1.3 CIFS- ja SMB-tekniikat
Yhteinen pääsyprotokolla Internet-tiedostoja(Yleinen Internet Tiedostojärjestelmä- CIFS) johtuu SMB (Server Message Block) -tekniikasta, joka ilmestyi ensimmäisen kerran MS DOS 3.3:ssa. SMB-standardi kuvaa protokollaa tiedostojärjestelmän komentojen (avaa tiedosto, lukeminen, kirjoittaminen, lukitse ja sulkeminen) lähettämiseksi asiakkaalta tiedostopalvelimelle.
Ennen kuin keskustelet CIFS- ja SMB-tekniikoiden teknisistä yksityiskohdista, on tärkeää ymmärtää niiden tärkeimmät erot. Aluksi oli olemassa vain SMB-tekniikkaa, jota käytettiin asiakas-palvelin-tiedostoprotokollana maailmassa henkilökohtaiset tietokoneet. 1980-luvun puolivälissä Microsoft nimesi SMB-protokollan toteutuksensa CIFS:ksi ja aloitti CIFS:n asettamisen suora kilpailija WebNFS- ja NFS-standardit. Microsoft toimitti johdanto-RFC:n IETF:lle (Internet Engineering Task Force), ja asiakirja vanheni myöhemmin yrittämättä muuntaa RFC:tä IETF-spesifikaatioksi.
Microsoftin riippumattomat toimittajat NAS-laitteet aloitti CIFS-spesifikaatioiden kehittämisen ja järjesti useita tapahtumia CIFS:n edistämiseksi. SNIA (Storage Networking Industry Association) on ottanut tehtäväkseen julkaista CIFS:n. Microsoft julkaisi myös CIFS-määrityksen (nimeltään Common Internet Filesystem Access Protocol), joka jaettiin ilmaiseksi.
Samankaltaiset SNIA CIFS- ja Microsoft CIFS -määritykset kuvaavat protokollan, jota Windows NT 4.0 -asiakkaat käyttävät päästäkseen resursseihin Windows NT -palvelimissa. Molemmat määritykset eivät koske SMB:tä, jota käytetään Windowsin uudemmissa versioissa (se ei esimerkiksi käsittele asiakkaan välimuistia, jota Windows 2000 tukee). Lisäksi eritelmät eivät kuvaa kaikkia palvelimien välisiä viestintäprotokollia. Uusi SMB-standardi, joka ei ole ilmainen spesifikaatio, on kuvattu vastaavassa eritelmässä, jota Microsoft jakaa maksua vastaan. Tämä on mahdollista Euroopan unionin ja Yhdysvaltain hallituksen tuomioistuinpäätösten ansiosta.
Siten Microsoft alkoi jälleen kutsua kuvatun tekniikan toteutusta SMB-lohkoksi. Pohjimmiltaan Microsoftin SMB on patentoitu protokolla, joka on CIFS-alan standardin laajennettu versio.
Huomaa lisäksi SMB/CIFS:n ja NetBIOSin välinen historiallinen suhde. NetBIOS-ohjelmistoliittymä (OSI-mallissa istuntokerros) on tällä hetkellä toivottoman vanhentunut. Liitäntä toteuttaa abstraktiokerroksen, jonka avulla sovellukset voivat työskennellä erilaisten siirtoprotokollien, kuten TCP/IP, NetWare tai nyt unohdetun XNS-protokollan (Xerox) kanssa. Verkkojärjestelmä). Tarve sovellusohjelmointirajapinnalle, joka tarjoaa mahdollisuuden luoda verkkoprotokollasta riippumattomia sovelluksia, on edelleen olemassa. Tällä hetkellä tähän käytetään kuitenkin yleensä socket-liitäntää, erityisesti Windowsin maailma- Winsock käyttöliittymä.
Microsoft käytti NetBIOSia nimenselvitykseen (palvelimen nimen kääntäminen verkko-osoitteeksi), mutta nyt tavallinen DNS-palvelu tekee tämän.
Aluksi Microsoft ei käyttänyt TCP/IP:tä siirtoprotokollana, mikä muuttui dramaattisesti ajan myötä, mutta NetBIOS-tuki jatkui. NetBIOSin rooli on kuitenkin jatkuvasti pienentynyt. Kun SMB-tiedostopalvelimille oli määritetty TCP/IP-portti, riippuvuus NetBIOS-järjestelmästä parani täysin. vähintään taustalla olevan pöytäkirjan yhteydessä. Mutta tilanne pysyi hämmentävänä, koska jotkin Windows-asiakkaiden ja -palvelimien toissijaiset palvelut vaativat edelleen NetBIOS-protokollaa. Hyvä esimerkki palvelimet mainostavat läsnäoloaan verkossa ja tarjoavat luettelon saatavilla olevista palveluista sekä näiden mainosten välittämisestä asiakkaille muiden palvelimien toimesta. Ajan myötä palvelut suunniteltiin uudelleen ja NetBIOS poistettiin kokonaan käytöstä Windows 2000:n julkaisun myötä.
Lopuksi SMB:n perintö näkyy jokaisessa CIFS-pyynnössä, koska jokaisen pyynnön ja vastauksen täytyy alkaa arvolla "0xFF", jota seuraa seuraava ASCII-merkkejä, kuten "SMB".
1.3.1 CIFS-standardin muunnelmat
Valitettavasti CIFS-standardille ei ole tarkkaa määritelmää. Erilaisia tyyppejä SMB-protokollia kutsutaan murteiksi. Tässä on muutamia mahdollisia vaihtoehtoja:
■ DOS- ja Windows 3.x -asiakkaiden käytössä;
■ käytetään muodostettaessa yhteyttä palvelimiin, joissa ei ole Windowsia;
■ Windows NT:tä käyttävien asiakkaiden käyttämä.
Useimmiten asiakas lähettää palvelimelle pyynnön istunnon muodostamiseksi ja lähettää luettelon kaikista tuetuista protokollavaihtoehdoista. Palvelin valitsee toimivimman vaihtoehdon ja lähettää vastaavan pyynnön asiakkaalle. Riippuen protokollasta, josta asiakas ja palvelin ovat "sopineet", jotkin pyynnöt ja niitä vastaavat vastaukset voivat olla virheellisiä. Protokollan sovittu versio ei määrittele selkeästi protokollan toimintojen todellista toteutusta, mikä lisää sekaannusta; Jotkin liput voidaan asettaa tai tyhjentää osoittamaan tuen tiettyjä ominaisuuksia. Toisin sanoen jopa protokollaa valittaessa on tarjolla erilaisia vaihtoehtoja sille, mitä ominaisuuksia tarjotaan: esimerkiksi yksi lipuista voi osoittaa, että pitkiä tiedostonimiä on tuettu.
Kuten Microsoft RFC:ssä (nyt vanhentunut IETF-sääntöjen mukaan), CIFS tarjoaa asiakkaan ja palvelimen vuorovaikutuksen tiedostojen käyttämiseen ja hallintaan. Ominaisuudet, kuten verkossa olevien tulostimien ja palvelimien ilmoittaminen, eivät ole CIFS-protokollan kykyjä.
SNIA jatkaa työskentelyä CIFS-määrityksen parissa. Lisäksi SNIA suorittaa vuosikokous CIFS:lle omistettu ja järjestää muita tapahtumia, joissa keskustellaan CIFS-protokollaa käyttävien järjestelmien yhteentoimivuudesta.
SMB-spesifikaatiosta on tullut standardi vuodesta 1992 (X/Open CAE Specification C209), ja se kuvaa SMB:tä protokollana, joka tarjoaa vuorovaikutuksen DOS-, Windows-, OS/2- ja UNIX-tietokoneiden välillä.
1.3.2 CIFS-protokollan kuvaus
CIFS-pyynnöillä ja -vastauksilla on selkeä, ymmärrettävä rakenne. Myös SMB-pakettien kentät ovat standardoituja, ja erot riippuvat valitusta CIFS-mausta ja sekä asiakkaan että palvelimen tukemista ominaisuuksista.
Huomaa, että vain kaikkien SMB-versioiden yhteiset elementit näytetään. Kunkin SMB-pakettiversion rakenteen yksityiskohdat eivät kuulu tämän artikkelin piiriin.
Jotkut taulukon kentät vaativat enemmän täydellinen kuvaus. Komentokenttä on yhden tavun kokoinen ja kuvaa pyynnön tyyppiä. Palvelin kopioi tämän arvon vastaukseen, jolloin asiakas voi jäsentää sen. CIFS-spesifikaatio sisältää tämän kentän merkitykset ja määritelmät. Kuvattujen komentojen avulla voit suorittaa toimintoja, kuten tiedoston avaamisen, lukemisen, kirjoittamisen ja tietyn tiedoston alueen lukitsemisen. Kaikki nämä toiminnot suoritetaan vastauksena sovelluspyyntöön.
Lisäksi CIFS-asiakaspyynnöt (ja niihin liittyvät palvelinvastaukset) käynnistävät uudelleenohjauskoodi ilman erityistä sovelluksen puuttumista. Esimerkkejä ovat välimuisti ja opportunistinen lukitus. CIFS RFC- ja SNIA-määritykset sekä Open Group määrittelevät 1-tavuisen CIFS-käskykoodin merkityksen ja semantiikan.
Taulukko SMB-otsikkorakenne
Ala | Koko | Kuvaus |
Arvo on aina 0 xFFSMB |
||
Pyynnön tyypin määrittäminen |
||
32-bittinen virhekoodi (Windows NT -palvelimien luoma ja palautettu 32-bittisenä virhekoodina koodeja tukeville asiakkaille Windows-virheet NT) TAI Vanhemmissa asiakaskoneissa, jotka eivät tue 32-bittisiä virhekoodeja, virhesanoma muunnetaan vanhaksi rakenteellinen tyyppi. Vanha tyyppi sisältää: ■ 8-bittinen virheluokka, joka ilmaisee sen tyypin, ts. ilmoittaako tämän virheen palvelimen käyttöjärjestelmä vai palvelin itse; lisäksi se voi olla bugi laitteisto tai SMB-protokolla; ■ 8 numeroa jätetään huomioimatta; ■ 16-bittinen virhekoodi, jolla on merkitystä vain tietyn virheluokan sisällä |
||
Semantiikka on esitetty taulukossa. 3.2 |
||
Semantiikka on esitetty taulukossa. 3.3 |
||
Täyte/ | Täyttö/allekirjoitus. Harkinnassa |
|
osion tekstissä |
||
Tid-arvo | Käytetään asiakkaan pyytämän palvelinresurssin tunnistamiseen. Määritetty käyttämällä SMB TreeConnect -pyyntöä |
|
Kuvaus |
||
Tunniste | 2 tavua, mutta | Asiakkaan asentama. Huomautus päällä |
prosessi (Pid) | tarvittaessa | asiakasprosessi, joka suorittaa |
pyytää. Palvelin käyttää |
||
Saattaa olla | seurantatiedoston avaustila |
|
laajennettu | ja estämiseen. Palvelimen lähettämä |
|
takaisin asiakkaalle yhdessä multiplekserin tunnisteen (keski) kanssa yksilöllistä tunnistusta varten. tunnistaa pyynnöt, joihin palvelin vastaa |
||
Tunniste | Asiakkaan asentama ja käyttämä. |
|
multiplekseri | Palvelin palauttaa vastauksessa vastaanotetun Mid |
|
pyynnöstä. Asiakas käyttää Mid- ja Pid-arvoja tunnistaakseen pyynnön, johon vastaus on saatu |
||
Uid-arvo | Palvelin määrittää asiakkaan todennuksen jälkeen. Asiakkaan on käytettävä Uid-tunnusta kaikissa pyynnöissä |
|
Vaihtoehdot | Muuttuva | Sisältää 16-bittisen sanalaskurin, joka ilmaisee laskuria seuraavien 16-bittisten sanojen määrän. Kullekin SMB-komennolle tämä laskuri on tyypillisesti kiinteä arvo, jossa on yksi sanalaskuri komennolle ja toinen vastaukselle. Tyypillisesti tämän laskurin arvo on 5 tai vähemmän |
Muuttuva | Koostuu 16-bittisestä sanalaskurista, joka ilmaisee laskuria seuraavan datan tavujen (8-bittisten sanojen) määrän. Parametrikenttään verrattuna tietokenttä voi olla kooltaan paljon suurempi, esimerkiksi 1 kt tai enemmän. SMB-luku- ja kirjoituspyynnöissä tämä kenttä sisältää todelliset tiedot, joita luetaan tai kirjoitetaan |
Muista, että uudet kenttäarvot ja semantiikka voivat ilmaantua ilman varoitusta uuden julkaisun yhteydessä Windows-versiot, kun CIFS-protokolla kehittyy jatkuvasti.
On olemassa useita komentoja samojen perustoimintojen suorittamiseen; esimerkiksi avaamiseen, lukemiseen ja kirjoittamiseen on useita aikoja henkilökohtaiset joukkueet. Joitakin komentoja ei enää käytetä, ja joissakin tapauksissa voidaan käyttää vaihtoehtoisia komentoja valitusta protokollamurteesta riippuen.
Seuraavassa on esimerkkejä komentokentässä kuvatuista toiminnoista.
■ SMB-tyypin valinta.
■ Viestintäistunnon perustaminen.
■ Hakemistoissa liikkuminen ja tiedostojen ja hakemistojen luettelointi.
■ Avaa, luo, sulje tai poista tiedostoja.
■ Tiettyjen tiedoston osien lukitseminen ja lukituksen avaaminen.
■ Tulostustoiminnot.
■ Ilmoitukset tiedostoihin ja hakemistoihin tehdyistä muutoksista.
■ Tapahtumat, joissa määritetään tiedot, parametrit ja toiminnot. CIFS-palvelin suorittaa pyydetyn toiminnon ja palauttaa tuloksen - tiedot ja parametrit. Esimerkkejä tapahtumista ovat linkit hajautettuun tiedostojärjestelmään ja laajennettujen attribuuttien hallinta.
Taulukko Liput-kentän semantiikka
Merkitys | Kuvaus |
Varattu. Vanhat kyselyt käyttävät |
|
Varattu. Täytyy olla yhtä kuin nolla |
|
Osoittaa, että tiedostonimien on erotettava isot ja pienet kirjaimet |
|
ja luettelot |
|
Varattu |
|
Varattu. Vanhat kyselyt käyttävät |
|
Varattu. Vanhat kyselyt käyttävät |
|
Osoittaa, että tämä on SMB-vastaus |
Flag2-kenttä kuvaa vielä enemmän valinnaisia toimintoja. Tämän kentän arvot näkyvät alla olevassa taulukossa.
Täyttö/allekirjoitus-kenttä oli alun perin valetavujen sarja. Ajan myötä tämän kentän merkitys on muuttunut. Täyttökenttä voi nyt sisältää seuraavat elementit:
Taulukko Flags2-kentän semantiikka
Merkitys | Kuvaus |
Asiakas tukee pitkiä tiedostonimiä. Palvelin voi palauttaa pitkiä tiedostonimiä |
|
Asiakas tukee OS/2:n laajennettuja määritteitä |
|
SMB-pakettien allekirjoitus käytössä |
|
Varattu |
|
Varattu |
|
Varattu |
|
Jokainen pyynnön polun nimi on pitkä nimi |
|
Varattu |
|
Varattu |
|
Varattu |
|
Varattu |
|
Osoitus laajennetun turvamekanismin käytöstä, jota käsitellään kohdassa 3.3.3 |
|
Pyynnön polut on käännettävä hajautetun tiedostojärjestelmän avulla |
|
Sivun I/O, joka osoittaa, että lukeminen on sallittava, kun asiakkaalla on asianmukaiset käyttöoikeudet |
|
Ilmaisee, että palautetaan 32-bittinen virhekoodi. Jos lippua ei ole asetettu, käytetään DOS-tyylistä virhekoodia |
|
Jos lippu on asetettu, SMB-paketin polut ovat Unicode-muodossa. Muussa tapauksessa käytetään ASCII-koodausta |
■ 2 tavua prosessitunnusta, mikä mahdollistaa 32-bittisten prosessitunnusten määrittämisen;
■ 8 tavua SMB-paketin allekirjoituksen tallentamiseen, jos tämä toiminto on käytössä (katso Flags2-kentän kuvaus);
■ 2 käyttämätöntä tavua.
1.3.3 CIFS-suojaus
CIFS-protokolla tarjoaa suojauksen palvelintyökalujen avulla. Järjestelmänvalvoja voi poistaa käytöstä sisäänrakennetun CIFS-suojauksen, mikä ei todennäköisesti ole tarpeen, joten suojaus on oletusarvoisesti käytössä.
CIFS:n vanhemmat versiot sallivat selkeän tekstin salasanan lähettämisen asiakkaalta palvelimelle, mikä on erittäin suositeltavaa. CIFS-protokolla mahdollistaa palvelinresurssien suojaamisen yksittäisillä käyttäjien salasanoilla (tätä kutsutaan käyttäjätason suojaukseksi). Taaksepäin yhteensopivuuden varmistamiseksi CIFS-palvelimet tukevat salasanapohjaista jakosuojausta, joka on sama kaikille käyttäjille. Koska resurssi jaetaan, tätä menetelmää kutsutaan resurssitason suojaukseksi. Resurssitason suojausta ei suositella, eikä se ole käytettävissä Windows 2000 Serverissä. Ensimmäinen SMB-paketti, jonka asiakas lähettää palvelimelle, on nimeltään SMB_NEG0TIATE_PR0T0C0L. Paketin avulla valitaan CIFS-tyyppi. Vastauksena SMB_NEG0TIATE_PR0T0C0L-pyyntöön palvelin raportoi käytetyn suojausmekanismin (käyttäjä- tai resurssitason).
Windows NT4 SP3:sta ja Windows 2000:sta alkaen Microsoft tarjosi mahdollisuuden isännöidä SMB-paketeissa digitaalinen allekirjoitus. Palvelin voidaan määrittää vaatimaan digitaalista allekirjoitusta asiakkaalta; muuten asiakkaalta evätään pääsy resursseihin. Digitaalisen allekirjoituksen käyttö vaikuttaa sekä palvelimen että asiakkaan suorituskykyyn, mutta tämä on hinta, joka sinun on maksettava turvallisuudesta. Huomaa, että allekirjoitus ja todentaminen ovat luonteeltaan kaksisuuntaisia, ts. asiakas allekirjoittaa lähettämänsä pyynnöt, palvelin tarkistaa asiakkaan allekirjoituksen ja allekirjoittaa lähettämänsä vastaukset ja sitten asiakas tarkistaa palvelimen allekirjoituksen. SMB-paketin allekirjoitus tallennetaan Täytä/allekirjoitus-kenttään.
Vastausta SMB_NEG0TIATE_PR0T0C0L-pyyntöön käytetään antamaan asiakkaalle tietoja palvelimen tuesta SMB-pakettien allekirjoitukselle ja siitä, tarvitaanko SMB-pakettien allekirjoitusta.
1.3.4 CIFS-todennus
CIFS-protokollan avulla voit määrittää palvelinten ja asiakkaiden välisen suojaustason. Palvelin voidaan määrittää kieltäytymään palvelusta asiakkailta, jotka tarjoavat liian alhaisen tietoturvatason.
CIFS-protokolla tarjoaa todennusmekanismeja, palvelimen vaatima asiakkaan todennusta varten. Tarjolla on myös menetelmiä, joilla asiakas todentaa palvelimen. IN perustaso Todennusta varten asiakas antaa käyttäjätunnuksen ja salaamattoman salasanan. Ilmeisistä syistä tämä lähestymistapa ei ole toivottava. Lisäksi palvelin voidaan konfiguroida kieltäytymään palvelusta asiakkaille, jotka lähettävät salasanoja selkeänä tekstinä.
Todennus voidaan suorittaa käyttämällä tekniikkaa, jota kutsutaan haaste/vastausprotokollaksi. Kun asiakas lähettää SMB_NEGOTIATE_PROTOCOL-paketin valitakseen CIFS-tyypin, palvelimen vastauksessa oleva lippu osoittaa, voidaanko pyyntö/vastausprotokollaa käyttää. Jos palvelin tukee tätä protokollaa, palvelimen vastauksessa on 8-tavuinen haaste. Kysely on satunnainen arvo, jolla on erittäin pieni todennäköisyys luoda uudelleen. Sekä asiakas että palvelin luovat avaimen käyttäjän salasanasta. Tämän jälkeen pyyntö salataan avaimella ja DES (Data Encryption Standard) -algoritmilla. Asiakas lähettää pyynnön palvelimelle ja palvelin vertaa vastausta omaan laskettuun arvoonsa. Jos arvot täsmäävät, asiakas todistaa tuntevansa salasanan ja vahvistaa sen aitouden.
Lisäksi CIFS-protokolla tukee laajennettua suojausta (et ehkä odota, että lukija, joka arvaa laajennetun suojauksen tuen palvelimen vastauksessa SMB_NEGOTIATE_PROTOCOL-pyyntöön, saa palkkion). Extended Security -mekanismi tarjoaa mahdollisuuden tukea mukautettua todennusprotokollaa CIFS-protokollassa. Kun valitset laajennetun suojauksen, ensimmäinen suojausblob tarjotaan vastauksena SMB_NEGOTIATE_PROTOCOL-pyyntöön. CIFS-protokolla ei käsittele suojausbinääriobjekteja. Tätä varten se luottaa ja käsittelee binääriobjekteja asiakas- ja palvelinmekanismeihin. Myöhemmät suojausblobit voidaan lähettää SMB-tietojen kanssa.
Enhanced Security -mekanismin avulla Microsoft pystyi tarjoamaan tukea Kerberos-protokollalle Windows 2000:ssa ja uudemmissa versioissa. Kerberosin Windows 2000 -toteutus on esimerkki yksityisten elementtien käytöstä. Joitakin Kerberos-tunnistekenttiä käytetään esimerkiksi välittämään tietoja ryhmistä, joihin asiakas kuuluu. Microsoftin Kerberos-toteutus mahdollistaa molemminpuolisen todennuksen, jossa palvelin ei todenna asiakasta, vaan päinvastoin asiakas todentaa palvelimen.
Microsoft tarjoaa toisen tavan muodostaa istunto asiakkaan ja palvelimen välille, nimeltä Netlogon. Tämä käyttää tietoja tietokoneesta (ei käyttäjästä). Netlogon-protokollaa tarvitaan suojatun RPC-istunnon luomiseen, ja siinä on paljon muuta lisää mahdollisuuksia, koska se tukee käyttäjien käyttöoikeuksia, joita ei tueta CIFS-protokollan rekisteröinnin aikana. Tyypillisesti Netlogonia käytetään palvelinten väliseen viestintään (yksi palvelin toimii toisen palvelimen asiakkaana).
Lopuksi, CIFS-palvelimen ei välttämättä tarvitse tarjota todennusmekanismia. CIFS-protokolla tukee päästä päähän -todennusta, jossa palvelin vastaanottaa pyynnön toiselta palvelimelta, välittää pyynnön asiakkaalle ja palauttaa asiakkaan vastauksen todennuspalvelimelle. Tässä tapauksessa, jos todennuspalvelin vastaa myönteisesti, asiakkaalle myönnetään pääsy pyydettyihin resursseihin. Tämä mekanismi tunnetaan päästä päähän -todennusna.
1.3.5 CIFS-optimointivaihtoehdot
CIFS-protokollalla on useita ominaisuuksia asiakkaan ja palvelimen välisen vuorovaikutuksen optimoimiseksi.
1.3.5.1 CIFS AndX -toiminto
CIFS-protokollan avulla voit luoda joukon pyyntöjä, jotka ovat toisistaan riippuvaisia, joten näiden toimintojen optimointi mahdollistaa pyynnön suorittamisen yhdessä palvelimen kutsussa. Tätä ominaisuutta kutsutaan nimellä AndX; NFS-tiedostojärjestelmän versio 4 tarjoaa samanlaisen toiminnon COMPOUND-menettelyn muodossa. Esimerkkinä voisi olla OpenAndRead- tai WriteAndClose-pyyntöjen lähettäminen CIFS-palvelimelle. Sen sijaan, että lähetettäisiin kaksi erillistä pyyntöä, kuten Open ja sitten Read, ja vastaanotettaisiin kaksi vastausta, yksi OpenAndRead-pyyntö lähetetään ja yksi vastaus vastaanotetaan. Tämä on erityisen tärkeää, kun pyyntö/vastausaika on liian pitkä.
1.3.5.2 Opportunistinen esto
CIFS-protokolla tukee suorituskyvyn optimointitekniikkaa, jota kutsutaan opportunistiseksi lukitukseksi (tai oplockiksi). Opportunistisen eston käyttämiselle on kaksi pääasiallista syytä.
Ensimmäinen on lukita tiedosto ja alustaa sen paikallinen välimuisti. Kun estoehtoa ei voida enää ylläpitää, protokolla sallii tietyn viiveen, jonka aikana asiakkaan on tyhjennettävä välimuisti. Lukitseminen ja lukituksen avaaminen suoritetaan läpinäkyvästi sovellukselle käyttämällä CIFS-mekanismeja asiakas- ja palvelinjärjestelmissä. Sovelluksen muutoksia ei kuitenkaan vaadita suorituskyvyn parantamiseksi.
Kuvittele sovellus, joka avaa tiedoston verkkopalvelimella lukemista ja kirjoittamista varten ja kirjoittaa tiedostoon 128-tavuisia kirjoituksia. Ilman oplockia jokainen 128-tavuinen kirjoitus vaatisi tiedon siirtämistä verkon yli. Oplockin avulla voit tallentaa tiedoston välimuistiin paikallisesti asiakasjärjestelmässä ja yhdistää useita kirjoituksia yhdeksi, mikä johtaa tiedon siirtämiseen verkon yli. Oletetaan esimerkiksi, että asiakas käyttää 4096 puskuria ja kirjoittaa 128 tavua tiedostoon peräkkäin. Ensimmäinen puskuri sisältää 32 kirjoituksen tiedot (4096/128 = 32), ja kaikki 32 kirjoituksen tiedot siirretään verkon yli yhdessä kirjoituspyynnössä tiedostoon. Jos kirjoitusta ei voida tallentaa välimuistiin, verkon kautta lähetetään 32 kirjoitusta (eikä vain yksi, kuten välimuistissa). Kirjoitusten määrän vähentäminen 32:sta yhteen vähentää merkittävästi verkon kuormitusta ja parantaa merkittävästi suorituskykyä.
Opportunistisen eston toinen tarkoitus on laajentaa olosuhteita, joissa tällainen estäminen on mahdollista. Oplockia käyttämällä voit lisätä välimuistin tehokkuutta. Opportunistisen eston mahdollisten olosuhteiden laajentaminen tarjoaa useita lisäetuja. Oletetaan, että sovellusilmentymä avaa tiedoston (verkkopalvelimella) lukemista ja kirjoittamista varten. Tämä pyytää ja myöntää oplockin. Asiakaskoodi voi tallentaa kirjoituksia tiedostoon välimuistiin. Oletetaan, että saman sovelluksen toinen esiintymä on käynnissä eri asiakkaalla. Yksi tapa päästä tästä tilanteesta olisi poistaa oplock ja käyttää verkon I/O:ta kirjoituspyyntöjen välittämiseen tiedostoon molemmista sovelluksista. Toinen tapa olisi vapauttaa oplock heti, kun sovelluksen toinen esiintymä yrittää suorittaa kirjoitustoiminnon. Hyvin usein sovellukset eivät suorita kirjoitustoimintoja ollenkaan.
Kun olosuhteet muuttuvat, palvelin lähettää asiakkaalle ilmoituksen oplockin vapauttamisesta. Esimerkki tilanteesta, jossa palvelin lähettää ilmoituksen oplockin vapauttamisesta, olisi pyyntö toiselle asiakkaalle päästä käsiksi tiedostoon tai kirjoittaa tietoja siihen. Palvelin varmistaa, että palvelimen tilatiedot siivotaan (mukaan lukien asiakasistunnon sulkeminen), jos asiakas ei vastaa pyyntöön vapauttaa oplock. Asiakas pyytää oplockia vain tarvittaessa; Jos sovellus esimerkiksi pyytää tiedoston avaamista yksinoikeudella, oplockin pyytäminen ei yksinkertaisesti ole järkevää.
Opportunistinen esto on toteutettu kolmessa versiossa:
Toimintosarja ainutlaatuista opportunistista lukitusta varten
■ yksinomainen opportunistinen esto;
■ erän opportunistinen esto;
■ toisen tason opportunistinen esto. Näitä skenaarioita kuvataan yksityiskohtaisemmin alla.
Ainutlaatuinen opportunistinen esto
CIFS-mini-uudelleenohjaus pyytää tätä lukitusvaihtoehtoa, kun sovellus avaa tiedoston lukemista tai kirjoittamista varten. Palvelin myöntää käyttölukon, jos tiedosto ei ole jo avattu toisessa asiakasohjelmassa. Toimintojen järjestys on esitetty kuvassa.
Aluksi ensimmäinen asiakas lähettää tiedoston avaamispyynnön ja pyytää yksinomaista oplockia. Palvelin suorittaa tarvittavan tarkistuksen ja toimittaa sen. Ensimmäinen asiakas alkaa tallentaa tiedostoa välimuistiin ja suorittaa luku- ja laiskakirjoitustoimintoja. Jonkin ajan kuluttua toinen asiakas, esimerkiksi asiakas 2, lähettää palvelimelle pyynnön avata sama tiedosto. Palvelin panee merkille, että asiakas 1 omistaa yksinomaisen oplockin pyydetylle tiedostolle ja lähettää lukituksen vapautusilmoituksen asiakkaalle 1. Asiakas 1 tyhjentää tietopuskurit antamalla tiedostolle tarvittavat kirjoitus- ja lukituspyynnöt. Kun tiedoston tilatiedot on kirjoitettu, asiakas 1 ilmoittaa palvelimelle, että oplock-vapautusilmoituskäsittely on valmis. Tässä vaiheessa palvelin lähettää vastauksen asiakkaalle 2, jolloin se voi avata tiedoston. Asiakas 1 jatkaa työskentelyä tiedoston kanssa tekemättä paikallista välimuistia. IN tässä tapauksessa oletetaan, että asiakas 1 avasi tiedoston tilassa, jossa muut asiakkaat voivat avata tiedoston.
Toisen tason opportunistinen esto
On hyvin yleistä, että asiakkaat avaavat tiedoston luku/kirjoitustilassa eivätkä kirjoita tiedostoon mitään ennen kuin se on suljettu. Tason 2 oplocking on suunniteltu mahdollistamaan tiedostojen jakaminen ja tallentaminen välimuistiin tässä tilanteessa. Ainutlaatuinen oplock ja erä oplock (käsitellään seuraavassa osiossa) toimitetaan aina asiakkaan pyynnöstä. Mutta asiakas ei koskaan pyydä toisen tason lukitusta. Asiakas aloittaa pyytämällä eksklusiivista oplockia. Jos tällainen lukitus myönnetään, palvelin voi alentaa yksinomaisen oplockin toisen tason lukitukseksi, jos tietyt ehdot täyttyvät (kuvattu alla).
Asiakas 1 aloittaa pyytämällä yksinomaista oplockia ja alkaa tallentaa tiedostoa paikallisesti välimuistiin. Erityisesti Client 1 suorittaa luku-ennakolta ja tallentaa lukitut tiedot paikallisesti välimuistiin. Muista, että tässä tapauksessa asiakas ei aio kirjoittaa tietoja tiedostoon. Jossain vaiheessa asiakas 2 pyytää pääsyä samaan tiedostoon. Palvelin lähettää asiakkaalle yhden ilmoituksen, jossa pyydetään yksinomaisen oplockin alentamista toisen tason lukitukseksi. Asiakas vapauttaa lukitukset ja raportoi, että ilmoitusten käsittely on valmis. Seuraavaksi palvelin lähettää asiakkaalle 2 viestin, että tiedosto avattiin onnistuneesti, ja myöntää asiakkaalle toisen tason oplockin. Tässä tapauksessa oletetaan, että asiakas 1, avaamalla tiedoston, ilmoitti palvelimelle, että myös muut asiakkaat voivat käyttää tiedostoa.
Toisen tason oplockingia käytettäessä asiakkaita estetään puskuroimasta lukittuja tietoja. Tämän suunnittelun etuna on, että tiedon koherenssi on yksinkertaistettu palvelinpuolella, kun taas asiakas tallentaa luetun tiedon välimuistiin, mikä vähentää verkon kautta siirrettävän tiedon määrää. Heti kun yksi asiakkaista lähettää kirjoituspyynnön, palvelin vapauttaa toisen tason oplockin, jonka jälkeen ei ole enää yhtään lukkoa jäljellä. Koska mikään asiakas ei puskuroi lukittuja tietoja, kun toisen tason lukot ovat olemassa, onnistunut kirjoitustoiminto tarkoittaa, että kirjoitus suoritettiin tiedoston alueelle, jota muut asiakkaat eivät ole lukitseneet. Kun toisen tason oplock on vapautettu, asiakkaita estetään puskuroimasta lukutietoja.
Toisen tason opportunistinen esto
Erätoimilukko
Tätä estovaihtoehtoa käytetään suorituskyvyn optimointiin erätiedostojen käsittelyssä. Komentoprosessori yleensä avaa tiedoston, etsii tarvittavan rivin, lukee sen, sulkee tiedoston ja käsittelee lukurivin komentorivin tulkin avulla. Tämän jälkeen tiedosto avautuu uudelleen, se sisältää seuraava rivi, tiedosto suljetaan ja komentorivitulkki käsittelee seuraavan rivin. Tämä silmukka jatkuu, kunnes kaikki erätiedoston rivit loppuvat.
Eräkäyttölukko
Yllä oleva on toimintojen järjestys. Asiakas 1 avautuu erätiedosto ja pyytää erän lukitusta. Oletetaan, että palvelin myöntää erälukituksen, koska kukaan muu ei kirjoita tiedostoon tietoja. Asiakas 1 hakee tiedostosta tietty merkkijono ja suorittaa lukutoiminnon. Tulkki suorittaa lukurivin. Tiedosto suljetaan sitten. CIFS-mini-uudelleenohjaus ei suorita mitään toimintoa, kun se vastaanottaa pyynnön sulkea tiedosto (eli suoritetaan viivästetty sulkemistoiminto). Komentorivitulkki avaa tiedoston, mutta CIFS-mini-uudelleenohjaus ei suorita avaustoimintoa, vaan yksinkertaisesti peruuttaa jonossa olevan odottavan tiedoston sulkemistoiminnon. Kun komentorivitulkki suorittaa haku- ja lukutoimintoja merkkijonolle, CIFS-mini-uudelleenohjaus lähettää haku- ja lukupyyntöjä.
Tämän seurauksena verkon kautta siirrettävän tiedon määrä vähenee (vähemmän tiedoston avaamis- ja sulkemispyyntöjä tehdään). Lisäksi palvelinresurssien käyttö on optimoitu, koska palvelimen ei tarvitse välittömästi käsitellä pyyntöä sulkea tiedosto ja avata sitä sitten uudelleen.
Äskettäisen SMB v1 -haavoittuvuutta hyödyntävän WannaCry-lunnasohjelman puhkeamisen yhteydessä verkkoon on jälleen ilmestynyt neuvoja tämän protokollan poistamisesta käytöstä. Lisäksi Microsoft suositteli voimakkaasti SMB:n ensimmäisen version poistamista käytöstä jo syyskuussa 2016. Mutta tällainen yhteyden katkeaminen voi johtaa odottamattomiin seurauksiin, jopa hauskoihin asioihin: törmäsin henkilökohtaisesti yritykseen, jossa Sonosin langattomat kaiuttimet lopettivat soittamisen SMB:tä vastaan taisteltuaan.
Erityisesti "jalkaan ampumisen" todennäköisyyden minimoimiseksi haluan muistuttaa SMB:n ominaisuuksista ja pohtia yksityiskohtaisesti sen vanhempien versioiden harkitsemattoman käytöstä poistamisen seurauksia.
SMB(Server Message Block) – verkkoprotokolla etäkäyttö tiedostoille ja tulostimille. Tätä käytetään, kun resurssit yhdistetään \palvelimen nimi\jakonimi kautta. Protokolla toimi alun perin NetBIOSin päällä UDP-portit 137, 138 ja TCP 137, 139. Windows 2000:n julkaisun myötä aloin työskennellä suoraan käyttämällä TCP-portti 445. SMB:tä käytetään myös verkkotunnukseen kirjautumiseen Active Directory ja työskentele siinä.
Resurssien etäkäytön lisäksi protokollaa käytetään myös prosessorien väliseen tietoliikenteeseen "nimettyjen virtojen" - nimettyjen putkien kautta. Prosessiin päästään polulla \.\putki\nimi.
Protokollan ensimmäinen versio, joka tunnetaan myös nimellä CIFS (Common Internet File System), luotiin jo 1980-luvulla, mutta toinen versio ilmestyi vain Windows Vistassa vuonna 2006. Protokollan kolmas versio julkaistiin Windows 8:lla. Protokolla luotiin rinnakkain Microsoftin kanssa ja päivitettiin sen avoimessa Samba-toteutuksessa.
Protokollan jokaisen uuden version mukana lisättiin useita parannuksia suorituskyvyn, turvallisuuden ja uusien toimintojen tuen lisäämiseksi. Mutta samaan aikaan tuki vanhoille protokollille säilyi yhteensopivuuden vuoksi. Tietysti vanhemmissa versioissa oli ja on useita haavoittuvuuksia, joista yhtä WannaCry käyttää hyväkseen.
Spoilerin alta löydät pivot-taulukko muutokset SMB-versioissa.
| Versio | käyttöjärjestelmä | Lisätty edelliseen versioon verrattuna |
| SMB 2.0 | Windows Vista/2008 | Protokollakomentojen määrä on muuttunut 100+:sta 19:ään |
| Mahdollisuus "kuljettimeen" – lisäpyyntöjen lähettäminen ennen vastauksen saamista edelliseen | ||
| Symbolisen linkin tuki | ||
| HMAC-viestien allekirjoittaminen SHA256:lla MD5:n sijaan | ||
| Lisää välimuistia ja kirjoitus-/lukulohkoja | ||
| SMB 2.1 | Windows 7/2008R2 | Parempi suorituskyky |
| Suurempi MTU-tuki | ||
| Tuki BranchCache-palvelulle - mekanismi, joka tallentaa pyynnöt välimuistiin globaali verkosto paikallisessa verkossa | ||
| SMB 3.0 | Windows 8/2012 | Mahdollisuus luoda läpinäkyvä vikasietoklusteri kuormanjaon kanssa |
| Suoran muistin käytön tuki (RDMA) | ||
| Hallitse Powershell-cmdlet-komennoilla | ||
| VSS-tuki | ||
| AES-CMAC-allekirjoitus | ||
| AES-CCM-salaus | ||
| Mahdollisuus käyttää verkkokansiot varastointia varten virtuaalikoneita HyperV | ||
| Mahdollisuus käyttää verkkokansioita tallennukseen Microsoftin tietokannat SQL | ||
| SMB 3.02 | Windows 8.1/2012R2 | Tietoturva- ja suorituskykyparannuksia |
| Automaattinen tasapainotus klusterissa | ||
| SMB 3.1.1 | Windows 10/2016 | AES-GCM-salauksen tuki |
| Eheyden tarkistus ennen todennusta SHA512-tiivisteellä | ||
| Pakolliset turvalliset "neuvottelut" työskenneltäessä SMB 2.x -asiakkaiden ja uudempien kanssa |
Pidämme ehdollisesti uhreja
Näkymä käytetty vuonna nykyinen hetki Protokollaversio on melko yksinkertainen, käytämme tähän cmdlet-komentoa Get-SmbConnection:
Cmdlet-tulostus, kun verkkoresurssit ovat avoinna palvelimilla, jotka käyttävät eri Windows-versioita.
Tulos osoittaa, että asiakas, joka tukee kaikkia protokollan versioita, käyttää yhteyden muodostamiseen suurinta mahdollista palvelimen tukemaa versiota. Tietenkin, jos asiakas tukee vain protokollan vanhaa versiota ja se on poistettu käytöstä palvelimella, yhteyttä ei luoda. Ota käyttöön tai poista käytöstä vanhojen versioiden tuki nykyaikaisissa versioissa Windows-järjestelmät voit käyttää cmdlet-komentoa Aseta – SmbServerConfiguration, ja katso tila seuraavasti:
Get–SmbServerConfiguration | Valitse EnableSMB1Protocol, EnableSMB2Protocol
Poista SMBv1 käytöstä palvelimessa, jossa on Windows 2012 R2.
Tulos yhdistettäessä Windows 2003:een.
Näin ollen, jos poistat vanhan, haavoittuvan protokollan käytöstä, voit menettää verkon toimivuuden vanhojen asiakkaiden kanssa. Lisäksi Windows XP:n ja 2003:n lisäksi SMB v1:tä käytetään myös useissa ohjelmisto- ja laitteistoratkaisuissa (esimerkiksi NAS GNU\Linuxissa käyttäen vanhaa samban versiota).
Spoilerin alla annan luettelon valmistajista ja tuotteista, jotka lakkaavat toimimasta kokonaan tai osittain, jos SMB v1 poistetaan käytöstä.
| Valmistaja | Tuote | Kommentti |
| Barracuda | SSL VPN | |
| Web Security Gateway -varmuuskopiot | ||
| Canon | Skannaa verkkoresurssiin | |
| Cisco | WSA/WSAv | |
| WAAS | Versiot 5.0 ja sitä vanhemmat | |
| F5 | RDP-asiakasyhdyskäytävä | |
| Microsoft Exchange -välityspalvelin | ||
| Forcepoint (Raytheon) | "Jotkut tuotteet" | |
| HPE | ArcSight Legacy Unified Connector | Vanhat versiot |
| IBM | NetServer | Versio V7R2 ja vanhempi |
| QRadar Vulnerability Manager | Versiot 7.2.x ja sitä vanhemmat | |
| Lexmark | Laiteohjelmistot eSF 2.x ja eSF 3.x | |
| Linux-ydin | CIFS-asiakas | 2.5.42 - 3.5.x |
| McAfee | Web-yhdyskäytävä | |
| Microsoft | Windows | XP/2003 ja vanhemmat |
| MYOB | Kirjanpitäjät | |
| NetApp | ONTAP | Versiot 9.1 asti |
| NetGear | ReadyNAS | |
| Oraakkeli | Solaris | 11.3 ja vanhemmat |
| Pulse Secure | PCS | 8.1R9/8.2R4 ja vanhempi |
| P.P.S. | 5.1R9/5.3R4 ja vanhempi | |
| QNAP | Kaikki tallennuslaitteet | Laiteohjelmisto vanhempi kuin 4.1 |
| RedHat | RHEL | Versiot 7.2 asti |
| Ricoh | MFP, skannaus verkkoresurssiin | Useiden mallien lisäksi |
| RSA | Authentication Manager -palvelin | |
| Samba | Samba | Yli 3.5 |
| Sonos | Langattomat kaiuttimet | |
| Sophos | Sophos UTM | |
| Sophos XG palomuuri | ||
| Sophos Web Appliance | ||
| SUSE | SLES | 11 ja vanhemmat |
| Synology | Diskstation Manager | Vain ohjaus |
| Thomson Reuters | CS Professional Suite | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Vanhempi kuin 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | MFP, skannaus verkkoresurssiin | Laiteohjelmisto ilman ConnectKey-laiteohjelmistoa |
Luettelo on otettu Microsoftin verkkosivustolta, jossa sitä päivitetään säännöllisesti.
Protokollan vanhaa versiota käyttävien tuotteiden luettelo on melko suuri ennen SMB v1:n poistamista käytöstä, sinun tulee ehdottomasti miettiä seurauksia.
Sammuta se edelleen
Jos verkossa ei ole SMB v1:tä käyttäviä ohjelmia ja laitteita, on tietysti parempi poistaa vanha protokolla käytöstä. Lisäksi, jos se sammutetaan SMB:ssä Windows-palvelin 8/2012 tehdään Powershell-cmdletillä, jolloin Windows 7/2008:ssa sinun on muokattava rekisteriä. Tämä voidaan tehdä myös Powershellillä:
Joukko – Kohteen ominaisuus – Polku "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 – Tyyppi DWORD –Arvo 0 – Pakota
Tai mikä tahansa muu kätevällä tavalla. Muutosten käyttöönotto edellyttää kuitenkin uudelleenkäynnistystä.
Voit poistaa SMB v1 -tuen käytöstä asiakkaalta pysäyttämällä sen toiminnasta vastaavan palvelun ja korjaamalla lanmanworkstation-palvelun riippuvuudet. Tämä voidaan tehdä seuraavilla komennoilla:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start=pois käytöstä
Protokollan poistamiseksi käytöstä koko verkossa on kätevää käyttää ryhmäkäytäntöjä, erityisesti ryhmäkäytäntöasetuksia. Niiden avulla voit kätevästi työskennellä rekisterin kanssa.
Rekisterielementin luominen ryhmäkäytäntöjen avulla.
Voit poistaa protokollan käytöstä palvelimella luomalla seuraavan parametrin:
- arvo: 0.
polku: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
uusi parametri: REG_DWORD, jonka nimi on SMB1;
Luo rekisteriasetus poistaaksesi SMB v1:n käytöstä palvelimella ryhmäkäytännön kautta.
Jos haluat poistaa SMB v1 -tuen käytöstä asiakaskoneissa, sinun on muutettava kahden parametrin arvoa.
Poista ensin SMB v1 -protokollapalvelu käytöstä:
- arvo: 4.
polku: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
parametri: REG_DWORD, jonka nimi on Start;
Päivitämme yhden parametreista.
Sitten korjaamme LanmanWorkstation-palvelun riippuvuuden niin, ettei se ole riippuvainen SMB v1:stä:
- arvo: kolme riviä – Bowser, MRxSmb20 ja NSI.
polku: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
parametri: REG_MULTI_SZ, jonka nimi on DependOnService;
Ja korvaamme sen toisella.
Käytön jälkeen ryhmäpolitiikka sinun on käynnistettävä organisaatiosi tietokoneet uudelleen. Uudelleenkäynnistyksen jälkeen SMB v1:tä ei enää käytetä.
Se toimii - älä koske siihen
Kummallista kyllä, tämä vanha käsky ei aina ole hyödyllinen - troijalaisia voi esiintyä myös harvoin päivitetyssä infrastruktuurissa. Palveluiden huolimaton sulkeminen ja päivittäminen voivat kuitenkin lamauttaa organisaation työn virukset tavoin.
Kerro minulle, oletko jo poistanut SMB:n ensimmäisen version käytöstä? Oliko paljon uhreja?
Tietokoneverkko on määritelmänsä mukaan hajautettu järjestelmä. Sen tarkoitus on käyttäjien välinen yhteistyö. Tällainen työ merkitsee pääsy verkkoresursseihin, kuten tiedostot ja hakemistot, tulostimet jne. Käyttäjälle pääsyn verkkoresursseihin tulee olla läpinäkyvää, eli:
- Etäresurssien pitäisi näyttää ikään kuin ne olisivat paikallisia ja niitä käytetään jatkuvasti sovelluksista.
- Asiakkaan ei pitäisi välittää siitä, mitä alustaa käytetään julkisena palvelimena.
On myös otettava huomioon, että jokaisella käyttäjällä ei pitäisi olla pääsyä tiettyyn resurssiin, eikä jokaisen resurssin pitäisi olla kaikkien saatavilla. Ne. On tarpeen tarjota mahdollisuus hallita jaettua pääsyä sekä käyttäjätasolla että yksittäisten resurssien tasolla.
Nämä ominaisuudet tarjoavat erityiset julkisen pääsyn protokollat. Yleisimmät niistä ovat SMB/CIFS Windows-käyttöjärjestelmälle ja NFS, joita käytetään UNIX-tyyppisissä järjestelmissä.
Jakamisprotokollat
SMB/CIFS
SMB (palvelinviestin esto) on IBM:n ehdottama protokolla tiedostojen, tulostimien, sarjaportit, postipaikat, nimetyt putket ja verkkotietokoneiden sovellusliittymät. SMB-protokollaa voidaan käyttää TCP/IP-pinon verkkoprotokollien sekä useiden muiden verkkoprotokollien yli.
SMB on tyypillinen asiakas-palvelin-protokolla, joka mahdollistaa asiakassovellus suorittaa pääsytoimintoja jaettuun resurssiin (lukea, kirjoittaa jne.) pyyntöjen kautta palvelimelle. SMB vaatii yhteyden muodostamista ja ylläpitoa, mutta se voi toimia myös datagrammitilassa.
Vuonna 1992 ilmestyi Samba - SMB-protokollan ilmainen toteutus UNIX-tyyppisille käyttöjärjestelmille. Koska Microsoft ei julkaissut spesifikaatioita SMB:lle ja sen laajennuksille, Samban luojan Andrew Tridgellin täytyi kääntää protokolla pakettien haistamisen avulla.
Microsoft Corporation edisti SMB-protokollaa sisällyttämällä sen tuen tuotteisiinsa. verkossa Microsoft ympäristö Windows SMB oli pääprotokolla sovellustaso kanssa työskennellä LAN-resurssit. Se on suunniteltu suorittamaan tiedostojen ja tulostimien jakamista, käyttäjän valtuutusta ja viestitoimintoja.
SMB-protokolla edustaa neljää palvelutyyppiä:
- Istunnon hallinta. Loogisen kanavan luominen, ylläpito ja katkaiseminen työaseman ja tiedostopalvelimen verkkoresurssien välillä.
- Tiedostojen käyttöoikeus. Työasema voi ottaa yhteyttä tiedostopalvelimeen suorittamalla tyypillisiä pyyntöjä tiedostotoiminnot(tiedoston avaaminen, tietojen lukeminen jne.).
- Tulostuspalvelu. Työasema voi asettaa tiedostoja jonoon tulostettaviksi palvelimelle ja saada tietoa tulostusjonosta.
- Viestipalvelu. SMB tukee yksinkertaista osoite- ja lähetysviestien lähettämistä paikallisverkon kautta.
Jos SMB:n istunnonhallintatila on käyttäjälle läpinäkyvä, käyttäjä voi hallita muita palveluita suoraan käyttämällä net-komennot(katso net /? Windows-käyttöjärjestelmäkonsolissa).
Riisi. 1.NetBIOS/SMB
Istuntojen hallintaan SMB-protokolla käytti alun perin NetBIOSia NetBEUI:n (NetBIOS Extended User Interface) toteutuksessa - laajennettu käyttöliittymä NetBIOS-datagrammien siirto, suunniteltu noin 20-200 työaseman verkkoon. NetBEUI-protokollaan perustuvat verkot on helppo toteuttaa, mutta vaikea laajentaa, koska NetBEUI-protokollaa ei voi reitittää.
SMB:n käyttämiseksi verkoissa, joissa on monimutkaisempi topologia, NetBIOS lisäsi tuen siirtoprotokollille TCP (NBT, NetBIOS over TCP), IPX, DECNet ja Xerox Networking (XNS) ()
SMB-palvelut, jotka toimivat TCP/IP-ympäristössä, käyttävät erilaisia portteja (vakionimet portit korostavat läheistä suhdetta SMB:n ja NetBIOSin välillä):
Netbios-ns 137/tcp # NETBIOS-nimipalvelu netbios-ns 137/udp netbios-dgm 138/tcp # NETBIOS Datagram Service netbios-dgm 138/udp netbios-ssn 139/tcp # NETBIOSudnp netbios-9
SMB:n ensimmäisissä versioissa ei ollut todennusta - eli kuka tahansa käyttäjä saattoi käyttää mitä tahansa resursseja, mikä tietysti rajoitti sovellusalueen pieniin paikallisiin verkkoihin. Nykyaikaiset SMB-versiot tukevat kahta käyttöoikeustasoa:
- Resurssitason käyttöoikeus. Palvelinpuoli asettaa rajoituksia jaetuille hakemistoille. Joka verkkohakemisto voidaan suojata salasanalla, ja asiakkaan on annettava tämä salasana päästäkseen käsiksi jaetussa hakemistossa oleviin tiedostoihin.
- Käyttäjätason käyttöoikeus. Rajoitukset asetetaan jokaiselle tiedostolle kussakin jaetussa hakemistossa, ja ne perustuvat käyttäjien käyttöoikeuksiin. Jokaisen käyttäjän (asiakkaan) on kirjauduttava palvelimelle omalla tilillään ja läpäistävä todennus. Kun todennus on valmis, asiakas saa vastaavan käyttäjätunnuksen, joka sen on esitettävä päästäkseen käsiksi palvelinresursseihin.
NetBIOS-sidos rajoitti SMB:n käytön pieniin paikallisiin verkkoihin. Ensimmäinen syy on se, että NetBIOSista puuttuu verkon käsite sinänsä ja liikenteen uudelleenohjaus (reititys). Toinen on hyväksytyssä osoitejärjestelmässä: resurssin nimi on olennaisesti 15 merkin pituinen merkkijono sekä resurssityypin tavu: palvelin, toimialueen ohjain jne. Tällainen peer-to-peer-nimeämisjärjestelmä ei luonnollisesti sovellu Internetiin.
Näiden rajoitusten poistamiseksi uusimmat versiot SMB käytti NBT (NetBIOS over TCP) -protokollaa, joka toimii TCP/IP-pinon päällä.
CIFS sen ovat luoneet Samba Team -kehittäjät, itsenäinen yhteisö ja Microsoft. Kun CIFS-projekti esiteltiin avoimena standardina, Microsoft lopetti projektin rahoituksen ja yhteistyön Samba-tiimin kanssa, ja Microsoft muokkasi CIFS-tuen yhteensopivuuden aiempien Windows 2000 -versioiden kanssa.
CIFS (Common Internet File System)- se on auki standardi protokolla(katso CIFS), joka perustuu SMB:hen, joka tarjoaa pääsyn tiedostoihin ja palveluihin etätietokoneissa TCP/IP-verkkojen kautta. Toisin kuin SMB, CIFS:n ensisijainen siirto on TCP. Portit 445/TCP ja 445/UDP on rekisteröity CIFS-palvelimille (microsoft-ds # Microsoft Naked CIFS, katso /etc/services)
CIFS tarjoaa samanlaisia toimintoja kuin FTP (File Transfer Protocol), mutta tarjoaa asiakkaille paremman (suoraan tapaan) tiedostojen hallinnan. CIFS:n pääominaisuudet on kuvattu.
Taulukko 1. CIFS-protokollan ominaisuudet
| Mahdollisuus | Kuvaus |
|---|---|
| Pääsy tiedostojärjestelmään | Tukee tiedostotoimintoja, kuten tiedoston tai hakemiston avaamista, lukemista, kirjoittamista, etsimistä ja sulkemista |
| Tiedostojen ja tietueiden lukitseminen | Ei-estävillä sovelluksilla ei ole pääsyä estettyyn tiedostoon tai merkintään. |
| Turvallinen välimuisti (luku eteenpäin ja kirjoitus taakse) | Tukee useiden asiakkaiden samanaikaista luku-/kirjoitusoikeutta tiedostoon |
| Tiedoston muutosilmoitukset | Sovellukset voivat rekisteröityä palvelimelle vastaanottaakseen ilmoituksia tiedostojen tai hakemistojen muutoksista |
| "Neuvottelut" protokollaversiosta | Kun asiakas ja palvelin muodostavat ensimmäisen verkkoyhteyden, he vaihtavat tietoja käytettävästä protokollaversiosta (murteesta). Eri murteet voivat sisältää uusia viestityyppejä sekä muotoeroja muista murteista. |
| Laajennetut attribuutit | Muita kuin tiedostojärjestelmän määritteitä tuetaan. Attribuutteja, kuten esimerkiksi tekijän nimi, voidaan lisätä tiedoston sisäisiin järjestelmämääritteisiin (luontipäivämäärä, muokkauspäivä jne.) |
| Hajautetut replikoidut virtuaalivolyymit | Protokolla tukee moniosaista virtuaalista tiedostojärjestelmää, jossa kaikki "alipuut" tiedostohierarkia asiakkaalle ne näyttävät yhdeltä kokonaisuudelta. CIFS käsittelee pääsyn tällaisen tiedostojärjestelmän fyysisesti siirrettyihin tai replikoituihin elementteihin läpinäkyvästi käyttäjälle. |
| Riippumattomuus nimentunnistuspalvelimista | Asiakkaat voivat käyttää mitä tahansa nimenselvitysmekanismia. Esimerkiksi DNS-palvelimia voidaan käyttää palvelintiedostoresurssien käyttämiseen Internetin kautta. |
| Eräpyynnöt | Useita tiedostopyyntöjä voidaan "pakata" yhteen viestiin, mikä lyhentää palvelimen vastausaikaa. Eräkäsittely mahdollista, vaikka myöhemmät pyynnöt riippuvat aikaisempien pyyntöjen tuloksista. |
| Unicode-merkkien tuki | Unicode-merkkijonoja voidaan käyttää tiedostojen nimissä, resurssien nimissä ja käyttäjätileissä. |
NFS-verkkotiedostojärjestelmä
NFS (Network File System, verkkotiedostojärjestelmä) on standardi, joka sisältää kuvauksen hajautetusta tiedostojärjestelmästä ja verkkoprotokollan sen kanssa työskentelemistä varten. Sun kehitti ensimmäisen NFS-määrityksen vuonna 1989, ja se oli tarkoitettu käytettäväksi vain UNIXissa. Myöhempi toteutus asiakkaan ja palvelimen osat ovat yleistyneet muissa järjestelmissä. Nykyinen versio (tämän kirjoituksen aikaan) on nimeltään NFS v4 ja on avoin standardi(RFC 3010).
Tämän järjestelmän avulla käyttäjä voi työskennellä etätietojen kanssa samalla tavalla kuin paikallisten tietojen kanssa – eli täysin läpinäkyvästi. Tietenkin viivästymisiä huomioimatta.
NFS-protokolla, kuten SMB/CIFS, käyttää asiakas-palvelin-viestintämallia. Aikaisin NFS-versiot UDP-protokollaa käytettiin tiedon siirtämiseen nykyaikaisissa TCP:ssä. NFS-palvelu toimii seuraavissa rekisteröidyissä porteissa:
Nfs 2049/tcp # Verkkotiedostojärjestelmä - Sun Microsystems nfs 2049/udp # Verkkotiedostojärjestelmä - Sun Microsystems
TCP:n käyttö siirtona mahdollisti jaetun pääsyn ongelmien ratkaisemisen suoraviivaisesti, ilman ratkaisuja, mutta hinta tästä oli pieni suorituskyvyn lasku UDP:hen verrattuna.
NFS on UNIXin alkuperäinen tiedostojärjestelmä ja noudattaa käyttöjärjestelmän tiedostojen toimintalogiikkaa. Tämä koskee sekä tiedoston nimiavaruutta että tuettuja tiedostomääritteitä. NFS-tuki on saatavilla kaikissa suosituissa UNIX-pohjaisissa järjestelmissä.
NFS-rakenne sisältää kolme komponenttia eri tasoilla:
- Sovelluskerros (itse NFS) koostuu etäproseduurikutsuista (rpc), jotka suorittavat tarvittavat toiminnot tiedostoilla ja hakemistoilla palvelinpuolella.
- Protokolla suorittaa esityskerroksen toiminnot XDR(eXternal Data Representation), joka on monialustainen datan abstraktiostandardi. XDR-protokolla kuvaa yhtenäistä, kanoninen, tietojen esitysmuoto, joka ei riipu tietokonejärjestelmän arkkitehtuurista. Lähetettäessä paketteja RPC-asiakas muuntaa paikalliset tiedot kanoniseen muotoon ja palvelin suorittaa käänteisen toiminnon.
- Palvelu RPC(Remote Procedure Call), jonka avulla asiakas voi pyytää etätoimenpiteitä ja suorittaa ne palvelimella, edustaa istuntotason toimintoja.
Verkkoresurssin yhdistämistä NFS:n avulla kutsutaan "vientiksi". Asiakas voi pyytää palvelinta luetteloimaan edustamansa viedyt resurssit. Itse NFS-palvelin, toisin kuin esimerkiksi SMB-palvelin, ei lähetä luetteloa viedyistä resursseistaan.
Määritetyistä vaihtoehdoista riippuen viety resurssi voidaan liittää "vain luku", voit määrittää luettelon isännistä, jotka voivat liittää, määrittää suojatun RPC:n (secureRPC) käytön jne. Yksi vaihtoehdoista määrittää asennuksen menetelmä: "kova" tai "pehmeä" (pehmeä).
- klo "kova" asennus asiakas yrittää liittää tiedostojärjestelmän hinnalla millä hyvänsä. Jos palvelin ei toimi, koko NFS-palvelu jäätyy: tiedostojärjestelmää käyttävät prosessit siirtyvät odottamaan RPC-pyyntöjen valmistumista. Käyttäjäprosessien näkökulmasta tiedostojärjestelmä näyttää erittäin hitaalta paikalliselta levyltä. Kun palvelin palautetaan toimintatilaan, NFS-palvelu jatkaa toimintaansa.
- klo "pehmeä" asennus NFS-asiakas yrittää useita yrityksiä muodostaa yhteys palvelimeen. Jos palvelin ei vastaa, järjestelmä näyttää virheilmoituksen ja lopettaa asennusyrityksen. Tiedostotoimintojen logiikan kannalta palvelimen epäonnistuessa "pehmeä" asennus emuloi paikallista levyvirhettä.
Kysymykseen, mikä tila, "pehmeä" vai "kova", on parempi, ei voida vastata yksiselitteisesti. Jos asiakkaan ja palvelimen tiedot on synkronoitava tilapäisen palveluhäiriön aikana, "kova" asennus on parempi. Tämä tila on välttämätön myös tapauksissa, joissa asennetut tiedostojärjestelmät sisältävät ohjelmia ja tiedostoja, jotka ovat tärkeitä asiakkaan toiminnalle, erityisesti levyttömille koneille. Muissa tapauksissa, varsinkin kun on kyse vain luku -järjestelmistä, pehmeä asennustila näyttää kätevämmältä.
Turvallisuuden näkökulmasta ensimmäiset NFS-toteutukset olivat erittäin heikkoja: autentikointi suoritettiin olennaisesti vain asiakkaan IP-osoitteella. NIS:n käyttö ei merkittävästi lisännyt järjestelmän turvallisuutta. NFS-versiot 3 ja 4 muokkasivat nämä ongelmat lisäämällä pääsyluettelon (ACL) tuen, suojatun rpc:n ja joukon muita ratkaisuja, jotka mahdollistivat NFS:n sertifioinnin Yhdysvaltain puolustusministeriön toimesta.
Jakaminen sekaverkossa
NFS on ihanteellinen UNIX-pohjaisille verkoille, koska sen mukana tulee lähes kaikki käyttöjärjestelmän versiot. Lisäksi NFS-tuki on toteutettu UNIX-ytimen tasolla. Valitettavasti NFS:n käyttö Windows-asiakastietokoneissa aiheuttaa tiettyjä ongelmia, jotka liittyvät tarpeeseen asentaa erikoistunut ja melko kallis asiakasohjelmisto. Tällaisissa verkoissa SMB/CIFS-protokollaan perustuvien resurssienjakotyökalujen, erityisesti Samba-ohjelmiston, käyttö vaikuttaa edullisemmalta.
Matalatason jakamistyökalut. DAFS-protokolla
Virtuaalisen käyttöliittymän arkkitehtuuri
Virtual Interface Architecture (VIA) on Microsoftin, Intelin ja Compaqin yhteinen hanke, joka määrittelee abstraktin mallin matalan tason I/O-teknologialle. VIA:ta käytetään nopean tiedonvaihdon järjestämiseen kahden prosessin välillä, jotka toimivat eri palvelimilla tai tallennusjärjestelmissä datakeskuksissa (tietokeskuksissa).
Virtuaalinen käyttöliittymä(VI) on viestintäprotokolla Virtual Interface Architecturessa
DAFS ( Suora pääsy tiedostojärjestelmä) on standardi tiedostojen käyttöprotokolla, joka perustuu NFS v4:ään. Sen avulla sovellukset voivat siirtää tietoja ohittaen käyttöjärjestelmän ja sen puskuritilan suoraan siirtoresursseihin säilyttäen samalla tiedostojärjestelmille ominaisen semantiikan. DAFS hyödyntää uusimmat tekniikat tiedonsiirto muistista muistiin -piiriä käyttäen. Sen käyttö tarjoaa suuret nopeudet tiedosto I/O, minimi CPU kuormitus ja koko järjestelmä, koska verkkoprotokollien käsittelyssä yleensä vaaditaan huomattavasti toimintojen ja keskeytysten määrää. Erityisen tehokasta on laitteistotuen käyttö.
DAFS-algoritmia voidaan kuvata lyhyesti seuraavasti: olkoon kaksi sovellusta, jotka pääsevät verkkoon käyttäjätason verkkoliittymän (VI,) avulla, sitten:
- Käyttöjärjestelmän laiteohjain ohjaa käyttöliittymälaitteistoa perinteisellä tavalla, joka hallitsee sovellusten pääsyä laitteisiin.
- Sovellukset varaavat viestipuskurit omaan osoiteavaruuteensa ja ottavat yhteyttä laiteohjaimeen päästäkseen verkkoliitäntään. Kun ne on määritetty vastaavasti, ne käynnistävät automaattisesti lähetys- ja vastaanottoprosessin, ja käyttöliittymä välittää tiedot sovelluspuskureihin ja käänteinen suunta, käyttämällä tavallista DMA-mekanismia
Riisi. 3. Yleinen periaate DAFS toimii
Sovellukset pääsevät verkkoon virtuaalisen käyttöliittymän avulla. OS NIC -ohjain ohjaa verkko-ohjainta ja sallii sovellusten pääsyn suoraan käyttöliittymään. Sovellukset varaavat puskureita omaan osoiteavaruuteensa, johon ne vastaanottavat ja lähettävät viestejä DMA:n avulla.
Käyttäjätason verkkorajapinnan arkkitehtuuri vaihtelee tiettyjen sovellusten ja verkkojen ominaisuuksien mukaan - tavasta, jolla sovellukset määrittävät edelleenlähetettyjen viestien sijainnin, tiedon vastaanottamiseen varattujen puskurien sijainnista, menettelystä, jolla sovellukset ilmoittavat saapuvista viesteistä . Jotkut verkkoliitännät (kuten Active Message- tai Fast Message -rajapinnat) toteuttavat lähetys- ja vastaanottotoiminnot funktioina, jotka on sijoitettu käyttäjäkirjastoon, joka ladataan jokaisen prosessin alustuksen yhteydessä. Toiset (kuten U-NET ja VIA) luovat kullekin prosessille jonoja, joita sovellukset itse käsittelevät. Näitä jonoja palvelee liitäntälaitteisto.
DAFS on suunniteltu tallennusalueverkkoihin (NAS) ja sitä käytetään tietokantojen klusteri- ja palvelinympäristöissä sekä useissa jatkuvaan toimintaan keskittyneissä Internet-sovelluksissa. Se tarjoaa pienimmän viiveen pääsylle tiedosto-osuuksiin ja dataan, ja se tukee myös älykkäitä mekanismeja järjestelmän toimivuuden ja tietojen palauttamiseksi.
Turvallisuuskysymykset
- Mitä protokollaa käytetään resurssien jakamiseen Windows-verkoissa?
- Mitä resursseja voidaan jakaa SMB-protokollan avulla?
- Miksi NFS:llä on erityinen esityskerroksen protokolla?
- Mitä eroa on NFS-taltioiden "kovalla" ja "pehmeällä" asennuksella?
Tämän sivun pysyvä osoite:
Tarvitset tätä, jos Dreamboxissasi ei ole kiintolevyä ja haluat ennemmin tai myöhemmin tallentaa elokuvan tai päinvastoin - katsella tai kuunnella ääni-videotiedostoja tietokoneelta tai ratkaista muita ongelmia.
Mitä tähän tarvitaan?
Ensinnäkin halu ja tarkkaavaisuus. Tietokone verkkokortilla, crossover verkkokaapelilla ja Dreamboxilla.
Lisäksi tarvitset tilaa ja paljon tilaa tietokoneen kiintolevyltä.
Miten tämä toimii?
Windows XP -tietokoneessa luodaan julkinen (jaettu) kansio ja sille määritetään käyttöoikeudet. tietty käyttäjä lukemiseen ja kirjoittamiseen.
Ja Dreamboxissa hän liittää (liittää) tämän kansion juuri tämän käyttäjän puolesta järjestelmään verkon kautta ja saa siten pääsyn kovalevy tietokoneellesi.
Verkon asetuksia ei käsitellä tässä artikkelissa. Mutta katso tästä:
Reititin tai reititin TP-Link TL-WR340G / TL-WR340GD.
D-link di-604 -reitittimen asennus.
Ongelma reitittimessä tai reitittimessä
Oletuksena on, että olet jo luonut verkkoyhteyden tietokoneesi ja Dreamin välille. Muuten... MAGEM.
Jotkut varoitukset.
Kun työskentelemme komentorivillä, kirjoitamme kaikki komennot, symbolit ja välimerkit vain englanninkielisellä asettelulla!!!
Polut kansioihin ja tiedostoihin asettelussa, jossa ne on nimetty. Koska esimerkiksi venäläinen " A"ja englanti" a"Nämä ovat täysin erilaisia kirjaimia tietokoneelle.
Kiinnitä myös erityistä huomiota tiloihin.
Tietokone havaitsee avaruuden samalla tavalla kuin muut kirjaimet. Jos kansioiden ja tiedostojen polussa on välilyöntejä, kirjoita ne sisään kaksoislainausmerkit esimerkiksi tässä komennossa:
net share dreamshare=”C:\Documents and Settings\Kolya\My Documents\My Records” /unlimited.
Sovitaan heti, että:
Tietokoneen IP = 192.168.0.1
Dreamboxin IP = 192.168.0.2
Jaettu kansio = C:\dream_share
Hänen lempinimensä = Dreamshare
Käyttäjä = abc
Hänen salasanansa = def
On selvää, että "ip" voi vaihdella, mutta hyvin vähän... yleensä viimeinen numero.
Työskentelemme vain komentorivi. Syötä seuraavaksi komennot ja paina -näppäintä Enter!!!
Mennään:
Windowsissa: Aloita -> Suorittaa -> cmd.exe
Lisätään käyttäjä" abc"salasanalla" def«:
verkkokäyttäjä abc def /add /active:yes /passwordchg:no
(Muuten, jos käyttäjätunnuksesi on kirjoitettu englanninkielisillä kirjaimilla, esimerkiksi Kolya, ja sinulla on salasana (myös englanniksi tai numeroin), sinun ei tarvitse lisätä käyttäjää.
Tallennusta varten on suositeltavaa luoda jaettu kansio nopeaan ruuviin NTFS-tiedosto järjestelmässä ja sisään ei-järjestelmäosio. Ne. jos sinulla on Windows osiossa C:, silloin on suositeltavaa luoda kansio osioon D: tai E:(jos on), ja osiossa pitäisi olla enemmän tilaa (20 Gt tai enemmän).
Ja tämä on tärkeää...
Luodaan palloille kansio:
mkdir C:\dream_share
(Muuten, jos sinulla on jo kansio, jossa on videoita ja musiikkia, voit käyttää sitä. On suositeltavaa, että sen polussa ei ole ei-englanninkielisiä kirjaimia tai välilyöntejä (muussa tapauksessa lue edellä, kuinka voit kiertää tämän) .
Luodaan videon tallentamiseen tarvittava alikansio:
mkdir C:\dream_share\movie
Luodaan testitiedosto testausta varten (varmuuden vuoksi):
vain kaikutesti - %date% > C:\dream_share\test.txt
Poistetaan helppo pääsy jaetuista tiedostoista ja kansioista (jono on pitkä, mutta se on välttämätöntä):
reg lisää "HKLM\SYSTEM\ControlSet001\Control\Lsa" /v "forceguest" /t REG_DWORD /d 0 /f
Jaetaan kansio ja annetaan sille alias Dreamshare, jonka kautta Dream pääsee kansioon verkon kautta:
net share dreamshare=C:\dream_share /unlimited
Anna käyttäjän " abc» Yhdistä kansio verkon kautta ja käytä sitä täysimääräisesti (kirjoita, lue jne.):
cacls C:\dream_share /e /g abc:f
(Jos komento cacls aloin kiroilemaan, jaettu kansiosi on FAT32-osiossa, ja sinun on näpelöidä hiirtä:
- Aloita -> Ohjauspaneeli -> Kansion ominaisuudet-> kirjanmerkki Näytä. Poista valinta ruudusta " Käytä jaettujen tiedostojen helppoa käyttöä". Säästetään.
- Napsauta hiiren oikealla painikkeella jaetussa kansiossa -> Ominaisuudet-> kirjanmerkki Jakaminen-> painiketta Käyttöoikeudet. Lisätään käyttäjä" abc ja anna hänelle täysi pääsy. Säästetään.
No, meillä ei ole enää muuta kuin liittää kansiomme Dreamiin ja tarkistaa, toimiiko kaikki.
Tässä vaiheessa saatat joutua käynnistämään tietokoneesi uudelleen ja kirjautumaan uudelleen sisään tililläsi. Vaikka tämä toimii myös minulla - ilman uudelleenkäynnistystä.
Jos käynnistät uudelleen, palaa kohtaan cmd.exe .
Yhdistetään Dreamiin Telnetin kautta, tehdäksesi tämän kirjoittamalla:
telnet 192.168.0.2
Älä unohda sitä 192.168.0.2 tämä on Dreamboxisi IP-osoite, kuten sovimme alussa.
Anna kirjautumistunnuksesi:
Anna salasana (oletus unelmalaatikko):
unelmalaatikko
Jaetun kansion asentaminen Dreamshare tietokoneelta kansioon /var/mnt/hdd Dreamboxissa puolesta
käyttäjä abc(tai miksi he sinua kutsuvat) ja salasanalla def(tietysti sinun), se voi kestää jonkin aikaa:
Mount -t cifs -o rw,soft,udp,nolock,rsize=8192,wsize=8192,iocharset=utf8,user=abc,salasana=def //192.168.0.1/dreamshare /var/mnt/hdd
Tarkistamme:
mount -t cifs
Ja saamme suunnilleen tämän tulosteen, joka sanoo, kansio mitä Dreamshare asennettu:
//192.168.0.1/dreamshare /var/mnt/hdd-tyyppisissä CIF-tiedostoissa (rw,nodiratime,unc=\192.168.0.1\dreamshare,usernam e=abc,rsize=8192,wsize=8192)
Katsotaan, mitä jaetussa kansiossa on:
ls -l /var/mnt/hdd
Ja hanki sisältö /var/mnt/hdd, missä on luomamme tiedosto testi.txt ja kansio elokuva :
drwxrwxrwx 1 root root 7. 29. heinäkuuta 2008 elokuva
-rwsrwsrwt 1 juurijuuri 7. 29. heinäkuuta 2008 test.txt
Katsotaan, voimmeko luoda tiedostoja jaettuun kansioon Dreamboxista:
echo "Testi Dreamboxista" > /var/mnt/hdd/test_box.txt
Tarkistetaan vielä joukkueen kanssa ls:
ls -l /var/mnt/hdd
Poistetaan testitiedostot:
rm /var/mnt/hdd/test.txt /var/mnt/hdd/test_box.txt
Irrotetaan:
umount /var/mnt/hdd
Kaikki!!!
Vaikea?
Kyllä, melkein unohdin. varten pysyvä kiinnitys linja:
Koodi:
Mount -t cifs -o rw,soft,udp,nolock,rsize=8192,wsize=8192,iocharset=utf8, user=abc,salasana=def //192.168.0.1/dreamshare /var/mnt/hdd
voit lisätä sen johonkin Dreamboxin käynnistysskriptiin tai tehdä tavallisen asian:
(Kaksosille: Valikko -> 6
-> 5
-> 1
-> Sininen painike)
Tietokoneen IP = 192.168.0.1
Kiinnitystyyppi = CIFS
Hakemisto = Dreamshare
Paikallinen hakemisto = /var/mnt/hdd
Vaihtoehdot = rw,soft,udp,nolock,iocharset=utf8
Lisävaihtoehdot = nolock,koko=8192,wsize=8192
KÄYTTÄJÄ = abc
SALASANA = def
Automount = KYLLÄ(eli valitse ruutu)
No nyt se on varmaa!!!
P.S. Tämä menetelmä on testattu ja toimii Windows XP Prossa, Windows XP Pro SP1:ssä ja Windows XP Pro SP2:ssa. Ei testattu Windows XP Pro SP3:n ja Windows 7:n kanssa, mutta todennäköisesti se myös toimii.
Ja muista... CIFS-työ ja Afrikka toimivat
Niitä on paljon erilaisia toteutuksia"verkkoosuuksien" jakelu paikallisessa verkossa, mutta onnistuimme saamaan jotain keskibudjettia ja turvallista.
Zyxel Keenetic
He liittivät sen ja panivat sen pois... no, esimerkiksi kaappiin. 
Kokoonpano
Ensin sinun on luotava taulukko.Luodaan yksinkertainen RAID CFI B8253-JDGG:lle, johon on asennettu 4 TV-levyä.
Laitteen takana on DIP-kytkimet ja selkeä kaavio laitteisto-RAID-ohjaimesta. Asetin RAID5:n 4 Tt:n levyille. Alustamme levyt yksinkertaisesti yhdistämällä aseman tietokoneeseen, jossa on Win 7. Tässä vaiheessa DAS-määritys on valmis. Saimme GPT NTFS:n, jonka koko oli 16 Tt. 
Siirrytään nyt kokoonpanoon Zyxel reititin Keenetic
Siirrytään WebUI:han ja valitse muutama valintaruutu.
Otamme käyttöön CIFS:n reitittimessä, automaattisen asennuksen, jotta laitteemme ei putoa ja salli pääsyn ilman lupaa (sitten lataamme ja asennamme reitittimelle paketin, jonka avulla voimme erottaa käyttöoikeudet tilikohtaisesti)
Reititin tarjoaa meille mahdollisuuden määrittää käyttöoikeudet verkkoasema. Voimme luoda omia Network Protocol -tilejä käyttääksemme tiedostoja, tulostimia ja muita verkkoresursseja Windows-verkoissa. Voit määrittää käyttöoikeudet jokaiselle käyttäjälle ja kansiolle. Seuraavat käyttöoikeudet ovat mahdollisia: 
Kun yhdistämme DAS:n reitittimeen, näemme osiomme: 
Erotetaan nyt käyttöoikeudet tähän, asensin useita komponentteja: 
Näiden komponenttien avulla pääset "Käyttöoikeudet"-välilehteen
Tarjolla on myös käyttäjien luominen ja kulunvalvonta. 
Käyttöoikeuksien jakaminen 
Miksi meidän pitää liittää DAS reitittimeen?
Se on yksinkertaista, reitittimessä on sisäänrakennettu bittorrent-asiakas, jonka ansiosta voit välittömästi ladata elokuvia/musiikkia jne. DAS:iin. ja jakaa se kaikkialle verkkoon.
Annamme torrentin järjestelmänvalvojan oikeudet
Otetaan käyttöön swap-tiedosto, jolle se on kuvattu kuvakaappauksessa.
Lähetys on jo asennettu reitittimeeni, mennään selaimessa osoitteeseen 192.168.1.1 :8090/ ja kirjaudutaan sisään järjestelmänvalvojana
Syötetään torrent-tiedosto. 
Kuten näemme, järjestelmä toimii ja reitittimeen asennettu Transmission pystyi onnistuneesti käyttämään sille annettua ulkoista kapasiteettia vastaanotetun sisällön tallentamiseen.
Ja nyt tärkeimpään, kaikki toimii, mutta mikä on luku-/kirjoitusnopeus käytettäessä DAS:ia verkon kautta?
Yritetään tallentaa/ladata tiedosto SAMBA:n kautta
Tulos:
Sinun on ymmärrettävä, että tuloksena oleva verkon vaihdon nopeus riippuu suoraan prosessorin ja reitittimen käyttöliittymän suorituskyvystä. Eli tässä tapauksessa emme näe DAS CFI:n nopeutta, vaan nopeutta, jonka Zyxel Keenetic pystyy "sulattamaan ja lähettämään" USB:n kautta verkkoon SAMBA:n kautta. Luvut eivät ole mahtavia, mutta kotiin ja budjettipäätös se riittää. Huolimatta siitä, että suoran yhteyden nopeus on alhainen, vaikka se on myös hyväksyttävä, se on enemmän kuin riittävä vastaanottamaan videostriimiä DAS: sta televisioon tai mediasoittimeen tai tabletille ympäri asuntoa Wi-Fi: n kautta.
Yhdistä DAS tietokoneeseen USB3.0:n kautta ja varmista, että nopeutta rajoittaa kaistanleveys USB-ominaisuus Zyxel käyttöliittymä Keenetic.
Tulos:
Itse DAS, kun se on kytketty suoraan tietokoneeseen, antaa minulle yli 200 Mt/s RAID5:n kanssa. Vastaavasti reitittimien suorituskyvyn lisääntyessä tai yksinkertaisesti valitsemalla eri reititin (jos mahdollista, tietysti tarkistan ja liitän UPD:n), nopeus voi muuttua ja haluaisin toivoa parempaa.
No, kootun järjestelmän kaupallinen puoli kirjoittamishetkellä:
CFI-B8253JDGG - alkaen 10 756 ruplaa, ZyxelKeenetic - 990 ruplaa. Kokonaissumma on alle 12 000 ruplaa. Ja jos vertaat 4:ään levy NAS(hinta alkaa 18 000 ruplasta) taloudelliset hyödyt ovat ilmeisiä.
Ratkaisu ongelmaan ei ole ainoa, mutta se on erittäin toimiva ja viihdyttävä.
