Thema:
Einrichten von DFS mit ABE (Access-based Enumeration) Server 2003




Das einrichten von DFS mit ABE (Access-based Enumeration) Server 2003 ist relativ einfach.
Jedoch was ich so festgestellt habe gibts es nur dutzende unnütze Anleitungen hierfür.


Aus diesem Grund hier eine einfach Anleitung die nicht vor Fachbegriffen strotzt wo kein Mensch kapiert.

Erstmal muss man sich von Microsoft ein Setup herunterladen um das ABE (Access-based Enumeration) auf dem Server 2003 zu instalieren.
Den als Voraussetzung muss folgendes installiert sein:
Server 2003 mit Service Pack 1 und ABE-Tool


Download ABE Tool >HIER<

Das installiert man auf dem Server wo der Namespace liegt, und auf den Servern wo die Shares liegen die man mit dem Namespace verknüpfen will.


In meinem Beispiel gehen wir nun davon aus das wir einen Domain Controller haben (kurz DC), man erstellt in der DFS Console einen neuen Namespace.
Nennt ihn z.B. DFS, also \\DomainName.local\DFS .

Wenn er frägt wo der Share liegen soll, überläßt man das dem System. Dann sollte er normalerwiese unter c:\DFSroot\DFS erstellt worden sein.

Nun macht man auf diesen "DFS" Ordner einen Rechten mausklick und hat die Lasche "Access-based Enumeration" und macht nen Hacken dran um es zu aktivieren.





Nun bindet man ein Share in den DFS Namespace ein (DFS Console).

Beim Share \\Servername\TestShare1 sollte man in die Security Eigenschaften rein gehen und die Verrechtung über Gruppen vornehmen.

Also z.B.:
Domain Administrators (FULL ACCESS)
TestShare1_R (Read Access)
TestShare1_RW (Change Access)

Alle anderen Gruppen raus. Natürlich kann man beliebige Gruppen berechtigen, es empfiehlt sich aber eine Gruppe für BackupAccounts, eine Read und eine Change Berechtige Gruppe zu definieren.

Und ebenfalls in der Lasche "Access-based Enumeration" per Hacken aktivieren, von dem Share.

So nun kommt der unklar erklärte Part in sämtlichen Anleitungen die ich gefunden habe. Man soll nämlich mit CALCS.exe arbeiten um die Rechte anszupassen.



Beim Share haben wir das ja schon gemacht mit den 3 Gruppen. Nun checken wir das mit CACLS.EXE in DOS:

cacls "\\Servername\d$\DATA\TestShare1"

dann bekommen wir die ausgabe:
\\Servername\d$\DATA\TestShare1
DomainName\BackupAccounts:(OI)(CI)F
DomainName\TestShare1_R:(OI)(CI)R
DomainName\TestShare1_RW:(OI)(CI)C



Und wenn wir das selbe machen mit dem angelegten DFS Share (das erstellt wurde vom System), angenommen wir haben den DFS Ordner ebenfalls TestShare1 genannt:

cacls "c:\DFSroot\DFS\TestShare1"

Dann werden wir sehen das hier die Rechte anders sind. Nun muss man einfach folgende Befehle ausführen:

cacls "c:\DFSroot\DFS\TestShare1" /G DomainName\BackupAccounts:F
cacls "c:\DFSroot\DFS\TestShare1" /E /G DomainName\TestShare1R:R
cacls "c:\DFSroot\DFS\TestShare1" /E /G DomainName\TestShare1_RW:R

Bei der ersten Zeile muss man mit JA bestätigen.

und wenn man dann:
cacls "c:\DFSroot\DFS\TestShare1"

ausgeführt hat stimmt nun die Berechtigung 1:1 mit dem Server Share \\Servername\TestShare1 überein.

Fertig, nun sollte es funktionieren ! Das wars schon !

Man muss das natürlich auf allen Namespace Servern machen wenn man mehrere hätte.



Additionaler Link:
http://support.microsoft.com/kb/907458

Dort kann man das ganze nochmal in Fach-Chinesisch nachlesen.