Windows Server 2012 R2 und 2016 als NFS-Server einrichten

    Windows Server als NFS-Freigabe für VMware ESXiDas Network Filesystem (NFS) ist das domi­nierende Proto­koll für die Frei­gabe von Lauf­werken unter Linux/Unix. Besondere Bedeu­tung hat es für die Speicherung von VMs unter vSphere. Windows Server unter­stützt NFS in der Version 4.1 und kann somit als File-Server für Linux und ESXi dienen.

    Bei Microsoft genießt nach wie vor SMB/CIFS höchste Priorität. Der Hersteller hat sein eigenes Protokoll für das File-Sharing seit Windows Server 2012 deutlich verbessert, so dass Freigaben nicht nur der Ablage von Benutzerdateien dienen, sondern auch als hochver­fügbares und leistungsfähiges Storage für virtuelle Maschinen oder SQL-Datenbanken (siehe dazu: Performante Storage-Anbindung: SMB3, SMB Direct, RDMA und SMB Multi­channel).

    Unterstützung für NFS 4.1

    Dennoch hat sich auch in puncto NFS-Unterstützung in den neueren Versionen des Microsoft-Betriebssystems einiges getan. Der Support für die NFS 4.1 verein­facht die Konfiguration von Firewalls und bringt dank RPCSEC_GSS mehr Sicherheit. Unter Server 2012 kam außerdem ein PowerShell-Modul für NFS hinzu und das Mapping von Unix- auf Windows-Konten wurde verbessert.

    Wenn man den NFS-Server über den Server Manager hinzufügen möchte, dann nutzt man dafür den zuständigen Wizard.

    Die Einrichtung eines NFS-Servers erfolgt in zwei Schritten. Zuerst installiert man die Rolle, entweder über die den Wizard zum Hinzufügen von Rollen und Features im Server Managers oder mit Hilfe von PowerShell:

    Install-WindowsFeature FS-NFS-Service

    Wenn man das NFS-Modul für PowerShell ebenfalls installieren möchte, dann sollte man den Aufruf um den Schalter IncludeManagementTools ergänzen.

    Freigabe konfigurieren

    Anschließend konfiguriert man NFS-Freigaben, wobei man auch hier wieder zwischen einer Wizard-geführten Variante und der Kommandozeile wählen kann. Entscheidet man sich für die GUI, dann wechselt man im Server Manager in der Navigationsleiste zu Datei- und Speicherdienste => Freigaben und führt unter Aufgaben den Befehl Neue Freigabe aus.

    Neue NFS-Freigabe im Server Manager anlegen

    In der anschließenden Auswahl entscheidet man sich für NFS-Freigabe - Schnell. Die Ausführung von NFS-Freigabe - Erweitert setzt die Installation des File Server Resource Manager voraus. Die dort konfigurierbaren Features wie Dateiklassifizierung und Disk Quotas kann man auch nachträglich anpassen.

    Für die Konfiguration der NFS-Freigabe wählt man das Profil Schnell.

    ReFS nicht zulässig

    Im nächsten Schritt wählt man das Volume oder das Verzeichnis aus, das über NFS freigegeben werden soll. Hier ist darauf zu achten, dass der betreffende Datenträger mit NTFS formatiert sein muss. Ist das Dateisystem ReFS, dann erhält man erst eine Fehlermeldung, wenn man den gesamten Wizard durchlaufen hat.

    Der NFS-Server erlaubt keine Freigaben auf ReFS-Volumes.

    Im anschließenden Dialog legt man den Namen der Freigabe fest, aus dem der Wizard automatisch den Pfad zur Freigabe erzeugt. Diesen sollte man sich merken, weil man ihn später auf den Clients benötigt, um eine Verbindung herzustellen. Es ist daran zu denken, dass dabei zwischen Groß- und Kleinschreibung unterschieden wird.

    Den Remotepfad der NFS-Freigabe benötigt man anschließend auf den Clients, um eine Verbindung herzustellen.

    Methoden für die Authentifizierung

    Im weiteren Verlauf wird man aufgefordert, die Authenti­fizierungs­methoden auszuwählen, die für diese NFS-Freigabe zugelassen sind. Dabei lassen sich mehrere Optionen parallel aktivieren. Die größte Sicherheit bietet Kerberos, das Windows Server für NFS 3.0 und 4.1 unterstützt.

    Möchte man die Kerberos-Authentifizierung für VMware ESXi nutzen, dann benötigt man dort mindestens die Version 6.0. Die Hosts müssen zu diesem Zweck einer AD-Domäne beitreten und die Freigabe über NFS 4.1 ansprechen. Zu den weiteren Voraussetzungen und das Vorgehen informiert die VMware-Dokumentation.

    Für eine Freigabe können mehrere Methoden für die Authentifizierung aktiviert werden.

    Möchte man den Aufwand für die Kerberos-Authentifizierung meiden und trotzdem nicht auf jede Sicherheit verzichten, dann sollte man den anonymen Zugriff verweigern. Nicht wesentlich sicherer ist die Option Zugriff durch nicht zugeordneten Benutzer ermöglichen. In diesem Fall reicht der NFS-Server die unter Unix verwendete UID und GID des Benutzers durch, die dann etwa verwendet wird, um den Besitzer einer Datei festzulegen.

    Wählt man neben dem anonymen Zugriff auch diese Einstellung ab, dann muss man ein Mapping zwischen Benutzerkonten unter Unix (bzw. ESXi) und Windows definieren. Das lässt sich mit Hilfe des PowerShell-Cmdlets New-NfsMappedIdentity. Einen Überblick über die Authentifizierungs- und Mapping-Optionen für NFS gibt dieser Blog-Beitrag auf TechNet.

    Zugriff auf bestimmte Clients beschränken

    Im folgenden Dialog für Freigabe­berechtigungen kann man den Zugriff auf einzelne Hosts oder Client- bzw. Netzgruppen einschränken. Für ersteren kann man entweder die IP-Adresse oder den FQDN verwenden.

    Die Client- und Netzgruppen muss man erst definieren, bevor man sie hier eintragen kann. Soll das auf Basis des AD erfolgen, dann sind dafür die Cmdlets New-NfsClientgroup und New-NfsNetgroup zuständig.

    Man kann den Zugriff auf die NFS-Freigabe auf bestimmte Clients einschränken oder "Alle Computer" auswählen.

    Eine weitere Option in diesem Dialog lautet Stammzugriff zulassen. Es handelt sich dabei um eine schlechte Übersetzung von Allow root access. Gemeint ist damit, dass der Zugriff unter der root-Kennung des Clients erfolgen darf, beispielsweise indem man dem Client beim Export der Freigabe root-Access einräumt oder indem man den Unix-User root unter Windows dem Konto Administrator zuordnet.

    Sollen ESXi-Hosts die NFS-Freigabe nutzen und erfolgt die Authenti­fizierung nicht über Kerberos, dann muss man das Kontroll­kästchen Stammzugriff zulassen anhaken. Das gilt auch dann, wenn der Hypervisor NFS 4.1 verwendet.

    Berechtigungen für die Freigabe bearbeiten

    Im letzten Dialog vor der Zusammen­fassung schließlich legt man die Zugriffrechte auf die NFS-Freigabe fest. Für die tatsächlichen Berechtigungen eines Benutzers müssen wie bei SMB-Freigaben auch die NTFS-Rechte berücksichtigt werden. Maßgeblich ist somit die Kombination aus Datei- und Freigaberechten.

    2 Kommentare

    Bild von RBer
    RBer sagt:
    4. April 2017 - 14:41

    Hallo, danke für den tollen Artikel! Unter Windows 2008 konnte man die Voreinstellungen für die NTFS Vererbung mittels dem Registrykey HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Server for NFS\CurrentVersion\Mapping\KeepInheritance steuern. Dies scheint unter Windows 2012R2 nicht mehr zu funktionieren, obwohl es den Key dafür noch gibt. Ist Ihnen hierfür eine Lösung bekannt?

    Bild von :)
    :) sagt:
    28. März 2019 - 12:34

    :)