CIFS権限の問題をトラブルシューティングする方法 (000469196)

バージョン:2

記事タイプ:不具合修正

対象読者:レベル30 = お客様

最終発行日:2016221日日曜日02:13:19GMT

概要:

この記事の目的は、CIFSアクセス許可の問題をトラブルシューティングできるように支援することです。

問題:

 

ユーザーまたはプロセスが、アクセス許可の問題のためにCIFSデータにアクセスできない

 

 

バックアップの障害

 

 

 

ストレージ デバイスがオフラインであることを報告する

 

 

 

解決方法:

Windowsでアクセス許可を扱う一般的なケースでは、問題のトラブルシューティングは、Windows Serverでのアクセス許可の問題のトラブルシューティングとまったく同じ方法になります。

そのため、共有のアクセス許可とファイル システムのアクセス許可が相互に連携する方法を理解しておくことは重要です。

以下に示すのは、CIFSアクセス許可の問題をトラブルシューティングするためのいくつかの一般的なアドバイスです。

 

1.) CIFS認証が機能していることを確認します。

スタート->ファイル名を指定して実行->\\ddr-hostname\]の順に操作して接続します(末尾に共有名を追加しないでください)。

 

21st1.jpg

これは、認証をテストする適切な方法です。接続に失敗した場合は、アクセス許可の問題のトラブルシューティングを中止し、認証に焦点を当てて取り組んでください。ホスト名で接続できれば、Kerberos認証は成功しています。IPアドレスで接続できれば、NTLM認証は成功しています。


2.) 認証が機能していることを確認したら、CIFS共有への接続を試みます。[スタート->ファイル名を指定して実行->\\ddr-hostname\share-name]の順に操作します。CIFS共有への接続を試行してアクセス許可が拒否された場合は、次の操作を行います。


3.) CIFS共有のアクセス許可を調べて、クライアントとユーザーが共有にアクセスする許可があることを確認します。DDR CLIで共有情報を収集します。

#cifs share show <share-name>

例:

xx@DD2500-rtp1## cifs share show sql Shares information for: sql

 

--------------- share sql ---------------

permissions: 1 ACE(s) have been set by MMC clients: *

enabled: yes

groups: techsupp\sales users: techsupp\abc maxconn: 0

writeable: yes

 

path: /data/col1/data/sql xx@dd2500-rtp2##

 

共有オプションの説明:

アクセス許可ACE(アクセス制御エントリー)は、Windows MMCで追加されたユーザーまたはグループです。アクセス許可を表示するには、[スタート]をクリックし、[マイ コンピューター]に進みます。[コンピューターの管理]を右クリックして、別のコンピューターに接続し、DDRホスト名を入力し、[システム ツール->共有フォルダー->共有]を選択します。適切な共有を右クリックして[プロパティ]を選択し、[共有アクセス許可]タブを選択し、確認して必要であれば調整します。Domain Adminsグループのみが、共有のセキュリティ アクセス許可を変更できます。

クライアント:共有にアクセスできるWindowsホスト マシンを制御します。IPアドレスまたはホスト名を指定できます。DDR CLIpingコマンドを使用して、ホスト名解決をテストします。DDR CLI#net lookup <ip-address>コマンドを使用して、IPの逆引きをテストします。

CIFSクライアントがマルチホーム(複数のIPアドレスを持つ)であれば、次の構成変更の1つ以上を行うことが必要になる場合があります。

 

              1. 両方のインターフェイスを共有アクセス リストに追加します。
              2. 両方のDNS名を共有アクセス リストに追加します。
              3. クライアント上でルーティングを変更します。
              4. ホスト名解決を変更します。

 

users:共有にアクセスできるユーザーを制御します。ローカル ユーザーまたはADユーザーを指定できます。すべてのグループがアクセスできるようにする場合は、アスタリスク「*」を追加しないでください。アスタリスクは、有効なユーザーを示すものにはなりません。

 

groups:共有にアクセスできるグループを制御します。ローカル グループまたはADグループを指定できます。すべてのグループがアクセスできるようにする場合は、アスタリスク「*」を追加しないでください。すべてのグループがアクセスできるようにする場合は、いずれかのグループを指定しないでください。

 

path: DDR上に存在する必要があります。ターゲット フォルダーが存在しない場合は、作成してください。

 

writeable:ユーザーにファイル/フォルダーの変更を許可するには、yesに設定するかまたはブランクのままにしておく必要があります (デフォルトは「書き込み可能」です)。

 

ユーザー情報を収集して確認します。

 

DDR CLI execute

 

#cifs troubleshooting user "<domain>\<username>"

 

例:

 

xx@dd2500-rtp2## cifs troubleshooting user "techsupp\abc"

 

--------------------          -----------------------------------------------

 

User      TECHSUPP\abc

 

User ID   xxxxx

 

SID       xxxxxxxxxxxxx

 

Group    TECHSUPP\domain users

 

Group ID xxxxxx

 

id         uid=xxxxxxxx(TECHSUPP\abc) group=xxxxx(TECHSUPP\domain users)

 

groups=xxxxx(TECHSUPP\engineering)

 

--------------------          -----------------------------------------------

 

xx@dd2500-rtp2##

 

                                                                      前述の例で、ユーザー「abc」は次のグループのメンバーです.

                                                                      A domain users

                                                                       B engineering

                                                 ユーザーがCIFS共有にアクセスする許可を持っていることを確認します。

                                                            4.) CIFS共有にアクセスできることを確認したら、ファイル/フォルダーのNTFS権限を確認します。

Windowsクライアント上でWindowsエクスプローラーを使用し、ファイルまたはフォルダーを右クリックして、アクセス許可を確認します。

[スタート->ファイル名を指定して実行->    \\ddr-hostname\share name\fileまたはdirectoryを実行します。

DDR CLIで、次のコマンドをSEモードで使用して、ユーザー ファイル/フォルダーに対するアクセス許可を表示することもできます。

 

#se dd_xcacls -d <path>

 

xx@dd2500-rtp2## se dd_xcacls -d /data/col1/data/engineering DACL:REVISION:2

 

DACL:ACECOUNT:2

 

DACL:TECHSUPP\andy:ALLOWED/3/FullControl

 

DACL:TECHSUPP\Engineering:ALLOWED/3/FullControl xx@dd2500-rtp2##

前述の例では、ユーザーandyEngineeringグループが、フル コントロール アクセスを持っています。

 

ファイルのアクセス許可が問題である場合は、Windowsエクスプローラーから、ニーズに合わせて調整してください。Windowsドメイン管理者またはNTFSファイル アクセス許可を変更できるアクセス権を持つユーザーに依頼することが必要な場合があります。

 

注:フォルダー内にはCIFSデータまたはNFSデータのみがあるはずです。同じフォルダー内にさまざまなタイプのデータを混在させないでください。NFSCIFSとの間では、エクスポートを共有しないでください。

 

https://support.emc.com/kb/201654

 

このパスがレプリケーション ターゲットである場合、その内容は、CIFS ACLがユーザーには変更を行えるアクセス権があると明示していても読み取り専用になります。このパスがレプリケーション ターゲットであるかどうかは、次のコマンドを使用して判別できます。

 

#replication show config

 

このフォルダーがアクティブなレプリケーション ターゲットである場合、ソースDDRのアクセス許可を変更する必要があります。

 

NTFSのアクセス許可の変更は、ターゲットDDRにレプリケートされます。

 

このフォルダーをアクティブなレプリケーション ペアとしておく必要がなくなった場合は、次のコマンドでレプリケーション リレーションシップを解除することができます。これにより、ターゲット フォルダーは読み取り/書き込み用になります。

 

#replication break rctx://<context-numer>

 

  • *** レプリケーション ペアは、ソースとデスティネーションの両方のDDR上で解除する必要があります。***

 

  レプリケーション コンテキスト番号は、両方のDDRで同じ場合もあれば、異なる場合もあります。レプリケーション コンテキストを解除する前に、両方のDDRに「replication show config」を実行して、レプリケーション コンテキスト番号を確認してください。