Compatibilidad con Kerberos en clústeres de servidor basado en Windows 2000

En este artículo se describe la compatibilidad de autenticación de Kerberos para clústeres de servidores basados en Windows 2000 que se ha agregado en Windows 2000 Service Pack 3 (SP3). Con versiones anteriores a SP3 de Windows 2000, el servicio de Cluster Server no publica objetos de equipo para servidores virtuales en Active Directory. Esto significa que los servidores virtuales autentican sólo mediante NTLM o NTLM versión 2. Con el SP3 de Windows 2000, puede configurar servidores virtuales para permitir que los clientes autenticar mediante el protocolo de autenticación Kerberos. Si esta opción está habilitada, un objeto de equipo se crea para cada red correspondiente nombre de recurso.

No se admite la autenticación Kerberos para el recurso de nombre de red que depende Microsoft Exchange 2000 en un clúster de servidores. Exchange 2000 no se ha probado con la expectativa de que un servidor virtual de clústeres admitiría la autenticación Kerberos; esta configuración puede no funcionar correctamente. Las versiones futuras de Exchange Server pueden aprovechar Kerberos autenticación para los clústeres de servidores.

importante : tenga en cuenta que Kerberos es compatible en un clúster de SQL Server.

Para obtener más información acerca de la autenticación Kerberos para Windows 2000 SP3, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de cómo utilizar la autenticación Kerberos en SQL Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

En las secciones siguientes se describe cómo activar compatibilidad con Kerberos y describen algunos problemas conocidos que se producen con los clústeres de servidor de Windows 2000 SP3 y Kerberos.

Cómo activar la compatibilidad con Kerberos en un clúster existente que tiene instalado el SP3

Para activar Kerberos, de modo que se crea un objeto de equipo para un servidor virtual existente:

Nota En esta sección hace "recurso de clúster nombre de red" referencia al nombre de recurso agrupado para el nombre de red como se muestra en la ficha General en las propiedades del recurso de nombre de clúster de red.

1. En cada nodo del clúster, compruebe que la cuenta de servicio de Cluster Server se ha concedido el de usuario "Actuar como parte del sistema operativo" en los nodos locales.
   
   Para ello, siga las instrucciones que se describen en sección "Cluster Service cuenta es no utilizar adecuado usuario derechos en Local Node" del siguiente artículo de Knowledge Base:
   307532

   (http://support.microsoft.com/kb/307532/ )

   Cómo solucionar problemas de la cuenta del Servicio de Clúster Server cuando modifica objetos Equipo
2. Compruebe que la cuenta de servicio de Cluster Server tiene los permisos adecuados en Active Directory. Para ello, siga las instrucciones en el siguiente artículo de Microsoft Knowledge Base:
   302389

   (http://support.microsoft.com/kb/302389/ )

   Descripción de las propiedades del recurso nombre de red en Windows Server 2003 de clúster
3. Aplicar el SP3 en todos los nodos del clúster.
4. Iniciar Administrador de clústeres, seleccione el recurso nombre de red correspondiente para el que desea activar la compatibilidad con Kerberos y desconectar ese recurso.
5. Abra un símbolo del sistema en uno de los nodos del clúster y, a continuación, escriba el comando siguiente:
   cluster res "recurso de nombre de red" /priv requirekerberos = 1:dword
6. Administrador de clústeres, ponga en conexión el recurso de nombre de red.

También puede utilizar este procedimiento para activar la propiedad RequireDNS . Para ello, sustituya RequireDNS donde RequireKerberos se especifica. Si utiliza la propiedad RequireDNS , puede asegurarse de que el recurso va en línea sólo si los registros DNS del servidor virtual están registrados correctamente. Si la propiedad RequireDNS se establece en 1 , se debe registrar el registro de HOST DNS (A) para el servidor virtual. Si no lo está, el recurso nombre de red no incluye en línea. Si el servidor DNS acepta actualizaciones dinámicas, pero no se actualiza el registro, este comportamiento se considera un error. Si el servidor DNS no acepta actualizaciones dinámicas (versiones antiguas de DNS) o si no hay ningún servidor DNS que están asociados con la red del recurso asociado, el recurso nombre de red sigue procede en línea.

Normalmente, si un recurso de nombre de red no proviene en línea después de activar la compatibilidad con Kerberos, la cuenta de servicio de Cluster Server puede no los permisos correctos a Active Directory. Si el recurso no se incluye en línea, consulte el siguiente artículo de Knowledge Base para obtener más información sobre solución de problemas los pasos y cómo comprobar la cuenta de servicio de Cluster Server tiene acceso de escritura a Active Directory:

Nota: Si esta instalación particular de Windows 2000 es una actualización de Microsoft Windows NT 4.0, revise el "servicio cuenta es no utilizar adecuado usuario derechos en local nodo del clúster" en Q307532. Windows NT 4.0 no le concede el derecho "Actuar como parte del sistema operativo" a la cuenta del servicio de Cluster Server. Por lo tanto, si actualiza a Windows 2000, no se concede este derecho. Este derecho se debe aplicar para que la nueva funcionalidad de Kerberos funcione. Las instalaciones nuevas de clústeres de servidor en Windows 2000 conceden este derecho a la cuenta del servicio de Cluster Server durante el clúster de instalación.

Cómo establecer la propiedad RequireKerberos antes de aplicar el SP3

Si establece la propiedad RequireKerberos antes de actualización y si ha actualizado un nodo a SP3, los equipos cliente pueden surgir problemas de autenticación a los recursos de clúster mientras se actualizan el resto de los nodos del clúster a SP3. Este comportamiento puede producirse en las siguientes circunstancias:

• La propiedad RequireKerberos se establece en 1 en un recurso de nombre de red.
• Un nodo del clúster se actualiza a SP3.
• El recurso nombre de red está alojado en el nodo actualizado, que hace que un objeto de equipo se crea en Active Directory.
• El nombre de red recurso pasa a un nodo de clúster no SP3 ya sea porque el nodo actualizado falla o grupo del recurso se ha movido.
• Un cliente que se conecta al nodo del clúster mediante el recurso nombre de red recibe un vale Kerberos para el servidor virtual debido a de la presencia del objeto de equipo.
• El recurso nombre de red que está alojado en el nodo de clúster no SP3 no admite la autenticación Kerberos y no puede autenticar el cliente.

Si ha establecido la propiedad RequireKerberos a 1 antes de aplicar SP3, debe establecer el tipo de valor de propiedad en DWORD . Si no lo hace, e instala SP3, el nombre de red recursos no entra en línea. Para recuperarse de esta situación, puede eliminar el recurso nombre de red y, a continuación, volver a crearlo; sin embargo, si este problema se produce con el recurso nombre de clúster, deberá volver a instalar el clúster.

Para establecer la propiedad RequireKerberos antes de actualizar a SP3, ejecute el comando siguiente: Para comprobar que la propiedad RequireKerberos es un valor DWORD, ejecute el comando siguiente: Si una "D" aparece en la columna izquierda para el RequireKerberos = 1 , esta propiedad es un valor DWORD. Después de comprobar la propiedad, siga las instrucciones en la sección "Cómo para activar en Kerberos soporte en una existente clúster que tiene SP3 instalado" de este artículo para activar la compatibilidad con Kerberos.

Cómo cambiar el nombre un servidor virtual que tiene compatibilidad con Kerberos activado

Puede utilizar uno de los dos métodos que se describen en esta sección para cambiar el nombre un servidor virtual cuando está activada la autenticación Kerberos. Si cambia el recurso nombre de red en Administrador de clústeres, la red nombre recurso falla porque el objeto de equipo no se cambia el nombre. Sin embargo, Windows Server 2003-based server clusters pueden cambiar el nombre del objeto de equipo correspondiente.

Es posible que el método 1 es más fácil completar, pero este método supone que no hay objetos secundarios están asociados con el objeto de equipo en Active Directory. Message Queue Server (también conocido como MSMQ) es un ejemplo de un programa que crea los objetos secundarios. Si utiliza el método 2, debe utilizar ADSIEdit.msc, que se incluye en Windows 2000.

Método 1

Si realiza este método, desactiva temporalmente Kerberos compatibilidad con el servidor virtual, eliminar el objeto de equipo correspondiente y, a continuación, activar y volver a crear el objeto de equipo:

1. Use el Cluster Administrator para tomar la red correspondiente nombre de recurso.
2. Abra un símbolo del sistema en uno de los nodos del clúster y el tipo el comando siguiente:
   cluster res "recurso de nombre de red" /priv requirekerberos = 0
3. Inicie Active usuarios y equipos de Active y, a continuación, busque la unidad organizativa Computers.
4. En el menú Ver , haga clic en usuarios, grupos y equipos como contenedores y, a continuación, compruebe que no existen objetos secundarios.
   
   Nota : si los objetos secundarios están presentes, póngase en contacto con el proveedor del programa colocadas estos objetos secundarios y a continuación, pídale que compruebe que hay una manera de volver a crear el objeto secundario después de objeto de equipo del servidor virtual se ha eliminado y vuelto a crear. Si no se puede volver a crear el objeto secundario, utilice el método 2.
5. Eliminar los recursos del objeto de equipo correspondiente nombre de red de Active usuarios y equipos de Active.
6. Mientras el correspondiente recurso nombre de red está todavía sin conexión, utilice el Administrador de clústeres para mostrar la página de parámetros del recurso nombre de red y cambie el nombre del servidor virtual.
7. Abra un símbolo del sistema en uno de los nodos del clúster y el tipo el comando siguiente:
   cluster res "recurso de nombre de red" /priv requirekerberos = 1
8. Utilice el Administrador de clústeres para poner el nombre de red en conexión el recurso.
   
   Nota Microsoft sólo admite ejecutando Microsoft Distributed Transaction Coordinator (MSDTC) en nodos del clúster como un recurso agrupado. Microsoft no recomienda que MSDTC se ejecuta en modo independiente en un clúster. Microsoft no admite esta configuración. Cuando utiliza MSDTC en un recurso no agrupado en un clúster de servicio de Cluster Server de Microsoft (MSCS), podrían quedar huérfanos transacciones. Esto provoca daños en los datos si se produce una conmutación por error de clúster.

Método 2

Si realiza este método, utilice ADSIEdit.msc para cambiar el nombre del objeto de equipo en Active Directory para que coincida con el nombre de red recurso en el Administrador de clústeres. Instalar ADSIEdit.msc en cualquier servidor miembro o controlador de dominio. Para instalar ADSIEdit, ejecute el programa instalación en la compatibilidad con carpeta en el CD-ROM de Windows 2000.

1. Inicie el Administrador de clústeres y, a continuación, desconecte el correspondiente recurso de nombre de red.
2. En Administrador de clústeres, mostrar la página parámetros de recurso de nombre de red y, a continuación, cambie el nombre del servidor virtual.
3. Inicie ADSIEdit.msc, expanda el dominio y, a continuación, busque la unidad organizativa Computers.
4. Haga clic con el botón secundario en objeto de equipo del recurso nombre de red correspondiente y, a continuación, haga clic en Cambiar nombre .
5. Cambiar el nombre común (también conocido como CN) del objeto y, a continuación, presione ENTRAR.
6. Haga clic con el botón secundario en objeto de equipo del recurso nombre de red correspondiente y, a continuación, haga clic en Propiedades .
7. En el cuadro Seleccionar una propiedad para ver , haga clic en DisplayName .
8. En Seleccione las propiedades para ver , haga clic en ambos .
9. En la línea Editar atributo , escriba el nuevo nombre del servidor virtual.
10. Repita los pasos 5 a 7 para DNSHostName (en formato DNS completo) y SamAccountName (que se anexará con un signo $).
11. En el Administrador de clústeres, ponga en conexión el recurso de nombre de red.
    
    Nota : después de que utiliza ADSIEdit para cambiar el nombre de objeto de equipo del servidor virtual, que tenga que esperar para que se produzca para que todos los controladores de dominio recibir los cambios de la replicación.

Debe instalar High Encryption Pack

Debe instalar el paquete de cifrado alto de 128 bits en todos los nodos del clúster. Para obtener más información acerca del paquete cifrado alto y para descargar el paquete de cifrado, consulte el siguiente sitio Web de Microsoft: Si no instala el paquete de cifrado, no se puede conectar el recurso nombre de red habilitado para Kerberos y los datos siguientes se registran en el registro de diagnóstico del clúster (archivo Cluster.log): El valor de 2148073497 estado decimal se convierte en el 0x80090019 valor hexadecimal, que indica NTE_KEYSET_NOT_DEF.

Varios recursos de nombres de red no Come Online

Si tiene varios recursos de nombre de red en que Kerberos está activado el soporte técnico y intenta ponerlos en línea al mismo tiempo, puede producirse una condición de anticipación y algunos de los recursos nombre de red inicialmente pueden fallar. Porque el recurso se reinicia de forma predeterminada, no observará que la red ha fallado recursos de nombre. Si se produce este problema, los siguientes datos se registran en el registro de diagnóstico del clúster: Nota : este error es el mismo error que se produce si la cuenta de servicio de Cluster Server no tiene el derecho "Actuar como parte del sistema operativo". Utilice el procedimiento se describe en el siguiente artículo de Knowledge Base para comprobar que se han asignado los derechos correctos:

Mensaje clústeres Queue Server y Windows 2000 SP3

Actualizaciones desde Windows 2000 SP1 y SP2

Si actualiza un clúster de servidor de Message Queue Server a SP3, se ejecuta una utilidad independiente denominada Msmqprop.exe automáticamente durante la actualización. Automáticamente esta utilidad examina el clúster y establece la propiedad RequireKerberos en 1 en cualquier recurso nombre de red que depende el recurso de Message Queue Server. Para que Msmqprop.exe ejecutar, el servicio de Cluster Server está instalado en Windows 2000 debe ejecutarse SP1 o SP2 (no RTM). Msmqprop.exe crea un archivo de registro en la carpeta Windows_folder denominada Msmqprop.log, que indica todas las acciones que se ejecuta.

Permisos en el objeto de equipo

Clústeres de servidores Windows 2000 Message Queue Server con Service Pack 3 requieren permisos en el dominio. La cuenta de servicio de Cluster Server debe tener el permiso "Crear objetos secundarios" al objeto de equipo del servidor virtual. Este permiso adicional es necesario porque MSMQ crea a secundarios objetos bajo el objeto de equipo del servidor virtual. Para agregar estos permisos, siga estos pasos en el controlador de dominio:

1. Inicie usuarios y equipos de la carpeta Herramientas administrativas.
2. En el menú Ver , haga clic en Características avanzadas .
3. Expanda el dominio y, a continuación, haga doble clic en objeto de equipo del servidor virtual que MSMQ será depende.
4. Haga clic en la ficha seguridad y, a continuación, haga clic en Agregar .
5. Expanda el dominio, haga doble clic en la cuenta de servicio de Cluster Server y, a continuación, haga clic en Aceptar .
6. Haga clic en la cuenta de servicio de Cluster Server, haga clic para seleccionar la para Crear todos los objetos secundarios casilla de verificación y, a continuación, haga clic en Aceptar .

La cuenta de servicio de clúster tiene ahora permisos crear objetos secundarios del objeto de equipo de servidores virtuales que permite la creación del objeto Message Queuing. Si hay varios controladores de dominio, tendrá que esperar a que se produzca para que los cambios que se aplicará a todos los controladores de dominio la replicación.

Instalación nueva de un clúster de servidor de Message Queuing

Para crear un clúster de servidor de Message Queue Server mediante Kerberos autenticación ejecutando Windows 2000 SP3:

1. Instalar Windows 2000 en todos los nodos del clúster.
   
   Para obtener una guía paso a paso realizar esta tarea, visite el siguiente sitio Web de Microsoft:
   http://technet.microsoft.com/en-us/library/Bb727114.aspx

   (http://technet.microsoft.com/en-us/library/Bb727114.aspx)
2. Desactivar todos los nodos excepto Node_A.
3. Configurar el disco compartido desde Node_A.
4. Utilice panel de control para instalar y configurar el servicio Microsoft Cluster service y Message Queue Server en Node_A.
   
   Nota: Instalar Message Queue Server mediante la herramienta Agregar o quitar programas pero no se cree un recurso de clúster de Message Queue Server para Message Queue Server en este momento.
5. Activar los otros nodos del clúster.
6. Utilice el panel de control para instalar y configurar Microsoft Cluster service y Message Queue Server en los restantes nodos del clúster
   
   Nota : utilizar Microsoft Cluster service combinación existente del clúster y instalar Message Queue Server, pero no hacer que un recurso de clúster de MSMQ para Message Queue Server en este momento.
7. Aplicar SP3 a Node_A y, a continuación, reinicie el equipo.
   
   Cualquier grupo del que era propietario Node_A podrán otro nodo del clúster.
8. Aplicar el SP3 en todos los otros nodos del clúster.
9. Ejecutar Comclust para configurar un distribuido Microsoft recurso Transaction Coordinator (MSDTC) en el clúster. Para obtener más información acerca de cómo utilizar Comclust, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   243204

   (http://support.microsoft.com/kb/243204/ )

   Técnicas de recuperación de Coordinador de transacciones distribuidas de Microsoft (MSDTC) en Windows 2000 Cluster Server
10. Cambiar el nombre un grupo existente (distinto del grupo de clúster) que contenga un recurso de disco a un nombre apropiado (por ejemplo, Message Queuing Group.
11. En el Message Queuing Group, crear un recurso IP y un recurso nombre de red (Message Queuing Cluster Name) y dejarlos sin conexión.
12. Desde un símbolo del sistema del Node_A, ejecute el comando siguiente:
    cluster res "Nombre de clúster de Message Queue Server" /priv requirekerberos = 1:dword
13. Compruebe que la RequireKerberos se ha establecido correctamente y que es un valor DWORD. Para ello, el comando siguiente desde un símbolo del sistema:
    clúster res "Nombre de clúster de Message Queue Server" /priv
    Si "D" aparece en la columna izquierda de la RequireKerberos = 1 , propiedad, esta propiedad es un valor DWORD.
14. Proporcionan el Message Queuing Group en línea para Node_A.
    
    Nota: Si no incluye en línea el Message Queuing Cluster Name, revise los pasos de solución de problemas de los siguientes artículos de Microsoft Knowledge Base:
    302389

    (http://support.microsoft.com/kb/302389/ )

    Descripción de las propiedades del recurso nombre de red en Windows Server 2003 de clúster
    307532

    (http://support.microsoft.com/kb/307532/ )

    Cómo solucionar problemas de la cuenta del Servicio de Clúster Server cuando modifica objetos Equipo
15. Inicie Active usuarios y equipos de Active y, a continuación, compruebe que se ha creado un objeto de equipo para el recurso de Message Queuing Cluster Name.
16. Mover el Message Queuing Group en todos los nodos del clúster para comprobar que la compatibilidad con Kerberos se ejecuta correctamente en todos los nodos.
17. Siga las instrucciones en la sección "Permisos en el objeto de equipo" de este artículo a la cuenta de servicio de Cluster Server los permisos adecuados para crear el objeto Message Queuing.
18. Cree un recurso de Message Queue Server en Message Queuing Group y, a continuación, poner en conexión este recurso.
19. Mover el Message Queuing Group a todos los nodos del clúster para comprobar que el recurso de Message Queue Server se ejecuta en todos los nodos del clúster.

Clústeres de servidor y el servicio de replicación de archivos

El servicio de replicación de archivos (FRS) no se replica con un recurso compartido de archivo que está en un clúster de servidores bajo objeto de equipo del servidor virtual. El servicio FRS sólo busca de información de suscripción en el objeto de equipo del nodo, y no examina el objeto de equipo del servidor virtual. Sistema de archivos distribuido (DFS) se utiliza FRS para replicar datos entre varios servidores cuando está habilitada una directiva de replicación. Si el vínculo DFS con la directiva de replicación es un servidor virtual, los datos no se replican con cualquier otro socio. Quizás tenga que utilizar otro método (por ejemplo, un script de copia de archivo) para replicar los datos.

Trabajo de paquetes de Windows Installer que se asignan a equipos con directiva de grupo ahora

En versiones anteriores de Windows 2000, no puede implementarse un paquete de Windows Installer que está almacenado en un archivo de clúster de servidor compartido porque la cuenta de equipo que recibe el paquete sólo autentica mediante Kerberos y NTLM no. En Windows 2000 SP3, si se establece el valor de propiedad RequireKerberos en 1 para el recurso nombre de red que comparten el archivo comparte recurso depende de, Windows Installer está implementado mediante GPO. Consulte la "cómo para activar en Kerberos soporte en una existente clúster que tiene SP3 instalado" sección de este artículo para obtener más información acerca de cómo activar Kerberos admite.

Cómo desactivar la compatibilidad con Kerberos en un servidor virtual

Si experimenta problemas de autenticación después de activar Kerberos compatibilidad para el servidor virtual, puede desactivar la compatibilidad. Para desactivar la compatibilidad con Kerberos, debe eliminar manualmente el objeto de equipo correspondiente.

1. Iniciar Administrador de clústeres, seleccione el recurso nombre de red correspondiente para el que desea desactivar la compatibilidad con Kerberos y desconectar ese recurso.
2. Abra un símbolo del sistema en uno de los nodos del clúster y, a continuación, escriba el comando siguiente:
   cluster res "recurso de nombre de red" /priv requirekerberos = 0
3. Inicie Active Directory usuarios y equipos y elimine el objeto de equipo correspondiente.
4. Administrador de clústeres, conectar el recurso nuevo nombre de red.

Cambiar dominios con Kerberos habilitada

Si intenta cambiar el dominio que los nodos del clúster son miembros de después de habilitar Kerberos, el nombre de red podrá conectarse. Para resolver este problema, establezca RequireKerberos = 0 una vez en el nuevo dominio, ponerlo en conexión y a continuación, establezca RequireKerberos = 1 para que el servicio de Cluster Server creará un nuevo objeto de equipo en el nuevo dominio. Quizás tenga que eliminar el registro en DNS y compruebe que está actualizado.

Para obtener información general acerca de cómo cambiar dominios para los nodos del clúster, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Referencias