Как сделать внутренний SMB-ресурс доступным за пределами брандмауэра с помощью промежуточного сервера
Окружающая среда:
Windows 2008 Server в центре обработки данных 1 - назовите это
Server AДругой Windows 2008 Server на DC 2, назовите его
Server BКлиент Fibre Link с динамическим IP, подключенный через VPN к
Server B, назови этоClient A
Client A хочет видеть общие диски из Server A. Server A не может пропускать всех через брандмауэр, поэтому он настроен для Server B для доступа к общим папкам через брандмауэр. Идея - нанести на карту Server As едет на Server B, а затем поделитесь ими Client A.
Мы знаем, что это невозможно само по себе. Итак, я пробовал точки соединения, они не работают с общими дисками. Я попробовал DFS и обнаружил, что:
При просмотре папки в пространстве имен пользователи не знают, что папка размещена на нескольких серверах. Когда пользователь открывает папку, клиентский компьютер автоматически обращается к серверу на его сайте. Если серверы на одном сайте недоступны, вы можете настроить пространство имен для направления клиента на сервер с наименьшей стоимостью подключения, как определено в AD DS.
Есть ли способ заставить DFS повторно использовать сетевой диск?
Я хватаюсь за соломинку здесь и имею в виду последнюю часть процитированного выше абзаца: как мне настроить точку монтирования DFS, чтобы она не ПЕРЕПРАВИЛА, а ПОВТОРИЛА ДОБАВЛЕНИЕ?
РЕДАКТИРОВАТЬ:
Server B не может сохранить полную копию данных из Server A, поскольку сервер a собирает данные со скоростью 100 ГБ / день.
В свете ваших последних обновлений и комментариев, я думаю, что лучше всего разрешить подключение к Server A через VPN-доступ напрямую. Нет никакого смысла включать сервер B в микс.
В выпуске Samba 4 есть пакеты, которые потенциально могут выполнять проксирование SMB, но я не слышал о том, чтобы кто-нибудь использовал их с каким-либо уровнем успеха. Вы, конечно, не можете сделать это ни с одним собственным инструментом Windows.
В свете ваших обновлений это не ответ на ваш вопрос, но, тем не менее, это все еще хорошее знание, поэтому я оставлю его.
Существует две разные технологии DFS: пространства имен и репликация.
Пространства имён
Пространство имен DFS позволяет нескольким файловым серверам иметь один и тот же UNC. Например \\domain\share может быть поддержан \\server1\share и \\server2\share. Пользователи понятия не имеют, они просто подключаются к \\domain\share и прозрачно перенаправляются на один из резервных файловых серверов.
Вы можете определить, к какому серверу подключены пользователи, несколькими способами. Один из наиболее распространенных - это то, на каком сайте AD они находятся. Если вы хотите, чтобы ваши пользователи получали доступ к общему ресурсу на любом сервере прозрачно, \\domain\share, то вы хотите использовать пространства имен DFS, но это не полный ответ на вашу проблему.
Репликация
DFS-R позволяет реплицировать файлы на нескольких серверах. Если у тебя есть \\server1\share и \\server2\share в группе двусторонней репликации любые изменения одного общего ресурса будут распространяться на другой. Если вы хотите, чтобы на ваших двух серверах было одинаковое содержимое, вы воспользуетесь этим. Его можно использовать независимо от пространства имен DFS, но часто он используется вместе с ним для беспрепятственного доступа к ресурсам на основе сайта AD или для избыточности / балансировки нагрузки в целом.
Вы не «повторно публикуете», как в вашем вопросе, как это сделать, а скорее вы храните фактическую копию всего в обоих местах, включая разрешения. Это, как минимум, то, что вам нужно, чтобы выполнить то, о чем вы просите.
Если вы решите использовать пространства имен DFS в дополнении к DFR-R, тогда решать вам, и это дизайнерское решение. Это, безусловно, упростит доступ для ваших пользователей, но это не совсем необходимо.
tl; dr Используйте DFS-R и, возможно, пространства имен DFS, но определенно DFS-R.
редактировать: Так как кажется, что мой текст был непонятен, вот хорошая картинка
