Řešení potíží se systémem distribuovaných souborů s globálním zabezpečeným přístupem
Tento dokument představuje případ, kdy systém souborů DFS (Distributed File System) nefunguje správně s globálním zabezpečeným přístupem a nabízí dočasné alternativní řešení.
Scénář zahrnuje přístup k umístění sdílené složky. Představte si například cestu DFS: \\foo.internal\share\bar. Složka bar je nastavená, jak je znázorněno v tabulce:
| Stav doporučení | Poloha | Cesta |
|---|---|---|
| Povoleno | Umístění 1 | \foo-loc1.contoso.com\bar |
| Povoleno | Umístění 2 | \foo-loc2.contoso.com\bar |
| Povoleno | Umístění 3 | \foo-loc3.contoso.com\bar |
Dále jsou lokality nakonfigurované takto:
- Umístění 1:
10.0.0.1 – 10.0.0.10 - Umístění 2:
10.0.0.11 – 10.0.0.20 - Umístění 3:
10.0.0.21 – 10.0.0.30
Pokud se uživatel pokusí získat přístup k běžné cestě DFS a zdá se, že pochází z IP adresy 10.0.0.3, měl by se uživatel dostat na cestu: \\foo-loc1.contoso.com\bar. IP adresy jsou obvykle adresy umístění VPN a neodpovídají původním IP adresám klientů.
Problém
Seznamy řízení přístupu k síti založené na IP adresách (ACL) nefungují s globálním zabezpečeným přístupem, protože uprostřed není žádná síť VPN. Počítač zaměstnance by ale měl být stále připojen k příslušné sdílené složce.
Alternativní řešení
Navrhované alternativní řešení pro výše uvedený scénář je následující.
Jako alternativní řešení doporučujeme přesunout toto mapování sdílení souborů pro zaměstnance na počítač zaměstnance (jako přípona vyhledávání systému doménových jmen (DNS)), aby síťový provoz byl:
Alternativním řešením je provést změny v síťové architektuře v prostředí:
- Přidejte další záznamy
C-NAME DNS(aliasy) na řadičích domény:-
shares.foo-loc1.contoso.com–>foo-loc1.contoso.com -
shares.foo-loc2.contoso.com–>foo-loc2.contoso.com -
shares.foo-loc3.contoso.com–>foo-loc3.contoso.com
-
- Nasaďte DNS přípony vyhledávání na počítače zaměstnanců tak, aby:
- Zaměstnanci na Location1 získávají příponu:
foo-loc1.contoso.com - Zaměstnanci na Location2 získávají příponu:
foo-loc2.contoso.com - Zaměstnanci na Location3 získávají příponu:
foo-loc3.contoso.com
- Zaměstnanci na Location1 získávají příponu:
- Teď je možné vytvořit vyhrazenou aplikaci pro globální zabezpečený přístup pro každou z následujících plně kvalifikovaných názvů domén (FQDN) (nebo jejich IP adres):
foo-loc1.contoso.comfoo-loc2.contoso.comfoo-loc3.contoso.com
- Každá z těchto aplikací je propojená s konektorem prostřednictvím skupiny konektorů, která je určená v aplikaci, na odpovídajícím místě.
Po těchto změnách jsou zaměstnanci, kteří přistupují ke společné cestě: \\shares\bar z umístění , směrováni na web: \\foo-loc1.contoso.com\bara podobně i pro jiná místa.