針對全域安全存取的分散式文件系統問題進行疑難解答
本文件顯示分散式文件系統 (DFS) 無法正確運作與全域安全存取的情況,並提供暫時的因應措施。
此情境牽涉到存取檔案共用位置。 例如,請考慮 DFS 路徑:\\foo.internal\share\bar。
bar 資料夾設定如下表所示:
| 轉介狀態 | 網站 | 路徑 |
|---|---|---|
| 啟用 | 位置1 | \foo-loc1.contoso.com\bar |
| 啟用 | 位置2 | \foo-loc2.contoso.com\bar |
| 啟用 | Location3 | \foo-loc3.contoso.com\bar |
此外,站點位置會設定為:
- Location1:
10.0.0.1 – 10.0.0.10 - Location2:
10.0.0.11 – 10.0.0.20 - Location3:
10.0.0.21 – 10.0.0.30
如果使用者嘗試存取常見的 DFS 路徑,而且似乎來自 IP 位址 10.0.0.3,則使用者應該會導向至路徑:\\foo-loc1.contoso.com\bar。 IP 通常是 VPN 位置的位址,且不會對應至用戶端原始 IP。
問題
IP 型網路存取控制清單 (ACL) 無法與全域安全存取搭配使用,因為中間沒有 VPN。 不過,員工電腦仍應參考適當的檔案共享。
因應措施
上述案例的建議因應措施如下。
作為因應措施,我們建議將此員工到檔案共用對應移至員工計算機(作為域名系統 (DNS) 搜尋後綴),因此流量會是:
因應措施是在環境中的網路架構進行變更:
- 在域控制器上新增更多
C-NAME DNS記錄(別名):-
shares.foo-loc1.contoso.com->foo-loc1.contoso.com -
shares.foo-loc2.contoso.com->foo-loc2.contoso.com -
shares.foo-loc3.contoso.com->foo-loc3.contoso.com
-
- 將 DNS 搜尋後綴推送至員工的電腦,以便:
-
Location1 的員工 獲得後綴詞:
foo-loc1.contoso.com -
Location2 的員工獲得後綴:
foo-loc2.contoso.com - 在 Location3 的員工 後綴為:
foo-loc3.contoso.com
-
Location1 的員工 獲得後綴詞:
- 現在,您可以為下列每個完整域名(或其 IP 地址)建立專屬的全域安全存取應用程式:
foo-loc1.contoso.comfoo-loc2.contoso.comfoo-loc3.contoso.com
- 每個應用程式都會對應至對應位置中的連接器(透過應用程式中指定的連接器群組)。
這些變更之後,從 Location1 存取一般路徑 \\shares\bar 的員工會導向至網站:\\foo-loc1.contoso.com\bar,同樣地,其他位置也一樣。