Muffel 11 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Ich habe ein DFS eingerichtet und ein Problem mit den Rechten. Auf das DFS-Verzeichnis hat ein User keinen Zugriff und deshalb kommt der User nicht an sein Unterverzeichnis, wo er Rechte hat. Das ist Mist. Jetzt habe ich der betroffenen Sicherheitsgruppe Lese- Rechte in der Root gegeben, mit dem Ergebnis, dass das DFS jetzt gerade angefangen hat, 4 Gigabyte über die WAN-Leitung neu zu replizieren! Kann man DFS irgendwie beibringen, dass es bei einer Rechteänderung nur die Sicherheitsrechte neu übertragen soll und nicht die Datei, die zum Beispiel 50 MByte hat? Ein Mausklick bei den Rechten lösst brutalen Traffic aus, das möchte ich zukünftig gern vermeiden. Wie muss man denn überhaupt ein neues Ziel anlegen? Ich habe mit Administratoren und SYSTEM als Vollzugriff angelegt und bin davon ausgegangen, dass das DFS automatisch alle Rechte vom vorhandenen DFS holt und schreibt. Tatsächlich holt es aber nur die Rechte in den Unterverzeichnissen des DFS-Stamms und überträgt diese. Ergebnis: Kein User kann am neuen Ziel auf das DFS-Zugreifen, weil er dort keine Rechte hat udn bis zu den Untervezeichnissen, wo seine Rechte sind, kommt er gar nicht. Wie löst man das Problem zukünftig? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Hallo, ich hoffe Deine Ausführungen zumindest ansatzweise korrekt zu verstehen. Ansonsten beschreibe Dein Problem bitte noch einmal ein wenig genauer. Grundsätzliche gehe ich einmal davon aus, daß Du von DFS-R sprichst, also der R2 Version von DFS (besser: DFS-N und DFS-R). Ist das korrekt? Ich habe ein DFS eingerichtet und ein Problem mit den Rechten. Auf das DFS-Verzeichnis hat ein User keinen Zugriff und deshalb kommt der User nicht an sein Unterverzeichnis, wo er Rechte hat. Das ist Mist. Jetzt habe ich der betroffenen Sicherheitsgruppe Lese- Rechte in der Root gegeben, mit dem Ergebnis, dass das DFS jetzt gerade angefangen hat, 4 Gigabyte über die WAN-Leitung neu zu replizieren! Welche Berechtigungen hast Du verändert - die Share Permission des Namespaces, die Share Permissions auf dem Target oder die NTFS Permissions auf dem Ordner selbst? Was bedeutet in diesem Zusammenhang "Root"? Wenn eine ACL (NTFS) geändert wird, werden nur diese Rechteänderungen repliziert, nicht alle Daten. Ausnahme ist hierbei die Initialreplikation, die unter ungünstigen Umständen alle Daten noch einmal repliziert. Hierfür gibt es jedoch einen Hotfix: Replicated files are copied over the network when you use the Distributed File System (DFS) Replication feature on a Windows Server 2003 R2-based computer Der Hotfix ist im SP2 für Windows Server 2003 (R2) enthalten. Wie zeigte sich, daß tatsächlich alle Daten repliziert wurden? Woran machst Du diese Erkenntnis fest? Kann man DFS irgendwie beibringen, dass es bei einer Rechteänderung nur die Sicherheitsrechte neu übertragen soll und nicht die Datei, die zum Beispiel 50 MByte hat? Ein Mausklick bei den Rechten lösst brutalen Traffic aus, das möchte ich zukünftig gern vermeiden. Wie beschrieben, werden im Normalfall nur die ACLs repliziert. Es sei denn es wurde der RDC manuell von Dir abgeschaltet. Dann sollte es jedoch auch im Normalbetrieb zu höherem Replikationsverkehr kommen als erwünscht... Wie ist das Patchlevel der Systeme? Ist ein (nicht kompatibler) Virenscanner installiert? Wie muss man denn überhaupt ein neues Ziel anlegen? Ich habe mit Administratoren und SYSTEM als Vollzugriff angelegt und bin davon ausgegangen, dass das DFS automatisch alle Rechte vom vorhandenen DFS holt und schreibt. Tatsächlich holt es aber nur die Rechte in den Unterverzeichnissen des DFS-Stamms und überträgt diese. Ergebnis: Kein User kann am neuen Ziel auf das DFS-Zugreifen, weil er dort keine Rechte hat udn bis zu den Untervezeichnissen, wo seine Rechte sind, kommt er gar nicht. Wie löst man das Problem zukünftig? Hier komme ich gar nicht mehr mit. Über welche Rechte sprechen wir hier? Share oder NTFS? DFS-N / DFS-R ändert nichts an Rechten oder "interpretiert" sie anders als es bei normalen Freigaben der Fall ist. Es wird so gelesen, wie Du es eingestellt hast - auch vom Client. Weder DFS-N noch DFS-R bilden hier eine Ausnahme. Viele Grüße olc Zitieren Link zu diesem Kommentar
Muffel 11 Geschrieben 15. April 2008 Autor Melden Teilen Geschrieben 15. April 2008 Grundsätzliche gehe ich einmal davon aus, daß Du von DFS-R sprichst, also der R2 Version von DFS (besser: DFS-N und DFS-R). Ist das korrekt? R2 und SP2 ist überall drauf. Welche Berechtigungen hast Du verändert - die Share Permission des Namespaces, die Share Permissions auf dem Target oder die NTFS Permissions auf dem Ordner selbst? Share ist immer aus "Jeder Vollzugriff". Klar meine ich die NTFS-Rechte. Was bedeutet in diesem Zusammenhang "Root"? zum Beispiel ist X:\DFS\DFS-Dokumente das Root-Verzeichnis für den DFS-Stamm DFS-Dokumente. Wenn eine ACL (NTFS) geändert wird, werden nur diese Rechteänderungen repliziert, nicht alle Daten. Ausnahme ist hierbei die Initialreplikation, die unter ungünstigen Umständen alle Daten noch einmal repliziert. Den Satz versteh ich nicht. Es ist doch logisch, dass die Erstreplikation den gesamten Inhalt repliziert. Wie zeigte sich, daß tatsächlich alle Daten repliziert wurden? Woran machst Du diese Erkenntnis fest? Dass das Verzeichnis FRS-Staging plötzlich mit ein paar hundert MByte Daten volläuft und der Traffic die WAN-Verbindung zu 100% für mehrere Stunden auslastet. Wie schon geschrieben: Ich habe nur die NTFS-Rechte um eine Benutzergruppe mit Lese/Ausführen ergänzt. Daraufhin rammelt alles los. Wie beschrieben, werden im Normalfall nur die ACLs repliziert. Es sei denn es wurde der RDC manuell von Dir abgeschaltet. Dann sollte es jedoch auch im Normalbetrieb zu höherem Replikationsverkehr kommen als erwünscht... Wer ist RDC? Wie ist das Patchlevel der Systeme? Alles WS 2003 SP2 mit R2-Erweiterungen. Ist ein (nicht kompatibler) Virenscanner installiert? Nichts davon vorhanden auf den Servern. Hier komme ich gar nicht mehr mit. Über welche Rechte sprechen wir hier? Immer noch NTFS. Bleiben wir bei X:\DFS\DFS-Dokumente und der DFS-Freigabe namens DFS-Dokumente, also \\domäne\DFS-Dokumente Auf X:\DFS\DFS-Dokumente haben nur Admins und SYSTEM Vollzugriff, sonst niemand nichts. Auf X:\DFS\DFS-Dokumente\User hat ein User Vollzugriff. Der kommt nach \\domäne\DFS-Dokumente\User aber nicht hin, weil ihm schon der Zugriff auf \\domäne\DFS-Dokumente verweigert wird. Jetzt habe ich X:\DFS\DFS-Dokumente Lese-Ausführen Zugriffsrecht für eine Gruppe gegeben, in der User Mitglied ist. Durch die Vererbung wird dieses Recht durch alle Unterverzeichnisse geprügelt und der gesamte DFS-Stamm durchläuft eine Replizierung. Jetzt besser erklärt? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. April 2008 Melden Teilen Geschrieben 15. April 2008 Guten Abend, R2 und SP2 ist überall drauf. Und Du nutzt auch die R2 Dienste, also DFS-R? Das hört sich später in Deinem Post nämlich nicht so an. Share ist immer aus "Jeder Vollzugriff". Klar meine ich die NTFS-Rechte. ...womit noch nicht geklärt wäre, ob Du die Rechte des Namespaces selbst oder die Rechte des Ordnerziels bearbeitet hast. Aber das hast Du später in Deinem letzten Post noch präzisiert. Den Satz versteh ich nicht. Es ist doch logisch, dass die Erstreplikation den gesamten Inhalt repliziert. Nein, denn wie auch in Deinem Fall können im Zielverzeichnis schon Daten liegen. Es werden hier (bei DFS-R) nicht alle Daten noch einmal repliziert, sondern die vorhandenen Daten mit in den Prozess mit einbezogen. Bei FRS ist das nicht so - dort werden alle Daten repliziert. Dass das Verzeichnis FRS-Staging plötzlich mit ein paar hundert MByte Daten volläuft und der Traffic die WAN-Verbindung zu 100% für mehrere Stunden auslastet. Hier redest Du wieder von FRS-Staging. Sieht also so aus, als ob Du nicht DFS-R, sondern FRS nutzt. Dann sieht die Antwort nämlich tatsächlich anders aus. Wie schon geschrieben: Ich habe nur die NTFS-Rechte um eine Benutzergruppe mit Lese/Ausführen ergänzt. Daraufhin rammelt alles los. Wie gesagt, bei DFS-R werden nur die ACLs repliziert, bei FRS werden in diesem Fall alle Dateien repliziert, nicht nur die Änderungen. Unter FRS wurden grundsätzlich keine Deltas repliziert, sondern nur ganze Dateien. Wer ist RDC? Remote Differential Compression. Da es entgegen Deiner ersten Aussage scheinbar doch um FRS und nicht DFS-R geht, ist diese Technik in diesem Fall nicht relevant. Jetzt besser erklärt? Na ja... ;) Wie schon mehrfach gesagt: --> FRS: Die Dateien werden komplett repliziert, da keine Delta-Replikation möglich ist. --> DFS-R: Nur die ACLs werden repliziert, es sei denn RDC ist ausgeschaltet (nicht empfehlenswert). Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.