Supporto di Kerberos sui cluster di server basato su Windows 2000

In questo articolo viene descritto il Kerberos autenticazione supporto per cluster di server basato su Windows 2000 che è stato aggiunto in Windows 2000 Service Pack 3 (SP3). Con le versioni di Windows 2000 precedenti al Service Pack 3, il servizio cluster non pubblica gli oggetti computer per i server virtuali in Active Directory. Ciò significa che i server virtuali l'autenticazione solo mediante NTLM o NTLM versione 2. Con Windows 2000 SP3, è possibile configurare i server virtuali per consentire client per l'autenticazione utilizzando il protocollo di autenticazione Kerberos. Se questa è attivata, un oggetto di computer viene creato per ogni rete corrispondente nome di risorsa.

L'autenticazione Kerberos per la risorsa nome rete da cui dipende Microsoft Exchange 2000 non è supportato in un cluster di server. Exchange 2000 non è stato testato con nella previsione che un server virtuale di cluster si supporta l'autenticazione Kerberos, questa configurazione potrebbe non funzionare correttamente. Le versioni future del server possono sfruttare Kerberos per l'autenticazione per i cluster di server.

importante : si noti che Kerberos è supportato su un cluster SQL Server.

Per ulteriori informazioni sull'autenticazione Kerberos per Windows 2000 SP3, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato: Per ulteriori informazioni su come utilizzare l'autenticazione Kerberos in SQL Server, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:

Le sezioni seguenti descrivono come attivare il supporto di Kerberos e sono descritti alcuni problemi noti relativi che si verificano con i cluster di server Windows 2000 SP3 e Kerberos.

Come attivare il supporto di Kerberos su un cluster esistente con l'installazione di SP3

Per attivare Kerberos in modo che un oggetto computer venga creato per un server virtuale esistente:

Nota In questa sezione si "risorsa cluster nome di rete" intende il nome di risorsa cluster per il nome di rete come visualizzato nella scheda Generale delle proprietà della risorsa nome cluster di rete.

1. Su ciascun nodo del cluster, verificare che l'account del servizio cluster sia stata concessa l'utente "Agisci come parte del sistema operativo" a destra su nodi locali.
   
   A tale scopo, seguire le istruzioni descritte nella sezione "Cluster Service Account viene non sono appropriati utente diritti on locale Node" del seguente articolo della Microsoft Knowledge Base:
   307532

   (http://support.microsoft.com/kb/307532/ )

   Come risolvere l'account del servizio cluster quando modifica di oggetti computer
2. Verificare che l'account del servizio cluster disponga di autorizzazioni appropriate in Active Directory. Per effettuare questa operazione, attenersi alle istruzioni riportate nell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
   302389

   (http://support.microsoft.com/kb/302389/ )

   Descrizione delle proprietà del cluster risorsa nome di rete in Windows Server 2003
3. Applicare SP3 in tutti i nodi del cluster.
4. Avviare Amministrazione Cluster, selezionare la risorsa nome rete corrispondente per il quale si desidera attivare il supporto di Kerberos e adottare in modalità non in linea la risorsa.
5. Aprire un prompt dei comandi in uno dei nodi del cluster e quindi digitare il seguente comando:
   cluster res "nome risorsa di rete" /priv requirekerberos = 1:dword
6. Da amministratore cluster, portare in linea la risorsa di nome di rete.

È inoltre possibile utilizzare questa procedura per attivare la proprietà RequireDNS . Per effettuare questa operazione, sostituire RequireDNS in cui è specificato RequireKerberos . Se si utilizza la proprietà RequireDNS , è possibile assicurarsi che la risorsa diventa in linea solo se record DNS del server virtuale sono correttamente registrato. Se la proprietà RequireDNS è impostata su 1 , il record DNS HOST (A) per il server virtuale devono essere registrati. Se non è attivato, è possibile che la risorsa nome rete non tornerà in linea. Se il server DNS accetta gli aggiornamenti dinamici, ma non viene aggiornato il record, questo comportamento viene considerato un errore. Se il server DNS non accetta gli aggiornamenti dinamici (versioni precedenti di DNS) o se non sono i server DNS sono associati di rete associata alla risorsa, la risorsa nome rete proviene ancora in linea.

In genere, se una risorsa nome di rete non tornerà in linea dopo aver attivato il supporto di Kerberos, l'account di servizio di cluster potrebbe non disporre di autorizzazioni corretti per Active Directory. Se la risorsa non tornerà in linea, vedere il seguente articolo della Microsoft Knowledge Base per ulteriori informazioni sulla risoluzione dei problemi passaggi e come verificare l'account del servizio cluster disponga di accesso in scrittura ad Active Directory:

Nota: Se questo particolare installazione di Windows 2000 è un aggiornamento da Microsoft Windows NT 4.0, è necessario esaminare il "Service account viene non sono appropriati utente diritti in locale nodo cluster" in Q307532. Windows NT 4.0 non concede il diritto "Agisci come parte del sistema operativo" all'account del servizio cluster. Di conseguenza, se si esegue l'aggiornamento a Windows 2000, questo diritto non concesso. Questo diritto deve essere applicato per la nuova funzionalità di Kerberos per l'utilizzo. Nuove installazioni di cluster di server in Windows 2000 concedere questo diritto all'account del servizio cluster durante l'installazione del cluster.

Come impostare la proprietà RequireKerberos prima applicazione di SP3

Si impostano la proprietà RequireKerberos prima di aggiornamento e di se è stato aggiornato un nodo a SP3, i computer client potrebbero verificarsi problemi di autenticazione alle risorse del cluster mentre il resto dei nodi del cluster vengono aggiornati a SP3. Questo comportamento può verificarsi nelle seguenti circostanze:

• La proprietà RequireKerberos è impostata su 1 in una risorsa nome rete.
• Un nodo del cluster viene aggiornato a SP3.
• La risorsa nome rete è ospitata dal nodo aggiornato, causando un oggetto computer per essere creato in Active Directory.
• Il nome di rete risorsa viene spostata in un nodo del cluster non di SP3 o perché il nodo aggiornato non o il gruppo della risorsa è stato spostato.
• Un client che si connette al nodo di cluster utilizzando la risorsa nome rete riceve un ticket Kerberos per il server virtuale a causa della presenza dell'oggetto computer.
• La risorsa nome rete ospitato sul nodo del cluster a SP3 non non supporta l'autenticazione Kerberos e il client non può eseguire l'autenticazione.

Se è stata impostata la proprietà RequireKerberos su 1 prima di aver applicato SP3, è necessario impostare il tipo di valore di proprietà a valore DWORD . Se non viene e si installa SP3, il nome di rete risorsa non viene portata in linea. Per risolvere questa situazione, è possibile eliminare la risorsa nome rete e quindi ricrearlo; tuttavia, se questo problema si verifica con la risorsa nome di cluster, è necessario reinstallare il cluster.

Per impostare la proprietà RequireKerberos prima di eseguire l'aggiornamento a SP3, eseguire il comando riportato di seguito: Per verificare che la proprietà RequireKerberos è un valore DWORD, eseguire il comando riportato di seguito: Se "D" verrà visualizzato nella colonna sinistra per il RequireKerberos = 1 , questa proprietà è un valore DWORD. Dopo aver verificato che la proprietà, seguire le istruzioni nella sezione "Procedure per attiva su Kerberos supporto su un esistente cluster che È SP3 installato" di questo articolo per attivare il supporto di Kerberos.

Ridenominazione di un server virtuale con il supporto Kerberos attivato

È possibile utilizzare uno dei due metodi descritti in questa sezione per rinominare un server virtuale quando è attivata l'autenticazione Kerberos. Se è possibile modificare la risorsa nome rete in Amministrazione Cluster, la rete nome risorsa non riesce perché l'oggetto computer non viene rinominata. Windows Server 2003-based server clusters può tuttavia modificare il nome dell'oggetto computer corrispondente.

È probabile che il metodo 1 è più facile per il completamento, ma questo metodo presuppone che non gli oggetti figlio sono associati all'oggetto computer in Active Directory. Accodamento messaggi (noto anche come MSMQ) è un esempio di un programma che crea di oggetti figlio. Se si utilizza il metodo 2, è necessario utilizzare ADSIEdit.msc incluso in Windows 2000.

Metodo 1

Se si esegue questo metodo, è disattivare temporaneamente Kerberos il supporto per il server virtuale, eliminare il corrispondente oggetto computer, quindi attivare e ricreare l'oggetto computer:

1. Utilizzare Amministrazione Cluster per rendere la rete corrispondente nome di risorsa non in linea.
2. Aprire un prompt dei comandi in uno dei nodi del cluster e il tipo il seguente comando:
   cluster res "nome risorsa di rete" /priv requirekerberos = 0
3. Avviare Active Directory Users and Computers e quindi individuare l'unità organizzativa computer.
4. Dal menu Visualizza , fare clic su Users, Groups and Computers as containers e quindi verificare che nessun oggetto figlio esistenti.
   
   Nota : se gli oggetti figlio sono presenti, contattare il fornitore del programma inserite questi oggetti figlio e quindi chiedere di verificare che esista un modo per ricreare l'oggetto figlio, dopo aver eliminato e ricreato oggetto computer del server virtuale. Se è Impossibile ricreare l'oggetto figlio, utilizzare il metodo 2.
5. Eliminare le risorse di rete nome dell'oggetto computer corrispondente da Active Directory Users and Computers.
6. Mentre la risorsa nome rete corrispondente è ancora in modalità non in linea, utilizzare Amministrazione Cluster per visualizzare la pagina parametri della risorsa nome rete e quindi modificare il nome del server virtuale.
7. Aprire un prompt dei comandi in uno dei nodi del cluster e il tipo il seguente comando:
   cluster res "nome risorsa di rete" /priv requirekerberos = 1
8. Utilizzare Amministrazione Cluster per portare il nome di rete in linea la risorsa.
   
   Nota Microsoft supporta solo l'esecuzione di Microsoft Distributed Transaction Coordinator (MSDTC) sui nodi del cluster come risorsa cluster. Non è consigliabile in esecuzione di MSDTC in modalità autonoma in un cluster. Microsoft non supporta questa configurazione. Quando si utilizza MSDTC in una risorsa non cluster in un cluster di Microsoft Cluster Service (MSCS), potrebbero essere isolate transazioni. In questo modo danneggiamento dei dati se si verifica un failover del cluster.

Metodo 2

Se si esegue questo metodo, utilizzare ADSIEdit.msc per rinominare l'oggetto di computer in Active Directory in modo che corrisponda il nome di rete risorse in Amministrazione Cluster. Installare ADSIEdit.msc in qualsiasi server membro o controller di dominio. Per installare ADSIEdit, eseguire il programma di installazione nel supporto cartella del CD di Windows 2000.

1. Avviare Amministrazione Cluster e quindi richiedere in modalità non in linea la risorsa nome rete corrispondente.
2. In Amministrazione Cluster, visualizzare la pagina parametri della risorsa nome rete e quindi modificare il nome del server virtuale.
3. Avviare ADSIEdit.msc, espandere il dominio e quindi individuare l'unità organizzativa computer.
4. Fare clic con il pulsante destro del mouse sull'oggetto di computer della risorsa nome di rete corrispondente e quindi fare clic su Rinomina .
5. Rinominare il nome comune (noto anche come il CN) dell'oggetto e quindi premere INVIO.
6. Fare clic con il pulsante destro del mouse sull'oggetto computer della risorsa nome di rete corrispondente e scegliere Proprietà .
7. Nella casella Selezionare una proprietà da visualizzare , fare clic su DisplayName .
8. Nella finestra Selezionare le proprietà da visualizzare fare clic su entrambi .
9. Nella riga di Edit Attribute , digitare il nuovo nome del server virtuale.
10. Ripetere i passaggi 5 a 7 per DNSHostName (in formato DNS completo) e SamAccountName (che viene accodato un $).
11. In Amministrazione Cluster portare in linea la risorsa di nome di rete.
    
    Nota : dopo che si utilizza ADSIEdit per rinominare l'oggetto computer del server virtuale, potrebbe essere necessario attendere la replica si verifica per tutti i controller di dominio ricevono le modifiche.

È necessario installare massime Pack crittografia

È necessario installare il pacchetto di crittografia di alto 128-bit in tutti i nodi del cluster. Per ulteriori informazioni sul pack a crittografia elevata e per scaricare la versione High Encryption pack, vedere il seguente sito Web Microsoft: Se non si installa la versione High Encryption pack, è Impossibile portare in linea la risorsa di nome rete abilitata per Kerberos e i dati seguenti viene registrati nel Registro di diagnostica del cluster (cluster.log): Il valore di stato decimale 2148073497 viene convertito in 0x80090019 il valore esadecimale, che indica NTE_KEYSET_NOT_DEF.

Più risorse di nomi di rete come non in linea

Se si dispone di più risorse nome di rete in cui Kerberos è attivato il supporto e si tenta di copiarli in linea nello stesso momento, può verificarsi una race condition e alcune delle risorse nome rete inizialmente potrebbe non riuscire. Poiché la risorsa viene riavviato per impostazione predefinita, è possibile notare che la rete risorse nome non è riuscito. Se si verifica questo problema, i seguenti dati viene registrati nel Registro di diagnostica del cluster: Nota : questo errore è l'errore stesso che si verifica se l'account del servizio cluster non dispone del diritto "Agisci come parte del sistema operativo". Utilizzare la procedura descritta nel seguente articolo per verificare che sono stati assegnati i diritti appropriati:

Messaggi cluster di server di Accodamento messaggi e di Windows 2000 SP3

Aggiornamenti da Windows 2000 SP1 e SP2

Se l'aggiornamento a SP3 un cluster di server di Accodamento messaggi, un'utilità separata denominata Msmqprop.exe automaticamente viene eseguita durante l'aggiornamento. Automaticamente, questa utilità esegue la scansione del cluster e imposta la proprietà RequireKerberos 1 qualsiasi risorsa nome di rete che dipende la risorsa Accodamento. Per Msmqprop.exe eseguire, il servizio cluster è installato in Windows 2000 deve essere in esecuzione SP1 o SP2 (non RTM). Msmqprop.exe crea un file di registro nella cartella Windows_folder denominata Msmqprop.log, che indica tutte le azioni che viene eseguito.

Autorizzazioni per l'oggetto computer

Cluster di Accodamento di Windows 2000 server con Service Pack 3 richiedono autorizzazioni nel dominio. L'account del servizio cluster permesso del "Crea gli oggetti figlio" per oggetto computer del server virtuale. Questa autorizzazione aggiuntiva è necessaria perché Accodamento messaggi crea a figlio oggetti sotto l'oggetto computer del server virtuale. Per aggiungere queste autorizzazioni, attenersi alla seguente procedura sul controller di dominio:

1. È possibile avviare utenti e computer dalla cartella Strumenti di amministrazione.
2. Scegliere Caratteristiche avanzate dal menu Visualizza .
3. Espandere il dominio e quindi fare doppio clic sull'oggetto computer del server virtuale da Accodamento messaggi dipenda.
4. Fare clic su tale scheda e quindi fare clic su Aggiungi .
5. Espandere il dominio, fare doppio clic sull'account del servizio cluster e quindi fare clic su OK .
6. Fare clic sull'account del servizio cluster, per selezionare la casella di controllo per Creare tutti gli oggetti figli e scegliere OK .

L'account del servizio cluster avrà autorizzazioni a creare oggetti figlio sull'oggetto computer server virtuali che consente la creazione dell'oggetto Message Queuing. Se esistono più controller di dominio, potrebbe essere necessario attendere la replica si verificano le modifiche da applicare a tutti i controller di dominio.

Nuova installazione di un cluster server di Accodamento

Per creare un cluster di server di Accodamento messaggi con Kerberos per l'autenticazione mediante l'esecuzione di Windows 2000 SP3:

1. Installare Windows 2000 in tutti i nodi del cluster.
   
   Per una Guida dettagliata eseguire questa operazione, visitare il seguente sito:
   http://technet.microsoft.com/en-us/library/Bb727114.aspx

   (http://technet.microsoft.com/en-us/library/Bb727114.aspx)
2. Disattivare tutti i nodi tranne Node_A.
3. Configurare il disco condiviso da Node_A.
4. Utilizzare il Pannello controllo per installare e configurare Servizio Cluster di Microsoft e Accodamento messaggi su Node_A.
   
   Nota: Installare Accodamento messaggi utilizzando lo strumento Installazione applicazioni, ma non creare una risorsa cluster di accodamento per Accodamento messaggi in questo momento.
5. Attivare gli altri nodi del cluster.
6. Utilizzare Pannello di controllo per installare e configurare Servizio Cluster di Microsoft e l'accodamento nei nodi rimanenti del cluster
   
   Nota : con Microsoft Cluster service join esistenti del cluster e installare Accodamento messaggi, ma non si effettua una risorsa del cluster di accodamento per Accodamento messaggi in questo momento.
7. Applicare a Node_A e quindi riavviare il computer.
   
   Qualsiasi gruppo che è stato intestato Node_A riuscirà un altro nodo del cluster.
8. Applicare SP3 a tutti gli altri nodi del cluster.
9. Eseguire Comclust per configurare un distribuito Microsoft risorsa di Transaction Coordinator (MSDTC) nel cluster. Per ulteriori informazioni sull'utilizzo di Comclust, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
   243204

   (http://support.microsoft.com/kb/243204/ )

   Tecniche di ripristino di Microsoft Distributed Transaction Coordinator (MSDTC) in Windows 2000 cluster server
10. Rinominare un gruppo esistente (diverso dal gruppo di cluster) che contiene una risorsa disco a un nome appropriato (ad esempio, il Message Queuing Group.
11. Nella Message Queuing Group, creare una risorsa IP e una risorsa nome rete (Message Queuing Cluster Name) e lasciarle in modalità non in linea.
12. Dal prompt dei comandi Node_A eseguire il comando riportato di seguito:
    cluster res "Nome cluster di Accodamento messaggi" /priv requirekerberos = 1:dword
13. Verificare che il RequireKerberos è stata impostata correttamente e che è un valore DWORD. Per effettuare questa operazione, il seguente comando da un prompt dei comandi:
    cluster res "Nome cluster di Accodamento messaggi" /priv
    Se nella colonna sinistra per "D" verrà visualizzata la RequireKerberos = 1 , proprietà, questa proprietà è un valore DWORD.
14. Portare in linea per Message Queuing Group per Node_A.
    
    Nota: Se il Message Queuing Cluster Name non tornerà in linea, è necessario esaminare le procedure negli articoli della Microsoft Knowledge Base riportato di seguito riportati:
    302389

    (http://support.microsoft.com/kb/302389/ )

    Descrizione delle proprietà del cluster risorsa nome di rete in Windows Server 2003
    307532

    (http://support.microsoft.com/kb/307532/ )

    Come risolvere l'account del servizio cluster quando modifica di oggetti computer
15. Avviare Active Directory Users and Computers e quindi verificare che un oggetto computer sia stato creato per la risorsa Message Queuing Cluster Name.
16. Spostare di Message Queuing Group per tutti i nodi del cluster per verificare che il supporto Kerberos è alimentato correttamente tutti i nodi.
17. Seguire le istruzioni nella sezione "Autorizzazioni sull'oggetto computer" di questo articolo per assegnare l'account del servizio cluster di autorizzazioni appropriate per creare l'oggetto Message Queuing.
18. Creare una risorsa Accodamento messaggi nel Message Queuing Group e quindi portare in linea la risorsa.
19. Spostare tutti i nodi del cluster per verificare che la risorsa Accodamento messaggi viene eseguito in tutti i nodi del cluster Message Queuing Group.

Cluster di server e il servizio Replica file

Il servizio Replica File (FRS) non la replica con una condivisione di file in un cluster di server nell'oggetto computer del server virtuale. Il servizio Replica file Cerca solo informazioni di sottoscrizione in un oggetto computer del nodo, e che non effettui oggetto computer del server virtuale. File system distribuito (DFS) utilizza FRS per replicare i dati tra più server quando un criterio di replica è attivato. Se il collegamento DFS con il criterio di replica è un server virtuale, i dati non viene replicati con altri partner. Potrebbe essere necessario utilizzare un altro metodo (ad esempio, uno script di copia file) per replicare i dati.

Pacchetti di Windows Installer che sono ora assegnati ai computer con criteri di gruppo di lavoro

Nelle versioni precedenti di Windows 2000, poiché l'account del computer che riceve il pacchetto esegue solo l'autenticazione utilizzando Kerberos e NTLM non Impossibile distribuire un pacchetto di Windows Installer che è memorizzato in una condivisione di file del cluster server. In Windows 2000 SP3, se si imposta il valore della proprietà RequireKerberos su 1 per la risorsa nome rete che condividono il file la condivisione risorsa dipende da, Windows Installer distribuita dall'utilizzo di criteri di gruppo. Vedere la "come per attiva su Kerberos supporto su un esistente cluster che È SP3 installata" sezione in questo articolo per ulteriori informazioni su come attivare Kerberos supporta.

Come disattivare il supporto di Kerberos per un server virtuale

Se si verificano problemi di autenticazione dopo l'attivazione di Kerberos il supporto per il server virtuale, è possibile disattivare la il supporto. Per disattivare il supporto di Kerberos, è necessario eliminare manualmente l'oggetto computer corrispondente.

1. Avviare Amministrazione Cluster, selezionare la risorsa nome rete corrispondente per il quale si desidera disattivare il supporto di Kerberos e adottare in modalità non in linea la risorsa.
2. Aprire un prompt dei comandi in uno dei nodi del cluster e quindi digitare il seguente comando:
   cluster res "nome risorsa di rete" /priv requirekerberos = 0
3. Avviare Active Directory Users and Computers e quindi eliminare l'oggetto computer corrispondente.
4. Da amministratore cluster, portare in linea la risorsa di nome di rete.

Modifica di domini con Kerberos attivato

Se si tenta di modificare il dominio che i nodi del cluster sono membri di dopo l'attivazione di Kerberos, non sarà possibile portare in linea il nome di rete. Per risolvere il problema, impostare RequireKerberos = 0 una volta nel nuovo dominio, portare in linea, quindi impostare RequireKerberos = 1 in modo che il servizio cluster verrà creare un nuovo oggetto computer nel nuovo dominio. Potrebbe essere necessario eliminare il record in DNS e verificare che sia aggiornato.

Per informazioni generali sulla modifica di domini per i nodi del cluster, fare clic su articolo numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Riferimenti