FILESTREAM 내부자 정보 검색

FILESTREAM 기능이 Microsoft SQL Server 2012에서 활성화되면 SQL Server는 시스템에서 "숨겨진"공유를 만듭니다. 공유는 다음과 같이 정의됩니다.

Sharename          FILESTREAM_SHARE
Path               \\?\GLOBALROOT\Device\RsFx0320\<localmachine>\FILESTREAM_SHARE
Remark             SQL Server FILESTREAM share
Maximum users      unlimited
Users Caching      Manual caching of documents 
Permissions        NT-AUTHORITY\Authenticated Users, FULL

이름은 SQL Server 구성 관리자 에서 FILESTREAM을 처음 구성 할 때 제공하는 공유 이름입니다 . 그러나 무엇입니까?

지금까지

다음에서 시작하여 사용 가능한 모든 FILESTREAM 설명서를 읽었습니다.

• FILESTREAM (SQL Server)
• FILESTREAM 활성화 및 구성
• FILESTREAM 사용 데이터베이스 만들기
• FILESTREAM 데이터 저장을위한 테이블 작성
• ... 그리고 모든 관련
• 다른 SQL Server 기능과의 FILESTREAM 호환성
• FILESTREAM DDL, 함수, 저장 프로 시저 및 뷰
• OpenSqlFilestream으로 FILESTREAM 데이터에 액세스
• 백서 SQL Server 2008-SQL Server 2008의 FILESTREAM 저장소
• 및 문서 FILESTREAM (OLTP) --- 설계 미션 크리티컬 OLTP 솔루션에 대한 기술 참조 가이드 하는 참조 다른 물질의 많은

...하지만 그 공유에 대한 언급과 그 역할과 목적은 없었습니다. 이름을 입력하면 SQL Server에서 공유를 생성합니다.

FILESTREAM 사용 데이터베이스

FILESTREAM 사용 데이터베이스를 작성할 때 데이터베이스는 FILESTREAM 구성 중에 처음 작성된 공유와는 전혀 관련이없는 디렉토리 (별도의 드라이브에 권장 됨)를 참조하는 파일 그룹을 참조합니다.

FILESTREAM 사용 데이터베이스 스크립트 스크린 샷

네, 모든 길은 C :에 있다는 것을 알고 있습니다. 그것은 단지 예일뿐입니다

Paul Randall 등의 백서. 그 설명을 계속 ...

FILESTREAM 데이터는 데이터베이스의 특수 파일 그룹에 해당하는 데이터 컨테이너라는 NTFS 디렉토리 세트로 파일 시스템에 저장됩니다. FILESTREAM 데이터에 대한 트랜잭션 액세스는 Windows 수준에서 FILESTREAM을 사용하도록 설정하는 일부로 설치된 SQL Server 및 파일 시스템 필터 드라이버에 의해 제어됩니다. 파일 시스템 필터 드라이버를 사용하면 UNC 경로를 통해 FILESTREAM 데이터에 원격으로 액세스 할 수도 있습니다. SQL Server는 테이블 행에서 이와 관련된 FILESTREAM 파일에 대한 정렬 링크를 유지 관리합니다. 이는 파일 시스템을 통해 직접 FILESTREAM 파일을 삭제하거나 이름을 바꾸면 데이터베이스가 손상 될 수 있음을 의미합니다.

... 첨부 문서 (14 페이지)를 더 내립니다 ...

FILESTREAM 데이터 컨테이너가있는 각 NTFS 볼륨마다 단일 FILESTREAM 파일 시스템 필터 드라이버가 있으며 볼륨에 FILESTREAM 데이터 컨테이너가있는 각 버전의 SQL Server마다 하나씩 있습니다. 각 필터 드라이버는 특정 버전의 SQL Server를 사용하는 모든 인스턴스에 대해 해당 볼륨의 모든 FILESTREAM 데이터 컨테이너를 관리합니다.

예를 들어, 세 개의 SQL Server 2008 인스턴스 각각에 대해 세 개의 FILESTREAM 데이터 컨테이너를 호스팅하는 NTFS 볼륨에는 하나의 SQL Server 2008 FILESTREAM 파일 시스템 필터 드라이버 만 있습니다.

질문

1. SQL Server에 모든 것이 훌륭하고 묶여 있다는 것을 아는 것이 좋지만, 그 공유는 실제로 무엇을합니까? 소위 "파일 시스템 필터 드라이버"입니까?
2. 인증 된 사용자 가 "공유"에 액세스 할 수 있으면 보안에 어떤 영향이 있습니까?
3. 장치 RsFx0320은 Windows Server 2012에 도입 된 탄력적 인 파일 시스템 형식의 선행 제품입니까?

내 질문에 대한 답변을 제공 할 수 있다면 소스 참조를 제공 할 수 있다면 좋을 것입니다.

FILESTREAM 기능이 Microsoft SQL Server 2012에서 활성화되면 SQL Server는 시스템에서 "숨겨진"공유를 만듭니다.

기본적으로이 작업을 수행하지는 않지만 공유를 활성화하려면 선택해야합니다. 이것은 SQL Server 구성 관리자를 통해 수행됩니다. 선택을 취소하면 Enable FILESTREAM for file I/O access공유가 제거됩니다.

1. SQL Server에 모든 것이 훌륭하고 묶여 있다는 것을 아는 것이 좋지만, 그 공유는 실제로 무엇을합니까?

공유는 클라이언트 (로컬 및 원격)가 단일 스트림을 공유하여 스트리밍 창 API를 사용하여 파일 스트림 데이터에 액세스 할 수 있도록합니다. 이 파일 스트림 액세스에 대한 SQL Server 인스턴스 수준 설정과 함께 작동하며 Full Access Enabled다른 액세스 설정은 스트리밍 API에서 작동하지 않아야합니다.

1. ... 이른바 "파일 시스템 필터 드라이버"입니까?

전혀 그렇지 않다. 이것은 단지 파일 공유입니다.

나는 물을 흐릿하게하지 않으려 고 노력했지만 최대한 많은 정보를 요구했다. 위의 취소 텍스트에서 실제로 필터 드라이버가 아니라고 말합니다. 그러나 그것은 기술적 으로 반 진실입니다. 예, 공유 폴더 이지만 실제로는 필터 드라이버를 통해 공유합니다 . 소스 코드 없이는 내려갈 수없는 토끼 구멍이되기 시작했기 때문에 이것에 대해 정말로 토론했습니다 (솔직히 말해서 학문 이외의 가치는 거의 없습니다).

필터 드라이버의 요점은 몇 가지 일을하는 것이지만 그 중 하나는 다양한 인터페이스를 통해 파일 스트림 대상에 저장된 데이터에 트랜잭션 액세스를 제공하는 것입니다. SQL Server, Transact SQL, Windows API. 또한 소수의 다른 항목도 수행하지만 공유를 통한 액세스는 필터 드라이버를 통해 수행됩니다. 실제로 파일 스트림의 파일에 액세스하려고하는데 관리자 나 SQL Server가 아닌 경우 해당 파일에 액세스 할 수 없습니다.

그래서, 그래,이 둘 입니다 및 아닌 필터 드라이버. 필터 드라이버를 통해 노출되는 Windows 파일 공유의 절반입니다. 공유의 경로 속성을 볼 수 있습니다.

get-wmiobject -class Win32_share | where {$_.Description -like 'SQL Server*'} | ft name, path -autosize

인증 된 사용자가 "공유"에 액세스 할 수있는 경우 보안에 어떤 영향이 있습니까?

권한을 변경하고 설정을 올바르게 설정해야합니다. 보안 관련 사항은 다른 파일 공유와 관련이 있습니다.

3. 장치 RsFx0320은 Windows Server 2012에 도입 된 탄력적 인 파일 시스템 형식의 선행 제품입니까?

아니요, 특정 버전의 필터 드라이버 이름입니다. 예를 들어, 다음은 2016 시스템이로드 된 시스템입니다 RsFx0410. ReFS는 파일 시스템이며 파일 시스템과 미니 포트 드라이버 사이에있는 필터 드라이버입니다. 실제로 이것이 고도의 끝에서 .10으로 표시되는 레거시 필터 드라이버라는 것은 매우 당황 스럽습니다. 또한 고도 가 매우 낮아서 일반적으로 타사 필터 드라이버에는 적합하지 않습니다.

내 질문에 대한 답변을 제공 할 수 있다면 소스 참조를 제공 할 수 있다면 좋을 것입니다.

이에 대한 소스는 없지만 설정을 변경하는 스크린 샷 및 구성 옵션을 통해 정보를 백업했습니다. 이 답변의 모든 내용은 제품 자체를 살펴보고 Windows가 어떻게 작동하는지 알고 있으면 찾을 수 있습니다 (예 : 필터 드라이버).

다음은 귀하의 질문에 대한 답변입니다.

1. SQL Server에 모든 것이 훌륭하고 묶여 있음을 알고 있지만, 그 공유는 실제로 무엇을합니까? 소위 "파일 시스템 필터 드라이버"입니까?

SQL Server 파일 스트림 액세스는 파일 액세스에 관한 것입니다. 공유는 파일 공유를 통해 해당 위치를 제공합니다.

OpenSqlFilestream을 사용하여 일부 C # 코드로 쉽게 볼 수 있습니다.

https://docs.microsoft.com/en-us/sql/relational-databases/blob/access-filestream-data-with-opensqlfilestream

보시다시피 CreateFile에 대한 FILE_SHARE_READ가 없으며 파일 마술, 파일 스트림이 없습니다.

try
    {
        if ( (srcHandle = CreateFile(
            srcFilePath,
            GENERIC_READ,
            FILE_SHARE_READ,
            NULL,
            OPEN_EXISTING,
            FILE_FLAG_SEQUENTIAL_SCAN,
            NULL)) == INVALID_HANDLE_VALUE )
            throw szErrMsgSrc;

참고 : 로컬 서버 / 공유없는 FILESTREAM 옵션이없는 이유에 대해서는 실마리가 없습니다. 일부 사람들은 추가 보안 수준을 원할 것 같습니다.

인증 된 사용자가 "공유"에 액세스 할 수있는 경우 보안에 어떤 영향이 있습니까?

와, 좋은 질문입니다. 인증 된 사용자는 공유 권한을 사용할 수 있지만 기본 NTFS 권한은 보안을 미세 조정해야합니다. 그러나 이것은 나에게 보안 구멍처럼 보입니다. NTFS 권한을 어떻게 미세 조정했는지 자세히 조사해야하지만 일반 파일 공유 권한을 좋아하지는 않습니다. 모든 "인증 된 사용자"인 Microsoft에 오시겠습니까? 옳고 그름은 Microsoft가 NTFS 권한에 대한 공유 / 포커스를 무시하는 경향이 있다고 생각합니다.

"인증 된 사용자"를 제공하는 것은 수년간 논쟁의 주제였습니다. 다음은 "인증 된 사용자"의 앞뒤에서 읽은 최고의 블로그 중 하나입니다. Windows에서 그토록 많은 영향을 받았기 때문에 새로운 제품이 출시 될 때까지 그것이 합법적 인 위험이라고 생각하지는 않습니다.

https://social.technet.microsoft.com/Forums/windowsserver/en-US/bb74fa7c-89bd-476d-88bf-e88cd66618e6/why-is-authenticated-users-in-the-local-users-group-by- default? forum = winserversecurity

3. 장치 RsFx0320은 Windows Server 2012에 도입 된 탄력적 인 파일 시스템 형식의 선행 제품입니까?

O / S 기반이 아닌 SQL 기반으로 보입니다. RsFx0320.sys는 SQL 2008입니다. 아래에 표시된 것처럼 SQL 2012는 RsFx0201.sys이고 SQL 2014는 RsFx0300.sys입니다.

https://support.microsoft.com/en-us/help/2961258/fix-cannot-access-the-data-in-filetable-after-you-upgrade-from-sql-ser

Microsoft는 2012 년에서 2014 년으로 업그레이드 할 때 발생할 수있는 일을 보여줍니다.

To work around this issue, change manually the path property of the resource <AvailabilityGroupName>_FSShare to point to the correct driver: From
'\\?\GLOBALROOT\Device\RsFx0201\<localmachine>\{AvailabilityGroupID}' to '\\?\GLOBALROOT\Device\RsFx0300\<localmachine>\{AvailabilityGroupID}'