Data Domain – Introduktion til NFSv4

Flere faktorer kan påvirke, om du vælger NFSv4 eller NFSv3:
● NFS kundesupport
Nogle NFS-klienter understøtter muligvis kun NFSv3 eller NFSv4 eller fungerer muligvis bedre med én version.
● Operationelle krav
En virksomhed kan være strengt standardiseret til at bruge enten NFSv4 eller NFSv3.
● Sikkerhed
Hvis du har brug for større sikkerhed, giver NFSv4 et højere sikkerhedsniveau end NFSv3, herunder ACL og udvidet ejer- og
gruppekonfiguration.
● Funktionskrav
Hvis du har brug for byte-range låsning eller UTF-8-filer, skal du vælge NFSv4.
● NFSv3-undermonteringer
Hvis din eksisterende konfiguration bruger NFSv3-undermonteringer, kan NFSv3 være det rigtige valg.

NFSv4 sammenlignet med NFSv3
NFSv4 giver forbedret funktionalitet og forbedrede funktioner sammenlignet med NFSv3.
Følgende tabel sammenligner NFSv3-funktionerne med dem for NFSv4.

Tabel NFSv4 sammenlignet med NFSv3

NFSv4-porte
Du kan aktivere eller deaktivere NFSv4 og NFSv3 uafhængigt af hinanden. Derudover kan du flytte NFS-versioner til forskellige porte, begge
Versioner behøver ikke at optage den samme port.
Med NFSv4 behøver du ikke genstarte filsystemet, hvis du skifter port. I sådanne tilfælde kræves der kun en NFS-genstart.
Ligesom NFSv3 kører NFSv4 på Port 2049 som standard, hvis den er aktiveret.
NFSv4 bruger ikke portmapper (port 111) eller monteret (port 2052).

Oversigt
over id-tilknytningNFSv4 identificerer ejere og grupper ved hjælp af et fælles eksternt format, f.eks. joe@example.com. Disse almindelige formater er
kendt som identifikatorer eller id'er.
Identifikatorer gemmes på en NFS-server og bruger interne repræsentationer såsom ID 12345 eller ID S-123-33-667-2. Den
konvertering mellem interne og eksterne identifikatorer kaldes id-kortlægning.
Identifikatorer er knyttet til følgende:
● Ejere af filer og mapper
● Ejergrupper af filer og mapper
● Indgange i adgangskontrollister (ACL'er)
Beskyttelsessystemer bruger et fælles internt format til NFS- og CIFS/SMB-protokoller, som gør det muligt at
dele filer og mappermellem NFS og CIFS/SMB. Hver protokol konverterer det interne format til sit eget eksterne format med sit eget id
Kortlægning.
 

Eksterne formater
Det eksterne format til NFSv4-id'er følger NFSv4-standarderne (f.eks. RFC-7530 til NFSv4.0). Desuden
understøttes supplerende formater med henblik på interoperabilitet.

Standardidentifikatorformater

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Alternative formater
For at muliggøre interoperabilitet understøtter NFSv4-servere på beskyttelsessystemer nogle alternative identifikationsformater for input og output.
● Numeriske identifikatorer, f.eks. "12345".
● Windows-kompatible sikkerhedsidentifikatorer (SID'er) udtrykt som "S-NNN-NNN-..."
Se afsnittene om inputtilknytning og outputtilknytning for at få flere oplysninger om begrænsninger for disse formater.

Formater for interne identifikatorer
DD-filsystemet gemmer identifikatorer med hvert objekt (fil eller mappe) i filsystemet. Alle objekter har en numerisk bruger
ID (UID) og gruppe-id (GID). Disse, sammen med et sæt tilstandsbits, giver mulighed for traditionel UNIX/Linux-identifikation og -adgang
Kontrol.
Objekter, der er oprettet af CIFS/SMB-protokollen eller af NFSv4-protokollen, når NFSv4 ACL er aktiveret, har også en udvidet
sikkerhedsbeskrivelse (SD). Hvert SD indeholder følgende:
● Et ejersikkerheds-id (SID)
● Et ejergruppe-SID
● En skønsmæssig ACL (DACL)
● (valgfrit) Et system-ACL (SACL)
Hvert SID indeholder et relativt ID (RID) og et særskilt domæne på samme måde som Windows-SID'er. Se afsnittet om NFSv4 og
CIFS-interoperabilitet for mere information om SID er og kortlægning af SID'er.
Når id-tilknytning finder sted
Beskyttelsessystemets NFSv4-server udfører kortlægning under følgende omstændigheder:
● Input kortlægning
NFS-serveren modtager en identifikator fra en NFSv4-klient. 
● Outputtilknytning:
En identifikator sendes fra NFS-serveren til NFSv4-klienten. 
● Tilknytning af
legitimationsoplysningerRPC-klientens legitimationsoplysninger knyttes til en intern identitet til adgangskontrol og andre handlinger.

Inputtilknytning
Inputtilknytning opstår, når en NFSv4-klient sender en identifikator til beskyttelsessystemets NFSv4-server, f.eks. ved at konfigurere ejeren
eller ejergruppen af en fil. Inputtilknytning adskiller sig fra tilknytning af legitimationsoplysninger.
Standardformatidentifikatorer, f.eks. joe@mycorp.com, konverteres til en intern UID/GID baseret på den konfigurerede
regler for omregning. Hvis NFSv4 ACL er aktiveret, genereres der også et SID baseret på de konfigurerede konverteringsregler.
Numeriske identifikatorer (f.eks. "12345") konverteres direkte til tilsvarende UID/GID'er, hvis klienten ikke bruger Kerberos
Godkendelse. Hvis Kerberos anvendes, genereres der en fejl som anbefalet af NFSv4-standarden. Hvis NFSv4 ACL er
aktiveret, genereres et SID baseret på konverteringsreglerne.
Windows SID er (f.eks. "S-NNN-NNN-...") valideres og konverteres direkte til de tilsvarende SID'er. Der genereres et UID/GID
baseret på konverteringsreglerne.

Output kortlægning

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Tilknytning
af legitimationsoplysningerNFSv4-serveren leverer legitimationsoplysninger til NFSv4-klienten.
Disse legitimationsoplysninger udfører følgende funktioner:
● Bestem adgangspolitikken for handlingen, for eksempel muligheden for at læse en fil.
● Bestem standardejer og ejergruppe for nye filer og mapper.
Legitimationsoplysninger, der sendes fra klienten, kan være john_doe@mycorp.com, eller systemlegitimationsoplysninger som UID=1000, GID=2000.
Systemlegitimationsoplysninger angiver et UID/GID sammen med hjælpegruppe-id'er.
Hvis NFSv4 ACL er er deaktiveret, bruges UID/GID og hjælpegruppe-id erne som legitimationsoplysninger.

Hvis NFSv4 ACL er er aktiveret, bruges de konfigurerede tilknytningstjenester til at opbygge en udvidet sikkerhedsbeskrivelse for
Legitimationsoplysninger:
● SID er for ejeren, ejergruppen og hjælpegruppen tilknyttet og føjet til sikkerhedsbeskrivelsen (SD).
● Eventuelle rettigheder til legitimationsoplysninger føjes til SD.
Kompatibilitet
mellem NFSv4 og CIFS/SMBDe sikkerhedsbeskrivelser, der bruges af NFSv4 og CIFS, ligner hinanden fra et ID-kortlægningsperspektiv, selvom der er forskelle.
Du skal være opmærksom på følgende for at sikre optimal interoperabilitet:
● Active Directory skal konfigureres til både CIFS og NFSv4, og NFS ID-mapperen skal konfigureres til at bruge Active
Directory til ID-tilknytning.
● Hvis du bruger CIFS ACL'er i vid udstrækning, kan du normalt forbedre kompatibiliteten ved også at aktivere NFSv4 ACL'er.
○ Aktivering af NFSv4 ACL er gør det muligt at knytte NFSv4-legitimationsoplysninger til det relevante SID ved evaluering af DACL-adgang.
● CIFS-serveren modtager legitimationsoplysninger fra CIFS-klienten, herunder standard ACL og brugerrettigheder.
○ I modsætning hertil modtager NFSv4-serveren et mere begrænset sæt legitimationsoplysninger og konstruerer legitimationsoplysninger under kørsel ved hjælp af sin
ID-mapper. På grund af dette kan filsystemet muligvis se forskellige legitimationsoplysninger.

CIFS/SMB Active Directory-integration

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

Standard DACL for NFSv4
NFSv4 indstiller en anden standard DACL (diskretionær adgangskontrolliste) end den standard-DACL, der leveres af CIFS.
Kun OWNER@, GROUP@ og EVERYONE@ er defineret i standard NFSv4 DACL. Du kan bruge ACL-nedarvning til at
:Tilføj automatisk CIFS-signifikante ACE'er som standard, hvis det er relevant.
Systemstandarder for SID er
Filer og mapper, der er oprettet af NFSv3 og NFSv4 uden ACL er, bruger standardsystemdomænet, også kaldet
standard UNIX-domæne:
● Bruger-SID er i systemdomænet har formatet S-1-22-1-N, hvor N er UID'et.
● Gruppe-SID er i systemdomænet har formatet S-1-22-2-N, når N er GID.
En bruger med UID 1234 vil f.eks. have et ejer-SID på S-1-22-1-1234.
Almindelige identifikatorer i NFSv4 ACL er og SID er
EVERYONE@-id'et og andre særlige identifikatorer (f.eks. BATCH@) i NFSv4 ACL'er bruger det tilsvarende
CIFS SIDS og er kompatible.
De OWNER@- og GROUP@-id'er har ingen direkte overensstemmelse i CIFS. De vises som den aktuelle ejer og aktuelle
ejergruppe af filen eller mappen.
 

NFS-henvisninger
Henvisningsfunktionen gør det muligt for en NFSv4-klient at få adgang til en eksport (eller et filsystem) på en eller flere placeringer. Placeringer kan være slået til
den samme NFS-server eller på forskellige NFS-servere, og brug enten den samme eller en anden sti til at nå eksporten.
Da henvisninger er en NFSv4-funktion, gælder de kun for NFSv4-monteringer.
Henvisninger kan foretages til enhver server, der bruger NFSv4 eller nyere, herunder følgende:
● Et beskyttelsessystem, der kører NFS med NFSv4 aktiveret
● Andre servere, der understøtter NFSv4, herunder Linux-servere, NAS-enheder og VNX-systemer.
En henvisning kan bruge et NFS-eksportpunkt med eller uden en aktuel underliggende sti i DD-filsystemet.
NFS-eksport med henvisninger kan foretages via NFSv3, men NFSv3-klienter omdirigeres ikke, da henvisninger er en NFSv4
Funktion. Denne egenskab er nyttig i skaleringssystemer, så eksporter kan omdirigeres på filadministrationsniveau.

Henvisningsplaceringer
NFSv4-henvisninger har altid en eller flere placeringer.
Disse placeringer består af følgende:
● En sti på en ekstern NFS-server til det henviste filsystem.
● En eller flere servernetværksadresser, der gør det muligt for klienten at nå den eksterne NFS-server.
Når flere serveradresser er knyttet til den samme placering, findes disse adresser typisk på den samme NFS
Server.
Navne på
henvisningsplaceringerDu kan navngive hver henvisningsplacering i en NFS-eksport. Du kan bruge navnet til at få adgang til henvisningen samt til at ændre eller
Slet det.
Et henvisningsnavn kan maksimalt indeholde 80 tegn fra følgende tegnsæt:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
BEMÆRK: Du kan medtage mellemrum, så længe disse mellemrum er integreret i navnet. Hvis du bruger integrerede rum, kan du
skal omslutte hele navnet i dobbelte anførselstegn.
Navne, der begynder med "." er reserveret til automatisk oprettelse af beskyttelsessystemet. Du kan slette disse navne, men du
kan ikke oprette eller ændre dem ved hjælp af kommandolinjegrænsefladen (CLI) eller systemadministrationstjenester (SMS).
 

Henvisninger og skaleringssystemer
NFSv4-henvisninger og placeringer kan bedre aktivere adgang, hvis du skalerer dine beskyttelsessystemer ud.
Da dit system måske eller måske ikke allerede indeholder et globalt navneområde, beskriver følgende to scenarier, hvordan du
kan bruge NFSv4-henvisninger:
● Dit system indeholder ikke et globalt navneområde.
○ Du kan bruge NFSv4-henvisninger til at opbygge det globale navneområde. Systemadministratorer kan oprette disse globale navneområder eller
Du kan bruge SM-elementopbygningshenvisninger (Smart System Manager) efter behov.
● Dit system har allerede et globalt navneområde.
○ Hvis dit system har et globalt navneområde med MTrees placeret i bestemte noder, kan NFS-henvisninger oprettes for at omdirigere
adgangen til disse MTrees til de noder, der er føjet til det skalerede system. Du kan oprette disse henvisninger eller få dem
udføres automatisk i NFS, hvis de nødvendige SM- eller filhåndteringsoplysninger (FM) er tilgængelige.

NFSv4 og høj tilgængelighed
Med NFSv4 spejles protokoleksporter (f.eks. /data/col1/<mtree> i en HA-opsætning (High Availability). Men
Konfigurationseksporter som f.eks. /ddvar spejles ikke.
Filsystemet /ddvar er unikt for hver node i et HA-par. Som følge heraf eksporteres /ddvar og deres tilknyttede klientadgang
Lister spejles ikke i standbynoden i et HA-miljø.
Oplysningerne i /ddvar bliver forældede, når den aktive node ikke overføres til standbynoden. Alle klienttilladelser, der er givet
til /ddvar på den oprindelige aktive node skal genoprettes på den nyligt aktive node efter en failover.
Du skal også tilføje eventuelle yderligere /ddvar-eksporter og deres klienter (f.eks. /ddvar/core), der blev oprettet på
oprindelig aktiv node til den nyligt aktive node efter failover.
Endelig skal alle ønskede /ddvar-eksporter frakobles fra klienten og derefter tilsluttes igen, når der opstår en failover.

Globale navneområder
for NFSv4NFSv4-serveren indeholder et virtuelt mappetræ kaldet en PseudoFS til at forbinde NFS-eksporter til et søgbart sæt stier.
Brugen af en PseudoFS skelner NFSv4 fra NFSv3, som bruger MOUNTD-hjælpeprotokollen.
I de fleste konfigurationer er skiftet fra NFSv3 MOUNTD til det globale NFSv4-navneområde transparent og håndteres automatisk
af NFSv4-klienten og -serveren.
 

Globale navneområder og NFSv3-undermonteringer
til NFSv4Hvis du bruger NFSv3-eksportundermonteringer, kan de globale navneområder, der er karakteristiske for NFSv4, forhindre, at undermonteringer ses
på NFSv4-beslaget.
NFSv3 vigtigste eksport og submount eksport
Hvis NFSv3 har en primær eksport og en underordnet eksport, kan disse eksporter bruge de samme NFSv3-klienter, men alligevel have forskellige niveauer af
Adgang:

Tabel NFSv3 vigtigste eksport- og undermonteringseksporter 

I den forrige tabel gælder følgende for NFSv3:
● Hvis client1.example.com monterer /data/col1/mt1, får klienten skrivebeskyttet adgang.
● Hvis client1.example.com monterer /data/col1/mt1/subdir, får klienten læse-skrive-adgang.
NFSv4 fungerer på samme måde med hensyn til eksportstier på højeste niveau. For NFSv4 navigerer
client1.example.com iNFSv4 PseudoFS, indtil den når eksportstien på højeste niveau, /data/col1/mt1, hvor den får skrivebeskyttet adgang.
Men fordi eksporten er valgt, er submount-eksporten (Mt1-sub) ikke en del af PseudoFS for klienten og
Der gives ikke læse-skrive-adgang.

Bedste praksis
Hvis dit system bruger NFSv3 eksporterer undermonteringer for at give klienten læse/skrive-adgang baseret på tilslutningsstien, skal du overveje
dette, før du bruger NFSv4 med disse undermonteringseksporter.
Med NFSv4 har hver klient en individuel PseudoFS.

Tabel NFSv3 undermonteringseksport 
 

NFSv4-konfiguration

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Opdatering af eksisterende eksporter

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos og NFSv4
Både NFSv4 og NFSv3 bruger Kerberos-godkendelsesmekanismen til at sikre brugerlegitimationsoplysninger.
Kerberos forhindrer, at brugeroplysninger forfalskes i NFS-pakker, og beskytter dem mod manipulation undervejs til
beskyttelsessystem.
Der findes forskellige typer Kerberos over NFS:
● Kerberos 5 (sek=krb5)
Brug Kerberos som brugeroplysninger.
● Kerberos 5 med integritet (sec=krb5i)
Brug Kerberos, og kontrollér integriteten af NFS-dataene ved hjælp af en krypteret kontrolsum.
● Kerberos 5 med sikkerhed (sec=krb5p)Brug Kerberos 5 med integritet, og krypter hele NFS-nyttelasten.

BEMÆRK: KRB5i og KRB5P kan begge forårsage forringelse af ydeevnen på grund af yderligere beregningsomkostninger på både
NFS-klienten og beskyttelsessystemet.
 

Konfiguration af Kerberos med en Linux-baseret KDC
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Konfiguration af Kerberos med en Linux-baseret KDC
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Konfiguration af Kerberos med en Linux-baseret KDC
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Aktivering af Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Konfiguration af Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.