Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

As organizações modernas normalmente utilizam uma mistura de sistemas operacionais, incluindo Unix, Linux, Windows e macOS. O Network File System (NFS) é um protocolo aberto cliente/servidor que permite às organizações centralizar o armazenamento de dados em um ou mais servidores e possibilitar o compartilhamento de arquivos de forma transparente entre os seus diversos sistemas operacionais.

Este blog explica como montar clientes NFS Windows para que os usuários possam acessar arquivos compartilhados pela rede como se estivessem armazenados localmente. Também oferece as melhores práticas para otimizar tanto a segurança quanto o desempenho.

Configurando NFS no Windows: Guia Passo a Passo

Para permitir que um usuário acesse arquivos NFS remotos, siga estes passos para configurar o Windows mount NFS.

Passo 1: Instale o recurso ‘Client for NFS’ em sua máquina Windows para configurar o cliente NFS para Windows.

No Windows 10 ou Windows 11, abra o Painel de Controle e vá em Windows Features. Expanda Services for NFS e marque a caixa ao lado de Client for NFS, conforme mostrado abaixo.

Para o Windows Server 2012 e versões posteriores, execute o Assistente de Funções e Recursos e selecione Client for NFS, conforme mostrado abaixo.

Alternativamente, você pode usar uma sessão elevada do Windows PowerShell para instalar o cliente NFS do Windows:

• Para o Windows 10 ou Windows 11, o comando é:

Enable-WindowsOptionalFeature -Online -FeatureName ServicesForNFS-ClientOnly

• Para Windows Server, o comando é:

Install-WindowsFeature -Name NFS-Client

Passo 2: Verifique o cliente e a conectividade.

Verifique se o serviço NFS Client está em execução na sua máquina, conforme mostrado abaixo.

Claro, você deve ter conectividade com o servidor NFS designado. Para um montagem NFS no Windows bem-sucedida, certifique-se de que o serviço Cliente NFS está em execução e o firewall permite o tráfego NFS. A porta padrão é 2049.

Etapa 3: Realize o mapeamento de identidade.

Para permitir que usuários do Windows se autentiquem em um servidor Unix que fornece exportações NFS, precisamos mapear os usuários do Windows para os identificadores de usuário (UIDs) e identificadores de grupo (GIDs) usados pelos sistemas operacionais semelhantes ao Unix. Esse mapeamento permite que o servidor Unix determine qual usuário fez a solicitação para a exportação NFS.

O mapeamento de identidade pode ser feito usando qualquer um dos seguintes métodos:

• Active Directory (se integrado ao ambiente NFS)
• Arquivos de mapeamento de usuário local
• Configurações do Registro do Windows

A primeira opção é preferida por razões de segurança e escalabilidade.

Método A (Preferencial): Realize o Mapeamento de Identidade no Active Directory (AD)

Se tanto o servidor Unix NFS quanto o cliente Windows NFS estiverem unidos ao mesmo domínio do Active Directory, então podemos usar o mapeamento de identidade no Active Directory. Este é o método preferencial sempre que possível.

Por padrão, um cliente NFS não buscará mapeamento de identidade no Active Directory. No entanto, podemos alterar isso executando o seguinte comando em uma sessão do PowerShell elevada no cliente NFS:

Set-NfsMappingStore -EnableADLookup $True -ADDomainName “yourdomain.com”

Você pode adicionar estas opções LDAP para especificar seus controladores de domínio:

Set-NfsMappingStore -LdapServers “dc1.yourdomain.com”,“dc2.yourdomain.com”

Reinicie o serviço de cliente NFS.

Em seguida, precisamos configurar nosso mapeamento de identidade. Podemos fazer isso no Active Directory Users and Computers da seguinte forma:

1. Ative os Recursos Avançados disponíveis no menu suspenso Exibir, conforme mostrado abaixo.

• Clique com o botão direito do mouse no objeto que deseja visualizar e selecione Properties.
• Na aba Editor de Atributos, selecione o atributo uidNumber ou gidNumber e clique em Editar.
• Insira um valor e clique em OK para salvar suas alterações.

Alternativamente, você pode usar o seguinte comando PowerShell:

Set-ADUser -Identity <UserPrincipalName> -Add @{uidNumber=”<user_unix_uid>”;gidNumber=”<user_unix_gid>”}

Substitua o seguinte:

• UserPrincipalName — O usuário a ser modificado (por exemplo, user@domain.com)
• @{ … } — Uma tabela de hash contendo os novos atributos a serem adicionados
• uidNumber — O ID de usuário Unix (UID) para o usuário
• gidNumber — O ID de grupo Unix (GID) para o grupo primário do usuário

Para realizar esta tarefa automaticamente, crie um arquivo CSV contendo dados do usuário e percorra-o.

Método B: Realizar Mapeamento de Identidade usando Arquivos de Configuração Locais

A utilização de arquivos de mapeamento de usuários locais é uma abordagem direta para estabelecer correspondência entre usuários do Windows e UIDs/GIDs do Unix sem depender do Active Directory. Este método utiliza dois arquivos de configuração principais:

• passwd — Mapeia usuários do Windows para UIDs Unix
• grupo — Mapeia grupos do Windows para GIDs Unix

Ambos os arquivos estão tipicamente localizados no diretório C:\Windows\system32\drivers\etc\. Eles seguem um formato específico, com cada linha representando um mapeamento de usuário ou grupo. Quando um usuário do Windows tenta acessar um recurso NFS, o serviço NFS consulta esses arquivos para procurar o nome da conta do usuário do Windows e recuperar o UID e GID correspondentes, que são então utilizados para operações NFS.

Este método é simples de configurar e gerir em ambientes pequenos e é particularmente útil para servidores autônomos ou grupos de trabalho. No entanto, porque requer manutenção manual de arquivos de mapeamento, não escala bem para ambientes grandes. Além disso, embora ofereça uma solução para ambientes onde a integração com o Active Directory não é viável, é importante considerar as implicações de segurança e auditar regularmente os mapeamentos para garantir que permaneçam precisos e seguros.

Método C: Realize o Mapeamento de Identidade usando Configurações do Registro do Windows

Este método envolve definir valores de registro para especificar um UID e GID padrão que o cliente NFS do Windows usará ao acessar compartilhamentos NFS. É particularmente útil quando você deseja que todo o acesso NFS do cliente Windows apareça como um usuário Unix específico, independentemente da conta de usuário do Windows.

Para implementar este mapeamento, utilize os seguintes comandos PowerShell:

New-ItemProperty “HKLM:\SOFTWARE\Microsoft\ClientForNFS\CurrentVersion\Default” -Name AnonymousUID -Value <unix_export_owner_uid> -PropertyType “DWord”

New-ItemProperty “HKLM:\SOFTWARE\Microsoft\ClientForNFS\CurrentVersion\Default” -Name AnonymousGID -Value <unix_export_owner_gid> -PropertyType “DWord”

Você precisa reiniciar para que as novas configurações tenham efeito. Este mapeamento será aplicado a todas as montagens NFS feitas pelo cliente Windows. Após realizar o mapeamento de identidade, você pode montar NFS no Windows usando o prompt de comando.

Observe que este método aplica o mesmo UID/GID a todos os acessos NFS do cliente Windows, o que pode não fornecer controle de acesso suficiente em ambientes multiusuário. Além disso, modificar o registro requer privilégios administrativos, o que pode ser uma preocupação de segurança. Por essas e outras razões, este método é considerado uma abordagem insegura e não é recomendado.

Passo 4: Montar NFS Share Windows

Montar em NFS significa anexar um sistema de arquivos remoto (exportado por um servidor NFS) a um diretório no sistema de arquivos local de uma máquina cliente. Quando um cliente monta um compartilhamento NFS, ele se conecta ao sistema de arquivos remoto e faz com que pareça que o compartilhamento NFS é parte da estrutura de diretórios local.

Para montar o NFS no Windows, mapeie-o para uma letra de unidade disponível usando o prompt de comando, conforme a seguir:

monte \\<nfs_server_ip_address>\<pathtonfsexport> Z:

Substitua o seguinte:

• <nfs_server_ip_address> — O endereço IP do seu servidor NFS
• <pathtonfsexport> — O caminho de exportação no servidor
• Z — A letra da unidade na qual o compartilhamento NFS será montado no seu computador Windows.

Você pode adicionar opções adicionais; por exemplo, mount -o anon especifica que a conexão deve ser feita de forma anônima, e mount -o nolock substitui o bloqueio de arquivo padrão usado pelo NFS.

Após executar o comando mount ou mount o, verifique se o compartilhamento NFS foi montado com sucesso executando o comando net use para exibir todas as unidades de rede mapeadas.

Dicas de Solução de Problemas

Aqui estão alguns erros que podem surgir durante o processo de montagem e suas causas subjacentes típicas:

• Permissão negada — Configurações de exportação incorretas no servidor NFS ou regra NFS bloqueando
• Acesso negado pelo servidor — UID/GID incompatíveis entre cliente e servidor
• Incompatibilidade de versão — Cliente e servidor utilizando versões incompatíveis de NFS
• Ponto de montagem já em uso — Tentativa de montar em um diretório que já está sendo usado como ponto de montagem
• Nenhum arquivo ou diretório encontrado — O caminho de exportação no servidor não existe

Melhores práticas para montagem NFS no Windows

As seguintes melhores práticas podem ajudá-lo a otimizar a segurança e o desempenho ao usar montagem NFS no Windows.

Segurança

• Utilize protocolos de autenticação fortes como o Kerberos.
• Configure os firewalls para segmentar a rede e restringir o acesso NFS de redes não confiáveis, permitindo apenas as portas necessárias (porta TCP e UDP 2049).
• Criptografe dados em trânsito usando protocolos seguros para proteger os dados contra espionagem e adulteração.
• Limite as permissões de exportação NFS concedendo o acesso mínimo necessário e restringindo conexões de clientes a endereços IP ou hostnames específicos.
• Atualize e aplique patches regularmente tanto no cliente Windows quanto no servidor NFS para proteger contra vulnerabilidades conhecidas.
• Ative o registro detalhado no servidor NFS e monitore atividades suspeitas.
• Utilize medidas adicionais de segurança de rede como VPNs para acesso remoto.

Desempenho

• Se possível, use NFSv4 ou NFSv4.1 em vez de NFSv3.
• Ative o cache de leitura e escrita no lado do cliente para melhorar o desempenho dos dados acessados frequentemente. Você pode fazer isso usando o seguinte comando: mount –o readcache,writecache.
• Se a segurança não é uma preocupação no seu ambiente, considere usar a opção nolock para desativar o bloqueio de arquivos.
• Mantenha o software cliente NFS do Windows atualizado para se beneficiar das últimas melhorias de desempenho e correções de bugs.

FAQ

O Windows 11 suporta clientes NFS?

Sim, o Windows 11 suporta clientes NFS.

Como posso usar NFS no Windows?

Aqui estão algumas maneiras de usar NFS no Windows:

• Você pode fornecer acesso ao mesmo compartilhamento de arquivo usando os protocolos SMB e NFS por meio de um servidor de arquivos NFS do Windows.
• Você pode implantar um sistema operacional que não seja Windows para fornecer compartilhamentos de arquivos NFS acessíveis a clientes que não usam Windows através do protocolo NFS.
• Para permitir que aplicações sejam migradas de um sistema operacional para outro, você pode armazenar dados em compartilhamentos de arquivos acessíveis usando tanto os protocolos SMB quanto NFS.

Quais melhorias estão incluídas na versão 4.1 do NFS?

Para obter detalhes completos, visite a página da Microsoft NFS. As principais melhorias na versão 4.1 incluem:

• Infraestrutura de transporte Remote Procedure Call (RPC)/External Data Representation (XDR), que oferece melhor suporte e proporciona maior escalabilidade
• Multiplexador de porta RPC
• Caches e pools de threads autoajustáveis
• Nova implementação de privacidade Kerberos e opções de autenticação

Como adiciono o serviço de função para servidor NFS?

No Gerenciador de Servidores ou Windows Admin Center, utilize o Assistente de Adição de Funções e Recursos.

Quais ferramentas de administração de linha de comando do Windows o Server for NFS contém?

• Mount fornece um ponto de montagem NFS em clientes Windows que mapeia para um drive local.
• Nfsadmin manages configuration settings of the Server for NFS and Client for NFS components.
• Nfsshare configura as definições de compartilhamento NFS para pastas que são compartilhadas via Servidor para NFS.
• Nfsstat exibe ou reinicia as estatísticas das chamadas recebidas pelo Server for NFS.
• Showmount lista os sistemas de arquivos que foram exportados pelo Server for NFS.