即便已來到AI的IT世界裡,中小企業的IT環境內最重要的仍是那最基礎的E化建設,而檔案伺服器肯定不可少,想要部署最完善的檔案伺服器架構,擁有Active Directory、DFS、FSRM絕佳組合的Windows Server 2025仍是最佳的選擇,本文將說明其相關的進階檔案伺服器管理技巧。
如果企業自身的網路採用的是以Windows為主的解決方案,那麼對於檔案伺服器的規劃與部署,Windows Server無疑就是最好的選擇,因為檔案伺服器本來就已是它的原生功能,尤其是當部署在有Active Directory的網域架構中,不僅更易於集中控管權限與配置,還能夠進一步應用更多與檔案伺服器相關的進階功能。
除了Windows Server以外的第三方解決方案,比較適用在哪一種網路環境呢?答案是沒有Active Directory網域的中小企業網路,甚至是沒有IT部門的小型網路都相當合適,因為通常這一類的組織架構簡單權限配置單純,不太需要學習複雜的IT技術與經驗,並且通常也沒有許多必須整合Active Directory或Microsoft相關產品的需求。
說到這裡,或許有人會說目前有許多的第三方解決方案(例如NAS設備),不是都有支援整合Active Directory的驗證機制嗎?但那終究僅是身分驗證的整合,對於許多進階需求的應用,若Windows Server本身已經內建提供,當然還是使用原生所提供的肯定是最好。
接下來,就以實戰講解的方式分享如何在現行的Active Directory網域基礎架構下,善用分散式檔案系統(Distributed File System,DFS)與檔案伺服器資源管理(File Server Resource Manager,FSRM),簡單做好企業檔案伺服器資源的集中控管。
動手安裝分散式檔案系統(DFS)
在Active Directory網域環境中,若要部署多台的Windows Server 2025來做為檔案伺服器,分散式檔案系統(DFS)角色的相關功能肯定是必選的安裝之一,因為只要完成其專屬的自動同步複寫配置,就可以達到單一存取入口以及自動化容錯備援的運作機制。
接下來,就實際學習一下有關分散式檔案系統角色的安裝設定。首先在「伺服器管理員」介面中,如圖1所示點選「管理」選單中的【新增角色及功能】。
圖1 伺服器管理員。
接著,在「選取安裝類型」頁面中,選取「角色型或功能型安裝」並按下〔下一步〕按鈕。如圖2所示,在「選取目的地伺服器」頁面中,可以看到目前已準備好的兩台Windows Server 2025主機,主要原因就是筆者已經預先透過「新增伺服器」功能,將相關的伺服器加入至此管理介面中,換句話說,後續對於伺服器角色與功能的安裝,都只要透過單一管理介面就可以完成,無須遠端連線到每一台伺服器進行安裝。
圖2 選取目的地伺服器。
在「伺服器角色」頁面中,展開「檔案和存取服務」→「檔案和iSCSI服務」節點,然後確認皆已勾選檔案伺服器(File Server)、DFS命名空間(DFS Namespaces)、DFS複寫(DFS Replication)以及刪除重複資料(Data Deduplication)四大功能。
接下來,連續按下〔下一步〕按鈕至「確認安裝選項」頁面,來確認準備安裝的所有角色與功能選項,最後按下〔安裝〕按鈕。完成安裝後回到「伺服器管理員」介面,除了可以從「工具」選單中來開啟「DFS管理」工具外,也可從「檔案和存放服務」→「伺服器」頁面中,針對選定的伺服器按下滑鼠右鍵,然後點選快速選單中的【DFS管理】。
圖3所示便是「DFS管理」介面,後續所有關於分散式檔案系統的管理作業,都會在此介面中進行,包括命名空間的管理、共用資料夾的設定以及複寫的配置等等。至於刪除重複資料的管理功能,則會在其他專屬的操作介面中完成配置。
圖3 DFS管理介面。
新增命名空間
針對分散式檔案系統(DFS)的多台檔案伺服器架構的建置,首先第一步必須建立專屬的命名空間(Name Space),以作為後續整個分散檔案系統在多部檔案伺服器集合中的共用存取入口。在選取「命名空間」節點後,點選「動作」窗格中的「新增命名空間」連結或右鍵選單中的【新增命名空間】選項。
接著,在「命名空間伺服器」頁面中按下〔瀏覽〕按鈕,選取第一部DFS伺服器作為命名空間伺服器,並按下〔下一步〕按鈕。然後,在「命名空間名稱及設定」頁面中輸入新命名空間的名稱(例如Public),並按下〔編輯設定〕按鈕。 在「編輯設定」頁面中,如圖4所示,可以修改預設的共用資料夾權限配置方式,例如選擇「系統管理員有完整的存取權,其他使用者只有唯讀權限」設定。進階部分,則可以在選取「使用自訂權限」後按下〔自訂〕按鈕,來完全自訂使用者與群組的權限清單。完成設定後按下〔確定〕按鈕,回到上一個頁面,再按下〔下一步〕按鈕。
圖4 編輯設定。
如圖5所示,在「命名空間類型」頁面中選取「網域型命名空間」,如此一來,後續將可以在相同的網域中建立多部的命名空間伺服器並形成單一存取入口,以及解決高可用性(HA)熱備援的需求。若採用「獨立命名空間」,則只能仰賴叢集(Cluster)架構,才能夠達到HA的熱備援機制。按下〔下一步〕按鈕繼續。
圖5 命名空間類型。
在「檢視設定及建立命名空間」頁面中,再一次確認前面步驟中所配置的設定值,確認無誤後按下〔建立〕按鈕。待完成命名空間的建立後,按下〔關閉〕按鈕。再次回到「DFS」管理介面,便可以查看到剛剛新增的命名空間,往後可以對於所選定的命名空間,來新增資料夾、新增命名空間伺服器、委派管理權限、刪除以及查看其內容等操作。
接下來,必須為準備好的第二部DFS伺服器角色,新增成為第二部命名空間伺服器,這樣便可以架構出具備容錯機制的分散式檔案系統。點選「新增命名空間伺服器」並如圖6所示在「新增命名空間伺服器」頁面中按下〔瀏覽〕按鈕來加入第二部DFS伺服器,然後依據實際此共用資料夾權限需求,按下〔編輯設定〕按鈕來完成修改,最後按下〔確定〕按鈕。
圖6 新增命名空間伺服器。
在完成DFS命名空間的建立以及兩部檔案伺服器的指派後,便可以在目前命名空間的節點頁面中,如圖7所示檢視到已啟用的兩部主機。在此仍然可以新增更多的命名空間伺服器,或是針對現行的命名空間伺服器點選「內容」、「刪除」等操作。
圖7 命名空間伺服器管理。
共用資料夾配置
在前面的範例中,已經陸續完成DFS最上層共用路徑的建立,並且也完成兩台命名空間伺服器的配置。接下來,陸續新增要給一般用戶存取的共用資料夾,例如為各部門建立它們專屬的共用資料夾。
在目前所選定的命名空間節點上,透過「動作」窗格或按下滑鼠右鍵點選【新增資料夾】。如圖8所示,在「新增資料夾」頁面中按下〔新增〕按鈕,將兩部準備好的檔案伺服器一一加入,最後按下〔確定〕按鈕。
圖8 新增資料夾。
在剛完成資料夾新增後,將會出現一則複寫提示訊息,按下〔是〕按鈕,準備建立複寫群組設定。一旦完成複寫的設定,所有DFS資料夾目標下的檔案與資料夾,相關伺服器之間都將自動完成同步複寫,或是根據指定的複寫時間來完成資料同步。
接著,在「複寫群組及複寫資料夾名稱」頁面中,如圖9所示,可以查看到系統目前所建議的複寫群組名稱和複寫資料夾名稱,可以視需要修改這兩項設定,按下〔下一步〕按鈕繼續。
圖9 指定複寫群組及複寫資料夾名稱。
在「複寫適用性」頁面中,可以看到目前即將進行自動化複寫配置的DFS伺服器成員清單,確認無誤後按下〔下一步〕按鈕。接著,在「主要成員」頁面中,從下拉選單中挑選要擔任主要成員的伺服器。
請注意!此設定千萬不能夠選錯,因為次要成員伺服器的檔案資料夾,將會由此主要成員伺服器複寫過來,一旦選擇錯誤,可能導致原本存在的資料全部被清空。
按下〔下一步〕按鈕,來到「拓樸選擇」頁面,選取「完整拓樸」,即可符合建置高可用性雲端檔案系統的要求,也就是所有成員伺服器之間的相互複寫。至於「中樞和支點」的拓樸架構,則是適用於由一部指派的中央伺服器,來將所有檔案資料在指定的複寫時間內,以單向分散複寫方式至所有其他的成員伺服器之情境,再按下〔下一步〕按鈕繼續。
如圖10所示,在「複寫群組排程及頻寬」頁面中,可以設定檔案資料夾進行複寫的時間點,以及可配置進行複寫期間所要占用的頻寬大小。一般來說,只要是主機皆在相同的區域網路中,由於沒有頻寬不足的疑慮,因此其頻寬可以選擇「完整」即可。相反地,如果DFS成員伺服器彼此之間的連線,是相隔著不同的網路連線方式,例如橫跨不同的地理位置或是採用VPN專線連接,便可根據實際頻寬的需要來選擇適當的頻寬限制。
圖10 複寫群組排程及頻寬。
如果在上一個步驟中選取「在指定的日期及時間進行複寫」,並且按下〔編輯排程〕按鈕,便可如圖11所示進一步透過滑鼠拖曳的方式來選取可以進行資料複寫的時段,並且對於不同的時段項目設定所要占用的頻寬限制。完成設定後,按下〔確定〕按鈕。
圖11 編輯排程。
在「檢視設定及建立複寫群組」頁面中,可以檢視到前面步驟中所完成的各項設定值,再一次確認其中的複寫群組成員,以及主要資料夾目標之設定是否正確,然後按下〔建立〕按鈕。
在完成並關閉「複寫資料夾精靈」後,將會出現「複寫延遲」的提示訊息,主要是告知當DFS開始進行複寫作業時,將會依據Active Directory網域服務的複寫間隔時間來決定,不過這對於相同網域(Domino)與相同網路中的成員伺服器,並不會有延遲複寫的問題發生。按下〔確定〕按鈕,關閉提示訊息視窗。
回到「複寫」頁面中,便可查看剛完成Share01資料夾的複寫設定,其中的伺服器成員就是SERVER01與SERVER02。未來,除了可根據需求來新增更多的複寫資料夾外,也能新增更多的成員伺服器來加入複寫備援的行列。此外,如果想要讓某一部成員伺服器暫停複寫的同步作業,只要在選定伺服器後再點選「停用」即可。
如圖12所示,則是透過UNC路徑的連線方式來存取Share01共用資料下的子資料範例。對於複寫資料夾的同步,在正常運行的情況下,如果沒有預先設定排程進行複寫,以及檔案大小也不是非常大時,則檔案在完成上傳時,應該會立即出現在所有複寫的伺服器資料夾中。
圖12 共用資料夾存取。
如果是經由排程設定來執行複寫作業,仍可隨時在複寫資料夾的「連線」頁面中,先針對選定的傳送成員伺服器按下滑鼠右鍵,然後點選快速選單中的【立即複寫】選項功能。
DFS架構健康診斷
當DFS架構下的成員伺服器與複寫資料夾越來越多時,IT人員可能會擔心這些橫跨不同網路的共用資料夾,是否能夠如期完成複寫作業。其實,只要在定期維護的行程中,直接透過DFS管理工具中所提供的「診斷報告精靈」進行檢測即可。
開啟後首先決定所要產生的新報告類型,分別有「健康情況報告」、「傳播測試」、「傳播報告」,這裡以選擇「健康情況報告」為例,然後按下〔下一步〕按鈕繼續。
在「路徑及名稱」頁面中,決定存放報告的路徑和報告名稱,設定完畢按下〔下一步〕按鈕。如圖13所示,在「要包含的成員」頁面中,先選取所有要進行診斷的DFS成員伺服器,再按下〔下一步〕按鈕。
圖13 要包含的成員。
如圖14所示,在「選項」頁面中,可以額外設定對於目前DFS伺服器上積存的檔案數量,以及每個成員伺服器上的複寫檔案與其大小的統計。若為了節省報告產出的時間,也可以在此選擇「否,不要計算這份報告中的積存檔案」設定,並且決定是否要勾選「計算每個成員上的複寫檔案及其大小」設定,然後按下〔下一步〕按鈕。
圖14 進行選項設定。
在確認前面步驟中的各項設定值無誤後,在「檢視設定及建立報告」頁面中按下〔建立〕按鈕即可。接下來,到產出報告的路徑中開啟相關的診斷報告,其中的內容部分將會包含所有參與診斷的伺服器健康狀態,複寫的總檔案大小、占用的頻寬數據等等。
針對DFS複寫效能的提升,只要所有成員伺服器皆位於相同的區域網路(LAN)時,便可以考慮停用複寫群組的RDC功能,如此將有助於降低磁碟I/O和CPU資源的負載。設定的方法很簡單,只針對選定的傳送成員伺服器按下滑鼠右鍵,然後點選快速選單中的【內容】,便可以在「一般」頁面中停用「使用遠端差異壓縮(RDC)」功能。
配置重複資料刪除功能
Windows Server內建提供的「重複資料刪除」功能,相當適合應用在重度使用檔案伺服器的IT環境中,來預防儲存空間因存放太多重複性的檔案,所導致的空間浪費問題。此外,建議也可以將使用者的家用目錄(Home)導向至此檔案伺服器的共用路徑。在準備啟用此功能之前,必須注意的是無法使用這一項功能的磁碟,包括開機磁碟、系統磁碟以及叢集共用磁區。
開啟「伺服器管理員」介面並點選至「檔案和存放服務」→「磁碟區」節點頁面,然後選定所要設定的磁碟,並按下滑鼠右鍵,接著點選快速選單中的【設定重複資料刪除】。
如圖15所示,在「重複資料刪除設定」頁面中,選擇重複資料刪除的模式,分別有【已停用】、【一般用途的檔案伺服器】、【Virtual Desktop Infrastructure (VDI)伺服器】、【虛擬備份伺服器】。由於這裡是應用在DFS檔案伺服器架構中,因此選擇【一般用途的檔案伺服器】,並設定「刪除存在時間大於下列天數的重複檔案」欄位值。接著,決定是否要加入所要列為排除的副檔名和資料夾清單,然後按下〔設定重複資料刪除排程〕按鈕。
圖15 重複資料刪除設定。
在「重複資料刪除排程」頁面中,如圖16所示,除了可以勾選「啟用背景最佳化」設定外,還能夠自訂「啟用輸送量最佳化」的排程時間,必要的話,還可再進一步設定「為最佳化輸送量建立次要排程」,設定完成後按下〔確定〕按鈕。
圖16 重複資料刪除排程。
一旦完成磁碟的重複資料刪除設定後,除了可以根據排程的設定來定期執行重複資料刪除外,未來如果想要讓相關的任務立即執行,以便取得最新的分析報告,該怎麼做呢?很簡單!只要開啟「工作排程器」介面並展開至「工作排程器程式庫」→「Microsoft」→「Windows」→「Deduplication」節點頁面,然後找到「BackgroundOptimization」設定,按下滑鼠右鍵,點選快速選單中的【執行】。
關於PowerShell命令管理功能的使用,舉例來說,可執行「Enable-DedupVolume D:」命令,指定對於目前的D資料磁碟啟用重複資料刪除功能,如果進一步執行「Set-Dedupvolume E: -MinimumFileAgeDays 7」命令,即表示只針對存放超過7天以上的檔案套用重複資料刪除功能。必須注意的是,無論是採用圖形管理介面還是命令工具,都不能夠針對系統磁碟來啟用重複資料刪除功能,否則會出現錯誤訊息。
安裝檔案伺服器資源管理員
基本上,只要完成分散檔案系統(DFS)和重複資料刪除功能的啟用,就已經可以滿足大多數中小企業網路對於檔案伺服器存取與管理的需求。不過,若想要更進一步做到對於資料夾層級的配額限制、存放檔案的篩選、各類的警示通知與報表分析等功能,只要再添加「檔案伺服器資源管理員」功能即可。
從「伺服器管理員」介面中開啟「新增角色及功能」。在「伺服器角色」頁面中,勾選「File and Storage Services」→「File and iSCSI Services」節點下的「File Server Resource Manager」,接著連續按下〔下一步〕按鈕。最後,在「確認」頁面中按下〔安裝〕按鈕。
安裝好「檔案伺服器資源管理員」功能後,接下來可以選擇從「伺服器管理員」介面的「工具」選單來開啟它,或是從「檔案和存放服務」→「伺服器」頁面中,針對選定的伺服器按下滑鼠右鍵,然後點選快速選單中的【檔案伺服器資源管理員】。
對於剛安裝好「檔案伺服器資源管理員」的伺服器,建議在上一步驟中點選右鍵選單中的【檔案伺服器資源管理員設定】選項,來優先完成如圖17所示的「電子郵件通知」設定,如此一來,後續相關的分析報告便可透過Email來接收通知。
圖17 檔案伺服器資源管理員設定。
如圖18所示是「檔案伺服器資源管理員」操作介面,透過這個介面可以讓系統管理員進行有關儲存配額的管理、檔案檢測管理、存放裝置報告管理、分類管理等設定。
圖18 檔案伺服器資源管理員介面。
選項設定
接下來,選取在「檔案伺服器資源管理員」介面中的最上層節點,再點選動作窗格中的「設定選項」,來看看有哪一些基本的組態配置需要完成。首先,在「電子郵件通知」頁面中,如圖19所示,可以設定後續負責發送系統各項Email通知的SMTP伺服器,以及預設的系統管理員收件者與寄件者的Email地址。
圖19 檔案伺服器資源管理員選項。
值得注意的是,這裡與前面介紹由「伺服器管理員」所開啟的設定頁面是一致的。
接下來是「通知限制」頁面中的設定,這一項設定主要用於避免發生在短時間內讓系統管理人員收到重複的相關訊息通知,因此可以在此針對不同的通知方式來設定通知限制的時間,包括電子郵件通知、事件日誌通知、命令通知以及報告通知。
而在「存放裝置報告」頁面中,如圖20所示,可以預先設定好後續報告內容中每一項報告的資訊參數,例如在點選「大型檔案」項目後按下〔編輯參數〕按鈕,來設定自己認定的大型檔案的大小標準值,或是如圖21所示自訂「最近未存取過的檔案」所要定義的天數(預設值為90天)等等。此外,也可以在此設定所有存放置報告中的檔案數目上限。
圖20 存放裝置報告。
圖21 報告參數設定。
接下來,在「報告位置」頁面中,如圖22所示,設定各種不同報告類型的儲存路徑,分別說明如下:
圖22 設定報告位置。
‧事件報告資料夾:存放所有與事件相關報告的路徑。
‧排程報告資料夾:存放所有根據排程設定所產生的報告路徑。
‧依需求報告資料夾:存放管理者自行手動產生的報告路徑。
在「檔案檢測稽核」頁面中,如果希望系統能夠稽核所有檔案檢測的活動,則勾選「在稽核資料庫中記錄檔案檢測活動」選項,後續在報告中便可以查看到這部分的稽核資訊。
接著,決定是否要在「拒絕存取時的協助」頁面中,啟用此訊息通知功能並且設定訊息內容,如圖23所示,往後系統便會在使用者無法存取檔案時,彈跳出預先設定好的訊息說明。
圖23 拒絕存取時的協助。
在此,還可進一步按下〔設定電子郵件要求〕按鈕。將會開啟「電子郵件」設定頁面,如圖24所示,建議勾選「允許使用者請求協助」設定,然後在「收件者清單」欄位中輸入管理員的Email地址,如此一來,使用者對於無法存取的檔案,便可以透過自動發送Email通知的方式,來請求管理員授予相關存取權限。
圖24 設定電子郵件要求。
配額管理
Windows Server 2025對於存取空間配額的管理,不僅能夠直接針對特定的本機資料夾或是共用資料夾進行設定,還可以自動以Email的警示分別通知管理者與使用者。管理者還可以進一步產生所需要的報告,協助進行後續在空間配額政策上的追蹤與制定。
想要套用各式各樣的配額設定到不同的資料夾中,可以先建立好自訂的配額範本。展開「配額管理」節點後,在「配額範本」項目上按下滑鼠右鍵,然後點選快速選單中的【建立配額範本】,或是直接在「動作」窗格中點選「建立配額範本」。
緊接著,便可以如圖25所示輸入範本名稱(例如業務部配額)、空間限制、發送通知的臨界值,在通知這部分,一般來說都會至少定義一個預設的限制(100%),以及一個警告層級的臨界值(85%)。當然啦!也可以再額外新增定義更低的臨界通知值。此外,在配額的管理機制上也可以選擇「固定配額」或「彈性配額」,後者主要用來監視與了解使用者的存取狀況,在超過額度時並不會強制禁止使用者的存取。
圖25 建立配額範本。
最後,建議可以在每一個配額的限制值中啟用使用者與管理員的Email通知設定,而警告層級的通知只要給予使用者知道即可。
完成配額範本的建立後,緊接著若想要開始新增建立一個配額設定,只要在「檔案伺服器資源管理員」視窗內先點選至「配額管理」→「配額」節點上,然後再點選「動作」窗格中的「建立配額」。
如圖26所示,在「建立配額」頁面中,選擇是否要讓配額設定自動套用在後續使用者所建立的子資料夾上,否則該配額設定只會針對單一層的資料夾總容量進行配額使用量偵測。接著,在「配額內容」區域內,直接選擇所要套用的配額範本,或是定義自訂的配額內容,在此以選擇前面步驟中所建立的「業務部配額」範本為例,這樣的優點在於如果有許多的資料夾都套用此範本,當需要修改這些資料夾的配額設定時,只須修改此範本的配額設定即可。設定完畢,按下〔建立〕按鈕。
圖26 建立配額。
完成資料夾的配額設定後,往後無論使用者是透過本機伺服器存取該資料夾,還是透過網路共用路徑來上傳檔案至此資料夾,只要達到儲存空間的配額上限時,便會出現「磁碟空間用盡」的警示頁面。
檔案檢測配置
管理員除了能夠對於資料夾進行配額的管理外,還能進一步針對這些資料夾設定所謂的檔案檢測機制,也就是對於使用者所能夠置放的檔案類型進行管制,這樣就能夠避免不必要的檔案類型存放到資料夾中。
在「檔案檢測管理」→「檔案檢測」節點上按下滑鼠右鍵,然後點選快速選單中的【建立檔案檢測】選項,或是直接在該節點的「動作」窗格中點選「建立檔案檢測」。
如圖27所示,在「建立檔案檢測」頁面中,設定所要套用檔案檢測的路徑,以及選擇適當的現有檢測範本或是按下〔自訂內容〕按鈕來額外定義,例如選取「Block Audio and Video Files」範本,以防止指定的資料夾存放影音檔案。
圖27 建立檔案檢測。
圖28所示是自訂檢測內容的範例,在此除了可以勾選多個不同的檔案群組外,還可選擇檢測類型要採用「主動式檢測」還是「被動式檢測」,前者會強制使用者無法儲存未經授權的檔案類型,後者則是仍會允許儲存未經授權的檔案類型,但會記錄這些違規的儲存事件。
圖28 自訂檢測內容。
若進一步,在「電子郵件訊息」頁面中,可以選擇啟用自動將檔案檢測的違規事件通知指定的管理員,以及通知嘗試儲存未經授權檔案的使用者,並且還可以自訂郵件通知的主旨與本文。圖29所示便是一封自動通知管理員有關檔案檢測的違規事件訊息,內容中清楚描述了使用者的名稱、嘗試存取的資料夾,以及檔案類型。
圖29 Email警示通知。
如果已在「事件記錄檔」頁面中啟用設定,那麼同樣的訊息內容也可以在Windows Server的「事件檢視器」中找到並開啟。如圖30所示,該事件的來源是SRMSVC,而事件識別碼則是8215。
圖30 事件檢視器。
<本文作者:顧武雄,Microsoft MVP 2004-2016、MCITP與MCTS認證專家、台灣微軟Technet、TechDays、Webcast、MVA特約資深顧問講師、VMware vExpert 2016-217、IBM Unified Communications/Notes/Domino/Connections Certified。>