Data Domain: introducción a NFSv4

Varios factores pueden afectar si elige NFSv4 o NFSv3:
● Soporte
para clientes NFSEs posible que algunos clientes NFS solo admitan NFSv3 o NFSv4, o que funcionen mejor con una versión.
● Requisitos
operativos Una empresa puede estar estrictamente estandarizada para utilizar NFSv4 o NFSv3.
● Seguridad
Si necesita una mayor seguridad, NFSv4 proporciona un mayor nivel de seguridad que NFSv3, incluida la ACL y la configuración extendida del propietario y
el grupo.
● Requisitos
de características Si necesita bloqueo de rango de bytes o archivos UTF-8, debe elegir NFSv4.
● Submontajes NFSv3 Si su configuración existente utiliza submontajes
NFSv3, NFSv3 podría ser la opción adecuada.

NFSv4 en comparación con NFSv3
NFSv4 proporciona funcionalidades y características mejoradas en comparación con NFSv3.
En la siguiente tabla, se comparan las funciones de NFSv3 con las de NFSv4.

Mesa NFSv4 en comparación con NFSv3

Puertos
NFSv4Puede habilitar o deshabilitar NFSv4 y NFSv3 de manera independiente. Además, puede mover versiones de NFS a diferentes puertos; ambos
No es necesario que las versiones ocupen el mismo puerto.
Con NFSv4, no es necesario reiniciar el sistema de archivos si cambia de puerto. En esos casos, solo se requiere un reinicio de NFS.
Al igual que NFSv3, NFSv4 se ejecuta en el puerto 2049 como predeterminado si está habilitado.
NFSv4 no utiliza portmapper (puerto 111) ni mountd (puerto 2052).

Descripción general
del mapeo de IDNFSv4 identifica a los propietarios y los grupos mediante un formato externo común, como joe@example.com. Estos formatos comunes son los siguientes:
conocidos como identificadores o ID.
Los identificadores se almacenan dentro de un servidor NFS y utilizan representaciones internas, como ID 12345 o ID S-123-33-667-2. El
La conversión entre identificadores internos y externos se conoce como mapeo de ID.
Los identificadores están asociados con lo siguiente:
● Propietarios de archivos y directorios
● Grupos de propietarios de archivos y directorios
● Entradas en listas de control de acceso (ACL)
Los sistemas de protección utilizan un formato interno común para los protocolos NFS y CIFS/SMB, lo que permite que los archivos y directorios se
compartan entre NFS y CIFS/SMB. Cada protocolo convierte el formato interno a su propio formato externo con su propio ID
Asignación.
 

Formatos
externosEl formato externo de los identificadores NFSv4 sigue los estándares de NFSv4 (por ejemplo, RFC-7530 para NFSv4.0). Además,
se admiten formatos complementarios para la interoperabilidad.

Formatos de identificadores estándar

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Formatos alternativos
Para permitir la interoperabilidad, los servidores NFSv4 en sistemas de protección son compatibles con algunos formatos de identificador alternativos para entrada y salida.
● Identificadores numéricos; por ejemplo, "12345".
● Identificadores de seguridad (SID) compatibles con Windows expresados como "S-NNN-NNN-..."
Consulte las secciones sobre asignación de entrada y asignación de salida para obtener más información sobre las restricciones de estos formatos.

Formatos de identificadores
internosEl sistema de archivos de DD almacena identificadores con cada objeto (archivo o directorio) en el sistema de archivos. Todos los objetos tienen un usuario
numéricoID (UID) e ID de grupo (GID). Estos, junto con un conjunto de bits de modo, permiten la identificación y el acceso
tradicionales a UNIX/LinuxControles.
Los objetos creados por el protocolo CIFS/SMB, o por el protocolo NFSv4 cuando las ACL de NFSv4 están habilitadas, también tienen un
descriptor de seguridad (SD). Cada SD contiene lo siguiente:
● Un identificador de seguridad de propietario (SID)
● Un SID
de grupo de propietarios● Una ACL discrecional (DACL)
● (Opcional) Una ACL del sistema (SACL)
Cada SID contiene un ID relativo (RID) y un dominio distinto de manera similar a los SID de Windows. Consulte la sección sobre NFSv4 y
Interoperabilidad CIFS para obtener más información sobre los SID y la asignación de SID.
Cuándo se produce
el mapeo de IDEl servidor NFSv4 del sistema de protección realiza el mapeo en las siguientes circunstancias:
● Mapeo de entradas
: El servidor NFS recibe un identificador de un cliente NFSv4. 
● Mapeo de salida:
se envía un identificador desde el servidor NFS al cliente NFSv4. 
● Mapeo de
credenciales: las credenciales del cliente RPC se asignan a una identidad interna para el control de acceso y otras operaciones.

Mapeo de
entradaEl mapeo de entrada se produce cuando un cliente NFSv4 envía un identificador al servidor NFSv4 del sistema de protección, configurando el propietario
o el grupo de propietarios de un archivo, por ejemplo. El mapeo de entrada es distinto del mapeo de credenciales.
Los identificadores de formato estándar, como joe@mycorp.com, se convierten en un UID/GID interno en función de la configuración
reglas de conversión. Si las ACL de NFSv4 están habilitadas, también se generará un SID basado en las reglas de conversión configuradas.
Los identificadores numéricos (por ejemplo, "12345") se convierten directamente en UID/GID correspondientes si el cliente no utiliza Kerberos
Autenticación. Si se utiliza Kerberos, se generará un error según lo recomendado por el estándar NFSv4. Si las ACL de NFSv4 son
habilitado, se generará un SID en función de las reglas de conversión.
Los SID de Windows (por ejemplo, "S-NNN-NNN-...") se validan y se convierten directamente en los SID correspondientes. Se generará
un UID/GIDbasado en las reglas de conversión.

Mapeo de salida

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Asignación de
credencialesEl servidor NFSv4 proporciona credenciales para el cliente NFSv4.
Estas credenciales realizan las siguientes funciones:
● Determinar la política de acceso para la operación; por ejemplo, la capacidad de leer un archivo.
● Determine el propietario predeterminado y el grupo de propietarios para nuevos archivos y directorios.
Las credenciales enviadas desde el cliente pueden ser john_doe@mycorp.com o credenciales del sistema, como UID=1000, GID=2000.
Las credenciales del sistema especifican un UID/GID junto con los ID de grupos auxiliares.
Si las ACL de NFSv4 están deshabilitadas, se utilizan el UID/GID y los ID de grupo auxiliar para las credenciales.

Si las ACL de NFSv4 están habilitadas, los servicios de mapeo configurados se utilizan para crear un descriptor de seguridad extendido para el
Credenciales:
● Los SID para el propietario, el grupo de propietarios y el grupo auxiliar se asignan y agregan al descriptor de seguridad (SD).
● Los privilegios de credencial, si los hubiera, se agregan a la SD.
Interoperabilidad
de NFSv4 y CIFS/SMBLos descriptores de seguridad utilizados por NFSv4 y CIFS son similares desde una perspectiva de mapeo de ID, aunque hay diferencias.
Debe tener en cuenta lo siguiente para garantizar una interoperabilidad óptima:
● Active Directory debe configurarse tanto para CIFS como para NFSv4, y el asignador de ID de NFS debe configurarse para utilizar Active
Directory para la asignación de ID.
● Si utiliza ampliamente las ACL de CIFS, normalmente puede mejorar la compatibilidad habilitando también las ACL de NFSv4.
○ La habilitación de las ACL de NFSv4 permite que las credenciales de NFSv4 se asignen al SID adecuado al evaluar el acceso a DACL.
● El servidor CIFS recibe las credenciales del cliente CIFS, incluida la ACL predeterminada y los privilegios de usuario.
○ Por el contrario, el servidor NFSv4 recibe un conjunto más limitado de credenciales y crea credenciales en el tiempo de ejecución mediante su
asignador de ID. Debido a esto, es posible que el sistema de archivos vea credenciales diferentes.

Integración de Active Directory con CIFS/SMB

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

DACL predeterminada para NFSv4
NFSv4 establece una DACL (lista de control de acceso discrecional) predeterminada diferente a la DACL predeterminada proporcionada por CIFS.
Solo OWNER@, GROUP@ y EVERYONE@ se definen en la DACL predeterminada de NFSv4. Puede usar la herencia de ACL para:
agregue automáticamente las ACE significativas de CIFS de manera predeterminada, si corresponde.
SID predeterminados del
sistemaLos archivos y directorios creados por NFSv3 y NFSv4 sin ACL utilizan el dominio predeterminado del sistema, a veces denominado
Dominio de UNIX predeterminado:
● Los SID de usuario en el dominio del sistema tienen el formato S-1-22-1-N, donde N es el UID.
● Los SID de grupo en el dominio del sistema tienen el formato S-1-22-2-N, cuando N es el GID.
Por ejemplo, un usuario con UID 1234 tendría un SID de propietario de S-1-22-1-1234.
Identificadores comunes en ACL y SID
de NFSv4El identificador de EVERYONE@ y otros identificadores especiales (por ejemplo, BATCH@) en las ACL de NFSv4 utilizan el equivalente
CIFS SIDS y son compatibles.
Los identificadores OWNER@ y GROUP@ no tienen correspondencia directa en CIFS; aparecen como el propietario actual y el identificador actual
owner-group del archivo o directorio.
 

Referencias de NFS
La función de referencia permite que un cliente NFSv4 acceda a una exportación (o sistema de archivos) en una o varias ubicaciones. Las ubicaciones pueden estar en
en el mismo servidor NFS o en servidores NFS diferentes, y utilice la misma ruta o ruta diferente para acceder a la exportación.
Debido a que las referencias son una característica de NFSv4, se aplican solo a los montajes de NFSv4.
Se pueden hacer referencias a cualquier servidor que utilice NFSv4 o posterior, incluidos los siguientes:
● Un sistema de protección que ejecuta NFS con NFSv4 habilitado
● Otros servidores compatibles con NFSv4, incluidos servidores Linux, dispositivos NAS y sistemas VNX.
Una referencia puede usar un punto de exportación NFS con o sin una ruta subyacente actual en el sistema de archivos de DD.
Las exportaciones de NFS con referencias se pueden montar a través de NFSv3, pero los clientes de NFSv3 no se redirigirán, ya que las referencias son NFSv4
Característica. Esta característica es útil en sistemas de escalamiento horizontal para permitir que las exportaciones se redirijan en un nivel de administración de archivos.

Ubicaciones
de referenciaLas referencias de NFSv4 siempre tienen una o más ubicaciones.
Estas ubicaciones constan de lo siguiente:
● Una ruta en un servidor NFS remoto al sistema de archivos referido.
● Una o más direcciones de red de servidor que permitan al cliente acceder al servidor NFS remoto.
Por lo general, cuando varias direcciones de servidor están asociadas con la misma ubicación, esas direcciones se encuentran en el mismo NFS
Servidor.
Nombres
de ubicación de referenciaPuede nombrar cada ubicación de referencia dentro de una exportación de NFS. Puede utilizar el nombre para acceder a la referencia, así como para modificar o
elimínelo.
Un nombre de referencia puede contener un máximo de 80 caracteres de los siguientes conjuntos de caracteres:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
NOTA: Puede incluir espacios siempre y cuando esos espacios estén incrustados dentro del nombre. Si utiliza espacios incrustados,
Debe encerrar el nombre completo entre comillas dobles.
Los nombres que comienzan con "." están reservados para la creación automática por parte del sistema de protección. Puede eliminar estos nombres,
perono se pueden crear ni modificar mediante la interfaz de línea de comandos (CLI) ni los servicios de administración de sistemas (SMS).
 

Referencias y sistemas
de escalamiento horizontalLas ubicaciones y las referencias de NFSv4 pueden habilitar mejor el acceso si está escalando horizontalmente los sistemas de protección.
Dado que el sistema puede contener o no un espacio de nombres global, en los dos escenarios siguientes se
describe cómopodría usar referencias de NFSv4:
● El sistema no contiene un espacio de nombres global.
○ Puede utilizar las referencias de NFSv4 para crear ese espacio de nombres global. Los administradores del sistema pueden crear estos espacios de nombres globales, o
puede usar referencias de creación de elementos de Smart System Manager (SM) según sea necesario.
● Su sistema ya tiene un espacio de nombres global.
○ Si el sistema tiene un espacio de nombres global con MTrees colocados en nodos específicos, se pueden crear referencias NFS para redirigir
el acceso a esos MTrees a los nodos agregados al sistema de escalamiento horizontal. Puede crear estas referencias o tenerlas
se realiza automáticamente dentro de NFS si está disponible la información necesaria de SM o del administrador de archivos (FM).

NFSv4 y alta disponibilidad
Con NFSv4, las exportaciones de protocolos (por ejemplo, /data/col1/<mtree> ) se espejean en una configuración de alta disponibilidad (HA). Sin embargo
Las exportaciones de configuración, como /ddvar, no se espejean.
El sistema de archivos /ddvar es único para cada nodo de un par de HA. Como resultado, las exportaciones de /ddvar y su acceso
de cliente asociadoLas listas no se espejean en el nodo en espera en un entorno de HA.
La información en /ddvar se vuelve obsoleta cuando el nodo activo realiza una conmutación por error al nodo en espera. Cualquier permiso de cliente otorgado
/ddvar en el nodo activo original se debe volver a crear en el nodo activo recientemente después de que se produzca una conmutación por error.
También debe agregar las exportaciones adicionales de /ddvar y sus clientes (por ejemplo, /ddvar/core) que se crearon en el
Nodo activo original al nodo activo recientemente después de que se produce una conmutación por error.
Por último, cualquier exportación de /ddvar que desee se debe desmontar del cliente y, a continuación, volver a montarse después de que se produzca una conmutación por error.

Espacios
de nombres globales de NFSv4El servidor NFSv4 proporciona un árbol de directorios virtual conocido como pseudoFS para conectar las exportaciones NFS en un conjunto de rutas con capacidad de búsqueda.
El uso de un pseudoFS distingue NFSv4 de NFSv3, el cual utiliza el protocolo auxiliar MOUNTD.
En la mayoría de las configuraciones, el cambio de NFSv3 MOUNTD al espacio de nombres global NFSv4 es transparente y se maneja automáticamente
por el cliente y el servidor NFSv4.
 

Espacios de nombres globales de NFSv4 y submontajes de
NFSv3Si utiliza submontajes de exportación de NFSv3, es posible que los espacios de nombres globales característicos de NFSv4 impidan que se vean
submontajesen el montaje de NFSv4.
Exportaciones principales y exportaciones
de submontaje de NFSv3Si NFSv3 tiene una exportación principal y una exportación de submontaje, estas exportaciones pueden usar los mismos clientes NFSv3, pero tienen diferentes niveles de
Acceso:

Tabla: exportaciones principales y exportaciones de submontaje de NFSv3 

En la tabla anterior, se aplica lo siguiente a NFSv3:
● Si client1.example.com monta /data/col1/mt1, el cliente obtiene acceso de solo lectura.
● Si client1.example.com monta /data/col1/mt1/subdir, el cliente obtiene acceso de lectura y escritura.
NFSv4 funciona de la misma manera con respecto a las rutas de exportación de nivel superior. Para NFSv4, client1.example.com navega por la
NFSv4 PseudoFS hasta que alcanza la ruta de exportación de nivel más alto, /data/col1/mt1, donde obtiene acceso de solo lectura.
Sin embargo, debido a que se seleccionó la exportación, la exportación de submontaje (Mt1-sub) no forma parte del pseudoFS para el cliente y
No se otorga acceso de lectura y escritura.

Práctica recomendada
Si el sistema utiliza submontajes de exportaciones de NFSv3 para otorgar al cliente acceso de lectura y escritura en función de la ruta de montaje, debe considerar
esto antes de utilizar NFSv4 con estas exportaciones de submontaje.
Con NFSv4, cada cliente tiene una pseudoFS individual.

Tabla: exportaciones de submontaje de NFSv3 
 

Configuración de NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Actualización de exportaciones existentes

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos y NFSv4
NFSv4 y NFSv3 utilizan el mecanismo de autenticación Kerberos para proteger la información de identificación.
Kerberos evita que las credenciales de usuario se suplanten en los paquetes NFS y las protege de la manipulación en el camino hacia el
sistema de protección.
Existen distintos tipos de Kerberos mediante NFS:
● Kerberos 5 (sec=krb5)
Use Kerberos para las credenciales de usuario.
● Kerberos 5 con integridad (sec=krb5i)
Utilice Kerberos y compruebe la integridad de la carga útil de NFS mediante una suma de comprobación cifrada.
● Kerberos 5 con seguridad (sec=krb5p)
Utilice Kerberos 5 con integridad y cifre toda la carga útil de NFS.
NOTA: krb5i y krb5p pueden causar degradación del rendimiento debido a la sobrecarga computacional adicional en ambos
Cliente NFS y el sistema de protección.
 

Configuración de Kerberos con un KDC basado en Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Configuración de Kerberos con un KDC basado en Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Configuración de Kerberos con un KDC basado en Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Habilitación de Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Configuración de Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.