文件權限管理及共享、文件壓縮及加密、FSRM、DFS

第02部分

文件權限管理及共享文件權限管理及共享、文件壓縮及加密、FSRM、DFS本章重點關于文件共享的基礎知識共享公用文件夾共享任意文件夾根據(jù)賬戶名稱賦予不同的權限將共享文件夾發(fā)布到AD數(shù)據(jù)庫管理共享資源與高級共享標準NTFS文件權限的種類讀取(Read)寫入(Write)讀取及執(zhí)行(Read&Execute)修改(Modify)完全控制(FullControl)標準NTFS文件夾權限的種類讀取(Read)寫入(Write)清單文件夾內容(ListFolderContents)讀取及執(zhí)行(Read&Execute)修改(Modify)完全控制(FullControl)使用者的有效權限NTFS權限有繼承性NTFS權限有累加性的(cumulative)「拒絕(deny)」權限會覆蓋所有其他的權限文件權限會覆蓋文件夾的權限文件與文件夾的擁有權建立文件或文件夾的使用者，就是該文件或文件夾的擁有者文件夾或文件的擁有者，具備有變更此文件夾或文件權限的能力使用者若具備以下的條件之一，便可以取得擁有權對該文件或文件夾擁有“取得擁有權(takeownership)”的特別權限。系統(tǒng)管理員，也就是隸屬于administrators群組的使用者。無論他對文件或文件夾擁有何種權限，他永遠具備有“取得擁有權”的權限。具備“取得文件或其它對象的所有權”權利的使用者。共享文件與文件夾建立網絡的一個主要目的就是共享文件,歷經數(shù)十年的發(fā)展,如今各操作系統(tǒng)在這方面都有長足的進步。WindowsServer2008不但改進了操作界面,讓使用者能輕松完成設定；更有充分的權限控管機制,在便利與安全之間取得適當?shù)钠胶?。關于文件共享的基礎知識從WindowsServer2003到WindowsServer2008,在共享文件方面的改變大致如下：可以共享單一文件：每位本機賬戶使用者都有權在『用戶配置文件』所在的文件夾（亦即%SystemDrive%\Users\%Username%）,設定共享單一文件或文件夾。舉例來說,即使John只是一位標準使用者,仍可以將%SystemDrive%\Users\John文件夾的『年度旅游計劃.doc』設為共享,但是在其它文件夾就無法設定任何共享。關于文件共享的基礎知識這種新的文件共享方式稱為『In-profileSharing』（在配置文件文件夾的共享）。不過雖然設定了In-profileSharing,但是從其它計算機透過網絡(WindowsVista)或網絡上的鄰居

(WindowsXP)來讀取時,不會直接看到文件。而是看到Users資料夾,雙按此文件夾之后看到John資料夾,再進入John文件夾之后,才會看到『年度旅游計劃.doc』文件。關于文件共享的基礎知識內建公用文件夾公用文件夾是一個由系統(tǒng)自動建立、『專為共享而設計』的資料夾,雖然顯示的是中文名稱,但是實際所對應的是%SystemDrive%\Users\Public文件夾。對于本機賬戶使用者而言,無論賬戶類型是標準使用者或系統(tǒng)管理員,都能讀取公用文件夾的內容。關于文件共享的基礎知識沒權限就看不到共享的文件在2003搭配XP的年代,只要是共享到網絡上的數(shù)據(jù)夾,所有的網絡用戶都看得到。雖然可能是『看得到名稱、讀不到內容』,卻已經被有心人士知道了共享文件夾的名稱,等于提供了一條破解的線索。因此從Vista和2008開始,必須對共享文件夾有至少『讀取』權限的使用者,瀏覽網絡時才能看到該數(shù)據(jù)夾,這種功能稱為ABE（Access-BasedEnumeration）。關于文件共享的基礎知識啟動網絡探索才能看到網絡資源網絡探索（NetworkDiscovery）是從WindowsVista才出現(xiàn)的功能,系為了解決在XP時代設定了共享之后,其它計算機卻無法立即看得到該共享資源的問題。倘若網絡上的計算機都支持并啟動網絡探索功能,當其中一部新增了共享文件夾或共享印表機,便會主動廣播相關訊息,讓其它的計算機知道這些新增的網絡資源。關于文件共享的基礎知識在WindowsServer2008,預設關閉網絡探索功能,所以執(zhí)行『開始/網絡』命令時看不到其它計算機；其它計算機的用戶執(zhí)行同樣命令時,也看不到WindowsServer2008計算機。用戶對共享目錄的有效權限共享權限有累加性的(cumulative)「拒絕(deny)」權限會覆蓋所有其他的權限最后有效權限是Min(共享有效權限,NTFS有效權限)文件拷貝或移動后權限的變化Demo設置共享文件夾讀取公用文件夾將WindowsServer2008的公用文件夾設為了共享之后,使用者在WindowsVista計算機可用以下的任一種方式來讀取該文件夾：1.按開始鈕（若在WindowsXP則執(zhí)行『開始/執(zhí)行』命令）,輸入"\\服務器的IP地址\Public"或"\\服務器的計算機名稱\Public"。例如：『\\192.168.0.141\Public』或『\\2008SVR1\Public』,按Enter鍵。讀取公用文件夾2.若是在命令提示字符視窗,輸入"Start\\服務器的IP地址\Public"或"Start\\服務器的計算機名稱\Public"。例如：『Start\\192.168.0.141\Public』或『Start\\2008SVR1\Public』,按Enter鍵。3.若本機和服務器都啟動了網絡探索,我們執(zhí)行『開始\網絡』命令后,便會看到網絡上所有已設定共享的電腦,雙按服務器的計算機名稱,即可看到public文件夾。讀取公用文件夾以上的『\\計算機名稱或IP地址\文件夾的共享名』稱為UNC（UniversalNamingConvention）名稱,廣泛應用于讀取網絡上的共享資源。對于尚未登入域的使用者,讀取上述的公用文件夾時,會遇到要求輸入用戶名稱和密碼的交談窗,如下圖：讀取公用文件夾對于已經登入域的使用者,因為在登入時已經輸入域使用者名稱和密碼,所以會直接看到公用文件夾的內容,無須再次輸入名稱與密碼。將指定的文件夾設為共享此時我們有讀取裝置、參與者和共同擁有者3種權限層級可供選擇,它們所代表的意義如下：將指定的文件夾設為共享簡單地說,讀取裝置只能讀、不能改；參與者能有限度地讀與改,但不能自己擴大權限；共同擁有者則有最大權限,可執(zhí)行任何動作。通常我們共享給所有使用者時,只會賦予讀取裝置層級的權限。讀取共享出來的任意文件夾如同先前讀取公用文件夾一般,讀取共享出來的任意數(shù)據(jù)夾,也是利用開始/網路命令或UNC名稱。假設要從Tony-vista計算機讀取SVR2008-05計算機的『工具程序』資料夾,有以下方式：1.在Tony-vista計算機執(zhí)行『開始/網絡』命令若雙方都啟動了『網絡探索』功能,那么執(zhí)行『開始/網絡』命令后,網路窗口就會出現(xiàn)SVR2008-05電腦,雙按該計算機即可見到共享文件夾。讀取共享出來的任意文件夾2.在Tony-vista計算機輸入共享文件夾的UNC名稱當SVR2008-05或Tony-vista其中一方關閉了『網絡探索』功能,那么在Tonyvista的網路窗口就不會出現(xiàn)SVR2008-05計算機。此時請按開始鈕、輸入"\\SVR2008-05\工具程序"、按Enter鍵,即可檢視該文件夾的內容：隱藏共享文件夾脫機文件脫機時仍然可以存取網絡文件脫機文件(續(xù))

維持文件的一致性:重新聯(lián)機時若用戶變更過緩存文件的內容，但是網絡文件的內容并沒有被變更過，則系統(tǒng)會將緩存文件復制到網絡計算機，并覆蓋掉網絡文件若用戶并未變更緩存文件的內容，但是網絡文件的內容被變更過，則系統(tǒng)會將網絡文件復制到本機計算機，并覆蓋掉緩存文件若網絡文件與緩存文件都有被變更過，則系統(tǒng)會讓用戶選擇要保留哪一個文件，或者將兩個文件都保留網絡計算機端的脫機文件設定開始

計算機

對著共享文件夾右鍵單擊

內容

點擊共用標簽下的進階共用鈕

按緩存鈕】客戶端的使用者

如何脫機使用文件客戶端的使用者如何脫機使用文件啟用脫機文件設定可脫機使用的文件同步處理啟用脫機文件WindowsVista客戶端計算機默認已經啟用了脫機文件功能WindowsServer2008客戶端必須另外啟用開始

控制面板

脫機文件

按啟用脫機文件鈕

依照指示重新啟動計算機同步處理在網絡聯(lián)機正常時，您所存取的文件仍然是網絡計算機內的文件。系統(tǒng)會自動同步您的脫機文件，當網絡文件內容有變更時，它會被復制到您的計算機的快取區(qū)內，反之亦然若您有需要立刻同步的話，可手動同步對著脫機文件右鍵單擊

同步或是點擊前面圖上方菜單中的同步處理同步處理(續(xù))若您計算機與網絡計算機正常聯(lián)機中，但是鏈接速度卻很慢，影響到您編輯網絡文件的話，此時只要點擊前面圖上方的脫機工作就可以編輯本機快取區(qū)內的文件副本等文件編輯完成后，點擊在線工作來執(zhí)行同步工作，以便將較新版的本機文件副本復制到網絡計算機內同步中心可以通過同步中心來進一步的管理同步工作開始

控制面板

同步中心還可以通過【開始

控制面板

脫機文件】來開啟同步中心。也可以通過它來瀏覽脫機文件測試脫機文件是否正常運作脫機時所看到的畫面若您變更脫機文件的內容，則當您將計算機重新聯(lián)機后，通過同步動作就可以將這個新文件復制到網絡計算機，并覆蓋掉網絡文件同步文件沖突如果網絡文件與緩存文件都有被變更過，則系統(tǒng)會通過右下角的同步中心圖示來提醒您，此時請點擊此同步中心圖示來查看有沖突的文件然后可以【點選文件

按解析鈕】來選擇要保留哪一個文件，或者將兩個都保留(其中一個會被更改檔名)巻影副本還原舊文件若使用者將共享文件夾內的文件誤刪或誤改文件內容后，卻后悔想要救回調案或還原文件內容的話，他可以通過巻影副本儲存區(qū)內的備份文件來達到目的共享文件夾的巻影副本(ShadowCopiesofSharedFolders)巻影副本(續(xù))

啟用網絡計算機「共享文件夾的巻影副本」功能開始

計算機

對著欲啟用巻影副本的磁盤右鍵單擊

內容

巻影副本標簽預設為星期一到星期五的上午7:00與下午12:00兩個時間點各自動新增一個巻影副本每一個磁盤最多只可有64個巻影副本客戶端如何存取「巻影副本」內的文件

鏈接到共享文件夾后對著文件右鍵單擊

還原舊版鏈接到共享文件夾后對著文件列表畫面中的空白區(qū)域右鍵單擊

內容第02部分

文件壓縮及加密文件權限管理及共享、文件壓縮及加密、FSRM、DFS本章重點數(shù)據(jù)加密允許他人解密數(shù)據(jù)加密恢復代理數(shù)據(jù)壓縮數(shù)據(jù)加密與壓縮數(shù)據(jù)加密WindowsServer2008對文件夾與文件的加密功能稱為

EFS（EncryptingFileSystem,加密文件系統(tǒng)）。啟用此功能后,EFS在存檔時會先將數(shù)據(jù)加密后再寫入；而讀取加密過的文件時,也會自動先解密。換言之,加密與解密動作都是由系統(tǒng)在幕后自動執(zhí)行,使用者在操作上無須做任何改變。EFS的使用時機一般而言,加密大多是應用在透過公開媒體傳遞訊息的情況,例如：透過因特網傳遞重要的信件、進行電子商務交易等等。既然如此,為何需要對儲存在硬盤的文件夾與文件加密呢？只要設定適當?shù)拇嫒嘞?限制未獲授權的使用者不得存取文件,不就可以保障個人資料的隱私嗎？EFS的使用時機透過訪問權限來保護文件夾與文件,雖然在大多數(shù)的情況下都很安全,但仍有其無法避免的漏洞。舉例而言,若有人偷走整部主機或整部硬盤,然后將硬盤安裝到其它的WindowsServer2008系統(tǒng),此時原先所設定的訪問權限保護就會失去作用,對方就能存取該硬盤里的數(shù)據(jù)。然而若事先將文件加密,那么他便無法看到真正的內容。EFS的使用時機雖然在理論上,對方仍可用破解的方式將加密的數(shù)據(jù)還原,但實際上此種作法需擁有運算能力強大的電腦,再加上足夠長的運算時間,這樣高的門坎已經不是一般黑客族所能跨越。所以EFS已經可以為多數(shù)人的資料提供足夠的保護能力。

明文密文

密文明文加密密鑰解密密鑰加密解密對稱密鑰加密標準

對稱密鑰加密是指在對信息的加密和解密過程中使用相同的密鑰?；蛘?，加密和解密的密鑰雖然不同，但可以由其中一個推導出另一個。也稱為私鑰加密法。常用標準：數(shù)據(jù)加密標準DES（DataEncryptionStandard），此標準由IBM公司開發(fā)，現(xiàn)在已成為國際標準。國際數(shù)據(jù)加密算法（IDEA），它比DES的加密性好，而且需要的計算機功能也不那么強。對稱密鑰加密過程特點優(yōu)點：加密算法比較簡便高效，密鑰簡短，破譯極其困難，加密速度快，適合大數(shù)據(jù)量加密。缺點：密鑰難于安全傳遞密鑰量太大，難以進行管理無法滿足互不相識的人進行私人談話時的保密性要求。難以解決數(shù)字簽名驗證的問題。公開密鑰加密標準

公開密鑰加密是指在加密和解密過程中，分別由兩個密鑰來實現(xiàn)，并使得由加密密鑰推導出解密密鑰（或由解密密鑰推導出加密密鑰）在計算上是不可行的。采用公開密鑰加密的每一個用戶都有一對選定的密鑰，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，稱為“公開密鑰”（public-key）；解密密鑰只有解密人自己知道，稱為“私密密鑰”（private-key），公開密鑰加密也稱為不對稱密鑰加密。RSA算法公開密鑰加密方法的典型代表是RSA算法。RSA算法是1978年由RonRivest，AdiShamir和LeonardAdleman三人發(fā)明的，所以該算法以三個發(fā)明者名字的首字母命名為RSA。RSA是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。但RSA的安全性一直未能得到理論上的證明。簡言之，找兩個很大的質數(shù)，一個作為“公鑰”公開，一個作為“私鑰”不告訴任何人。這兩個密鑰是互補的，即用公鑰加密的密文可以用私鑰解密，反過來也可以。RSA加解密過程

特點優(yōu)點密鑰分配簡單。可以通過各種公開渠道傳遞“公開密鑰”。密鑰的保存量少。發(fā)信人只需保存自己的解密密鑰，N個人只需產生N對密鑰，便于密鑰管理。可以滿足互不相識的人之間進行私人談話時的保密性要求。

可以完成數(shù)字簽名和數(shù)字鑒別。發(fā)信人使用只有自己知道的密鑰進行簽名，收信人利用公開密鑰進行檢查，既方便又安全。缺點加密速度慢，不適合大數(shù)據(jù)量加密。兩種加密方式的比較比較項目代表標準密鑰關系密鑰傳遞數(shù)字簽名加密速度主要用途對稱密鑰加密DES加密密鑰與解密密鑰相同必要困難快數(shù)據(jù)加密公開密鑰加密RSA加密密鑰與解密密鑰不同不必要容易慢數(shù)字簽名、密鑰分配加密1EFS概述－工作原理當用戶初次加密文件時，EFS會在本地證書存儲區(qū)內尋找供EFS使用的證書

然后EFS取出用戶證書中指定與EFS一起使用的公鑰，并使用基于公鑰的RSA加密算法加密FEK

EFS取出用戶證書中指定與EFS一起使用的公鑰

EFS將FEK存儲在正被加密的文件的頭中的數(shù)據(jù)解密字段（DDF，DataDecryptionField）中12341EFS概述－EFS加密原理使用EFS時的注意事項使用加密功能時要注意以下3點：1.不能對于具有『系統(tǒng)』屬性的文件加密,也不能對%systemroot%（預設是C:\Windows）文件夾加密。2.對于同一文件或數(shù)據(jù)夾,不能既加密又壓縮,只能擇一使用。3.不能對整部磁盤驅動器加密。啟用文件夾加密如果要加密的數(shù)據(jù)量很大,加密的時間會久一點。完成后,在右下角的通知區(qū)域會出現(xiàn)以下的訊息：啟用文件加密倘若復選多個文件一次加密,而且在上圖未曾勾選永遠只加密文件多選鈕,則上述的加密警告交談窗會針對每個文件逐一詢問。利用上述方式,便可以在未加密的文件夾中,將特定的文件加密。不過還是建議系統(tǒng)管理員避免對個別的文件加密,以方便管理。備份加密密鑰當我們初次啟用加密功能時,系統(tǒng)會提醒要備份加密密鑰。其主要的目的是考慮到自己的賬戶被誤刪或帳戶數(shù)據(jù)庫損毀,都會導致再也無法將加密檔予以解密,這些加密文件便成為『孤兒文件』－－因為無人能解讀其內容！即使系統(tǒng)管理員重建一個相同名稱的帳戶,由于會重新產生公鑰與私鑰,必定與先前加密時所用的不同,因此仍無法對原先的加密檔解密。備份加密密鑰要解決這個問題,有以下三種方案：1.加密者自行備份加密密鑰。2.由加密者設定讓其它人也能解密。3.由系統(tǒng)管理員設定『數(shù)據(jù)加密恢復代理人』。其中以第一個方案最單純,因為不涉及他人,完全由自己掌控,所以先介紹,后兩個方案則留在后文。搬移或復制對加密數(shù)據(jù)的影響由于『加密』是存在于NTFS文件系統(tǒng)的一種屬性,所以若將加密的文件搬移到非NTFS文件系統(tǒng)的儲存媒體,該文件就會自動被解密。例如：磁盤片、光盤、磁帶和USB隨身碟等等。同理,復制到FAT/FAT32文件系統(tǒng)的硬磁時,復制過去的文件也是未加密。當文件要以非加密狀態(tài)儲存時,系統(tǒng)會顯示以下的交談窗提醒使用者。允許他人解密如果文件需要加密,卻又得提供給非加密者讀取,該怎么辦呢？以企業(yè)來說,兩位副總經理互為職務代理人,因此必須能互相讀取對方加密過的文件。此時加密者本人即可指定讓誰也能解開特定的文件,換言之,等于是設定誰能與自己『共享加密文件』。數(shù)據(jù)加密恢復代理雖然EFS提高了文件的保密性,但是卻可能衍生出問題,例如：刪除了某個離職員工的賬戶后,才發(fā)現(xiàn)還有重要的文件是以該賬戶加密?；蛘咭驗橛脖P損壞,導致遺失某些賬戶的私鑰,這些情形都會產生無人能解開的『孤兒文件』。所幸EFS還有留一扇『后門』,這扇后門便是恢復代理(RecoveryAgent)機制。數(shù)據(jù)加密恢復代理利用此機制,系統(tǒng)管理員可指定以特定賬戶為修復代理人,而恢復代理人可將任何使用者加密的文件解密,如此就能避免因刪除帳戶,而無法解密的情形了。以恢復代理人身份解密按照上述方式使大雄成為恢復代理人之后,理論上他可以解開任何使用者加密的文件?？墒?實際上卻不然。因為EFS需要大雄的私鑰才能解開被加密的FEK,而大雄的私鑰在哪里？答案是：在.Pfx文件里！因此,還必須導入大雄的私鑰（.Pfx文件）,才能使大雄真正有解密的能力。以恢復代理人身份解密最后別忘了將大雄自Administrators群組移除,恢復他原有的權限。爾后大雄登入域后,便能解讀他人加密的文件了。然而文件若是在大雄成為恢復代理人之前便加密,則大雄仍舊無法解密。數(shù)據(jù)壓縮WindowsServer2008可以針對NTFS文件系統(tǒng)的磁盤驅動器、文件夾或文件啟用壓縮功能,一旦啟用后,存盤時系統(tǒng)會先將數(shù)據(jù)壓縮后再寫入；而讀取壓縮過的文件時,系統(tǒng)也會自動先解壓縮。由于壓縮和解壓縮的動作都是由系統(tǒng)在幕后處理,因此使用者在操作上會覺得和一般文件無異。搬移或復制對壓縮數(shù)據(jù)的影響基本上,『壓縮』是存在于NTFS文件系統(tǒng)的一種屬性,所以若將壓縮的文件搬移到非NTFS文件系統(tǒng)的儲存媒體。例如：磁盤片、光盤、磁帶和USB隨身碟等等,該文件就會自動被解壓縮。同理,復制到FAT/FAT32文件系統(tǒng)的硬磁時,復制過去的文件也是未壓縮。搬移或復制對壓縮數(shù)據(jù)的影響此外,『復制』或『搬移』到NTFS文件夾也會影響該文件能否保有壓縮屬性,下表列出不同動作與目的地的所造成的結果：第02部分

文件服務器資源管理器（FSRM）文件權限管理及共享、文件壓縮及加密、FSRM、DFS本章重點鏈接磁盤利用FSRM管理磁盤配額利用FSRM建立文件檢測鏈接磁盤與FSRM本章將介紹鏈接磁盤與FSRM,前者可解決一大堆磁盤驅動器代號,讓人眼花撩亂的問題；后者則可有效管制磁盤空間的使用,都是系統(tǒng)管理員應妥善利用的好工具。至于常見的『檢查磁盤』和『碎片整理』等功能,因為與WindowsServer2003R2、WindowsVista版本的操作方式相同,因此不再贅述。鏈接磁盤在Unix和Linux系統(tǒng)中,每個磁盤分區(qū)都是掛載（Mount）在目錄下,因此使用者只會看到一堆目錄,沒有所謂的『磁盤驅動器』存在,是一種『目錄\文件』的兩層式架構。而Windows系統(tǒng)則是采用『磁盤驅動器\目錄\文件』的3層式架構,用戶必須先選磁盤驅動器、再選目錄（文件夾）,以存取所要的文件。這兩種架構的優(yōu)劣可說是見仁見智,其實只要習慣了就好。鏈接磁盤WindowsServer2008提供了類似Unix/Linux的掛載功能,稱為鏈接磁盤或鏈接點（JunctionPoint）,可將一個磁盤區(qū)或磁盤分區(qū)直接鏈接到一個文件夾。用戶存取該文件夾便是存取磁盤區(qū)或磁盤分割,再也無須驅動器號。鏈接磁盤這個磁盤區(qū)或磁盤分區(qū)可以采用FAT、FAT32或NTFS等三種文件系統(tǒng)。但是用來鏈接的文件夾必須是空的NTFS資料夾,亦即,不但采用NTFS文件統(tǒng),而且不能存在任何子文件夾或文件。建立鏈接磁盤建立鏈接磁盤的時機可區(qū)分為以下兩種：將新增的磁盤區(qū)鏈接到NTFS文件夾。將現(xiàn)有的磁盤驅動器鏈接到NTFS文件夾。將新增的磁盤區(qū)鏈接到NTFS文件夾假設要使X磁盤驅動器的儲存空間增加30GB,可是該磁盤的剩余空間卻已不足,而且并非動態(tài)磁盤,因此不能擴充到另一部磁盤的儲存空間。此時可在另一部硬盤新增一個30GB的磁盤區(qū),并鏈接到X磁盤驅動器的某個空的NTFS文件夾（假設為X:\Extra）。利用FSRM管理磁盤配額FSRM（FileServerResourceManager,文件服務器資源管理員）是從WindowsServer2003R2新增的功能,它具有以下兩項主要特色：管理磁盤配額其實從WiondowsXP時代就已經具備磁盤配額(DiskQuota)功能（以下姑且稱為『一般磁盤配額』）,只是它的管制能力不夠強大。利用FSRM管理磁盤配額利用FSRM管理磁盤配額它的主要功能是限制用戶不能或只能儲存指定類型的文件,例如：不能存放AVI文件和MP3文件、只能存放DOC文件等等,這部分則會留待下一節(jié)說明。由于這兩項功能已經超越了『一般磁盤配額』所能做的工作,所以我們強烈建議放棄『一般磁盤配額』、改用FSRM,以擁有更具威力的管理能力！Demo實驗2-1WindowsServer2008文件服務器資源管理器（FSRM）第02部分

分布式文件系統(tǒng)（DFS）文件權限管理及共享、文件壓縮及加密、FSRM、DFS本章重點DFS簡介安裝DFS組件DFS實例應用DFS復制85分布式文件系統(tǒng)『分布式文件系統(tǒng)』（DistributedFileSystem,以下簡稱為DFS）在Windows2000Server、WindowsServer2003與2003SP1算是第一代的產品。而WindowsServer2003R2和WindowsServer2008的DFS則屬于第二代的產品。第二代的DFS有新的接口與設定方式,甚至連所用的名詞都不同了。本章將說明WindowsServer2008DFS的架構與應用。86DFS簡介DFS的用途DFS的專有名詞DFS命名空間的類型三種命名空間的特性87DFS的用途DFS是用來集中管理網絡上分散各處的共享數(shù)據(jù)夾,讓用戶不必記一大堆的計算機名稱與文件夾名稱。舉例來說,假設公司內各部門提供以下的共享數(shù)據(jù)夾,供同仁存取文件：88DFS的用途由于大家對于計算機名稱和共享文件夾的命名方式都不相同,因此要利用WindowsVista的網路或WindowsXP的網絡上的芳鄰存取這些文件夾時,必須先選對計算機、再選對共享文件夾。萬一不知道所需的文件在哪一部電腦,可就得一部、一部地尋找,相當沒效率。由此可知,光是提供共享文件夾還不夠方便,因為使用者還是要記住一大堆的計算機名稱。89DFS的用途有鑒于此,DFS便將這些共享文件夾重新組織,組成一個新的、邏輯的樹狀架構（『邏輯的』意味著沒改變實體的儲存位置）。在此架構里,我們可以為共享文件夾另外取一個更易記易懂的名稱。例如將『\\RD01\Driver4Test』命名為『研發(fā)部的驅動程序』,使用者點選『研發(fā)部的驅動程序』就可以存取\\RD01\Driver4Test文件夾的內容。90DFS的用途利用這種方式,我們便能將原本分散、多層次的公用數(shù)據(jù)夾,重新描繪出一張淺顯易記的架構圖：91DFS的用途所以簡單地說,DFS是為網絡的共享數(shù)據(jù)夾,畫一張以樹狀目錄呈現(xiàn)的『導覽圖』。當使用者要存取共享文件夾時,無須記得服務器名稱和文件夾的共享名稱,只要記得這張導覽圖的起始點,從起始點開始找,就能找到所要的數(shù)據(jù)。此外,DFS機制并不支持Windows98/SE/Me等系統(tǒng),所以若客戶端若使用前述系統(tǒng),就看不到DFS所畫的『導覽圖』。92DFS的專有名詞DFS使用了一套專有名詞來說明它的架構,雖然有些是一般常用的名詞,卻有不同的定義。因此必須先弄懂這些名詞的意義,才能學好DFS。假設旗旗公司的DFS架構如下圖。93DFS的專有名詞94DFS的專有名詞DFS命名空間（DFSNamespace）先前提過,DFS的功用是為整個網絡共享文件夾畫出一張方便好用的導覽圖,而這份以樹狀目錄所呈現(xiàn)的導覽圖稱為『DFS命名空間』（經常簡稱為『命名空間』）。命名空間根目錄（NamespaceRoot）所謂的『命名空間根目錄』就是導覽圖的起始點,或稱為進入點（EntryPoint）,如同Windows文件系統(tǒng)里的根目錄。由于它也代表這張導覽圖的名稱,所以又稱為『命名空間名稱』。95DFS的專有名詞命名空間服務器（NamespaceServer）『導覽圖』（亦即DFS命名空間）所在的服務器便稱為『命名空間服務器』。命名空間服務器必須包含至少一個NTFS磁盤區(qū),才能儲存DFS命名空間的相關信息。安裝WindowsServer2003R2或WindowsServer2008的成員服務器或域控制站,都可以擔任命名空間服務器。96DFS的專有名詞資料夾與文件夾目標在DFS里所謂的文件夾（Folder）其實只是一個『指標』（Pointer）,指向某個實體的公用數(shù)據(jù)夾,而被指到的這個公用文件夾稱為文件夾目標（FolderTarget）。所以在DFS架構中,文件其實不是儲存在資料夾,而是在文件夾目標。一個文件夾可以指向多個文件夾目標；或不指向任何文件夾目標。97DFS的專有名詞若指向多個文件夾目標,目的是在于容錯（FaultTolerance）,萬一無法存取其中一個文件夾目標,系統(tǒng)會自動轉向另一個文件夾目標存取文件；若不指向文件夾目標的目的,表示該文件夾只是用在分類。請參考下圖：98DFS的專有名詞『研發(fā)部』文件夾下層有『研發(fā)一部』和『研發(fā)二部』兩個資料夾,這兩個文件夾分別指到各自的文件夾目標。但是研發(fā)部自己并未指向任何文件夾目標,只是用來將研發(fā)一部和研發(fā)二部歸類而已。99DFS命名空間的類型DFS命名空間分為以下兩種：域命名空間（Domain-basedNamespace）獨立命名空間（Stand-aloneNamespace）100域命名空間顧名思義,必須在有AD域的環(huán)境,才能建立域命名空間。它又區(qū)分為『WindowsServer2008』和『Windows2000Server』兩種模式,雖然采用前者可以得到比較好的效能與穩(wěn)定度,也是微軟的優(yōu)先建議,但是必須符合以下兩個條件：所有的命名空間服務器必須都執(zhí)行WindowsServer2008。101域命名空間該域必須采用『WindowsServer2008』域功能等級。Windows2000Server模式的域命名空間最多只能包括5,000個文件夾（沒對應到文件夾目標者不列入計算）,但是WindowsServer2008模式的域命名空間則無此限制。102域命名空間采用域命名空間的一大優(yōu)點為：可以利用同域的多部『命名空間服務器』來記錄一個命名空間。這樣即使其中一部服務器當機,其它服務器仍可以繼續(xù)提供DFS服務,等于有容錯功能。103獨立命名空間無論是否有AD域,都可以建立獨立DFS命名空間,每個獨立命名空間最多可包括50,000個文件夾（沒對應到文件夾目標者不列入計算）。由于獨立DFS命名空間只允許由一部命名空間服務器來管理,所以一旦該服務器當機,就無DFS服務可用。若要有容錯功能,必須另行建立『服務器群集』（Ser