none
Права на FTP ресурсы в IIS8.5 и доступы к папкам. Failover Cluster FTP на основе IIS. RRS feed

  • Общие обсуждения

  • Добрый день, коллеги!
    Возникла потребность переехать с устаревшего сервера (стороннего производителя) на новый продукт, с возможностью кластеризации, отказоустойчивости и возможности использовать доменные группы ActiveDirectory для выдачи прав в каталоги.
    Два сервера на Windows Server 2012R2 + Failover Cluster + IIS Shared Configuration. 
    В старой вариации доступ представлялся по следующему сценарию:

    Создавался аккаунт. К нему привязалась директория и права. 
    При входе на FTP по аккаунту пользователь попадал сразу в назначенную ему "домашнию папку" (у всех она задавалась и ссылалась на реальные каталоги на сервере).
    1)У IIS сервера есть подобная технология, но тут домашняя директория не может быть назначена и представляет собой каталог с именем аккаунта пользователя (которую еще и надо предварительно создавать на сервере). Можно ли сделать так как описано выше? То есть к авторизации пользователя прикрутить ту корневую директорию которую хочу я!

    2)Прав на папки внутри сервера и на уровне самого FTP сервера я задавал согласно гайдам. Получилось прикрутить FTP права на уровне самого FTP сервера. Но на уровне NTFS присвоение прав через группы или напрямую пользователям никаких результатов не дает. Более того без выставления прав через IIS на FTP-каталоги доступ в явном виде нет вообще.
    При выдачи прав через доменные группы мне приходится перезапускать службу FTP для перечитывания находящихся в группе аккаунтов. Без этого при добавление нового пользователя в группу AD доступ отсутствовал! Это вообще нормально, что для принятия аккаунтов требуется перезапуск целого сервиса? То есть FTP на основе IIS считывает аккаунты в группах AD только на момент старта? Или это у меня такой баг? Как с этим жить?

    3)Использую кластеризацию на основе FailoverCluster и общих хранилищ. 
    IIS так же находится в расшаренной конфигурации для обоих серверах и находится на диске свидетеле (общим кластерном) и виден всегда обоим серверам за счет переключения.
    Создана отдельная роль Файлового сервера с основным хранилищем под FTP каталоги (тоже общий диск). Вся система проверена на отработку отказов. Доступ к FTP могу осуществлять как по имени кластера так и по имени роли Файлового сервера.
    Я знаю что есть KB https://support.microsoft.com/en-us/kb/974603 в котором говорится как настроить службу отказа на основе iis и существующего failover server (через VBS скрипт), но мне не понятно зачем это вообще делать, если у меня и так есть общее кластерное имя при котором у меня всегда виден мой FTP ресурс по общему имени, да и все роли и диски и хранилища так же доступны для обоих iis . Тупо чтоб он следил за сервисами FTP и умел их включать и выключать в случае падения? 
    Большое спасибо всем за дельные советы и за ваши мнения по поводу правильного построения отказоустойчивых систем.


    21 января 2016 г. 12:39