本文档演示了分布式文件系统(DFS)无法通过全局安全访问正确运行的情况,并提供临时解决方法。
该场景包括访问文件共享位置。 例如,请考虑 DFS 路径:\\foo.internal\share\bar。 设置 bar 文件夹,如表所示:
引荐状态
网站
路径
已启用
地点1
\foo-loc1.contoso.com\bar
已启用
地点2
\foo-loc2.contoso.com\bar
已启用
位置 3
\foo-loc3.contoso.com\bar
此外,站点位置配置为:
位置 1:10.0.0.1 – 10.0.0.10
位置 2:10.0.0.11 – 10.0.0.20
位置3:10.0.0.21 – 10.0.0.30
如果用户尝试访问常见的 DFS 路径,并且似乎来自 IP 地址 10.0.0.3,则用户应定向到路径:\\foo-loc1.contoso.com\bar。 IP 通常是 VPN 位置的地址,不对应于客户端原始 IP。
显示 VPN 与 DFS 之间的连接的
问题
基于 IP 的网络访问控制列表(ACL)不适用于全局安全访问,因为中间没有 VPN。 但是,员工计算机仍应引荐到相应的文件共享。
解决方法
上述方案的建议解决方法如下所示。
作为一种缓解措施,我们建议将此员工到文件共享映射移动到员工计算机上(作为域名系统 (DNS) 搜索后缀),这样流量就会:
解决方法是在环境中的网络体系结构中进行更改:
在域控制器上添加更多 C-NAME DNS 记录(别名):
shares.foo-loc1.contoso.com->foo-loc1.contoso.com
shares.foo-loc2.contoso.com->foo-loc2.contoso.com
shares.foo-loc3.contoso.com->foo-loc3.contoso.com
将 DNS 搜索后缀推送到员工的计算机,以便:
位置 1 的员工获得后缀:foo-loc1.contoso.com
位置 2 的员工获得后缀:foo-loc2.contoso.com
位置 3 的员工获得后缀:foo-loc3.contoso.com
现在,可以为以下每个完全限定的域名(FQDN)(或其 IP)创建专用全局安全访问应用程序:
foo-loc1.contoso.com
foo-loc2.contoso.com
foo-loc3.contoso.com
其中每个应用程序都映射到相应位置的连接器(通过应用中指定的连接器组)。
在这些更改之后,从 Location1 访问通用路径 \\shares\bar 的员工将被引导至网站:\\foo-loc1.contoso.com\bar,其他位置也是如此。
相关内容
什么是全局安全访问?