................... 19Mappage du partage CIFS sur l'hôte ............................................................ 20

Chapitre 2 Migration de données CIFS vers le système VNXe

Environnement de migration CIFS et limitations .......................................... 22Migration de données CIFS .......................................................................... 22

Chapitre 3 Gestion du stockage de dossiers partagés CIFS VNXe à l'aide d'outils Windows

Ouverture de la console MMC Gestion de l'ordinateur .................................. 26Avant d'utiliser les snap-in MMC ........................................................... 26

Création de partages et définition d'ACL à l'aide de la console MMC ............ 26Avant de créer des partages ou de définir l'accès (ACL) ......................... 26Définition d'ACL sur un partage existant d'un serveur de dossiers partagés.................................................................................. 27Création d'un partage et définition de ses ACL sur un serveur de dossiers partagés............................................................................. 27

Utilisation de la fonction de dossier de base................................................ 27Restrictions relatives à l'utilisation du dossier de base ......................... 28Ajout d'un dossier de base à Active Directory ........................................ 29Ajout d'un dossier de base au moyen d'expressions ............................. 29

Utilisation d'objets de stratégie de groupe (GPO, Group Policy Object) ......... 31Prise en charge des GPO sur un serveur de dossiers partagés VNXe ...... 31

Utilisation de la signature SMB .................................................................... 33

Utilisation d'un système VNXe avec des dossiers partagés CIFS 3

Sommaire

Surveillance des connexions de serveur de dossiers partagés et de l'utilisation des ressources à l'aide de la console MMC ................................ 33

Surveillance des utilisateurs sur un serveur de dossiers partagés ......... 34Surveillance de l'accès aux partages sur le serveur de dossiers partagés.................................................................................. 34Surveillance de l'utilisation des fichiers sur le serveur de dossiers partagés.................................................................................. 34

Audit des utilisateurs et des objets CIFS....................................................... 35Activation de l'audit sur un serveur de dossiers partagés ...................... 36Affichage des événements d'audit......................................................... 38Désactivation de l'audit ........................................................................ 38

Accès au journal de sécurité pour un serveur de dossiers partagés VNXe ..... 39Copie d'un snapshot de partage à l'aide de l'Explorateur Windows .............. 39Restauration d'un snapshot de partage à l'aide de l'Explorateur Windows.... 40

Chapitre 4 Utilisation de la fonction FLR avec le système VNXe

Terminologie et concepts propres à la fonction FLR ...................................... 42Terminologie relative à la fonction FLR................................................... 42Principes de base de la rétention au niveau des fichiers........................ 42Fonctionnement de la rétention au niveau des fichiers .......................... 43Restrictions associées à la rétention au niveau des fichiers................... 44

Configuration matérielle pour la rétention au niveau des fichiers.................. 45Windows .NET Framework...................................................................... 45Exigences en termes de services Windows et de privilèges de compte de service pour le contrôleur FLR............................................... 45

Installation du kit d'outils FLR sur un hôte.................................................... 46Configuration du contrôleur FLR ................................................................... 47Utilisation du contrôleur FLR ........................................................................ 48

Basculement d'un fichier en lecture seule à l'état FLR............................ 48Création de requêtes FLR....................................................................... 48

Chapitre 5 Utilisation de la solution VNX Event Enabler avec le système VNXe

Présentation de CAVA .................................................................................. 50Serveurs de dossiers partagés VNXe ..................................................... 50Client antivirus VEE CAVA ...................................................................... 51Prise en charge de logiciels antivirus tiers ............................................. 51Logiciel VEE CAVA ................................................................................. 51Snap-in MMC Celerra AntiVirus Management......................................... 51

Configuration système requise et restrictions............................................... 51Rétention au niveau des fichiers ........................................................... 52Protocoles non CIFS .............................................................................. 52

Configuration de VEE CAVA pour les serveurs de dossiers partagés VNXe ..... 52

4 Utilisation d'un système VNXe avec des dossiers partagés CIFS

PRÉFACE

En vue d'améliorer la qualité de sa gamme de produits, EMC publie régulièrement des révisions de ses matériels et logiciels. Par conséquent, il se peut que certaines fonctions décrites dans le présent document ne soient pas prises en charge par l'ensemble des versions des logiciels ou matériels actuellement utilisés. Pour obtenir les informations les plus récentes sur les fonctionnalités des produits, consultez les notes de mise à jour de vos produits.

Si un produit ne fonctionne pas correctement ou ne fonctionne pas de la manière décrite dans ce document, contactez le responsable de compte EMC.

Remarque : les informations figurant dans ce document sont exactes à la date de publication. De nouvelles versions de ce document peuvent être publiées sur le site Web de support en ligne EMC. Consultez ce site afin de vous assurer que vous utilisez la version la plus récente de ce document.

ObjectifLe présent document fait partie du jeu de documentation VNXe d'EMC. Il décrit la procédure de configuration des hôtes Windows avec des clients devant accéder à un stockage de dossiers partagés CIFS sur un système VNXe disposant de l'environnement d'exploitation VNXe version 1.7.0 ou ultérieure.

AudienceCe document s'adresse aux personnes chargées de configurer les hôtes afin d'accéder au stockage VNXe.

Le lecteur doit être familiarisé avec le stockage de dossiers partagés CIFS VNXe et avec le système d'exploitation Windows exécuté sur les hôtes où résident les clients qui accéderont au stockage de dossiers partagés CIFS VNXe.

Documentation connexeAutres documents relatifs à VNXe à consulter :

◆ EMC VNXe3100 – Guide d'information sur le matériel

◆ Guide d'installation du système EMC VNXe3100





◆ Utilisation d'un système VNXe avec des dossiers partagés NFS

◆ Utilisation d'un système VNXe avec Microsoft Exchange 2007 ou Microsoft Exchange 2010

◆ Utilisation d'un système VNXe avec un stockage iSCSI générique

◆ Utilisation d'un système VNXe avec Microsoft Windows Hyper-V

◆ Utilisation d'un système VNXe avec des datastores VMware NFS ou VMFS

◆ Guide d'utilisation de la CLI VNXe


Préface

L'aide d'EMC Unisphere comporte des informations spécifiques sur le stockage et certaines fonctions VNXe. Vous trouverez l'aide de Unisphere, ainsi qu'un ensemble complet de documentation client consacrée au VNXe, sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport).

Conventions utilisées dans ce documentEMC utilise les conventions suivantes pour attirer l'attention du lecteur sur certains points particuliers :

DANGER

DANGER indique une situation dangereuse qui, si elle n'est pas évitée, entraînera des blessures graves, voire la mort.

AVERTISSEMENT

AVERTISSEMENT indique une situation dangereuse qui, si elle n'est pas évitée, risque d'entraîner des blessures graves, voire la mort.

ATTENTION

ATTENTION, utilisé avec le symbole d'alerte de sécurité, indique une situation dangereuse qui, si elle n'est pas évitée, risque d'entraîner des blessures mineures ou modérées.

AVIS

AVIS concerne les pratiques n'impliquant aucune blessure.

Remarque : une remarque donne une information importante, mais non vitale.

IMPORTANT

Le symbole et la mention « Remarque importante » présentent des informations essentielles pour l'utilisation des logiciels ou du matériel.


http://www.emc.com/vnxesupport

Préface

Conventions typographiques

Les conventions stylistiques suivantes sont utilisées dans ce document :

Normal Dans le texte courant (autre que les procédures) pour :• les noms d'éléments d'interface (tels que les noms de fenêtres,

de boîtes de dialogue, de boutons, de champs et de menus) ;• les noms de ressources, d'attributs, de pools, d'expressions

booléennes, de boutons, d'instructions DQL, de mots-clés, de clauses, de variables d'environnement, de fonctions et d'utilitaires ;

• les URL, les noms de chemins d'accès, les noms de fichiers, les noms de répertoires, les noms d'ordinateurs, les noms de fichiers, les liens, les groupes, les clés de service, les systèmes de fichiers et les notifications.

Gras Utilisé dans le texte courant (hormis les procédures) pour les noms de commandes, les options, les programmes, les processus, les services, les applications, les utilitaires, les noyaux, les notifications, les appels système et les pages man.

Utilisé dans les procédures pour :• les noms d'éléments d'interface (tels que les noms de fenêtres,

de boîtes de dialogue, de boutons, de champs et de menus) ;• les éléments avec lesquels l'utilisateur interagit spécifiquement

(sélection, clic de la souris, frappe au clavier, saisie au clavier).

Italique Utilisé dans tout le texte (y compris les procédures) pour :• titres complets de publications référencées dans le texte ;• la mise en valeur (par exemple, un nouveau terme) ;• variables.

Courier Utilisé pour :• sortie du système, telle qu'un message d'erreur ou un script ;• URL, chemins d'accès complets, noms de fichiers, invites et syntaxe

affichés en dehors du texte courant.

Courier gras Utilisé pour les entrées utilisateur spécifiques (par exemple, les commandes).

Courier italique Utilisé dans les procédures pour :• les variables de la ligne de commande ;• variables entrées par l'utilisateur.

< > Les chevrons simples entourent les valeurs de paramètres ou de variables indiquées par l'utilisateur.

[ ] Les crochets entourent les valeurs facultatives.

| Une barre verticale indique les sélections alternatives (la barre signifie « ou »).

{ } Les accolades entourent le contenu que l'utilisateur doit spécifier, c'est-à-dire x, y ou z.

... Les points de suspension indiquent des informations non essentielles omises dans l'exemple.


Préface

Où obtenir de l'aidePour obtenir des informations sur le support, les produits et les licences VNXe, procédez comme suit :

Informations sur le produit — Pour toute information sur la documentation, les notes de mise à jour, les mises à jour logicielles ou les produits, licences et services EMC, consultez le site Web de support en ligne EMC (enregistrement obligatoire) à l'adresse :


Support technique — Pour le support technique, accédez au support en ligne EMC. Sous Centre de services, plusieurs options sont disponibles, notamment pour créer une demande de service. Pour ouvrir une demande de service, vous devez disposer d'un contrat de support valide. Contactez le responsable de compte EMC pour savoir comment obtenir un contrat de support valide ou si vous avez des questions concernant votre compte.

Vos commentairesVos suggestions nous aident à améliorer l'exactitude, l'organisation et la qualité globale de nos documentations utilisateur. Nous vous invitons à envoyer votre avis sur ce document à l'adresse suivante :

[email protected]



CHAPITRE 1Configuration d'un hôte en vue de l'utilisation du stockage de dossiers partagés CIFS VNXe

Ce chapitre explique comment configurer un hôte ou une machine virtuelle Windows en vue de l'utilisation du stockage de dossiers partagés CIFS EMC VNXe.

Les sujets abordés sont les suivants :

◆ Conditions requises pour la configuration d'un hôte en vue de l'utilisation du stockage CIFS VNXe................................................................................................. 10

◆ Logiciel Celerra pour les hôtes VNXe dans un environnement CIFS........................... 11◆ Configuration du stockage de dossiers partagés VNXe CIFS pour l'hôte (client)........ 19◆ Configuration de l'accès des utilisateurs au partage CIFS dans Active Directory ....... 19◆ Mappage du partage CIFS sur l'hôte ........................................................................ 20

Configuration d'un hôte en vue de l'utilisation du stockage de dossiers partagés CIFS VNXe 9

Configuration d'un hôte en vue de l'utilisation du stockage de dossiers partagés CIFS VNXe

Conditions requises pour la configuration d'un hôte en vue de l'utilisation du stockage CIFS VNXe

Avant de configurer un hôte en vue de l'utilisation du stockage CIFS VNXe, assurez-vous que les conditions préalables ci-après sont satisfaites au niveau du système VNXe et de la configuration réseau.

Conditions requises au niveau du VNXe

◆ Vous avez installé et configuré le système VNXe à l'aide de l'Assistant de configuration du VNXe, comme décrit dans le Guide d'installation du système EMC VNXe3100, le Guide d'installation du système EMC VNXe3150 ou le Guide d'installation du système EMC VNXe3300.

◆ Vous avez utilisé Unisphere ou la CLI VNXe pour configurer un ou plusieurs serveurs de dossiers partagés VNXe sur le système VNXe.

Conditions requises au niveau du réseau

L'hôte (le client) doit se trouver dans un environnement LAN avec le serveur de stockage de dossiers partagés VNXe. Le serveur de dossiers partagés VNXe peut être soit membre d'un domaine Windows Active Directory, soit fonctionner indépendamment de tout domaine Windows comme serveur CIFS autonome.

Serveur de dossiers partagés CIFS VNXe dans un domaine Windows Active Directory

Un serveur de dossiers partagés CIFS avec Active Directory activé :

◆ utilise l'authentification Kerberos dans un domaine ;

◆ conserve sa propre identité (compte de l'ordinateur) dans le domaine ;

◆ offre des informations sur le site de domaine pour rechercher des services, tels que les contrôleurs de domaine.

L'association d'un serveur de dossiers partagés CIFS avec un domaine Windows permet à tous les utilisateurs du domaine de se connecter au serveur CIFS. En outre, les paramètres d'authentification et d'autorisation maintenus sur le serveur Active Directory s'appliquent aux fichiers et dossiers du dossier partagé CIFS.

Un serveur de dossiers partagés CIFS avec Active Directory activé nécessite un domaine Windows avec un serveur Active Directory et un serveur DNS.

Serveur de dossiers partagés VNXe CIFS autonome

Un serveur de dossiers partagés CIFS autonome n'a pas accès à un domaine Windows ni à ses services associés. Seuls les utilisateurs dont les comptes locaux ont été créés et sont gérés sur le serveur de dossiers partagés CIFS autonome peuvent accéder au serveur, et le serveur CIFS effectue l'authentification utilisateur.

Un serveur de dossiers partagés CIFS autonome nécessite un groupe de travail Windows.



Logiciel Celerra pour les hôtes VNXe dans un environnement CIFSCette section présente le logiciel hôte EMC Celerra® disponible pour le système VNXe dans un environnement CIFS et explique comment installer ce logiciel sur un hôte qui utilise le stockage de dossiers partagés VNXe CIFS.

Présentation des logiciels pour hôtes VNXe dans un environnement CIFS

Le logiciel hôte EMC Celerra® disponible pour un système VNXe dans un environnement CIFS est le suivant :

◆ VNX Event Enabler (VEE) Common AntiVirus Agent

◆ Snap-in de gestion

VNX Event Enabler Common AntiVirus AgentVNX Event Enabler (VEE) Common AntiVirus Agent (CAVA) est une solution antivirus conçue pour les clients CIFS qui utilisent des systèmes EMC. Il tire parti de logiciels antivirus tiers afin d'identifier et d'éliminer les virus connus avant qu'ils n'infectent les fichiers du système. CAVA fait partie du module logiciel VNX Event Enabler (VEE). La matrice de support VNXe disponible sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport) fournit des informations sur les logiciels antivirus tiers pris en charge par CAVA.

Snap-in de gestionUn serveur de dossiers partagés VNXe prend en charge les snap-in de gestion Celerra. Il s'agit des snap-in MMC (Microsoft Management Console) suivants, que vous pouvez utiliser pour gérer les dossiers de base, les paramètres de sécurité et l'analyse antivirus d'un serveur de dossiers partagés d'un ordinateur Windows Server 2003, Windows Server 2008 ou Windows 8 :

◆ Snap-in Celerra Home Directory Management

◆ Snap-in Celerra Data Mover Security Settings

◆ Snap-in Celerra AntiVirus Management

Snap-in Celerra Home Directory Management

Vous pouvez recourir à ce snap-in Celerra pour associer un nom d'utilisateur à un répertoire qui fait alors office de dossier de base de l'utilisateur. La fonction de dossier de base simplifie l'administration des dossiers personnels et la connexion à ceux-ci en cela qu'elle permet d'utiliser un seul nom de partage, HOME, auquel tous les utilisateurs peuvent se connecter.

Snap-in Celerra Data Mover Security Settings

Ce snap-in Celerra comprend deux nœuds : Stratégie d'audit et Attribution des droits utilisateur.

Logiciel Celerra pour les hôtes VNXe dans un environnement CIFS 11



Nœud Stratégie d'audit Celerra

Vous pouvez utiliser le nœud Stratégie d'audit du snap-in Celerra pour déterminer les événements de sécurité liés au serveur de dossiers partagés à consigner dans le journal de sécurité. Vous pouvez ensuite afficher ce dernier via l'Observateur d'événements Windows. Vous avez le choix entre consigner les tentatives qui ont réussi, les tentatives qui ont échoué, les unes et les autres ou encore ni les unes ni les autres. Les stratégies d'audit s'affichant dans le nœud Stratégie d'audit sont un sous-ensemble des stratégies disponibles en tant qu'objets de stratégie de groupe (GPO, Group Policy Object) dans Utilisateurs et ordinateurs Active Directory. Il s'agit de stratégies locales qui s'appliquent au serveur de dossiers partagés sélectionné. Vous ne pouvez pas utiliser le nœud Stratégie d'audit pour gérer des stratégies d'audit GPO.

Nœud Attribution des droits utilisateur Celerra

Vous pouvez utiliser le nœud Attribution des droits utilisateur du snap-in Celerra pour déterminer les utilisateurs et les groupes qui disposent de certains privilèges en termes de tâches et de connexion sur un serveur de dossiers partagés. Les attributions de droits utilisateur qui s'affichent dans ce nœud constituent un sous-ensemble des attributions de droits utilisateur disponibles en tant que GPO dans Utilisateurs et ordinateurs du domaine actif. Il s'agit de stratégies locales qui s'appliquent au serveur de dossiers partagés sélectionné. Vous ne pouvez pas utiliser le nœud Attribution des droits utilisateur pour gérer des stratégies GPO.

Snap-in Celerra AntiVirus Management

Vous pouvez utiliser ce snap-in Celerra pour gérer les paramètres d'analyse antivirus (fichier viruschecker.conf) utilisés avec Celerra AntiVirus Agent (CAVA) et des programmes antivirus tiers.

Installation du logiciel hôte dans un environnement CIFS

Le Tableau 1 recense les logiciels hôtes d'un environnement VNXe CIFS, décrit les tâches qu'ils permettent d'accomplir et décrit les types d'hôte sur lesquels les installer.

Tableau 1 Logiciels hôtes pour environnements VNXe CIFS

Logiciel Tâches que permet d'effectuer ce logiciel Hôte sur lequel l'installer

Snap-in Celerra Home Directory Management

Gestion des dossiers de base de l'utilisateur. Système Windows Server 2003, Windows Server 2008 ou Windows 8 à partir duquel vous gérerez les serveurs de dossiers partagés VNXe du domaine.

Snap-in Celerra Data Mover Security Settings

Audit des événements de sécurité associés aux serveurs de dossiers partagés consignés dans le journal de sécurité et gestion de l'accès des utilisateurs et des groupes ainsi que des privilèges en termes de tâches pour un serveur de dossiers partagés.

Système Windows Server 2003, Windows Server 2008 ou Windows 8 à partir duquel vous gérerez les serveurs de dossiers partagés VNXe du domaine.

Snap-in Celerra AntiVirus Management (VEE)

Gestion des paramètres d'analyse antivirus utilisés conjointement avec CAVA et des programmes antivirus tiers.

Hôte (client) Windows Server 2003, Windows Server 2008 ou Windows 8 32 bits qui utilise le stockage VNXe. Nécessite un ou plusieurs hôtes Windows faisant office de serveurs AntiVirus (AV). Ces serveurs AV peuvent également être des hôtes utilisant du stockage VNXe.


../CAVA/index.htm


Pour installer un logiciel hôte pour un environnement CIFS sur un hôte VNXe :

1. Connectez-vous à l'hôte au moyen d'un compte bénéficiant des privilèges d'administration.

2. Téléchargez le module logiciel à installer en procédant comme suit :

a. Accédez à la section de téléchargement de logiciels sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport).

b. Choisissez le module logiciel à installer et sélectionnez l'option permettant d'enregistrer le logiciel sur l'hôte.

3. Dans le répertoire où vous avez sauvegardé le logiciel, double-cliquez sur le fichier exécutable pour démarrer l'assistant d'installation.

4. Sur la page d'installation du produit, sélectionnez le module logiciel à installer sur l'hôte.

5. Acceptez l'emplacement par défaut des fichiers du programme en cliquant sur Suivant ou indiquez un autre emplacement en saisissant le chemin d'accès du dossier ou en cliquant sur Modifier puis en parcourant l'arborescence et en sélectionnant le dossier. Cliquez ensuite sur Suivant après avoir terminé.

6. Dans l'écran de bienvenue, cliquez sur Suivant.

7. Sur la page Contrat de licence, cliquez sur Oui.

8. Sur la page Sélection du dossier d'installation, assurez-vous que le nom de dossier affiché correspond à l'emplacement où vous voulez installer les fichiers du programme, puis cliquez sur Suivant.

Pour sélectionner un autre dossier, cliquez sur Parcourir, recherchez le dossier et cliquez sur Suivant.

9. Dans la page Choix des composants, sélectionnez le module logiciel (composant) à installer, désélectionnez ceux qui ne vous intéressent pas et cliquez sur Suivant.

10. Sur la page Commencer la copie des fichiers, cliquez sur Suivant.

11. Sur la page Assistant InstallShield terminé, cliquez sur Terminer.

12. Une fois l'installation terminée, redémarrez l'hôte.

Utilisation de Windows CALes environnements Windows 8/SMB3 offrent une fonction de haute disponibilité pour les ressources CIFS. Avec Windows CA (Continuous Availability), les applications qui s'exécutent sur des hôtes connectés à des partages bénéficiant de cette propriété prennent en charge le basculement sur incident transparent des serveurs.

D'autres avantages, tels que des tailles d'E/S supérieures, la délégation des opérations de copie, des E/S parallèles au cours d'une même session et le bail de répertoire contribuent, à améliorer les performances et la satisfaction de l'utilisateur.

Dans les implémentations où la fonction CA est activée, le temps de basculement sur incident ne dépasse pas le délai d'inactivité de l'application, ce qui permet un basculement transparent des serveurs. Les hôtes peuvent ainsi continuer à accéder à une ressource CIFS sans perte d'état de la session CIFS après un basculement sur incident.

Utilisation de Windows CA 13



Utilisation de la haute disponibilité du réseauLe système VNXe garantit la haute disponibilité du réseau ou sa redondance grâce aux réseaux FSN qui étendent le basculement sur incident des liens dans le réseau en fournissant une redondance de niveau switch. Sur un système VNXe, chaque port d'un processeur de stockage est configuré dans un réseau FSN avec le port correspondant sur le SP homologue. Lorsque vous attribuez un port à une interface de serveur de dossiers partagés VNXe, le VNXe désigne automatiquement le port du SP où réside le serveur de dossiers partagés en tant que port principal dans le réseau FSN, et le port sur le SP homologue en tant que port secondaire au sein du réseau FSN. Il est impossible de créer, de supprimer ou de modifier la configuration des réseaux FSN de VNXe. Dès lors, pour profiter des réseaux FSN dans un système VNXe3100 équipé de deux SP, un système VNXe3150 doté de deux SP ou un système VNXe3300, les ports Ethernet de chaque SP doivent être raccordés à l'identique. Par exemple, si vous raccordez les ports eth2 et eth4 sur le SP A, et créez un serveur de stockage distinct sur chaque port, vous devez raccorder les ports eth2 et eth4 sur le SP B de la même manière.

En outre, le système VNXe prend en charge les agrégations de liens, permettant de combiner jusqu'à quatre ports Ethernet connectés au même switch physique ou logique en un seul et unique lien logique, autrement dit de les agréger. Pour configurer une agrégation de liens sur un système VNXe, les processeurs de stockage (SP) doivent posséder le même type et le même nombre de ports Ethernet, l'opération créant en définitive deux agrégations de liens, soit une sur chaque SP. Cette configuration sert la haute disponibilité de la façon suivante : en cas de défaillance de l'un des ports de l'agrégation de liens, le système transfère le trafic réseau vers l'un des autres ports de l'agrégation. En cas de défaillance de l'ensemble des ports de l'agrégation, le réseau FSN bascule vers l'agrégation de liens correspondante sur le SP homologue de manière à ce que le trafic réseau puisse se poursuivre. En ajoutant un module d'E/S Ethernet à chacun des SP d'un système VNXe3100, 3150 ou 3300, vous pouvez créer un groupe d'agrégation de liens supplémentaire sur l'ensemble de ports du module d'E/S.

La suite de cette section traite des points ci-dessous :

◆ « Réseaux FSN » à la page 14

◆ « Agrégation de liens » à la page 16

◆ « Configuration de l'agrégation de liens » à la page 16

Pour plus d'informations sur la disponibilité des données sur le système VNXe et dans votre infrastructure de connectivité, consultez le document EMC VNXe High Availability Overview dans la section « Livres blancs » sur le site Web de support du VNXe (http://www.emc.com/vnxesupport).

Réseaux FSN

Un réseau FSN (Fail-Safe Network) est une fonction qui garantit la haute disponibilité du réseau en étendant le basculement sur incident des liens du réseau grâce à une redondance de niveau switch. Un réseau FSN apparaît comme un lien unique disposant d'une seule adresse MAC et éventuellement de plusieurs adresses IP. Sur un système VNXe, un réseau FSN se compose d'un port sur un SP et du port correspondant sur l'autre SP. Chaque port est considéré comme une connexion unique. Les deux connexions constituant le réseau FSN partagent la même adresse matérielle (MAC). Si le système VNXe détecte l'échec de la connexion active, il bascule automatiquement sur la connexion de secours dans le réseau FSN, et cette connexion revêt l'identité réseau de la connexion défaillante.




Pour garantir une connectivité des hôtes au système VNXe en cas de basculement sur incident matériel, raccordez le système VNXe à plusieurs switches connectés à des périphériques FSN sur diverses cartes réseau de l'hôte. Les composants FSN sont ainsi connectés à différents switches. Si le switch de la connexion active est défaillant, le réseau FSN bascule sur une connexion utilisant un autre switch ; le basculement sur incident des liens dans le réseau est donc étendu.

Comme l'illustre la Figure 1, lorsque le SP VNXe détecte la perte du lien de communication actif vers le réseau FSN, la connexion bascule automatiquement sur une connexion de secours opérationnelle. Cette action est indépendante des fonctions du switch. Si une connexion du réseau FSN est interrompue, la liaison bascule sur l'autre lien. Si les deux connexions dans un réseau FSN sont défaillantes, la liaison est interrompue.

Figure 1 Basculement avec réseau FSN

Utilisation de la haute disponibilité du réseau 15


Agrégation de liens

Les agrégations de liens utilisent le protocole de la norme LACP IEEE 802.3ad. Une agrégation de liens apparaît comme un seul lien Ethernet et présente les avantages suivants :

◆ Haute disponibilité des chemins réseau depuis et vers le système VNXe : en cas de défaillance d'un port physique d'une agrégation de liens, le système ne perd pas la connectivité.

◆ Augmentation possible du débit global : plusieurs ports physiques sont reliés en un seul port logique ; le trafic réseau étant distribué entre les différents ports physiques.

Même si les agrégations de liens peuvent fournir davantage de bande passante globale qu'un seul port, la connexion à un client passe par un port physique unique. Elle est donc limitée à la bande passante du port. Si la connexion à un port échoue, le switch bascule automatiquement le trafic sur les autres ports du groupe. Une fois la connexion restaurée, le switch recommence automatiquement à utiliser ce port au sein du groupe.

Sur le système VNXe, vous pouvez configurer jusqu'à quatre ports dans une agrégation de liens. Lorsque vous configurez une agrégation de liens, vous configurez en réalité deux agrégations de liens, une sur chaque SP. Si l'un des ports d'une agrégation de liens est défaillant, le système transfère le trafic réseau vers l'un des autres ports du groupe. Si tous les ports du groupe sont défaillants, le réseau FSN bascule vers l'agrégation de liens correspondante sur le SP homologue.

Conditions requises en matière de switchSi les ports VNXe sont connectés à divers switches réseau, vous devez configurer tous les ports de switch connectés aux ports VNXe pour qu'ils passent immédiatement du mode de filtrage au mode de redirection, sans passer par les états Spanning Tree d'écoute et de découverte d'une interface. Sur les switches Cisco, vous devez activer la fonctionnalité PortFast pour chaque port de switch connecté à un port VNXe de manière à garantir le transfert par le switch de la trame Ethernet générée par le système VNXe lorsqu'un lien physique est activé. La fonctionnalité PortFast doit être activée port par port. Une fois l'activation effectuée, la variable PortFast oblige le port à passer immédiatement du mode de filtrage au mode de redirection. N'utilisez pas PortFast pour les connexions switch à switch.

Pour l'agrégation de liens, les switches réseau doivent prendre en charge le protocole IEEE 802.3ad et veiller à ce que les paquets d'une connexion TCP passent toujours par le même lien dans un sens donné.

Configuration de l'agrégation de liens

Windows 7 et Windows Server 2003 ne proposent pas la prise en charge de l'agrégation de liens (groupement des cartes réseau). Certains fournisseurs de cartes réseau proposent des pilotes qui prennent en charge le groupement des cartes réseau. Pour plus d'informations, contactez votre fournisseur de cartes réseau. Windows Server 2008 ne prend pas en charge le groupement des cartes réseau.

Pour réaliser une agrégation de liens, vous devez disposer d'au moins un switch 802.3ad, chacun avec un port disponible pour chaque port de switch que vous souhaitez connecter à un port VNXe dans l'agrégation.



Pour mettre en œuvre une agrégation de liens, vous devez mener à bien les deux configurations suivantes :

◆ « Configuration de l'agrégation de liens entre le switch et le système VNXe » à la page 17.

◆ « Configuration de l'agrégation de liens entre l'hôte et le switch » à la page 17.

Configuration de l'agrégation de liens entre le switch et le système VNXe1. Configurez les ports du switch, connectés au système VNXe, pour qu'ils prennent en

charge le protocole LACP en mode actif, comme indiqué dans la documentation de votre switch.

2. Pour regrouper les ports VNXe dans une agrégation de liens, utilisez l'option Configuration avancée Unisphere (Paramètres > Configuration supplémentaire > Configuration avancée). Pour plus d'informations sur l'utilisation de l'option Configuration avancée, reportez-vous à l'aide en ligne de Unisphere. Deux agrégations de liens sont créées avec les mêmes ports, une sur chaque SP.

Configuration de l'agrégation de liens entre l'hôte et le switchPour configurer l'agrégation de liens entre l'hôte et le switch, effectuez les tâches suivantes :

◆ « Tâche 1 : Configuration des ports du switch pour l'agrégation de liens » à la page 17.

◆ « Tâche 2 : Configuration du groupement des cartes réseau sur l'hôte Windows Server 2008 ou Windows 8 » à la page 17.

Tâche 1 : Configuration des ports du switch pour l'agrégation de liens

Configurez les ports du switch, connectés à l'hôte pour qu'ils prennent en charge l'agrégation de liens.

Tâche 2 : Configuration du groupement des cartes réseau sur l'hôte Windows Server 2008 ou Windows 8

Remarque : les hôtes Windows Server 2008 et Windows 8 font référence à l'agrégation de liens en tant que groupement des cartes réseau.

Remarque : Windows 8 détecte automatiquement le groupement des cartes réseau sur le VNXe et configure l'hôte pour qu'il utilise les mêmes interfaces que le VNXe. Aucune configuration manuelle n'est nécessaire.

La procédure ci-dessous concerne un pilote d'interface réseau Intel.

1. Dans le Panneau de configuration, sélectionnez Réseau et Internet > Connexions réseau.

2. Dans la boîte de dialogue Connexions réseau, cliquez avec le bouton droit de la souris sur une carte réseau que vous souhaitez intégrer à l'association et cliquez sur Propriétés.

3. Cliquez sur Configurer.

4. Dans la boîte de dialogue Propriétés, sélectionnez l'onglet Association.

5. Cliquez sur l'onglet Association.

a. Sélectionnez Associer cet adaptateur aux autres adaptateurs.

b. Cliquez sur Nouvelle association.

L'assistant Nouvelle association s'ouvre.

Utilisation de la haute disponibilité du réseau 17


6. Dans l'assistant Nouvelle association :

a. Spécifiez le nom de l'association et cliquez sur Suivant.

b. Sélectionnez les autres cartes réseau que vous souhaitez intégrer à l'association, puis cliquez sur Suivant.

c. Sélectionnez le type d'association et cliquez sur Suivant.

Pour plus d'informations sur un type d'association, sélectionnez le type et les informations s'affichent en dessous de la zone de sélection.

d. Cliquez sur Terminer.

7. Si vous avez sélectionné Équilibrage de charge des adaptateurs comme type d'association et si vous souhaitez utiliser la nouvelle association de cartes réseau pour les machines virtuelles Hyper-V, désactivez Recevoir l'équilibrage de charge :

a. Cliquez sur l'onglet Avancé.

b. Sous Paramètres, sélectionnez Recevoir l'équilibrage de charge.

c. Sous Valeurs, sélectionnez Désactivé.

d. Cliquez sur OK.

La nouvelle association s'affiche dans la boîte de dialogue Connexions réseau en tant que connexion réseau locale.

8. Pour utiliser la nouvelle association de cartes réseau pour une machine virtuelle :

a. Dans le Gestionnaire Hyper-V, sous Machines virtuelles, sélectionnez la machine virtuelle de votre choix.

b. Sous Actions, sélectionnez Gestionnaire de réseau virtuel.

c. Dans le Gestionnaire de réseau virtuel, sous Réseaux virtuels, sélectionnez VM NIC - Réseau d'ordinateurs virtuels.

d. Sous Type de connexion, sélectionnez le type de réseau et d'association de carte réseau.

e. Cliquez sur Appliquer.

f. Une fois les modifications appliquées, cliquez sur OK.

Utilisation du chiffrement CIFSLes environnements Windows 8/SMB3 permettent de chiffrer les données stockées dans les dossiers partagés CIFS du VNXe lors de leur transfert entre le VNXe et l'hôte Windows.

Il est également possible d'activer le chiffrement CIFS au niveau du serveur CIFS en modifiant les paramètres de registre de l'hôte Windows.



Configuration du stockage de dossiers partagés VNXe CIFS pour l'hôte (client)

Vous avez utilisé le logiciel Unisphere ou l'interface CLI VNXe pour créer un stockage de dossiers partagés CIFS VNXe pour l'hôte (client).

Pour plus d'informations sur l'exécution de ces tâches, consultez l'aide en ligne de Unisphere.

Configuration de l'accès des utilisateurs au partage CIFS dans Active Directory

L'accès des utilisateurs au partage est toujours configuré au niveau du fichier à l'aide d'Active Directory :

1. Connectez-vous à l'hôte Windows exécutant Active Directory au moyen d'un compte d'administrateur de domaine.

L'hôte Windows doit avoir accès au domaine dans lequel réside le serveur de dossiers partagés VNXe pour le partage CIFS.

2. Ouvrez la fenêtre Gestion de l'ordinateur :

Pour Windows Server 2003 : cliquez avec le bouton droit de la souris sur Poste de travail ou sur Ordinateur, puis sélectionnez Gérer.

Pour Windows Server 2008, Windows 7 ou Windows 8 : cliquez sur Démarrer et sélectionnez Panneau de configuration > Outils d'administration > Gestion de l'ordinateur.

3. Dans l'arborescence Gestion de l'ordinateur, cliquez avec le bouton droit de la souris sur Gestion de l'ordinateur (local).

4. Sélectionnez Se connecter à un autre ordinateur.

La boîte de dialogue Sélection d'un ordinateur s'affiche.

5. Dans la boîte de dialogue Sélection d'un ordinateur, entrez le nom du serveur de dossiers partagés VNXe afin d'indiquer les partages CIFS du client.

6. Dans l'arborescence Gestion de l'ordinateur, cliquez sur Outils système > Dossiers partagés > Partages.

7. Les partages disponibles s'affichent à droite.

Si les partages VNXe ne s'affichent pas, vérifiez si vous êtes connecté au domaine adéquat.

8. Cliquez à l'aide du bouton droit de la souris sur les autorisations que vous souhaitez modifier et sélectionnez Propriétés.

9. Cliquez sur l'onglet Autorisations du partage.

10. Sélectionnez l'utilisateur ou le groupe souhaité ainsi que les autorisations à lui attribuer.

11. Cliquez sur OK.

Configuration du stockage de dossiers partagés VNXe CIFS pour l'hôte (client) 19


Mappage du partage CIFS sur l'hôte Sur l'hôte Windows, utilisez la fonction Windows Connecter un lecteur réseau pour connecter l'hôte au partage CIFS et éventuellement reconnecter le partage lorsque vous vous connectez à l'hôte.

Vous aurez besoin du chemin d'exportation du partage (\\ServeurDossiersPartagés\partage), que vous trouverez dans le rapport de configuration de VNXe propre au dossier partagé hébergeant le partage. Pour accéder à ce rapport, utilisez le logiciel EMC Unisphere™.

1. Sélectionnez Stockage > Stockages de dossiers partagés.

2. Sélectionnez le dossier partagé CIFS contenant le partage et cliquez sur Détails.

3. Cliquez sur Afficher les détails d'accès.

Si vous bénéficiez d'un accès en lecture/écriture au partage, après le mappage de ce dernier, vous avez la possibilité d'y créer des répertoires et de stocker des fichiers dans ceux-ci.


CHAPITRE 2Migration de données CIFS vers le système VNXe

Il est possible de migrer des données CIFS vers le système VNXe par copie manuelle. Néanmoins, la copie manuelle présente deux principaux inconvénients : d'une part, l'accès aux données est interrompu pendant l'opération et d'autre part, les ACL et les autorisations risquent de ne pas être préservées au sein de la structure de fichiers.

Ce chapitre traite des points suivants :

◆ Environnement de migration CIFS et limitations ...................................................... 22◆ Migration de données CIFS...................................................................................... 22

Migration de données CIFS vers le système VNXe 21

Migration de données CIFS vers le système VNXe

Environnement de migration CIFS et limitations Si la configuration CIFS que vous souhaitez migrer présente l'une des caractéristiques suivantes, contactez votre fournisseur de services VNXe :

◆ Des partages plus nombreux que vous ne voulez en migrer

◆ Des autorisations que vous ne souhaitez pas réattribuer manuellement aux partages VNXe

◆ Un ou plusieurs partages que vous voulez répartir entre les partages VNXe

◆ Des partages que vous souhaitez combiner à d'autres partages sur le même partage VNXe

Le Tableau 2 décrit l'environnement requis pour la migration de données CIFS et le Tableau 3 répertorie les caractéristiques de la migration par copie manuelle.

Migration de données CIFSPour migrer des données CIFS vers un partage VNXe CIFS, effectuez les tâches suivantes :

◆ « Tâche 1 : Configuration de l'accès à un partage VNXe pour l'hôte CIFS » à la page 23.

◆ « Tâche 2 : Migration de données CIFS par copie manuelle » à la page 23.

Tableau 2 Environnement nécessaire à la migration de données CIFS

Composant Exigences

Stockage VNXe Dossier partagé d'une taille de partage suffisante pour héberger les données du partage à migrer et les nouvelles données au fil de leur croissance

Hôte Hôte disposant d'un accès en lecture sur le partage contenant les données à migrer et d'un accès en écriture sur le partage VNXe sur lequel résideront les données migrées

Partage Partage qui sera intégralement migré vers le partage VNXe

Tableau 3 Caractéristiques de la migration par copie manuelle

Composant Exigences

Autorisations Risquent de ne pas être conservées.

Interruption de service

Dépend du temps nécessaire pour :• copier le contenu du partage sur le partage VNXe et• reconfigurer les hôtes afin qu'ils se connectent au partage VNXe



Tâche 1 : Configuration de l'accès à un partage VNXe pour l'hôte CIFS

Sur l'hôte à utiliser pour la migration des données :

1. Configurez l'accès des utilisateurs au nouveau partage dans Active Directory, comme décrit à la section « Utilisation de la haute disponibilité du réseau » à la page 14.

2. Mappez le nouveau partage CIFS, comme décrit à la section « Mappage du partage CIFS sur l'hôte » à la page 20.

Tâche 2 : Migration de données CIFS par copie manuelle

Pour réduire la période pendant laquelle un hôte n'a pas accès à un partage CIFS en cours de migration, faites migrer les données d'un seul partage à la fois :

1. Si des clients utilisent activement le partage CIFS, déconnectez ces clients et tous les autres clients susceptibles d'accéder aux données en cours de migration.

2. Utilisez la méthode qui, selon vous, convient le mieux pour copier les données de l'emplacement de stockage actuel vers le nouveau partage CIFS VNXe.

Vous pouvez par exemple recourir à une simple opération de copier-coller ou de glisser-déplacer. Assurez-vous que la méthode choisie conserve les éventuelles métadonnées, notamment les attributs de fichier, les horodatages et les droits d'accès à préserver.

3. Une fois l'opération de copie terminée, reconnectez les clients au nouveau partage CIFS exporté par le système VNXe et mappez un lecteur à celui-ci si nécessaire.

Migration de données CIFS 23



CHAPITRE 3Gestion du stockage de dossiers partagés CIFS VNXe à l'aide d'outils Windows

Après avoir configuré le système VNXe pour le stockage de dossiers partagés CIFS, vous pouvez utiliser Unisphere et des outils Windows, tels que les snap-in MMC Celerra, pour gérer le stockage et les serveurs de dossiers partagés. Ce chapitre décrit la procédure à suivre pour effectuer certaines tâches de gestion courantes à l'aide d'outils Windows. L'aide en ligne de Unisphere fournit des informations au sujet de la réalisation de tâches de gestion au moyen du logiciel Unisphere.

Remarque : la section « Installation du logiciel hôte dans un environnement CIFS » à la page 12 propose des informations sur l'installation des snap-in MMC de gestion Celerra CIFS.


◆ Ouverture de la console MMC Gestion de l'ordinateur ............................................. 26◆ Création de partages et définition d'ACL à l'aide de la console MMC ....................... 26◆ Utilisation de la fonction de dossier de base ........................................................... 27◆ Utilisation d'objets de stratégie de groupe (GPO, Group Policy Object) .................... 31◆ Utilisation de la signature SMB ............................................................................... 33◆ Surveillance des connexions de serveur de dossiers partagés et de l'utilisation des

ressources à l'aide de la console MMC .................................................................... 33◆ Audit des utilisateurs et des objets CIFS.................................................................. 35◆ Accès au journal de sécurité pour un serveur de dossiers partagés VNXe ................ 39◆ Copie d'un snapshot de partage à l'aide de l'Explorateur Windows.......................... 39◆ Restauration d'un snapshot de partage à l'aide de l'Explorateur Windows............... 40

Gestion du stockage de dossiers partagés CIFS VNXe à l'aide d'outils Windows 25

Gestion du stockage de dossiers partagés CIFS VNXe à l'aide d'outils Windows

Ouverture de la console MMC Gestion de l'ordinateurIl est possible d'effectuer de nombreuses tâches d'administration Windows Server 2003, Windows Server 2008 et Windows 8 à partir de la console MMC (Microsoft Management Console) Gestion de l'ordinateur. La procédure ci-dessous permet d'ouvrir cette console MMC pour un serveur de dossiers partagés spécifique :

1. Connectez-vous à l'hôte Windows exécutant Active Directory au moyen d'un compte d'administrateur de domaine.

L'hôte Windows doit avoir accès au domaine dans lequel réside le serveur de dossiers partagés VNXe.

2. Ouvrez la page Gestion de l'ordinateur :

Pour Windows Server 2003 : cliquez avec le bouton droit de la souris sur Poste de travail ou sur Ordinateur, puis sélectionnez Gérer.

Pour Windows Server 2008 et Windows 8 : cliquez sur Démarrer et sélectionnez Outils d'administration > Gestion de l'ordinateur.

3. Cliquez à l'aide du bouton droit de la souris sur Gestion de l'ordinateur (local).

4. Sélectionnez Se connecter à un autre ordinateur.

5. Entrez le nom du serveur de dossiers partagés VNXe et cliquez sur OK.

Avant d'utiliser les snap-in MMC

Pour utiliser les snap-in MMC, vous devez être connecté en tant qu'administrateur doté des droits d'administrateur.

Création de partages et définition d'ACL à l'aide de la console MMCEMC recommande d'utiliser Unisphere pour créer des partages CIFS, tel que décrit dans l'aide de Unisphere, puis d'utiliser la console MMC pour définir l'accès aux partages à l'aide de listes de contrôle d'accès (ACL, Access Control List). Au lieu d'avoir recours à Unisphere, vous pouvez également, après avoir créé un dossier partagé CIFS sur le système VNXe, utiliser la console MMC afin de créer des partages dans ce dossier.

Avant de créer des partages ou de définir l'accès (ACL)

Pour pouvoir créer un partage Windows à l'aide de la console MMC, vous devez :

◆ avoir attribué des identifiants uniques (GID, Global Identifier) aux utilisateurs CIFS ;

◆ avoir monté le partage VNXe du dossier de base du système de fichiers et y avoir créé les répertoires à partager ;

◆ être un administrateur VNXe.



Définition d'ACL sur un partage existant d'un serveur de dossiers partagés

1. Ouvrez la console MMC Gestion de l'ordinateur comme décrit à la section « Ouverture de la console MMC Gestion de l'ordinateur » à la page 26.

2. Dans l'arborescence de la console, sélectionnez Dossiers partagés > Partages.

Les partages actuellement utilisés s'affichent à droite.

3. Cliquez à l'aide du bouton droit de la souris sur les autorisations que vous souhaitez modifier et sélectionnez Propriétés.

4. Cliquez sur l'onglet Autorisations du partage.

5. Sélectionnez l'utilisateur ou le groupe souhaité ainsi que les autorisations à lui attribuer.

6. Cliquez sur OK.

Création d'un partage et définition de ses ACL sur un serveur de dossiers partagés

1. Ouvrez la console MMC Gestion de l'ordinateur comme décrit à la section « Ouverture de la console MMC Gestion de l'ordinateur » à la page 26.

2. Dans l'arborescence de la console, cliquez sur Dossiers partagés > Partages.


3. Cliquez à l'aide du bouton droit de la souris sur Partages, puis sélectionnez Nouveau partage de fichiers dans le menu contextuel.

L'assistant Partager un dossier s'affiche.

4. Fournissez les informations suivantes :

• nom du dossier à partager ;

• nom de partage du dossier ;

• description du partage.

5. Cliquez sur Suivant.

L'Assistant vous invite à définir les autorisations du partage.

6. Définissez les autorisations en choisissant l'une des options proposées.

Choisissez l'option Personnaliser les autorisations pour les partages et les dossiers ou Personnaliser les autorisations pour attribuer des autorisations à des utilisateurs et groupes individuels.

7. Cliquez sur Terminer.

Utilisation de la fonction de dossier de baseLa fonction de dossier de base Celerra, fournie par le snap-in Celerra Home Directory Management, permet de créer un partage unique, appelé HOME, auquel tous les utilisateurs se connectent. Elle vous évite d'avoir à créer différents partages pour chacun des utilisateurs.

Utilisation de la fonction de dossier de base 27


La fonction de dossier de base simplifie l'administration des partages personnels de même que le processus de connexion à ceux-ci en vous permettant d'associer un nom d'utilisateur à un répertoire qui joue ensuite le rôle de dossier de base de l'utilisateur concerné. Le dossier de base est mappé au profil de l'utilisateur de sorte qu'au moment de la connexion, il est automatiquement connecté à un lecteur réseau.

Remarque : si un système client (comme Citrix Metaframe ou Windows Terminal Server) prend en charge plusieurs utilisateurs Windows simultanément et met en cache les informations d'accès aux fichiers, la fonction de dossier de base VNXe risque de ne pas fonctionner comme prévu. Cette fonction VNXe permet à un client VNXe de « voir » le même chemin au dossier de base pour chaque utilisateur. Ainsi, si un utilisateur procède à une écriture dans un fichier du dossier de base et qu'ensuite, un autre utilisateur lit un fichier de ce dossier, ce sont les données en cache provenant du dossier de base du premier utilisateur qui sont utilisées pour exécuter la demande de ce second utilisateur. Étant donné que les fichiers possèdent le même nom de chemin, le système client suppose qu'il s'agit du même fichier.

La fonction de dossier de base est désactivée par défaut. Pour pouvoir activer le dossier de base, vous devez avoir créé au préalable un serveur de dossiers partagés CIFS sur le système VNXe. Sur les systèmes Windows Server 2003, Windows Server 2008 ou WIndows 8, il est possible d'activer et de gérer les dossiers de base au moyen du snap-in Celerra Home Directory Management pour la console MMC. L'aide en ligne du snap-in décrit les procédures d'activation et de gestion des dossiers de base.

Restrictions relatives à l'utilisation du dossier de base

Un nom de partage spécial nommé HOME est réservé au dossier de base. Les restrictions suivantes sont par conséquent applicables :

◆ Si vous avez créé un partage du nom de HOME, vous ne pouvez pas activer la fonction de dossier de base.

◆ De même, si vous avez activé la fonction de dossier de base, vous ne pouvez pas créer de partage nommé HOME.

Un dossier de base est configuré dans le profil d'utilisateur Windows de l'utilisateur au moyen du chemin UNC (Universal Naming Convention) suivant :

\\shared_folder_server\HOME

où :

shared_folder_server est l'adresse IP, le nom d'ordinateur ou le nom NetBIOS du serveur de dossiers partagés VNXe.

HOME est un partage spécial réservé pour la fonction du dossier de base. Lorsque HOME est utilisé dans le chemin du dossier de base d'un utilisateur et que ce dernier se connecte, ce dossier de base est automatiquement mappé à un lecteur réseau et les variables d'environnement HOMEDRIVE, HOMEPATH et HOMESHARE sont définies automatiquement.


../InstallationManagement/index.htm


Ajout d'un dossier de base à Active Directory

1. Connectez-vous au serveur Windows au moyen d'un compte d'administrateur de domaine.

2. Cliquez sur Démarrer et sélectionnez Programmes ou Tous les programmes > Outils d'administration > Utilisateurs et ordinateurs Active Directory.

3. Cliquez sur Utilisateurs pour afficher les utilisateurs dans le volet de droite.

4. Cliquez avec le bouton droit de la souris sur un utilisateur et sélectionnez Propriétés.

La fenêtre Propriétés de l'utilisateur pour cet utilisateur s'affiche.

5. Cliquez sur l'onglet Profil et sous Dossier de base :

a. Sélectionnez Connecter.

b. Sélectionnez la lettre de lecteur à mapper au dossier de base.

c. Dans À, saisissez :

\\shared_folder_server\HOME

où :

shared_folder_server est l'adresse IP, le nom d'ordinateur ou le nom NetBIOS du serveur de dossiers partagés VNXe.

6. Cliquez sur OK.

Ajout d'un dossier de base au moyen d'expressions

1. Connectez-vous au serveur Windows au moyen d'un compte d'administrateur de domaine.

2. Cliquez sur Démarrer puis sur Programmes ou Tous les programmes > Outils d'administration > Gestion du Celerra.

3. Cliquez à l'aide du bouton droit de la souris sur l'icône de dossier HomeDir et sélectionnez Nouveau > entrée de dossier de base.

La page des propriétés du dossier de base s'affiche.

4. Saisissez les informations suivantes :

a. Dans Domaine, saisissez le nom du domaine de l'utilisateur en utilisant son nom NetBIOS.

AVIS

N'indiquez pas son nom de domaine complet.

Par exemple, si le nom de domaine est « Entreprise.local », vous avez le choix entre les options suivantes :

– Entreprise

– Entr

– .* (Les expressions régulières doivent être activées pour que cette option fonctionne.)

Utilisation de la fonction de dossier de base 29


b. Dans Utilisateur, saisissez le nom de l'utilisateur ou la chaîne de caractères génériques.

Par exemple, si le nom d'utilisateur est « Thomas », vous avez le choix entre les options suivantes :

– T*, qui correspond aux noms d'utilisateur commençant par T

– *, qui correspond à n'importe quel nom d'utilisateur

– [r-v].*, qui correspond aux noms d'utilisateur commençant par r, s, t, u ou v (Les expressions régulières doivent être activées pour que cette option fonctionne.)

c. Dans Chemin, entrez le nom de chemin à l'aide de l'une des méthodes suivantes :

– Saisissez le chemin du dossier.

Par exemple, \HomeDirShare\dir1

– Cliquez sur Parcourir et sélectionnez le dossier ou créez-en un.

Si vous voulez créer automatiquement le dossier, sélectionnez Créer automatiquement le répertoire. Voici des exemples de répertoires :\HomeDirShare\dir1\User1\HomeDirShare\<d>\<u>, qui crée un dossier avec le nom de domaine d et un répertoire avec le nom d'utilisateur u.

5. Cliquez sur OK.

Exemples de formats d'expressionLe Tableau 4 présente des exemples de formats d'expression permettant d'ajouter un dossier de base.

Tableau 4 Exemples de formats d'expression permettant d'ajouter un dossier de base

Domaine Utilisateur Chemin Options Résultat

* * \HomeDirShare\ Aucune Tous les utilisateurs ont pour dossier de base \HomeDirShare.

* a* \HomeDirShare\ Aucune Les utilisateurs dont le nom d'utilisateur commence par « a » ont pour dossier de base \HomeDirShare.

* * \HomeDirShare\<d>\<u>\ Créer automatiquement le répertoire = Vrai

Tous les utilisateurs disposent de leur propre dossier de base. Par exemple, l'utilisateur Bertrand appartenant au domaine Entreprise a pour dossier de base \HomeDirShare\Entreprise\Bertrand.

Entr [a-d].* \HomeDirShare\FolksA-D\<d>\<u>\ Créer automatiquement le répertoire = VraiRegexp = Vrai

Les utilisateurs dont le nom d'utilisateur commence par a, b, c ou d et appartenant au domaine Entreprise ont pour dossier de base \HomeDirShare\FolksA-D\Entreprise\<u>, où u est leur nom d'utilisateur.



Utilisation d'objets de stratégie de groupe (GPO, Group Policy Object)Dans Windows Server 2003, les administrateurs peuvent recourir à la stratégie de groupe afin de définir des options de configuration pour des groupes d'utilisateurs et d'ordinateurs. Les GPO Windows permettent de contrôler des éléments tels que les paramètres de sécurité locaux, de domaine et réseau. Les paramètres de stratégie de groupe sont stockés dans des GPO liés aux conteneurs de site, de domaine et d'unité d'organisation (OU, Organizational Unit) dans Active Directory. Le contrôleur de domaine réplique les GPO sur tous les contrôleurs de domaine du domaine.

Stratégie d'audit est un composant du snap-in Data Mover Security Settings, qui est installé en tant que snap-in MMC (Microsoft Management Console) dans la console de gestion Celerra sur un système Windows Server 2003, Windows Server 2008 ou Windows 8.

Vous pouvez avoir recours à des stratégies d'audit pour déterminer les événements de sécurité liés au serveur de dossiers partagés à consigner dans le journal de sécurité. Vous avez le choix entre consigner les tentatives qui ont réussi, les tentatives qui ont échoué, les unes et les autres ou encore ni les unes ni les autres. Les événements faisant l'objet de l'audit sont affichés dans le journal de sécurité de l'Observateur d'événements Windows.

Les stratégies d'audit s'affichant dans le nœud Stratégie d'audit constituent un sous-ensemble des stratégies disponibles en tant que GPO dans Utilisateurs et ordinateurs Active Directory (ADUC). Il s'agit de stratégies locales qui s'appliquent uniquement au serveur de dossiers partagés sélectionné. Vous ne pouvez pas utiliser le nœud Stratégie d'audit pour gérer des stratégies d'audit GPO.

Si une stratégie d'audit est définie comme un GPO dans ADUC, le paramètre GPO remplace le paramètre local. Lorsque l'administrateur de domaine modifie une stratégie d'audit sur le contrôleur de domaine, cette modification est répercutée sur le serveur de dossiers partagés et visible au moyen du nœud Stratégie d'audit. Vous pouvez modifier la stratégie d'audit locale, mais les nouveaux paramètres n'entreront pas en vigueur tant que le GPO de cette stratégie n'aura pas été désactivé. Si la fonction d'audit est désactivée, le paramètre GPO demeure dans la colonne des paramètres en vigueur.

Vous ne pouvez pas utiliser les outils Paramètre de stratégie locale Microsoft Windows pour gérer les stratégies d'audit sur un serveur de dossiers partagés car dans Windows Server 2003 et Windows XP, ces outils ne permettent pas la gestion à distance des stratégies d'audit.

Prise en charge des GPO sur un serveur de dossiers partagés VNXe

Un serveur de dossiers partagés VNXe assure la prise en charge des GPO par l'extraction et le stockage d'une copie des paramètres GPO pour chaque serveur de dossiers partagés qui rejoint un domaine Windows Server 2003. Un serveur de dossiers partagés VNXe stocke les paramètres GPO dans son cache GPO.

Lorsque le système VNXe est mis sous tension, il lit les paramètres stockés dans le cache GPO, puis extrait les paramètres GPO les plus récents à partir du contrôleur de domaine Windows. Une fois les paramètres GPO extraits, un serveur de dossiers partagés VNXe les met automatiquement à jour en fonction de l'intervalle d'actualisation du domaine.

Utilisation d'objets de stratégie de groupe (GPO, Group Policy Object) 31


Paramètres pris en chargeUn serveur de dossiers partagés VNXe prend actuellement en charge les paramètres de sécurité GPO suivants :

Kerberos

◆ Tolérance maximale pour la synchronisation des horloges d'ordinateur (biais d'horloge)

La synchronisation des heures s'effectue suivant le serveur de dossiers partagés.

◆ Durée de vie maximale du ticket d'utilisateur

Stratégie d'audit

◆ Auditer les événements de connexion aux comptes

◆ Auditer la gestion des comptes

◆ Auditer l'accès au service d'annuaire

◆ Auditer les événements de connexion

◆ Auditer l'accès aux objets

◆ Auditer les modifications de stratégie

◆ Auditer l'utilisation des privilèges

◆ Auditer le suivi des processus

◆ Auditer les événements système

Pour plus d'informations, reportez-vous à la section « Audit des utilisateurs et des objets CIFS » à la page 35.

Droits d'utilisateur

◆ Accéder à cet ordinateur à partir du réseau

◆ Sauvegarder les fichiers et les répertoires

◆ Contourner la vérification de parcours

◆ Interdire l'accès à cet ordinateur à partir du réseau

◆ Contrôle antivirus EMC

◆ Générer des audits de sécurité

◆ Gérer le journal d'audit et de sécurité

◆ Restaurer les fichiers et les répertoires

◆ Prendre possession de fichiers ou d'autres objets

Options de sécurité

◆ Client – communications signées numériquement (toujours)

◆ Client – communications signées numériquement (lorsque cela est possible)

◆ Serveur – communications signées numériquement (toujours)

◆ Serveur – communications signées numériquement (lorsque cela est possible)

◆ Niveau d'authentification LAN Manager



Journaux des événements

◆ Taille maximale du journal d'applications

◆ Taille maximale du journal de sécurité

◆ Taille maximale du journal système

◆ Restreindre les accès Invités au journal d'applications

◆ Restreindre les accès Invités au journal de sécurité

◆ Restreindre les accès Invités au journal système

◆ Conserver le journal d'applications

◆ Conserver le journal de sécurité

◆ Conserver le journal système

◆ Méthode de conservation du journal des applications

◆ Méthode de conservation du journal de sécurité

◆ Méthode de conservation du journal système

Règles de groupe

◆ Désactiver l'actualisation en tâche de fond des stratégies de groupe

◆ Intervalle d'actualisation de la stratégie de groupe pour les ordinateurs

Utilisation de la signature SMBLa signature SMB permet de s'assurer qu'un paquet n'a pas été intercepté, modifié ou rediffusé. Elle garantit qu'un tiers ne l'a pas modifié. Le processus ajoute une signature à tous les paquets. Le client et le serveur de dossiers partagés VNXe utilisent cette signature pour vérifier l'intégrité du paquet. Les serveurs de dossiers partagés VNXe prennent en charge SMB1, SMB2 et SMB3.

Pour que la signature SMB fonctionne, cette fonction doit être activée sur le client et le serveur engagés dans une transaction. Elle l'est toujours sur les serveurs de dossiers partagés VNXe, mais cela n'est pas obligatoire. Par conséquent, la signature SMB est utilisée si elle est activée sur le client ; elle ne l'est pas si elle est désactivée sur le client.

Surveillance des connexions de serveur de dossiers partagés et de l'utilisation des ressources à l'aide de la console MMC

Vous pouvez recourir aux outils d'administration Windows pour surveiller les éléments suivants sur les serveurs de dossiers partagés VNXe :

◆ « Surveillance des utilisateurs sur un serveur de dossiers partagés » à la page 34

◆ « Surveillance de l'accès aux partages sur le serveur de dossiers partagés » à la page 34

◆ « Surveillance de l'utilisation des fichiers sur le serveur de dossiers partagés » à la page 34

Utilisation de la signature SMB 33


Surveillance des utilisateurs sur un serveur de dossiers partagés

La procédure ci-dessous permet de surveiller le nombre d'utilisateurs connectés à un serveur de dossiers partagés :

1. Ouvrez la console MMC Gestion de l'ordinateur pour le serveur de dossiers partagés à surveiller tel que décrit à la section « Ouverture de la console MMC Gestion de l'ordinateur » à la page 26.

2. Dans l'arborescence de la console, cliquez sur Dossiers partagés > Sessions.

Les utilisateurs actuellement connectés au serveur de dossiers partagés sont affichés à droite.

Éventuellement :

• Pour forcer la déconnexion d'un utilisateur du serveur de dossiers partagés, cliquez à l'aide du bouton droit de la souris sur son nom d'utilisateur, puis sélectionnez Fermer la session dans le menu contextuel.

• Pour forcer la déconnexion de tous les utilisateurs, cliquez à l'aide du bouton droit de la souris sur Sessions, puis sélectionnez Déconnecter toutes les sessions dans le menu contextuel.

Surveillance de l'accès aux partages sur le serveur de dossiers partagés

La procédure ci-dessous permet de surveiller l'accès aux partages sur le serveur de dossiers partagés :

1. Ouvrez la console MMC Gestion de l'ordinateur pour le serveur de dossiers partagés tel que décrit à la section « Ouverture de la console MMC Gestion de l'ordinateur » à la page 26.

2. Dans l'arborescence de la console, cliquez sur Dossiers partagés > Partages.


Éventuellement, pour forcer la déconnexion d'un partage, cliquez avec le bouton droit de la souris sur son nom, puis sélectionnez Cesser de partager dans le menu contextuel.

Surveillance de l'utilisation des fichiers sur le serveur de dossiers partagés

La procédure ci-dessous permet de surveiller les fichiers ouverts sur le serveur de dossiers partagés :


2. Dans l'arborescence de la console, cliquez sur Dossiers partagés > Fichiers ouverts.

Les fichiers en cours d'utilisation s'affichent à droite.

Éventuellement, pour fermer un fichier ouvert, cliquez avec le bouton droit de la souris sur son nom, puis sélectionnez Fermer le fichier ouvert dans le menu contextuel.

Pour fermer tous les fichiers ouverts, cliquez avec le bouton droit de la souris sur le dossier Fichiers ouverts, puis sélectionnez Déconnecter tous les fichiers ouverts dans le menu contextuel.



Audit des utilisateurs et des objets CIFSPour auditer un serveur de dossiers partagés, utilisez Celerra Data Mover Security Management Console, un snap-in MMC (Microsoft Management Console) Celerra. La section « Installation du logiciel hôte dans un environnement CIFS » à la page 12 propose des informations sur l'installation des snap-in MMC Celerra.

Par défaut, l'audit est désactivé pour toutes les classes d'objets Windows. Pour activer l'audit, vous devez l'activer explicitement pour des événements précis sur un serveur de dossiers partagés spécifique. Une fois activé, l'audit est lancé sur le serveur de dossiers partagés pertinent. L'aide en ligne du snap-in Celerra Data Mover Security Management fournit des informations sur la définition de stratégies d'audit.

Si l'objet de stratégie de groupe (GPO) est configuré et activé sur le serveur de dossiers partagés, la configuration GPO des paramètres d'audit est utilisée.

L'audit est disponible uniquement sur les classes d'objets et événements répertoriés dans le Tableau 5. Seul un administrateur avancé VNXe peut configurer l'audit sur un serveur de dossiers partagés.

Tableau 5 Audit de classes d’objets

Classe d'objets Événement Opération surveillée

Connexion/Déconnexion • Connexion d'utilisateur CIFS• Connexion d'invité CIFS

Réussite

• Renvoi par le contrôleur de domaine d'une erreur d'authentification par mot de passe

• Renvoi par le contrôleur de domaine d'un code d'erreur signalant un non-traitement

• Absence de réponse du contrôleur de domaine (ressources insuffisantes ou protocole incorrect)

Échec

Accès aux fichiers et objets

Objet ouvert :• Accès aux fichiers et répertoires ; si la liste de contrôle d'accès

système (SACL) est définie pour la lecture, l'écriture, la suppression, l'exécution, la définition d'autorisations et la prise de possession

• Modification du groupe local SAM (Security Access Manager)Descripteur de fermeture :• Accès aux fichiers et répertoires ; si la SACL est définie pour la

lecture, l'écriture, la suppression, l'exécution, la définition d'autorisations et la prise de possession

• Base de données SAM ferméeObjet ouvert pour suppression :Accès aux fichiers et répertoires (si la SACL est définie)Suppression d'objet :Accès aux fichiers et répertoires (si la SACL est définie)

Réussite

Accès à la base de données SAM (recherche) Réussite et échec

Suivi de processus Non pris en charge s.o.

Redémarrage/Arrêt du système

Redémarrage :• Démarrage du service CIFS • Arrêt du service CIFS• Vidage du journal d'audit

Réussite

Audit des utilisateurs et des objets CIFS 35


Lorsque l'audit est activé, l'Observateur d'événements crée un journal de sécurité sur la base des paramètres par défaut répertoriés dans le Tableau 6.

Les serveurs de dossiers partagés VNXe prennent en charge l'audit sur des dossiers et fichiers individuels.

Activation de l'audit sur un serveur de dossiers partagés

Effectuez la procédure suivante pour activer l'audit sur un serveur de dossiers partagés :

◆ « Tâche 1 : Définition de la stratégie d'audit » à la page 36.

◆ « Tâche 2 : Configuration des paramètres du journal d'audit » à la page 37.

Tâche 1 : Définition de la stratégie d'audit

Une fois la console de gestion Celerra installée, procédez comme suit pour accéder au snap-in Security Management et définir la stratégie d'audit :


2. Cliquez sur Démarrer, puis sélectionnez Programmes ou Tous les programmes > Outils d'administration > EMC Celerra Gestion.

3. Dans la fenêtre Gestion de Celerra, procédez de l'une des façons suivantes :

• Si un serveur de dossiers partagés est sélectionné (son nom s'affiche après Gestion des Data Movers), passez à l'étape 4.

ou

Règles de sécurité Privilèges de session : • Liste des privilèges d'utilisateur• Attribution de droits d'utilisateur• Suppression de droits d'utilisateurModification de règles : Liste des catégories de stratégies et de l'état d'audit associé

Réussite

Utilisation de droits d'utilisateur

Non prise en charge s.o.

Gestion des utilisateurs et des groupes

• Création d'un groupe local• Suppression d'un groupe local• Ajout d'un membre à un groupe local• Suppression d'un membre d'un groupe local

Réussite

Tableau 5 Audit de classes d’objets (suite)

Classe d'objets Événement Opération surveillée

Tableau 6 Paramètres de journal par défaut

Type de journal Taille de fichier maximale Rétention

Sécurité 512 Ko 10 jours



• Si un serveur de dossiers partagés n'est pas sélectionné :

a. Cliquez à l'aide du bouton droit de la souris sur Gestion des Data Movers et sélectionnez Se connecter au Data Mover dans le menu contextuel.

b. Dans la boîte de dialogue Sélectionner le Data Mover, sélectionnez un serveur de dossiers partagés à l'aide de l'une des méthodes suivantes :

– Dans la liste Regarder dans, sélectionnez le domaine dans lequel réside le serveur de dossiers partagés à gérer, puis le serveur en question dans la liste.

– Dans le champ Nom, saisissez le nom réseau ou l'adresse IP du serveur de dossiers partagés.

4. Double-cliquez sur Gestion des Data Movers, puis sur Paramètres de sécurité du Data Mover.

5. Sélectionnez Stratégie d'audit.

Les stratégies d'audit apparaissent dans le volet de droite.

6. Cliquez à l'aide du bouton droit de la souris sur Stratégie d'audit, puis sélectionnez Activer l'audit dans le menu contextuel.

7. Double-cliquez sur un objet d'audit dans le volet de droite pour définir une stratégie d'audit pour cet objet.

L'aide en ligne du snap-in Celerra Data Mover Security Management fournit des informations complémentaires sur les stratégies d'audit.

Tâche 2 : Configuration des paramètres du journal d'audit


2. Double-cliquez sur Observateur d'événements et, pour Windows Server 2008, sélectionnez Journaux Windows.

Les fichiers journaux spécifiques s'affichent.

3. Cliquez à l'aide du bouton droit de la souris sur le fichier journal, puis sélectionnez Propriétés dans le menu contextuel.

La page de propriétés du journal apparaît.

En principe, le champ Taille maximale du journal est verrouillé.

4. Au terme de la procédure, revenez à la boîte de dialogue Propriétés de l'application pour le journal et cliquez sur les flèches afin d'augmenter ou de diminuer la taille du journal.

5. Dans la zone Taille du journal de la boîte de dialogue, indiquez l'action à effectuer lorsque la taille maximale du journal est atteinte :

• Remplacer les événements si nécessaire : spécifie si tous les nouveaux événements sont écrits dans le journal, même si celui-ci est plein. Lorsque le journal arrive à saturation, chaque nouvel événement remplace le plus ancien.

Audit des utilisateurs et des objets CIFS 37


• Remplacer les événements datant de plus de (n) jours : les événements datant d'un nombre de jours supérieur à celui spécifié sont remplacés. Utilisez les flèches pour indiquer le nombre maximal ou cliquez sur le champ pour y entrer la valeur limite. La taille du fichier journal indiquée à l'étape 4 ne sera pas dépassée. De nouveaux événements ne sont pas ajoutés si la taille maximale de journal est atteinte et que celui-ci ne contient pas d'événement datant d'un nombre de jours supérieur à celui indiqué.

• Ne pas remplacer les événements : consigne les événements dans le journal jusqu'à la limite spécifiée à l'étape 4. Lorsque celui-ci est plein, aucun événement n'y est plus consigné tant que vous ne l'avez pas vidé.

6. Cliquez sur OK pour enregistrer les paramètres.

Affichage des événements d'audit

1. Cliquez sur Démarrer, puis sélectionnez Programmes ou Tous les programmes > Outils d'administration > Observateur d'événements.

2. Cliquez à l'aide du bouton droit de la souris sur l'icône Observateur d'événements dans le volet droit et sélectionnez Se connecter à un autre ordinateur dans le menu contextuel.

La boîte de dialogue Sélection d'un ordinateur s'affiche.

3. Saisissez le nom du serveur de dossiers partagés dans le champ Entrez le nom de l'objet à sélectionner ou cliquez sur Avancé pour rechercher un ordinateur, puis cliquez sur OK pour fermer la boîte de dialogue Sélection d'un ordinateur.

4. Pour Windows Server 2008, cliquez sur Journaux Windows.

5. Cliquez sur le journal.

Les entrées du journal s'affichent dans le volet de droite.

6. Double-cliquez sur l'entrée de journal souhaitée pour afficher les détails de l'événement.

La fenêtre Propriétés de l'événement s'affiche.

Désactivation de l'audit

1. Connectez-vous à un contrôleur de domaine Windows Server 2003 ou Windows Server 2008 au moyen des privilèges d'administrateur du domaine.

2. Cliquez sur Démarrer, puis sélectionnez Programmes ou Tous les programmes > Outils d'administration > EMC Celerra Gestion.

3. Exécutez l'une des opérations suivantes :

• Si un serveur de dossiers partagés est sélectionné (son nom s'affiche après Gestion des Data Movers), passez à l'étape 4.

• Si un serveur de dossiers partagés n'est pas sélectionné :

a. Cliquez à l'aide du bouton droit de la souris sur Gestion des Data Movers et sélectionnez Se connecter au Data Mover dans le menu contextuel.



b. Dans la boîte de dialogue Sélectionner le Data Mover, sélectionnez un serveur de dossiers partagés à l'aide de l'une des méthodes suivantes :

– Dans la liste Regarder dans, sélectionnez le domaine dans lequel réside le serveur de dossiers partagés à gérer, puis le serveur en question dans la liste.

– Dans le champ Nom, saisissez le nom réseau ou l'adresse IP du serveur de dossiers partagés.

4. Double-cliquez sur Gestion des Data Movers, puis sur Paramètres de sécurité du Data Mover.

5. Cliquez avec le bouton droit de la souris sur Stratégie d'audit, puis sélectionnez Désactiver l'audit dans le menu contextuel.

Accès au journal de sécurité pour un serveur de dossiers partagés VNXe

Par défaut, chaque serveur de dossiers partagés dispose d'un journal de sécurité Windows, c:\security.evt, dont la taille maximale est de 512 Ko. Ce journal de sécurité est directement accessible via le partage C$ de chaque serveur de dossiers partagés à l'aide de la commande suivante :

\\storage_server_netbios_name\C$\security.evt

où storage_server_netbios_name est le nom NetBIOS du serveur de dossiers partagés.

Copie d'un snapshot de partage à l'aide de l'Explorateur Windows1. Vous pouvez accéder au serveur de dossiers partagés contenant le partage à copier :

• en le recherchant dans l'Explorateur Windows ;

ou

• en utilisant Démarrer > Exécuter > \\shared_folder_server_name.

2. Dans le serveur de dossiers partagés, cliquez avec le bouton droit de la souris sur le snapshot à copier, puis sélectionnez Propriétés.

3. Cliquez sur l'onglet Versions précédentes.

4. Sélectionnez le snapshot (version précédente) à copier et cliquez sur Copier.

Une copie inscriptible du snapshot est créée à l'emplacement que vous indiquez.

Accès au journal de sécurité pour un serveur de dossiers partagés VNXe 39


Restauration d'un snapshot de partage à l'aide de l'Explorateur Windows

La restauration d'une ressource de stockage dans un snapshot rétablit (par un retour arrière) l'état antérieur de la ressource tel que capturé par le snapshot. Au cours de la restauration, l'intégralité de la ressource de stockage, y compris l'ensemble des fichiers et des données stockés sur celle-ci, est remplacée par le contenu du snapshot.

IMPORTANT

Pour prévenir toute perte de données, assurez-vous que tous les clients ont terminé toutes les opérations de lecture et d'écriture sur la ressource de stockage que vous restaurez.

Pour restaurer un snapshot de partage à l'aide de l'Explorateur Windows :

1. Accédez au serveur de dossiers partagés sur lequel réside le dossier partagé contenant le snapshot à restaurer :

• en le recherchant dans l'Explorateur Windows ;

ou

• en utilisant Démarrer > Exécuter > \\shared_folder_server_name.

2. Dans le serveur de dossiers partagés, cliquez avec le bouton droit de la souris sur le contenu à restaurer, puis sélectionnez Propriétés.

3. Cliquez sur l'onglet Versions précédentes.

4. Sélectionnez le snapshot (version précédente) à restaurer et cliquez sur Restaurer.

L'opération de restauration effectue les actions suivantes :

• Les fichiers présents dans la version actuelle mais pas dans la version précédente restaurée demeurent inchangés dans le partage.

• Si des fichiers sont présents tant dans la version précédente restaurée que dans la version actuelle, les fichiers du partage sont remplacés par le contenu correspondant provenant de la précédente version.

• Les fichiers qui sont présents dans la version précédente restaurée mais pas dans la version actuelle sont ajoutés au partage.

Supposons par exemple le cas suivant :

• La version actuelle comprend les fichiers a, b et f.

• La version précédente restaurée contient les fichiers a, f et g.

La version restaurée comportera le fichier b avec le contenu de la version actuelle et les fichiers a, f et g avec le contenu de la version précédente.


CHAPITRE 4Utilisation de la fonction FLR avec le système VNXe

Le serveur de dossiers partagés VNXe prend en charge la rétention au niveau des fichiers (FLR) pour le stockage des dossiers partagés. La fonction FLR permet de définir des autorisations au niveau des fichiers sur un système de fichiers afin de limiter l'accès en écriture pendant une période de rétention spécifiée. Un système de fichiers régi par la fonction FLR offre les avantages suivants :

◆ Il protège les données tout en assurant leur intégrité et leur accessibilité en vous permettant de créer un ensemble permanent de fichiers et de répertoires que les utilisateurs ne sont pas autorisés à modifier via CIFS ou FTP.

◆ Il simplifie l'archivage des données sur des disques magnétiques réinscriptibles standard via des opérations CIFS courantes.

◆ Il permet une gestion du stockage plus flexible.

AVIS

Après avoir activé la fonction FLR pour un système de fichiers, vous ne pouvez plus la désactiver. De plus, il est possible que certains fichiers que vous souhaitez supprimer ne puissent plus l'être. N'activez la fonction FLR que si vous êtes certain de vouloir l'utiliser et que vous avez bien compris les implications de sa mise œuvre.N'utilisez pas l'Explorateur Windows pour verrouiller des fichiers d'un système de fichiers régi par la fonction FLR. En effet, l'Explorateur Windows affecte aux fichiers les date et heure actuelles avant de les basculer en mode lecture seule, de sorte qu'ils se trouvent verrouillés indéfiniment. Si vous souhaitez avoir recours à l'Explorateur Windows pour définir ou gérer les dates de rétention ou pour verrouiller des fichiers d'un système de fichiers régi par la fonction FLR, vous devez installer le kit d'outils File Level Retention (FLR).


◆ Terminologie et concepts propres à la fonction FLR.................................................. 42◆ Configuration matérielle pour la rétention au niveau des fichiers............................. 45◆ Installation du kit d'outils FLR sur un hôte ............................................................... 46◆ Configuration du contrôleur FLR .............................................................................. 47◆ Utilisation du contrôleur FLR ................................................................................... 48

Utilisation de la fonction FLR avec le système VNXe 41

Utilisation de la fonction FLR avec le système VNXe

Terminologie et concepts propres à la fonction FLRLa présente section contient les définitions des termes importants pour la compréhension de la fonction de rétention au niveau des fichiers sur les serveurs de dossiers partagés VNXe.

Terminologie relative à la fonction FLR

État CLEAN

État initial d'un fichier au moment de sa création. Un fichier CLEAN peut faire l'objet des mêmes opérations que tout fichier d'un système de fichiers non régi par la fonction FLR. Autrement dit, les clients et les utilisateurs peuvent le renommer, le modifier et le supprimer jusqu'à son basculement en mode FLR.

État EXPIRED

État d'un fichier à l'expiration de sa période de rétention. Les clients et les utilisateurs peuvent ramener un fichier de l'état EXPIRED à l'état FLR ou supprimer un fichier à l'état EXPIRED du système de fichiers FLR.

État FLR

État d'un fichier auparavant accessible en lecture/écriture et qui passe en mode lecture seule dans un système de fichiers régi par la fonction FLR. Les clients et les utilisateurs ne peuvent pas supprimer les fichiers basculés à l'état FLR tant que leur période de rétention n'a pas expiré.

Principes de base de la rétention au niveau des fichiers

La rétention au niveau des fichiers ne peut être activée sur un système de fichiers donné qu'au moment de sa création. Lorsque vous créez un nouveau système de fichiers en activant la rétention au niveau des fichiers, il est marqué de façon permanente comme un système de fichiers FLR, et les clients et utilisateurs peuvent appliquer la protection FLR fichier par fichier uniquement.

Dans un système de fichiers FLR, un fichier peut présenter l'un des trois états suivants : CLEAN, FLR ou EXPIRED. Vous pouvez gérer les fichiers dont l'état est FLR soit en définissant la rétention à l'aide du traitement par lot ou par répertoires (les archives de fichiers sont gérées au niveau du système de fichiers), soit en exécutant un script afin de localiser et de supprimer les fichiers présentant l'état EXPIRED.

Il est possible de supprimer un système de fichiers FLR, mais pas de supprimer ni de modifier les fichiers dont l'état est FLR. De même, le chemin d'accès à un fichier à l'état FLR ne peut être modifié : vous ne pouvez donc ni renommer ni supprimer un répertoire d'un système de fichiers FLR à moins qu'il ne soit vide.



Fonctionnement de la rétention au niveau des fichiers

Dans un système de fichiers FLR, le fichier passe par les trois états possibles : CLEAN, FLR ou EXPIRED. La transition entre ces états s'effectue en fonction des date et heure du dernier accès (LAT, Last Access Time) et de l'autorisation en lecture seule du fichier.

Lors de la création d'un fichier, son état est CLEAN. Un fichier CLEAN est traité exactement de la même façon que tout fichier d'un système de fichiers non régi par la fonction FLR. Autrement dit, les clients et les utilisateurs peuvent le renommer, le modifier ou le supprimer.

Remarque : l’état dans lequel se trouve le fichier n'est pas visible par l'utilisateur. De plus, l'accès à un fichier à l'état CLEAN modifie son LAT. C'est par exemple le cas lorsqu'il fait l'objet d'une analyse antivirus, d'une sauvegarde ou d'une recherche de contenu.

Lorsque vous modifiez les autorisations d'accès à un fichier CLEAN de lecture/écriture à lecture seule, le fichier passe de l'état CLEAN à l'état FLR, et bascule en mode FLR. Les clients et les utilisateurs ne peuvent ni modifier ni supprimer un fichier à l'état FLR. De plus, le chemin d'accès à tout fichier dont l'état est FLR est protégé contre toute modification. Ce qui signifie que les clients et les utilisateurs d'un répertoire d'un système de fichiers FLR ne peuvent ni renommer ni supprimer le répertoire à moins qu'il ne soit vide, et qu'ils ne peuvent supprimer des fichiers à l'état FLR qu'après expiration de leur période de rétention.

Une période de rétention définit les date et heure d'expiration de la protection FLR d'un fichier. EMC recommande de spécifier une période de rétention avant de basculer un fichier à l'état FLR. Sans cela, le système applique comme paramètre par défaut une période de rétention illimitée. Dans ce cas, vous pouvez définir explicitement une période de rétention plus courte. Pour définir la période de rétention d'un fichier, vous pouvez remplacer ses date et heure de dernier accès via des opérations CIFS par des date et heure d'expiration ultérieures. Ces date et heure d'expiration ultérieures représentent la fin de la période de rétention du fichier.

Un fichier bascule de l'état FLR à l'état EXPIRED une fois sa période de rétention achevée. Un fichier à l'état EXPIRED ne peut être supprimé que par son propriétaire ou son administrateur. La rétention au niveau des fichiers ne supprime pas automatiquement les fichiers présentant l'état EXPIRED. Il vous incombe de supprimer les fichiers EXPIRED explicitement à l'aide de l'ensemble d'outils FLR.

Si nécessaire, vous pouvez faire en sorte qu'un fichier à l'état EXPIRED retrouve l'état FLR en prolongeant sa période de rétention en spécifiant une nouvelle date ultérieure à la date d'expiration initialement prévue pour la rétention. Pour prolonger une période de rétention, remplacez le LAT du fichier par des date et heure ultérieures à la date d'expiration initiale. Il est possible de prolonger la période de rétention d'un fichier, mais pas de l'écourter. Si vous spécifiez de nouvelles date et heure d'accès antérieures aux date et heure d'accès actuelles du fichier, le serveur de dossiers partagés VNXe refuse la commande. La prolongation de la période de rétention d'un fichier et la modification des autorisations de lecture d'un utilisateur ou d'un groupe sur le fichier mises à part, vous n'avez pas la possibilité de modifier les métadonnées du fichier durant sa période de rétention.

Lorsque vous copiez un fichier en lecture seule depuis un système de fichiers standard vers un système de fichiers FLR, il ne bascule pas vers l'état FLR. Au terme de la copie, le fichier est à l'état CLEAN.

Terminologie et concepts propres à la fonction FLR 43


Restrictions associées à la rétention au niveau des fichiers

La fonction FLR impose les restrictions suivantes :

◆ Vous devez définir le niveau de rétention au niveau des fichiers au moment de la création du système de fichiers et vous ne pouvez pas modifier ce niveau une fois le système de fichiers créé.

◆ Les clients ou utilisateurs du système VNXe ne peuvent ni modifier ni supprimer des fichiers dont l'état est FLR. Le chemin d'accès à un fichier verrouillé est en outre protégé contre toute modification. Autrement dit, un répertoire d'un système de fichiers régi par la fonction FLR ne peut être renommé ou supprimé que s'il ne contient pas de fichiers protégés.

◆ EMC recommande vivement aux utilisateurs d'EMC Celerra AntiVirus Agent (CAVA) de mettre à jour l'ensemble des fichiers de définition de virus sur tous les moteurs antivirus (AV) résidents des pools CAVA et d'exécuter régulièrement une analyse complète du système de fichiers afin de détecter les éventuels fichiers FLR infectés. Si un fichier verrouillé infecté est identifié, l'antivirus résident ne peut ni le réparer ni le supprimer. Bien qu'il ne soit possible de supprimer le fichier qu'après sa date de rétention, vous pouvez modifier ses bits d'autorisation afin d'empêcher l'accès en lecture, de sorte que le fichier ne soit pas accessible aux utilisateurs. La fonction d'analyse lors de la première lecture de CAVA n'est pas en mesure de détecter un virus dans un fichier verrouillé. Consultez la documentation de CAVA disponible sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport) pour obtenir plus d'informations sur le produit.

◆ Bien que la rétention au niveau des fichiers prenne en charge toutes les fonctions de sauvegarde, l'attribut FLR n'est pas conservé lors d'une sauvegarde Network Data Management Protocol (NDMP). De ce fait, si vous utilisez la sauvegarde NDMP, vous devez vous assurer que les fichiers sont restaurés vers un système de fichiers VNXe régi par la fonction FLR. Si vous restaurez un fichier à partir d'une sauvegarde NDMP dont la date de rétention a expiré, le système de fichiers aura une date de rétention illimitée après la restauration. Si vous souhaitez protéger le fichier tout en évitant que sa date de rétention soit illimitée, restaurez-le vers un système de fichiers non régi par la fonction FLR, puis copiez-le vers un système FLR.

◆ Le système de fichiers racine d'un montage imbriqué ne peut pas utiliser la rétention au niveau des fichiers.




Configuration matérielle pour la rétention au niveau des fichiersCette section décrit les configurations logicielle, matérielle, réseau et de stockage requises pour l'utilisation de la rétention au niveau des fichiers avec le serveur de dossiers partagés VNXe. Le Tableau 7 décrit la configuration système requise pour la rétention au niveau des fichiers.

Windows .NET Framework

Windows .NET Framework 2.0 doit être installé sur l'hôte pour que le kit d'outils FLR puisse être installé.

Exigences en termes de services Windows et de privilèges de compte de service pour le contrôleur FLR

Le Tableau 8 répertorie différents scénarios relatifs au compte de service du contrôleur FLR et aux relations d'approbation de domaine. Chaque scénario décrit les tâches à accomplir pour l'octroi de privilèges afin que le contrôleur FLR puisse s'exécuter comme un service sur l'hôte Windows. Dans les relations d'approbation de domaine Windows, la direction de l'approbation est très importante. Les termes « approuvé » et « approbation » ainsi que les définitions de leurs directions figurant dans le tableau sont utilisés suivant les descriptions fournies par Microsoft.

Tableau 7 Configuration système requise pour la rétention au niveau des fichiers

Composant Exigences

Logiciel Kit d'outils FLR version 3.5 Enterprise (FLR-E).

Matériel Hôte exécutant un système d'exploitation Windows pris en charge par le kit d'outils FLR. La matrice de support disponible sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport) fournit des informations sur les systèmes d'exploitation pris en charge.

Réseau Pas de configuration réseau spécifique requise.

Stockage Pas de configuration de stockage spécifique requise.

Configuration matérielle pour la rétention au niveau des fichiers 45



Installation du kit d'outils FLR sur un hôteVous pouvez installer le kit d'outils FLR sur tout hôte Windows s'exécutant dans le réseau ayant accès au serveur de dossiers partagés VNXe qui héberge les fichiers à conserver :

1. Connectez-vous à l'hôte Windows au moyen d'un compte bénéficiant des privilèges d'administration.

2. Téléchargez le module logiciel à installer en procédant comme suit :

a. Accédez à la section de téléchargement de logiciels sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport).

b. Choisissez le module logiciel à installer et sélectionnez l'option permettant d'enregistrer le logiciel sur l'hôte.

3. Dans le répertoire où vous avez sauvegardé le logiciel, double-cliquez sur le fichier exécutable pour démarrer l'assistant d'installation.

4. Dans l'écran de bienvenue, cliquez sur Suivant.

5. Lisez le contrat de licence et acceptez-en les termes en cliquant sur Suivant.

6. Saisissez votre nom et celui de votre société, puis cliquez sur Suivant.

Tableau 8 Scénarios et tâches d'octroi de privilèges

Le compte de service est-il membre du groupe Administrateurs de domaine de son domaine ?

L'hôte est-il membre d'un domaine approuvé par le domaine du compte de service ?

L'hôte est-il membre du même domaine que le compte de service ?

Tâches requises

Oui Oui Non Ajoutez soit le groupe Administrateurs de domaine, soit le compte de service au groupe Administrateurs locaux de l'hôte. Par exemple, si le compte de serveur est domaine A\utilisateur, ajoutez soit domaineA/Administrateurs de domaine soit domaineA\utilisateur.

Oui Non Oui Ajoutez soit le groupe Administrateurs de domaine, soit le compte de service au groupe Administrateurs locaux de l'hôte. Par exemple, si le compte de serveur est domaine A\utilisateur, ajoutez soit domaineA/Administrateurs de domaine soit domaineA\utilisateur.

Oui Non Non Ajoutez le compte de service au groupe Administrateurs locaux du serveur. Le groupe Administrateurs de domaine n'est pas suffisant. Par exemple, si le compte de service est domaineA\utilisateur, ajoutez domaineA\utilisateur.

Non Oui Oui Ajoutez le compte de service au groupe Administrateurs locaux du serveur. Par exemple, si le compte de service est domaineA\utilisateur, ajoutez domaineA\utilisateur.

Non Non Non Ajoutez le compte de service au groupe Administrateurs locaux du serveur. Le groupe Administrateurs de domaine n'est pas suffisant. Par exemple, si le compte de service est domaineA\utilisateur, ajoutez domaineA\utilisateur.




7. Entrez le dossier de destination pour l'installation de l'ensemble d'outils FLR, puis cliquez sur Suivant.

8. Dans la page Type d'installation, sélectionnez Complète ou Personnalisée comme type d'installation, puis cliquez sur Suivant.

9. Sur la page Informations de connexion, indiquez les informations d'identification de domaine du compte d'utilisateur qui sera utilisé pour se connecter à l'ensemble d'outils FLR, ou recherchez-les, puis cliquez sur Suivant.

Ces informations d'identification sont les suivantes :

• Nom d'utilisateur, qui doit être domaine/administrateur, où domaine est le nom du domaine

• Mot de passe de domaine/administrateur

10. Vérifiez les paramètres d'installation et s'ils sont corrects, cliquez sur Installer.

11. Cliquez sur Terminer pour terminer la procédure d'installation.

Configuration du contrôleur FLR1. Ouvrez le service du contrôleur FLR, qui est inclus dans le kit d'outils FLR.

2. Sous l'onglet Connexions FLR, cliquez sur Ajouter.

3. Sous l'onglet Options de répertoire de la page Configuration de la source de rétention, cliquez sur Parcourir pour sélectionner la source de rétention.

4. Sélectionnez le partage CIFS créé sur le système de fichiers FLR en tant que source de rétention.

5. Sur la page Configuration de la source de rétention :

a. Sélectionnez l'option de contrôle des sous-répertoires et cliquez sur OK.

b. Sous l'onglet Options de contrôle, sélectionnez la méthode de contrôle :

Rapide (basée sur les événements) : la règle de rétention est appliquée dès que les fichiers d'archive sont générés.

Interrogation (basée sur le planning) : la règle de rétention est appliquée en fonction d'un planning particulier.

c. Sous l'onglet Options FLR, définissez la règle de rétention requise, puis cliquez sur OK.

Remarque : la règle des date et heure incrémentielles met en œuvre la rétention de sorte que la date de rétention soit appliquée de façon incrémentielle pour les fichiers d'archive générés à des moments différents.

6. Sous l'onglet Connexions FLR de la page Service contrôleur FLR, sélectionnez l'entrée de connexion et cliquez sur Appliquer.

7. Dans la page Confirmation, cliquez sur Oui pour valider l'application de la règle de rétention, puis cliquez sur OK.

Configuration du contrôleur FLR 47


Utilisation du contrôleur FLRCette section décrit les procédures suivantes :

◆ « Basculement d'un fichier en lecture seule à l'état FLR » à la page 48

◆ « Création de requêtes FLR » à la page 48

Basculement d'un fichier en lecture seule à l'état FLR

Après la copie d'un fichier vers un système de fichiers CIFS sur lequel la rétention au niveau des fichiers est activée, vous devez :

1. modifier son autorisation pour qu'il soit accessible en lecture/écriture ;

2. définir une période de rétention ;

3. basculer le fichier à l'état FLR.

De plus, les systèmes de fichiers régis par la fonction FLR appliquent toujours la synchronisation du bit DOS en lecture seule (CIFS).

Création de requêtes FLR

Une fois le service du contrôleur FLR démarré, vous pouvez utiliser l'outil Explorateur FLR, qui est installé automatiquement avec le kit d'outils FLR, pour créer des requêtes permettant d'afficher les fichiers conservés ou expirés. Vous pouvez exécuter des requêtes sur la source de rétention à l'aide de la fonction Créer une requête de l'Explorateur FLR. Vous pouvez définir les paramètres suivants pour la requête :

◆ Type de fichiers : fichiers conservés, fichiers non WORM, fichiers présentant un état de rétention spécifique

◆ Source de rétention

◆ Extension de fichiers à inclure ou exclure

◆ Sous-répertoires se trouvant également dans le chemin de recherche

Exemple de requêteLa procédure ci-dessous décrit les étapes d'exécution de la requête FLR à l'aide de l'Explorateur FLR :

1. Ouvrez l'application de l'Explorateur FLR sous :

C:\Program Files (x86)\EMC\FLR Toolkit\FLR Explorer

2. Dans l'Explorateur FLR, sélectionnez Créer une requête.

3. Sur la page Générateur de requête, indiquez le type de fichier à rechercher, par exemple les fichiers conservés, les fichiers dans un état de rétention spécifique ou les fichiers non WORM.

4. Spécifiez la source de rétention.

5. Vous pouvez éventuellement inclure ou exclure des fichiers en indiquant leurs extensions.

6. Cliquez sur OK.

Une liste des fichiers expirés s'affiche dans l'Explorateur FLR. De même, vous pouvez afficher la liste des fichiers conservés en créant une autre requête à l'aide de l'Explorateur FLR.


CHAPITRE 5Utilisation de la solution VNX Event Enabler avec le système VNXe

VNX Event Enabler (VEE) offre une solution antivirus (VEE Common Anti-Virus Agent) destinée aux clients qui ont recours au système VNXe. Il utilise les protocoles standard CIFS (Common Internet File System) dans un domaine Windows 8, Windows 7, Windows Server 2008, Windows Server 2003 ou Windows 2000. VEE Common Anti-Virus Agent (VEE CAVA) tire parti de logiciels antivirus tiers afin d'identifier et d'éliminer les virus connus avant qu'ils n'infectent les fichiers du système VNXe. Bien que les serveurs de stockage VNXe (Data Movers) soient résistants aux virus, les clients Windows nécessitent également une protection. La protection antivirus installée sur le client réduit les risques que ce dernier stocke un fichier contaminé sur le serveur de stockage et en retour, le protège lorsqu'un fichier infecté est ouvert sur celui-ci.


◆ Présentation de CAVA.............................................................................................. 50◆ Configuration système requise et restrictions .......................................................... 51◆ Configuration de VEE CAVA pour les serveurs de dossiers partagés VNXe ................ 52

Utilisation de la solution VNX Event Enabler avec le système VNXe 49

Utilisation de la solution VNX Event Enabler avec le système VNXe

Présentation de CAVAComme l'illustre la Figure 2, la solution VEE utilise les composants suivants :

◆ Serveur de dossiers partagés VNXe exécutant le client antivirus VEE CAVA

◆ Moteur antivirus (AV) tiers

◆ Logiciel VEE CAVA

Un moteur AV tiers et le logiciel VEE CAVA doivent être installés sur au moins un serveur Windows Server 2008, Windows Server 2003 ou Windows 2000, ou un poste de travail Windows 7 ou Windows 8, appartenant au domaine dans lequel réside le système VNXe. Ce serveur est un serveur antivirus.

Remarque : si le logiciel AV tiers est exécuté sur un poste de travail Windows 7 ou Windows 8, VEE CAVA peut également être exécuté sur le poste de travail Windows 7.

Figure 2 Composants de la solution CAVA

Serveurs de dossiers partagés VNXe

Les serveurs de dossiers partagés VNXe gèrent les opérations des partages et dossiers partagés Windows (CIFS), des partages et dossiers partagés Linux/UNIX (NFS), ou les deux. Pour la mise en œuvre d'une solution VEE CAVA, le système VNXe nécessite qu'un ou plusieurs serveurs de dossiers partagés soient configurés pour les partages CIFS ou pour les partages CIFS et NFS à la fois.



Client antivirus VEE CAVA

Le client antivirus (VC) est un agent VEE CAVA qui s'exécute sur le serveur de dossiers partagés VNXe. Il interagit avec le moteur AV, lequel traite les demandes que lui adresse le client VC. L'analyse antivirus est prise en charge pour les accès CIFS uniquement. Pendant l'analyse d'un fichier ou d'autres actions associées, l'accès à celui-ci à partir d'un client CIFS est bloqué.

Le client VC effectue les tâches suivantes :

◆ Il met en file d'attente et communique les noms des fichiers à analyser à VEE CAVA.

◆ Il fournit les déclencheurs d'événements des analyses et les reconnaît. Différents déclencheurs d'événements sont possibles :

• Attribution d'un nouveau nom à un fichier sur le système VNXe

• Copie ou enregistrement d'un fichier sur le système VNXe

• Modification et fermeture d'un fichier sur le système VNXe

Prise en charge de logiciels antivirus tiers

La solution VEE CAVA tire parti de logiciels antivirus tiers, appelés moteurs AV, pour identifier et éliminer les virus connus avant qu'ils n'infectent les fichiers du système VNXe. Pour connaître les moteurs AV pris en charge par EMC, consultez la matrice de support de VNXe sur le site Web de support en ligne EMC (http://www.emc.com/vnxesupport).

Logiciel VEE CAVA

VEE CAVA est une application développée par EMC qui s'exécute sur un serveur Windows (appelé serveur AV). Il communique avec un moteur antivirus standard s'exécutant sur un ou plusieurs serveurs afin d'analyser les fichiers CIFS stockés sur un système VNXe ou VNX ou Celerra Network Server.

Snap-in MMC Celerra AntiVirus Management

Le logiciel Celerra AntiVirus Management est un snap-in MMC de Unisphere. Utilisez-le pour consulter ou modifier les paramètres antivirus de VEE associés aux serveurs de dossiers partagés VNXe.

Configuration système requise et restrictionsLa solution VEE CAVA nécessite la configuration suivante :

◆ Un système VNXe avec un serveur de dossiers partagés configuré sur le réseau.

◆ Le snap-in MMC Celerra AntiVirus Management installé sur un système client qui a accès au domaine VNXe. Pour obtenir des informations sur l'installation de ce snap-in, reportez-vous à la section « Installation du logiciel hôte dans un environnement CIFS » à la page 12.

Configuration système requise et restrictions 51



◆ Un logiciel antivirus tiers exécuté sur un ou plusieurs serveurs AV du domaine. VEE CAVA prend en charge les environnements Windows 32 bits et 64 bits ainsi que les moteurs antivirus tiers. La version du moteur nécessaire dépend du système d'exploitation. Pour connaître la toute dernière configuration requise concernant les logiciels tiers, consultez le site Web ou la documentation du fournisseur concerné.

◆ Le logiciel VEE CAVA installé sur chaque serveur AV du domaine.

Rétention au niveau des fichiers

EMC recommande vivement à l'administrateur antivirus de mettre à jour les fichiers de définition de virus sur tous les moteurs AV résidents des pools VEE CAVA et d'exécuter régulièrement une analyse complète du système de fichiers afin de détecter toute infection de fichiers protégés par la rétention au niveau des fichiers (FLR, File-Level Retention).

Protocoles non CIFS

La solution VEE CAVA est conçue pour les clients exécutant le protocole CIFS uniquement. Elle ne procède pas à l'analyse antivirus des fichiers modifiés ou déplacés à l'aide des protocoles NFS ou FTP.

Configuration de VEE CAVA pour les serveurs de dossiers partagés VNXe

Pour mettre en œuvre une solution VEE CAVA pour des serveurs de dossiers partagés VNXe, effectuez les tâches suivantes :

◆ « Tâche 1 : Configuration du compte d'utilisateur du domaine avec les droits d'analyse antivirus » à la page 53.

◆ « Tâche 2 : Configuration des paramètres de l'analyseur antivirus pour le serveur de dossiers partagés » à la page 56.

◆ « Tâche 3 : Installation de logiciels antivirus tiers sur les serveurs AV du domaine » à la page 58.

◆ « Tâche 4 : Installation de VEE CAVA sur les serveurs AV Windows » à la page 58.

◆ « Tâche 5 : Démarrage du moteur AV VEE (agent antivirus) sur le système VNXe » à la page 59.



Tâche 1 : Configuration du compte d'utilisateur du domaine avec les droits d'analyse antivirus

L'installation de VEE CAVA doit s'effectuer au moyen d'un compte utilisateur Windows reconnu par les serveurs de dossiers partagés VNXe comme disposant du privilège d'analyse antivirus EMC. Ce compte utilisateur permet à ces serveurs de faire la distinction entre les demandes de VEE CAVA et les autres demandes des clients.

Pour configurer le compte utilisateur du domaine :

1. Créez un compte utilisateur du domaine Active Directory pour l'utilisateur antivirus :

a. Connectez-vous au serveur Windows Server 2008, Windows Server 2003 ou Windows 2000 en tant qu'administrateur du domaine.

b. Dans la barre des tâches, cliquez sur Démarrer et sélectionnez Paramètres > Panneau de configuration > Outils d'administration > Utilisateurs et ordinateurs Active Directory.

c. Dans l'arborescence de la console de gestion VNX, cliquez avec le bouton droit de la souris sur Utilisateurs et sélectionnez Nouveau > Utilisateur.

d. Dans la boîte de dialogue Nouvel objet - Utilisateur, indiquez le prénom et le nom ainsi que le nom de connexion du nouvel utilisateur, puis cliquez sur Suivant.

Vous pouvez attribuer n'importe quel nom à l'utilisateur du domaine, à condition qu'il soit évocateur.

e. Dans la boîte de dialogue Mot de passe :

– Entrez un mot de passe et confirmez-le.

– Sélectionnez Le mot de passe n'expire jamais.

– Cliquez sur Suivant.

– Cliquez sur Terminer.

Le service VEE CAVA s'exécutera dans le contexte de ce compte.

2. Créez un groupe local pour chaque serveur de dossiers partagés du domaine, puis ajoutez au groupe le nouvel utilisateur antivirus (« virususer ») que vous avez créé lors de la « Tâche 1 : Configuration du compte d'utilisateur du domaine avec les droits d'analyse antivirus » à la page 53 :

a. Dans Utilisateurs et ordinateurs Active Directory, double-cliquez sur EMC Celerra, puis cliquez sur Ordinateurs.

b. Dans le volet Ordinateur, cliquez avec le bouton droit de la souris sur le serveur de dossiers partagés, puis sélectionnez Gérer.

c. Dans la fenêtre Gestion de l'ordinateur, sous Outils système, double-cliquez sur Utilisateurs et groupes locaux.

d. Cliquez avec le bouton droit de la souris sur Groupes et sélectionnez Nouveau groupe.

e. Dans la boîte de dialogue Nouveau groupe, saisissez un nom (par exemple, analyseurs_antivirus) ainsi qu'une description du groupe, puis cliquez sur Ajouter.

Configuration de VEE CAVA pour les serveurs de dossiers partagés VNXe 53


f. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs ou des groupes :

Pour Windows 8, Windows 7, Windows Server 2008 ou Windows Server 2003 :

– Entrez le nom du compte d'utilisateur AV créé à la « Tâche 1 : Configuration du compte d'utilisateur du domaine avec les droits d'analyse antivirus » à la page 53.

– Cliquez sur Vérifier les noms.

– Cliquez ensuite sur OK pour fermer la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs ou des groupes, puis sur OK pour revenir à la boîte de dialogue Nouveau groupe.

Pour Windows 2000 :

– Sélectionnez le domaine dans la zone de liste Regarder dans.

– Dans la liste, sélectionnez le nom du compte d'utilisateur AV créé à la « Tâche 1 : Configuration du compte d'utilisateur du domaine avec les droits d'analyse antivirus » à la page 53.

– Cliquez sur Ajouter.

– Cliquez sur OK pour revenir à la boîte de dialogue Nouveau groupe.

g. Cliquez sur Créer, puis sur Fermer.

Le groupe est créé et ajouté à la liste des groupes.

3. Attribuez les droits d'analyse antivirus EMC au nouveau groupe local :

Remarque : vous ne pouvez pas utiliser les outils Paramètre de stratégie locale Microsoft Windows pour gérer les attributions de droits d'utilisateur sur un dossier partagé VNXe car ces outils ne permettent pas leur gestion à distance.

a. Cliquez sur Démarrer et sélectionnez Paramètres > Panneau de configuration > Outils d'administration > Gestion du Celerra.

b. Si le serveur de dossiers partagés VNXe est déjà sélectionné (son nom s'affiche après Gestion des Data Movers), passez à l'étape e.

c. Si le serveur de dossiers partagés VNXe n'est pas sélectionné :

– Dans la fenêtre de gestion VNX, cliquez avec le bouton droit de la souris sur Gestion des Data Movers et sélectionnez Se connecter au Data Mover.

– Dans la boîte de dialogue Sélectionner le Data Mover, sélectionnez le serveur de dossiers partagés VNXe soit en sélectionnant le domaine dans la zone de liste Regarder dans puis le serveur en question dans la liste, soit en saisissant le nom de l'ordinateur, l'adresse IP ou le nom NetBIOS du serveur de dossiers partagés VNXe dans la zone Nom.

d. Double-cliquez sur Gestion des Data Movers, puis sur Paramètres de sécurité du Data Mover.

e. Cliquez sur Gestion des droits utilisateur et, dans le volet droit, double-cliquez sur Analyse antivirus EMC.



f. Dans la boîte de dialogue Paramètre de stratégie de sécurité, cliquez sur Ajouter.

g. Dans la fenêtre Sélectionner des utilisateurs ou des groupes :

– Sélectionnez le serveur de dossiers partagés dans la zone de liste Regarder dans.

– Sélectionnez le groupe antivirus créé à l'étape 2.

– Cliquez sur Ajouter, puis sur OK pour revenir à la boîte de dialogue Paramètres de sécurité.

h. Cliquez sur OK.

La règle Analyse antivirus EMC s'affiche à présent dans le groupe local Dossiers partagés. Bien que ce droit soit un privilège au niveau local et non du domaine, il distingue les utilisateurs antivirus des autres utilisateurs du domaine.

4. Attribuez des droits d'administration locale au compte utilisateur antivirus sur chaque hôte qui exécutera le logiciel du moteur antivirus, à savoir un serveur antivirus (AV).

Remarque : si ce serveur est un contrôleur de domaine, le compte utilisateur antivirus doit rejoindre le groupe des administrateurs du domaine et non le groupe des administrateurs locaux car ce dernier n'est pas géré sur un contrôleur de domaine.

Pour chaque serveur AV du domaine :

a. Cliquez sur Démarrer et sélectionnez Paramètres > Panneau de configuration > Outils d'administration > Gestion de l'ordinateur.

b. Dans la fenêtre Gestion de l'ordinateur, dans le menu Action, sélectionnez Se connecter à un autre ordinateur.

c. Dans la fenêtre Sélection d'un ordinateur, sélectionnez le serveur antivirus et cliquez sur OK.

d. Dans la fenêtre Gestion de l'ordinateur :

– Développez Outils système.

– Développez Utilisateurs et groupes locaux.

– Cliquez sur Utilisateurs.

e. Cliquez avec le bouton droit de la souris sur le nom du compte utilisateur AV créé à la « Tâche 1 : Configuration du compte d'utilisateur du domaine avec les droits d'analyse antivirus » à la page 53, puis sélectionnez Propriétés.

f. Dans la fenêtre Propriétés <compte>, cliquez sur l'onglet Membres, puis sur Ajouter.

g. Dans la boîte de dialogue Sélectionner des groupes, dans Entrez les noms des objets à sélectionner, entrez Administrateurs et cliquez sur OK.

h. Cliquez sur OK pour fermer la boîte de dialogue Propriétés <compte>.



Tâche 2 : Configuration des paramètres de l'analyseur antivirus pour le serveur de dossiers partagés

1. Dans la barre des tâches, cliquez sur Démarrer et sélectionnez Paramètres > Panneau de configuration > Outils d'administration > Gestion du Celerra.

2. Dans l'arborescence de la console de gestion VNX, développez le nœud Gestion des Data Movers (pour un système VNXe, les entrées représentent les serveurs de dossiers partagés).

Le nœud AntiVirus apparaît dans l'arborescence de la console. L'état du service AntiVirus pour le serveur de dossiers partagés VNXe sélectionné est soit Arrêté, soit En cours d'exécution.

Remarque : si vous n'avez pas sélectionné de serveur de dossiers partagés, vous devez le faire pour pouvoir utiliser le snap-in Celerra AntiVirus Management. Si vous en avez sélectionné un, son nom s'affiche en regard du nœud Gestion des Data Movers dans l'arborescence de la console.

3. Cliquez sur le nœud AntiVirus.

La liste des valeurs de paramètre s'affiche dans le volet de détails.

4. Dans le volet de détails :

a. Cliquez avec le bouton droit de la souris sur le paramètre à modifier et sélectionnez Propriétés.

La boîte de dialogue Propriétés pour ce paramètre s'affiche. Pour obtenir une description des paramètres, reportez-vous à la section « Paramètres configurables du nœud AntiVirus » à la page 56.

b. Si le paramètre comprend plusieurs réglages, entrez les valeurs de ces réglages, cliquez sur Ajouter puis sur OK.

c. S'il ne contient qu'un seul réglage, entrez sa valeur et cliquez sur OK.

Paramètres configurables du nœud AntiVirusLe Tableau 9 répertorie les paramètres configurables d'un nœud AntiVirus.

Tableau 9 Paramètres configurables du nœud AntiVirus

Paramètre Description Exemple

masks= Extensions de fichier à analyser. Analyser tous les fichiers :*.*Analyser uniquement les fichiers .exe, .com, .doc et .ppt :*.exe:*.com:*.doc:*.ppt

excl= Fichiers ou extensions de fichier à exclure de l'analyse. pagefile.sys:*.tmp

addr= Adresses IP des serveurs AV. Serveur unique :192.16.20.29Plusieurs serveurs :192.16.20.15:192.16.20.16:192.16.20.17

CIFSserver Nom du serveur de dossiers partagés. En l'absence de nom fourni, le serveur de dossiers partagés par défaut est utilisé.

cifsserver1



maxsize=n Taille maximale de fichier en valeur hexadécimale acceptée pour l'analyse. Les fichiers d'une taille supérieure à cette limite ne sont pas soumis à l'analyse.

0x1000000

RPCRequestTimeout Délai d'expiration de la demande RPC en ms. La valeur par défaut est de 25 000 ms.

25000

RPCRetryTimeout Délai des nouvelles tentatives RPC en ms. Si le serveur AV ne répond pas à une demande provenant du serveur de dossiers partagés dans le délai défini par l'intervalle RPCRetryTimeout, le serveur tente d'envoyer une nouvelle demande jusqu'à ce que la valeur de RPCRequestTimeout soit atteinte. La valeur par défaut de RPCRetryTimeout est de 500 Mo.

500

surveyTime=n Intervalle de temps en secondes imparti pour l'analyse à tous les serveurs AV connus. Ce paramètre fonctionne avec le paramètre shutdown ci-dessous. Si un serveur AV ne répond pas à une demande, le paramètre sélectionné détermine l'action à entreprendre. La valeur minimale de surveyTime est 1 seconde, la valeur maximale 4 294 967 295 secondes, et la valeur par défaut 60 secondes.

60

highWaterMark=xxx Lorsque le nombre de demandes en cours dépasse la valeur de highWaterMark, un événement de journal est envoyé au serveur de dossiers partagés. La valeur par défaut de highWaterMark est 200.

200

lowWaterMark=xxx Lorsque le nombre de demandes en cours passe en deçà de la valeur de lowWaterMark, un événement de journal est envoyé au serveur de dossiers partagés. La valeur par défaut de lowWaterMark est 50.

50

shutdown Action entreprise lorsqu'aucun serveur AV n'est disponible.Si shutdown a la valeur no, les autres serveurs de la liste sont contactés tant qu'aucun serveur n'est disponible. Il existe deux seuils : faible et élevé. Chaque fois que l'un de ces deux seuils est atteint, un événement de journal est envoyé au serveur de dossiers partagés VNXe.Si shutdown a la valeur cifs, CIFS est arrêté si aucun serveur n'est disponible. (Les clients Windows n'ont accès à aucun partage VNXe.)Si shutdown a la valeur viruschecking, l'analyse antivirus prend fin si aucun serveur n'est disponible. (Les clients Windows ont accès aux partages VNXe sans l'analyse antivirus.)

Les options disponibles incluent :• shutdown=no• shutdown=cifs• shutdown=viruschecking

Tableau 9 Paramètres configurables du nœud AntiVirus (suite)

Paramètre Description Exemple



Tâche 3 : Installation de logiciels antivirus tiers sur les serveurs AV du domaine

Vous devez installer un logiciel antivirus (moteur AV) tiers pris en charge sur chaque hôte du domaine qui tiendra le rôle de serveur AV. Pour être certain que l'analyse des fichiers se poursuivra si un serveur AV est mis hors ligne ou n'est plus accessible au serveur de dossiers partagés VNXe, il est nécessaire de configurer au moins deux serveurs AV au sein du domaine. Pour obtenir la liste à jour des moteurs AV pris en charge ainsi que leurs versions, consultez l'EMC E-Lab™ Interoperability Navigator et les notes de mise à jour d'EMC Celerra Network Server sur le site Web de support en ligne EMC (http://support.emc.com).

AVIS

Excepté Trend MicroServerProtect, tous les modules logiciels antivirus tiers pris en charge doivent être installés sur un hôte avant VEE CAVA. Si vous souhaitez installer le logiciel antivirus Trend MicroServerProtect sur un hôte, installez au préalable VEE CAVA conformément aux instructions de la « Tâche 4 : Installation de VEE CAVA sur les serveurs AV Windows » à la page 58.

Pour installer un module logiciel antivirus tiers sur un hôte, suivez la procédure décrite pour le module concerné dans EMC Celerra Network Server - Utilisation de l'agent antivirus de Celerra.

Tâche 4 : Installation de VEE CAVA sur les serveurs AV Windows

Vous devez installer VEE CAVA sur chaque hôte du domaine qui fera office de serveur AV.

Conditions préalablesCette section fournit des informations importantes que vous devez connaître avant d'installer CAVA.

Suppression d'anciennes versions de VEE CAVA

Si une version antérieure VEE CAVA est installée sur un serveur AV, supprimez-la, redémarrez le serveur puis installez la dernière version de VEE CAVA. Utilisez la fenêtre Ajout/Suppression de programmes accessible via le Panneau de configuration de Windows pour supprimer l'ancienne version de VEE CAVA. Vous devez disposer de privilèges d'administration locale pour pouvoir supprimer des programmes.

Remarque : si vous ne supprimez pas la précédente version de VEE CAVA avant d'effectuer la mise à niveau, vous pourrez le faire au moment de l'installation en choisissant l'option Supprimer dans la page d'installation initiale et ensuite poursuivre l'installation.

Réinstallation de VEE CAVA

Lors d'une réinstallation de VEE CAVA, il se peut que vous voyiez s'afficher un message de protection contre le remplacement si les fichiers d'installation avaient été précédemment décompressés dans le répertoire temporaire. Si tel est le cas, dans la fenêtre du message Protection contre le remplacement, cliquez sur Oui pour tout afin d'écraser les fichiers existants. Ce processus permet aux fichiers de la dernière version d'être écrits dans le répertoire temporaire.


http://support.emc.com


Pour installer VEE CAVA Installez le logiciel VEE CAVA à l'aide du CD VNX Event Enabler conformément aux instructions fournies dans le document EMC VNX Network Server - Utilisation de VEE Common AntiVirus Agent.

Tâche 5 : Démarrage du moteur AV VEE (agent antivirus) sur le système VNXe

1. Dans l'interface Unisphere du VNXe, sélectionnez Paramètres > Paramètres des serveurs de dossiers partagés.

2. Dans la section Autres options, cliquez sur Démarrer l'antivirus.

Le message d'état L'antivirus est en cours d'exécution s'affiche.




© 2011 - 2013 EMC Corporation. All Rights Reserved. EMC believes the information in this publication is accurate as of its publication date. The information is subject to change

without

notice.

THE INFORMATION IN THIS PUBLICATION IS PROVIDED “AS IS.” EMC CORPORATION MAKES NO

REPRESENTATIONS OR

WARRANTIES OF ANY KIND WITH RESPECT TO THE INFORMATION IN THIS PUBLICATION, AND

SPECIFICALLY

DISCLAIMS IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

Use, copying, and distribution of any EMC software described in this publication requires an applicable software license.

EMC2, EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United State and other

countries.

All other trademarks used herein are the property of their respective owners.

Documents

Utilisation d'un système VNXe avec des dossiers … · Serveur de dossiers partagés CIFS VNXe dans un domaine ... EMC VNXe3100 – Guide d'information sur le matériel ... Guide