Suportar Kerberos em clusters de servidor baseado no Windows 2000

Este artigo descreve o suporte de autenticação Kerberos para clusters de servidor baseado no Windows 2000 que tenha sido adicionado no Windows 2000 Service Pack 3 (SP3). Com versões do Windows 2000 anteriores ao SP3, o serviço de cluster não publica objectos de computador para servidores virtuais no Active Directory. Isto significa que os servidores virtuais autentiquem utilizando apenas NTLM ou NTLM versão 2. Com o Windows 2000 SP3, pode configurar servidores virtuais para permitir aos clientes autenticar utilizando o protocolo de autenticação Kerberos. Se estiver activada, um objecto de computador é criado para cada rede correspondente nome do recurso.

Não é suportada a autenticação Kerberos para o recurso de nome de rede depende da Microsoft Exchange 2000 num cluster de servidores. Exchange 2000 não foi testado com a expectativa que um servidor virtual em cluster suportaria a autenticação Kerberos; esta configuração poderá não funcionar correctamente. Versões futuras do Exchange Server podem tirar partido de Kerberos autenticação para clusters de servidor.

importante : notas que Kerberos é suportado num cluster do SQL Server.

Para obter mais informações sobre a autenticação Kerberos para o Windows 2000 SP3, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre como utilizar a autenticação Kerberos no SQL Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

As secções seguintes descrevem como activar Kerberos suporta e descreve alguns problemas conhecidos que ocorrem com clusters de servidor Windows 2000 SP3 e Kerberos.

Como activar o suporte de Kerberos num cluster existente com SP3 instalado

Para activar Kerberos para que um objecto de computador é criado para um servidor virtual existente:

Nota Nesta secção "recurso de cluster de nome de rede" refere o recurso de cluster nome para o nome de rede tal como apresentado no separador Geral nas propriedades do recurso de nome de cluster de rede.

1. Em cada nó no cluster, certifique-se que a conta do serviço de cluster foi concedida o utilizador "Actuar como parte do sistema operativo" à direita em nós de locais.
   
   Para o fazer, siga as instruções que são descritas na secção "Serviço de conta é não ter correcto utilizador direitos no local nó de cluster" do seguinte artigo da base de dados de conhecimento da Microsoft:
   307532

   (http://support.microsoft.com/kb/307532/ )

   Como resolver a conta do serviço de cluster quando modifica objectos de computador
2. Verifique se a conta do serviço de cluster tem as permissões adequadas no Active Directory. Para o fazer, siga as instruções no seguinte artigo da base de dados de conhecimento da Microsoft:
   302389

   (http://support.microsoft.com/kb/302389/ )

   Descrição das propriedades do cluster recurso de nome de rede no Windows Server 2003
3. Aplica o SP3 a todos os nós no cluster.
4. Iniciar administrador de clusters, seleccione o recurso nome de rede correspondente para o qual pretende activar o suporte de Kerberos e, em seguida, coloque offline o recurso.
5. Abra uma linha de comandos num de nós de cluster e, em seguida, escreva o seguinte comando:
   cluster res "recurso de nome de rede" /priv requirekerberos = 1:dword
6. A partir do administrador de clusters, coloque online o recurso de nome de rede.

Também pode utilizar este procedimento para activar a propriedade RequireDNS . Para o fazer, substitua RequireDNS onde RequireKerberos é especificado. Se utilizar a propriedade RequireDNS , pode certificar-se que o recurso ficar online se registos de DNS do servidor virtual com êxito são registados. Se a propriedade RequireDNS estiver definida como 1 , tem de ser registado o registo de HOST DNS (A) para o servidor virtual. Se não estiver, o recurso de nome de rede não fica online. Se o servidor de DNS aceita actualizações dinâmicas mas o registo não é actualizado, este comportamento é considerado uma falha. Se o servidor de DNS não aceita actualizações dinâmicas (versões mais antigas do DNS) ou se não existirem quaisquer servidores DNS que estão associados a rede associado do recurso, o recurso de nome de rede ainda estiver online.

Normalmente, se um recurso de nome de rede não ficar online depois de activar o suporte Kerberos, a conta do serviço de cluster não pode ter as permissões correctas para o Active Directory. Se o recurso não ficar online, consulte o seguinte artigo da base de dados de conhecimento da Microsoft para obter mais informações sobre resolução de problemas passos e como verificar se a conta do serviço de cluster tem acesso de escrita ao Active Directory:

NOTA: Se esta instalação específica do Windows 2000 é uma actualização a partir do Microsoft Windows NT 4.0, reveja o "serviço de conta é não tem correcto utilizador direitos no local nó de cluster" em Q307532. Windows NT 4.0 não lhe concede o direito "Actuar como parte do sistema operativo" à conta de serviço de cluster. Por conseguinte, se actualizar para o Windows 2000, este direito não é concedido. Este direito deve ser aplicado para a nova funcionalidade de Kerberos trabalhar. Novas instalações de clusters de servidor no Windows 2000 conceder este direito para a conta serviço de cluster durante o programa de configuração do cluster.

Como definir a propriedade RequireKerberos antes de aplicar SP3

Se definir a propriedade RequireKerberos antes de actualização e se tiver actualizado um nó para o SP3, computadores cliente podem encontrar problemas de autenticação para recursos de cluster enquanto o resto de nós no cluster são a ser actualizados para SP3. Este comportamento pode ocorrer nas seguintes circunstâncias:

• A propriedade RequireKerberos estiver definida como 1 no recurso de nome de rede.
• Um nó de cluster será actualizado para SP3.
• O recurso de nome de rede está alojado no nó actualizado, que faz com que um objecto de computador criada no Active Directory.
• O nome de rede recurso for movido para um nó de cluster não SP3 ou porque o nó actualizado falhar ou grupo do recurso foi movido.
• Um cliente que liga o nó do cluster utilizando o recurso de nome de rede recebe um Kerberos para o servidor virtual devido à presença do objecto de computador.
• O nome de rede do recurso hospedado num nó de cluster não SP3 não suporta a autenticação Kerberos e não é possível autenticar o cliente.

Se tiver definido a propriedade RequireKerberos para 1 antes de aplicar SP3, terá de definir o tipo de valor de propriedade para DWORD . Se que não o fizer e instalar o SP3, o nome de rede recurso não entra em online. Para recuperar nesta situação, pode eliminar o recurso de nome de rede e, em seguida, recriá-la; no entanto, se este problema ocorrer com o recurso nome de cluster, tem de reinstalar o cluster.

Para definir a propriedade RequireKerberos antes de actualizar para o SP3, execute o seguinte comando: Para verificar se a propriedade RequireKerberos é um valor DWORD, execute o seguinte comando: Se "D" aparece na coluna mais à esquerda para a RequireKerberos = 1 propriedade, esta propriedade é um valor DWORD. Depois de verificar a propriedade, siga as instruções na secção "Como activar no Kerberos suporte num existente cluster que foi SP3 instalado" deste artigo para activar o suporte de Kerberos.

Como mudar o nome de um servidor virtual com suporte de Kerberos activado

Pode utilizar um dos dois métodos descritos nesta secção para mudar o nome um servidor virtual quando a autenticação Kerberos está activada. Se alterar o recurso nome de rede no administrador de clusters, a rede nome recurso falhar porque o objecto de computador não é mudado. No entanto, os clusters de servidor baseado no Windows Server 2003 podem alterar o nome do objecto de computador correspondente.

É possível que o método 1 é mais fácil concluir, mas este método assume que os objectos não subordinados são associados ao objecto de computador no Active Directory. Colocação de mensagens (também conhecida como MSMQ) é um exemplo de um programa que cria objectos subordinados. Se utilizar o método 2, tem de utilizar ADSIEdit.msc, incluído no Windows 2000.

Método 1

Se executar este método, desactive temporariamente Kerberos suporte para o servidor virtual, eliminar o objecto de computador correspondente e, em seguida, activar e recriar o objecto de computador:

1. Utilizar o administrador de clusters para tirar a rede correspondente nome recurso offline.
2. Abra uma linha de comandos num de nós de cluster e o tipo o seguinte comando:
   cluster res "recurso de nome de rede" /priv requirekerberos = 0
3. Inicie computadores e utilizadores do Active Directory e, em seguida, localize à unidade organizacional computadores.
4. No menu Ver , clique em utilizadores, grupos e computadores como contentores e, em seguida, verifique se existem objectos não subordinados.
   
   Nota : se objectos subordinados estiverem presentes, contacte o fabricante programa que existe a colocar estes objectos subordinados e, em seguida, peça-lhes para verificar que existe uma forma para recriar o objecto subordinado depois de objecto de computador do servidor virtual foi eliminado e recriado. Se não é possível recriar o objecto subordinado, utilize o método 2.
5. Elimine os recursos de nome de rede do objecto de computador correspondente de computadores e utilizadores do Active Directory.
6. Enquanto o recurso de nome de rede correspondente está ainda offline, utilizar o administrador de clusters para apresentar a página de parâmetros do recurso nome de rede e, em seguida, altere o nome do servidor virtual.
7. Abra uma linha de comandos num de nós de cluster e o tipo o seguinte comando:
   cluster res "recurso de nome de rede" /priv requirekerberos = 1
8. Administrador de clusters utilizado para colocar o nome de rede recurso online.
   
   Nota A Microsoft suporta apenas a executar o Microsoft Distributed Transaction Coordinator (MSDTC) em nós de cluster como um recurso de cluster. Microsoft não recomenda a execução MSDTC no modo autónomo no cluster. Microsoft não suporta esta configuração. Quando utiliza o MSDTC num recurso não agrupados num cluster MSCS (Microsoft Cluster Service), poderá ficar isoladas transacções. Isto resulta de danos nos dados se ocorrer uma activação pós-falha cluster.

Método 2

Se executar este método, utilize ADSIEdit.msc para mudar o nome do objecto de computador no Active Directory para que corresponda o nome de rede recurso no administrador de clusters. Instale ADSIEdit.msc em qualquer servidor membro ou controlador de domínio. Para instalar o ADSIEdit executar o programa configuração o suporte de pasta do CD-ROM do Windows 2000.

1. Inicie o administrador de clusters e, em seguida, colocar o recurso de nome de rede correspondente offline.
2. No administrador de clusters, apresentar a página parâmetros do recurso nome de rede e, em seguida, altere o nome do servidor virtual.
3. Iniciar ADSIEdit.msc, expanda o domínio e, em seguida, localize a unidade organizacional computadores.
4. Clique com o botão direito do rato objecto de computador do correspondente recurso de nome de rede e, em seguida, clique em Mudar o nome .
5. Mudar o nome comum (também conhecido como o CN) do objecto e, em seguida, prima ENTER.
6. Clique com o botão direito do rato no objecto de computador do recurso de nome de rede correspondente e, em seguida, clique em Propriedades .
7. Na caixa Select a property to view , clique em DisplayName .
8. Em Select which properties to view , clique em ambos .
9. Na linha Edit Attribute , escreva o novo nome do servidor virtual.
10. Repita os passos 5 a 7 para DNSHostName (em formato DNS completo) e SamAccountName (que é anexado com um $).
11. No administrador de clusters, coloque online o recurso de nome de rede.
    
    Nota : depois utilize o ADSIEdit para mudar o nome de objecto de computador do servidor virtual, poderá ter de aguardar pela replicação ocorra em todos os controladores de domínio recebem as alterações.

Tem de instalar o High Encryption Pack

Tem de instalar o pack de alta encriptação de 128 bits em todos os nós do cluster. Para mais informações sobre o High Encryption pack e para transferir o High Encryption pack, consulte o seguinte Web site da Microsoft: Se não instalar o pacote de encriptação alta, não consegue colocar o recurso de nome de rede Kerberos activado online e os dados seguintes no registo de diagnóstico do cluster (Cluster.log): O valor de estado decimal 2148073497 converte o 0x80090019 valor hexadecimal, o que indica NTE_KEYSET_NOT_DEF.

Vários recursos de nomes de rede não ainda online

Se tiver vários recursos de nome de rede em que Kerberos está activado o suporte e tentar colocar online ao mesmo tempo, poderá ocorrer uma condição de corrida e alguns dos recursos nome de rede poderão falhar inicialmente. Uma vez que reinicia o recurso por predefinição, poderá não detectar que a rede falhou a recursos de nome. Se este problema ocorre, os seguintes dados são registados no registo de diagnóstico do cluster: Nota : Este erro é o mesmo erro que ocorre se a conta do serviço de cluster não tiver o direito "Actuar como parte do sistema operativo". Utilize o procedimento é descrito no seguinte artigo da base de dados de conhecimento da Microsoft para verificar que os direitos correctos atribuídos:

Clusters de servidor de Colocação de mensagens em fila e o Windows 2000 SP3

Actualizações do Windows 2000 SP1 e SP2

Se actualizar um cluster de servidor de Colocação de mensagens em fila para o SP3, é executado um utilitário separado denominado Msmqprop.exe automaticamente durante a actualização. Este utilitário verifica o cluster automaticamente e define a propriedade RequireKerberos para 1 qualquer recurso de nome de rede que o recurso de Colocação de mensagens em fila está dependente. Para Msmqprop.exe ser executado, o serviço de cluster está instalado no Windows 2000 terá de executar o SP1 ou SP2 (RTM). Msmqprop.exe cria um ficheiro de registo na pasta Windows_folder denominada Msmqprop.log, que indica todas as acções que é executada.

Permissões no objecto computador

Clusters de servidor Windows 2000 Colocação de mensagens em fila com o Service Pack 3 necessitam de permissões no domínio. A conta do serviço de cluster tem de ter a permissão "Criar objectos subordinados" para objecto de computador do servidor virtual. Esta permissão adicional é necessário porque a Colocação de mensagens em fila cria subordinado objectos por baixo de objecto de computador do servidor virtual. Para adicionar estas permissões, execute estes passos no controlador de domínio:

1. Inicie computadores e utilizadores do Active Directory a partir da pasta Ferramentas administrativas.
2. No menu Ver , clique em Funcionalidades avançadas .
3. Expanda o domínio e, em seguida, faça duplo clique no objecto de computador do servidor virtual que Colocação de mensagens em fila depende.
4. Clique no separador segurança e, em seguida, clique em Adicionar .
5. Expanda o domínio, clique duas vezes a conta de serviço de cluster e, em seguida, clique em OK .
6. Clique na conta serviço de cluster, clique para seleccionar o para Criar todos os objectos subordinados e, em seguida, clique em OK .

A conta do serviço de cluster agora tem permissões para criar objectos de subordinados no objecto de computador servidores virtuais que permite a criação do objecto de Colocação de mensagens em fila. Se existirem vários controladores de domínio, poderá ter de aguardar pela replicação ocorra para as alterações sejam aplicadas a todos os controladores de domínio.

Nova instalação de um cluster de servidor Colocação de mensagens em fila de mensagens

Para criar um cluster de servidor de Colocação de mensagens em fila utilizando Kerberos autenticação executando o Windows 2000 SP3:

1. Instale o Windows 2000 em todos os nós no cluster.
   
   Para obter um guia passo-a-passo efectuar esta tarefa, visite o seguinte Web site da Microsoft:
   http://technet.microsoft.com/en-us/library/Bb727114.aspx

   (http://technet.microsoft.com/en-us/library/Bb727114.aspx)
2. Desactive todos os nós excepto Node_A.
3. Configure o disco partilhado de Node_A.
4. Utilize painel de controlo para instalar e configurar o serviço de cluster de Microsoft e Colocação de mensagens em fila no Node_A.
   
   NOTA: Instalar a colocação, utilizando a ferramenta Adicionar/remover programas mas não criar um recurso de cluster Colocação de mensagens em fila para a Colocação de mensagens em fila neste momento.
5. Active as outros nós no cluster.
6. Utilizar painel de controlo para instalar e configurar o serviço de cluster de Microsoft e Colocação de mensagens em fila nos restantes nós do cluster
   
   Nota : tem o Microsoft Cluster service associação existente do cluster e instalar a Colocação de mensagens em fila, mas não efectue um recurso de cluster de Colocação de mensagens em fila para Colocação de mensagens neste momento.
7. Aplicar o SP3 para Node_A e, em seguida, reinicie o computador.
   
   Grupos de que foi pertencentes Node_A falhará outro nó no cluster.
8. Aplica o SP3 a todos os outros nós no cluster.
9. Executar Comclust para configurar um Microsoft Distributed Transaction Coordinator (MSDTC) recurso no cluster. Para obter mais informações sobre como utilizar Comclust, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
   243204

   (http://support.microsoft.com/kb/243204/ )

   Técnicas de recuperação Microsoft Distributed Transaction Coordinator (MSDTC) no Windows 2000 Server do cluster
10. Mudar o nome um grupo existente (sem ser o grupo de cluster) que contém um recurso de disco para um nome apropriado (por exemplo, Message Queuing Group.
11. No Message Queuing Group, crie um recurso IP e um recurso de nome de rede (Message Queuing Cluster Name) e mantê-los offline.
12. A partir de uma linha de comandos no Node_A, execute o seguinte comando:
    cluster res "Nome do cluster de Colocação de mensagens em fila" /priv requirekerberos = 1:dword
13. Verifique se o RequireKerberos foi definido correctamente e que é um valor DWORD. Para tal, o comando seguinte a partir de uma linha de comandos:
    cluster res "Nome do cluster de Colocação de mensagens em fila" /priv
    Se "D" aparece na coluna mais à esquerda para a RequireKerberos = 1 , propriedade, esta propriedade é um valor DWORD.
14. Colocar Message Queuing Group online para Node_A.
    
    NOTA: Se a Message Queuing Cluster Name não ficar online, reveja os passos resolução de problemas nos seguintes artigos da base de dados de conhecimento da Microsoft:
    302389

    (http://support.microsoft.com/kb/302389/ )

    Descrição das propriedades do cluster recurso de nome de rede no Windows Server 2003
    307532

    (http://support.microsoft.com/kb/307532/ )

    Como resolver a conta do serviço de cluster quando modifica objectos de computador
15. Inicie computadores e utilizadores do Active Directory e, em seguida, verifique se um objecto de computador foi criado para o recurso Message Queuing Cluster Name.
16. Mova Message Queuing Group a todos os nós no cluster para verificar esse suporte Kerberos correctamente está em execução todos os nós.
17. Siga as instruções na secção "Permissões no objecto computador" deste artigo para conceder as permissões adequadas para criar o objecto de Colocação de mensagens em fila a conta do serviço de cluster.
18. Crie um recurso Colocação de mensagens em fila num Message Queuing Group e, em seguida, colocar este recurso online.
19. Mova Message Queuing Group para todos os nós do cluster para verificar que o recurso de Colocação de mensagens em fila é executado em todos os nós de cluster.

Serviço de replicação e clusters de servidor de ficheiros

O serviço de replicação de ficheiros (FRS) não replica com uma partilha de ficheiros num cluster de servidor no objecto de computador de um servidor virtual. O serviço FRS só procura informações de subscrição sob objecto de computador o nó e não pesquisa objecto de computador do servidor virtual. Sistema de ficheiros distribuído (DFS) utiliza o FRS para replicar dados entre vários servidores quando está activada uma política de replicação. Se a ligação de DFS com a política de replicação um servidor virtual, os dados não são replicados com qualquer outro parceiro. Poderá ter de utilizar outro método (por exemplo, um script de cópia de ficheiro) para replicar os dados.

Trabalho do Windows Installer pacotes que são atribuídos a computadores com política de grupo agora

Em versões anteriores do Windows 2000, um pacote do Windows Installer que está armazenado numa partilha de ficheiros de cluster de servidor não pode ser implementado porque a conta de computador que recebe o pacote só autentica utilizando Kerberos e NTLM não. No Windows 2000 SP3, se definir o valor da propriedade RequireKerberos como 1 para o recurso de nome de rede partilhar o ficheiro de partilha recurso é dependente, o Windows Installer é implementado através da utilização da política de grupo. Consulte o "como activar no Kerberos suporte num existente cluster se tem SP3 instalado" secção neste artigo para obter mais informações sobre como activar Kerberos suporta.

Como desactivar o suporte de Kerberos para um servidor virtual

Se detectar problemas de autenticação depois de activar Kerberos suportam para o servidor virtual, pode desactivar o suporte. Para desactivar o suporte Kerberos, tem de eliminar manualmente o objecto de computador correspondente.

1. Iniciar administrador de clusters, seleccione o recurso nome de rede correspondente para o qual pretende desactivar o suporte Kerberos e, em seguida, coloque offline o recurso.
2. Abra uma linha de comandos num de nós de cluster e, em seguida, escreva o seguinte comando:
   cluster res "recurso de nome de rede" /priv requirekerberos = 0
3. Inicie computadores e utilizadores do Active Directory e, em seguida, elimine o objecto de computador correspondente.
4. A partir do administrador de clusters, coloque novamente online o recurso de nome de rede.

Alterar domínios com Kerberos activados

Se tentar alterar o domínio que os nós do cluster são membros do depois de activado o Kerberos, o nome de rede falhará ficar online. Para resolver este problema, defina RequireKerberos = 0 uma vez no novo domínio, colocá-lo online e, em seguida, defina RequireKerberos = 1 para que o serviço de cluster vai criar um novo objecto de computador no novo domínio. Poderá ter de eliminar o registo de DNS e certifique-se que está actualizado.

Para informações gerais sobre como alterar domínios para nós de cluster, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:

Referências