Домен даних - Вступ до NFSv4

Кілька факторів можуть вплинути на те, що ви виберете: NFSv4 або NFSv3:
● Підтримка
клієнтів NFSДеякі клієнти NFS можуть підтримувати лише NFSv3 або NFSv4 або працювати краще з однією версією.
● Експлуатаційні вимоги
Підприємство може бути суворо стандартизоване для використання NFSv4 або NFSv3.
● Безпека
Якщо вам потрібен більший захист, NFSv4 забезпечує вищий рівень безпеки, ніж NFSv3, включаючи ACL і розширену конфігурацію власника та
групи.
● Вимоги до
функцій Якщо вам потрібне блокування діапазону байтів або файли UTF-8, вам слід вибрати NFSv4.
● Підмонтування NFSv3 Якщо
у вашій поточній конфігурації використовуються підмонтування NFSv3, NFSv3 може бути відповідним вибором.

NFSv4 порівняно з NFSv3
NFSv4 забезпечує розширену функціональність і можливості порівняно з NFSv3.
У наведеній нижче таблиці порівнюються функції NFSv3 з функціями NFSv4.

Стіл NFSv4 порівняно з NFSv3

Порти
NFSv4Ви можете вмикати або вимикати NFSv4 і NFSv3 незалежно один від одного. Крім того, ви можете переміщати версії NFS на різні порти;
Версії не обов'язково повинні займати один і той же порт.
З NFSv4 вам не потрібно перезавантажувати файлову систему, якщо ви змінюєте порти. У таких випадках потрібен лише перезапуск NFS.
Як і NFSv3, NFSv4 працює на порту 2049 за замовчуванням, якщо його увімкнено.
NFSv4 не використовує portmapper (порт 111) або mountd (порт 2052).

Огляд
відображення ідентифікаторівNFSv4 ідентифікує власників і групи за загальним зовнішнім форматом, наприклад joe@example.com. Такими поширеними форматами
євідомі як ідентифікатори або ідентифікатори.
Ідентифікатори зберігаються на сервері NFS і використовують внутрішні представлення, такі як ідентифікатор 12345 або ідентифікатор S-123-33-667-2. Об'єкт
перетворення між внутрішніми та зовнішніми ідентифікаторами називається зіставленням ідентифікаторів.
Ідентифікатори пов'язані з наступним:
● Власники файлів і каталогів
● Групи власників файлів і каталогів
● Записи в списках контролю доступу (ACL)Системи
захисту використовують загальний внутрішній формат для протоколів NFS і CIFS/SMB, що дозволяє спільно використовувати файли і каталоги
між NFS і CIFS/SMB. Кожен протокол перетворює внутрішній формат у свій зовнішній формат зі своїм ідентифікатором
Відображення.
 

Зовнішні формати
Зовнішній формат ідентифікаторів NFSv4 відповідає стандартам NFSv4 (наприклад, RFC-7530 для NFSv4.0). Крім того,
для сумісності підтримуються додаткові формати.

Стандартні формати ідентифікаторів

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Альтернативні формати
Щоб забезпечити сумісність, сервери NFSv4 у системах захисту підтримують деякі альтернативні формати ідентифікаторів для введення та виведення.
● Числові ідентифікатори, наприклад, «12345».
● Сумісні з Windows ідентифікатори безпеки (SID), виражені як «S-NNN-NNN-...»Перегляньте
розділи про відображення вводу та відображення виводу, щоб дізнатися більше про обмеження цих форматів.

Внутрішні формати ідентифікаторів
Файлова система DD зберігає ідентифікатори кожного об'єкта (файлу або каталогу) у файловій системі. Всі об'єкти мають числовий користувач
ідентифікатор (UID) та ідентифікатор групи (GID). Вони, поряд з набором бітів режиму, дозволяють традиційно ідентифікувати та отримувати доступ
до UNIX/LinuxЕлементи керування.
Об'єкти, створені протоколом CIFS/SMB або протоколом NFSv4, коли ввімкнено списки керування доступом NFSv4, також мають розширене
значеннядескриптор безпеки (SD). Кожна СД містить:
● Ідентифікатор безпеки власника (SID)
● SID групи власників● Дискреційний ACL (DACL)
● (необов'язково) Системний ACL (SACL)Кожен
ідентифікатор SID містить відносний ідентифікатор (RID) і окремий домен подібно до SID Windows.
Дивіться розділ про NFSv4 і
Сумісність CIFS для отримання додаткової інформації про SID та відображення SID.
Коли відбувається
зіставлення ідентифікаторівСистема захисту сервера NFSv4 виконує відображення в наступних випадках:
● Зіставлення
вхідних данихСервер NFS отримує ідентифікатор від клієнта NFSv4. 
● Відображення виводу:
ідентифікатор надсилається з сервера NFS клієнту NFSv4. 
● Зіставлення
облікових данихОблікові дані клієнта RPC зіставляються з внутрішнім посвідченням для контролю доступу та інших операцій.

Відображення
вхідних данихЗіставлення вхідних даних відбувається, коли клієнт NFSv4 надсилає ідентифікатор на сервер системи захисту NFSv4, наприклад, налаштовуючи власника
або групу власників файлу. Зіставлення вхідних даних відрізняється від відображення облікових даних.
Ідентифікатори стандартного формату, зокрема joe@mycorp.com, буде перетворено на внутрішній UID/GID на основі налаштованого
правила перетворення. Якщо увімкнено списки керування доступом (ACL) NFSv4, також буде створено ідентифікатор SID на основі налаштованих правил перетворення.
Числові ідентифікатори (наприклад, «12345») безпосередньо перетворюються на відповідні UID/GID, якщо клієнт не використовує Kerberos
автентифікація. Якщо використовується Kerberos, буде згенеровано повідомлення про помилку, як це рекомендовано стандартом NFSv4. Якщо списки керування доступом NFSv4
увімкнено, SID буде створено на основі правил перетворення.
Windows SID (наприклад, "S-NNN-NNN-...") перевіряється та безпосередньо перетворюється на відповідні SID. UID/GID буде
створено на основі правил перетворення.

Відображення виводу

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Зіставлення
облікових данихСервер NFSv4 надає облікові дані для клієнта NFSv4.
Ці облікові дані виконують такі функції:
● Визначте політику доступу до операції, наприклад, можливість читання файлу.
● Визначте власника за замовчуванням і групу власників для нових файлів і каталогів.
Реєстраційні дані, надіслані від клієнта, можуть бути john_doe@mycorp.com або системними обліковими даними, такими як UID=1000, GID=2000.
Реєстраційні дані системи визначають UID/GID разом із ідентифікаторами допоміжних груп.
Якщо списки керування доступом NFSv4 вимкнено, для реєстраційних даних буде використано ідентифікатори UID/GID та допоміжних груп.

Якщо увімкнено списки керування доступом NFSv4, налаштовані служби зіставлення використовуються для створення розширеного дескриптора безпеки для
Облікові дані:
● SID для власника, групи власників і допоміжної групи, зіставлені та додані до дескриптора безпеки (SD).
● Привілеї облікових даних, якщо такі є, додаються до SD.
Сумісність
NFSv4 та CIFS/SMBДескриптори безпеки, що використовуються NFSv4 і CIFS, схожі з точки зору відображення ідентифікаторів, хоча є відмінності.
Ви повинні знати наступне, щоб забезпечити оптимальну сумісність:
● Active Directory слід налаштувати як для CIFS, так і для NFSv4, а зіставлення ідентифікаторів NFS має бути налаштоване на використання Active
Directory для зіставлення ідентифікаторів.
● Якщо ви широко використовуєте CIFS ACL, ви зазвичай можете покращити сумісність, увімкнувши також NFSv4 ACL.
○ Увімкнення списків керування доступом NFSv4 дозволяє зіставляти облікові дані NFSv4 із відповідним SID під час оцінки доступу до DACL.
● Сервер CIFS отримує облікові дані від клієнта CIFS, включаючи ACL за замовчуванням і привілеї користувача.
○ На відміну від цього, сервер NFSv4 отримує більш обмежений набір облікових даних і створює облікові дані під час виконання за допомогою свого
зіставлення ідентифікаторів. Через це файлова система може бачити інші реєстраційні дані.

Інтеграція з CIFS/SMB Active Directory

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

DACL за замовчуванням для NFSv4
NFSv4 встановлює інший типовий DACL (дискреційний список керування доступом), відмінний від типового DACL, який постачається CIFS.
Лише OWNER@, GROUP@ та EVERYONE@ визначено у типовому NFSv4 DACL. Ви можете використовувати успадкування ACL, щоб
автоматично додавати CIFS-значущі ACE за замовчуванням, якщо це доречно.
Системні SID
за замовчуваннямФайли та каталоги, створені за допомогою NFSv3 та NFSv4 без списків керування доступом (ACL), використовують типовий системний домен, який іноді називають
Домен UNIX за замовчуванням:
● SID користувача в системному домені мають формат S-1-22-1-N, де N — UID.
● Групові SID у системному домені мають формат S-1-22-2-N, якщо N є ідентифікатором GID.
Наприклад, користувач з UID 1234 матиме SID власника S-1-22-1-1234.
Загальні ідентифікатори в списках керування доступом (ACL) і SID
NFSv4Ідентифікатор EVERYONE@ та інші спеціальні ідентифікатори (наприклад, BATCH@) у списках керування доступом до керування доступом NFSv4 використовують еквівалент
CIFS SIDS і сумісні.
Ідентифікатори OWNER@ та GROUP@ не мають прямого зв'язку в CIFS, вони відображаються як поточний власник та поточний
owner-group файлу або каталогу.
 

Направлення
NFSРеферальна функція дозволяє клієнту NFSv4 отримати доступ до експорту (або файлової системи) в одному або декількох місцях. Локації можуть бути на
на тому самому сервері NFS або на різних серверах NFS, і використовуйте той самий або інший шлях для експорту.
Оскільки перенаправлення є функцією NFSv4, вони застосовуються лише до монтувань NFSv4.
Реферали можуть бути здійснені на будь-який сервер, який використовує NFSv4 або пізнішу версію, включаючи наступне:
● Система захисту під керуванням NFS з увімкненим
NFSv4● Інші сервери, які підтримують NFSv4, включаючи сервери Linux, пристрої NAS і системи VNX.
Реферал може використовувати точку експорту NFS з або без поточного базового шляху у файловій системі DD.
Експорт NFS з рефералами можна змонтувати через NFSv3, але клієнти NFSv3 не будуть перенаправлені, оскільки реферали є NFSv4
ознака. Ця характеристика корисна в масштабованих системах, щоб уможливити перенаправлення експорту на рівні керування файлами.

Реферальні локації
Реферали NFSv4 завжди мають одне або кілька місць.
Ці локації складаються з наступного:
● Шлях на віддаленому сервері NFS до відповідної файлової системи.
● Одна або кілька мережевих адрес сервера, які дозволяють клієнту зв'язатися з віддаленим сервером NFS.
Зазвичай, коли кілька адрес серверів пов'язано з одним розташуванням, ці адреси знаходяться в одній і тій самій NFS
Сервер.
Назви перенаправлених місцеположень
Ви можете назвати кожне місце перенаправлення в рамках експорту NFS. Ви можете використовувати ім'я для доступу до реферала, а також для зміни або
Видаліть його.
Ім'я реферала може містити щонайбільше 80 символів із наведених нижче наборів символів.
● а-я●
А-Я
● 0-9
● "."
● ","
● "_"
● "-"
ПРИМІТКА: Ви можете включати пробіли, якщо вони вбудовані в назву. Якщо ви використовуєте вбудовані простори, ви
має бути взято всю назву в подвійні лапки.
Імена, які починаються з «.», зарезервовані для автоматичного створення системою захисту. Ви можете видалити ці імена, але ви
не можна створювати або змінювати їх за допомогою інтерфейсу командного рядка (CLI) або служб керування системою (SMS).
 

Реферали та системи
масштабуванняНаправлення та місцезнаходження NFSv4 можуть краще забезпечити доступ, якщо ви масштабуєте свої системи захисту.
Оскільки ваша система може містити або ще не містити глобальний простір імен, у наведених нижче двох сценаріях описано, як
можуть використовувати направлення NFSv4:
● Ваша система не містить глобального простору
імен.○ Ви можете використовувати реферали NFSv4 для створення цього глобального простору імен. Системні адміністратори можуть створювати ці глобальні простори імен, або
ви можете використовувати реферали створення елементів Smart System Manager (SM) за потреби.
● Ваша система вже має глобальний простір імен.
○ Якщо ваша система має глобальний простір імен з MTrees, розміщеними в певних вузлах, можна створити NFS-реферали, щоб перенаправити
доступ до цих MTrees на вузли, додані до масштабованої системи. Ви можете створити цих рефералів або мати їх
виконується автоматично в NFS, якщо доступна необхідна інформація SM або файлового менеджера (FM).

NFSv4 і висока доступність
У NFSv4 експорт протоколу (наприклад, /data/col1/<mtree> віддзеркалюється у налаштуваннях високої доступності (HA). Однак
Експорти налаштувань, зокрема /ddvar, не є дзеркальними.
Файлова система /ddvar є унікальною для кожного вузла пари HA. У результаті /ddvar експортує та пов'язаний з ними клієнтський доступ
списки не віддзеркалюються до резервного вузла в середовищі HA.
Інформація в /ddvar стає застарілою, коли активний вузол переходить на резервний вузол. Будь-які надані
дозволи клієнтадо /ddvar на вихідному активному вузлі має бути повторно створений на новому активному вузлі після того, як відбудеться відмовостійкість.
Ви також повинні додати будь-які додаткові експорти /ddvar та їх клієнтів (наприклад, /ddvar/core), які були створені на
початковий активний вузол до нового активного вузла після того, як відбудеться відмовостійкість.
Нарешті, будь-які бажані експорти /ddvar слід демонтувати з клієнта, а потім знову змонтувати після відновлення після відмови.

Глобальні простори
імен NFSv4Сервер NFSv4 надає віртуальне дерево каталогів, відоме як PseudoFS, для підключення експорту NFS до набору шляхів, доступних для пошуку.
Використання псевдоFS відрізняє NFSv4 від NFSv3, який використовує допоміжний протокол MOUNTD.
У більшості конфігурацій перехід від NFSv3 MOUNTD до глобального простору імен NFSv4 є прозорим і обробляється автоматично
клієнтом і сервером NFSv4.
 

Глобальні простори імен NFSv4 і підмонтування
NFSv3Якщо ви використовуєте підмонтування експорту NFSv3, глобальні простори назв, характерні для NFSv4, можуть перешкоджати видимості
підмонтуваньна монтуванні NFSv4.
Експорт основних і підмонтованих експортів
NFSv3Якщо NFSv3 має основний експорт і експорт підмонтування, ці експорти можуть використовувати одні й ті самі клієнти NFSv3, але мати різні рівні
доступ:

Таблиця експорту основних і підмонтованих експортів NFSv3 

У попередній таблиці до NFSv3 застосовується наступне:
● Якщо client1.example.com монтує /data/col1/mt1, клієнт отримує доступ лише для читання.
● Якщо client1.example.com монтує /data/col1/mt1/subdir, клієнт отримує доступ для читання-запису.
NFSv4 працює таким же чином щодо експортних шляхів найвищого рівня. Для NFSv4 client1.example.com переміщається по
ПсевдоFS NFSv4, аж доки не досягне шляху експортування найвищого рівня, /data/col1/mt1, де отримає доступ лише для читання.
Однак, оскільки експорт вибрано, експорт підмонтування (Mt1-sub) не є частиною PseudoFS для клієнта і
Доступ для читання-запису не надається.

Практичні поради
Якщо у вашій системі NFSv3 експортуються підмонтовані монтування, щоб надати клієнту доступ для читання і запису на основі шляху монтування, вам слід врахувати
це, перш ніж використовувати NFSv4 з цими експортами підмонтування.
У NFSv4 кожен клієнт має індивідуальну псевдоFS.

Таблиця експорту підмонтування NFSv3 
 

Конфігурація NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Оновлення наявного експорту

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos і NFSv4
Як NFSv4, так і NFSv3 використовують механізм автентифікації Kerberos для захисту облікових даних користувача.
Kerberos запобігає підробці облікових даних користувача в пакетах NFS і захищає їх від фальсифікації на шляху до
система захисту.
Існують різні типи Kerberos над NFS:
● Kerberos 5 (sec=krb5)
Використовуйте Kerberos для облікових даних користувача.
● Цілісність Kerberos 5 (sec=krb5i)
Використовуйте Kerberos і перевірте цілісність набору корисних даних NFS за допомогою зашифрованої контрольної суми.
● Kerberos 5 із захистом (sec=krb5p)
Цілісно використовуйте Kerberos 5 і шифруйте весь набір корисних даних NFS.
ЗАУВАЖЕННЯ: як krb5i, так і krb5p можуть спричинити погіршення швидкодії через додаткові обчислювальні накладні витрати на обох
Клієнт NFS і система захисту.
 

Налаштовування Kerberos за допомогою KDC на базі Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Налаштовування Kerberos за допомогою KDC на базі Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Налаштовування Kerberos за допомогою KDC на базі Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Увімкнення Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Налаштування Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.