Свойства ресурса сетевого имени в кластере в Windows 2003

Код статьи: 302389 - Список продуктов, к которым относится данная статья.
Развернуть все | Свернуть все

На этой странице

Аннотация

В данной статье описываются свойства ресурса сетевого имени в Windows 2003, которые не были включены в более ранние версии Windows.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Одной из особенностей ресурса сетевого имени в Windows 2003 является возможность создания объекта "Computer" в Active Directory, которая позволяет программам использовать протокол Kerberos как протокол аутентификации, когда программа связывается со службой, используя виртуальное имя кластера. Программы на виртуальном сервере, который относится к Active Directory, имеют правильно обслуживаемый объект "Computer" из Active Directory. Другими особенностями ресурса сетевого имени являются усовершенствованная интегрированная DNS и наличие трех индикаторов состояния для NetBIOS, DNS и Kerberos. В данной статье описывается, как включить и использовать данные особенности. Разрешение аутентификации по протоколу Kerberos Виртуальный сервер состоит из ресурса сетевого имени и IP-адреса ресурса. Ресурс сетевого имени был обновлен для Windows 2003 и позволяет использовать протокол аутентификации Kerberos и создавать соответствующий объект "Computer". По умолчанию протокол аутентификации Kerberos и возможность создания объекта "Computer" для виртуального сервера отключены, а для аутентификации используется NTLM. Для разрешения аутентификации по протоколу Kerberos и создания объекта "Computer":
  1. Запустите Cluster Administrator, нажмите правой кнопкой мыши на ресурсе сетевого имени и затем нажмите Take Offline.

    Примечание: Доступ к виртуальному серверу со стороны клиентов теперь невозможен, потому что ресурс сетевого имени находится в режиме offline.
  2. Дважды щелкните на ресурсе сетевого имени, на котором будет разрешена аутентификация по протоколу Kerberos, для просмотра свойств ресурса. Выберите вкладку Parameters.
  3. Выберите параметр Enable Kerberos Authentication и затем нажмите OK. Правой кнопкой мыши нажмите на ресурсе сетевого имени и затем нажмите Bring Online. Теперь клиент сможет использовать аутентификацию по протоколу Kerberos, когда он будет соединяться с виртуальным сервером. Если Вы откроете оснастку Active Directory "Users and Computers", то новый объект "Computer", который связан с ресурсом сетевого имени, будет видим.
Служба кластера должна иметь надлежащие права для создания объекта "Computer" в Active Directory. Это должно выполняться по умолчанию, потому что служба кластера, как минимум должна быть пользователем домена. По умолчанию эта группа имеет право (привилегию) ''Добавить рабочую станцию в домен''.

По умолчанию, пользователи домена ограничены созданием десяти объектов "Computer" в Active Directory. Для создания большего количества объектов "Computer" Вы должны увеличить предел, ограничивающий количество создаваемых объектов, или администратор домена должен предварительно создать объекты "Computer". Если администратор дает явные права на ''Создание объекта "Computer" для учетной записи службы кластера, то квота отменяется. Если объект "Computer" был предварительно создан, то учетная запись службы кластера будет нуждаться в необходимых разрешениях, чтобы быть способной ''перехватить'' объект так, чтобы правильно записать для него атрибуты.

Три атрибута, которые записываются для объекта "Computer" виртуального сервера:
  • DnsHostName - данный атрибут образуется из ресурса сетевого имени и первичного DNS-суффикса кластера.
  • ServicePrincipalName - данный атрибут, подобно DnsHostName, образуется из ресурса сетевого имени и первичного DNS-суффикса кластера в формате:

    HOST/NetBIOS-имя виртуального сервера
    HOST/FQDN для виртуального сервера
    MSClusterVirtualServer/NetBIOS-имя виртуального сервера
    MSClusterVirtualServer/FQDN для виртуального сервера
    MSServerCluster/NetBIOS-имя виртуального сервера (данный SPN создается только для имени кластера по умолчанию)
    MSServerCluster/FQDN для виртуального сервера (данный SPN создается только для имени кластера по умолчанию)
  • DisplayName - данный атрибут означает удобное(дружественное) название объекта "Computer", которым он представлен в каталоге или адресной книге. Это NetBIOS-имя ресурса сетевого имени По умолчанию доступ к DisplayName закрыт от обновлений. Однако, непроблематично,если не удастся записать изменения, и ресурс перейдет в режим online.
Кроме того, на объект "Computer" установлен пароль.

Вы можете просмотреть данные атрибуты, используя утилиту Adsiedit.msc, которая включена в установочный компакт-диск Windows 2003 и находится в папке SUPPORT.

Вы можете посмотреть первичный DNS-суффикс, выполнив команду ipconfig /all в командной строке. Под заголовком Настройка протокола IP для Windows в строке Основной DNS-суффикс содержится основной DNS-суффикс, который используется для объекта "Computer". Примечание: Для сетевых адаптеров могут быть индивидуально определены различные суффиксы, однако ресурс сетевого имени использует основной DNS-суффикс. Переименование сетевого имени и соответствующего ему объекта "Computer" Процесс переименования виртуального сервера, который связан с объектом "Computer", похож на переименование стандартного ресурса сетевого имени, кроме того, ресурс должен находиться в режиме offline, чтобы можно было произвести замену. Переведите ресурс сетевого имени в режим offline и затем сделайте замену в свойстве "Параметры" на новое имя. Ресурс сетевого имени автоматически свяжется с Active Directory и изменит название объекта "Computer". Чтобы операция переименования была успешной, и ресурс сетевого имени в кластере, и имя компьютера в Active Directory должны быть заменены. Если нельзя произвести замену обоих свойств, то возвращается начальное имя, и замена не произойдет. Учетная запись службы кластера требует разрешения на ''Запись всех свойств'', чтобы было возможно произвести изменения в объекте "Computer". Объект "Computer" и пользователей MMC нельзя переименовать вручную в Active Directory. Отключение аутентификации по протоколу Kerberos Служба кластера никогда не удаляет объект "Computer" из Active Directory. Вместо этого служба кластера отключает его. Отключение объекта "Computer" производится, если параметр Enable Kerberos Authentication не выбран. После того, как объект "Computer" отключен, ресурс сетевого имени не сможет перейти в режиме online до тех пор, пока вновь не будет выбран параметр Enable Kerberos Authentication, или объект "Computer" не будет вручную удален из Active Directory. Настройки DNS Выбор параметра DNS Registration Must Succeed для ресурса сетевого имени гарантирует, что DNS должна быть обновлена перед тем, как ресурс перейдет в режим online. Если выбран параметр DNS Registration Must Succeed, то запись DNS HOST (A) для виртуального сервера должна быть зарегистрирована, иначе ресурс сетевого имени не перейдет в режим online. Если DNS сервер принимает динамические обновления, но запись не может быть обновлена, то это рассматривается как неудача. Если DNS сервер не принимает динамические обновления (старые версии DNS) или не существует DNS сервера, связанного с сетевыми ресурсами, то сетевое имя все еще будет переходить в режиме online. Для включения параметра Enable Kerberos Authentication:
  1. Запустите Cluster Administrator, правой кнопкой мыши нажмите на ресурсе сетевого имени и затем выберите параметр Take Offline.

    Примечание: Доступ клиентов к виртуальному серверу невозможен, потому что ресурс сетевого имени находится в режиме offline.
  2. Для просмотра свойств ресурса дважды нажмите на ресурс сетевого имени, на котором хотите включить параметр DNS Registration Must Succeed. Выберите страницу Parameters.
  3. Выберите параметр DNS Registration Must Succeed и затем нажмите OK. Правой кнопкой мыши нажмите на ресурсе сетевого имени и затем нажмитеBring Online. Если ресурс сетевого имени находится в режиме online, это подтверждает, что он зарегистрирован в виртуальном сервере с помощью DNS сервера.
Примечание: Сетевое имя регистрируется с помощью DNS сервера под учетной записью службы кластера. Проверьте, обладает ли учетная запись службы кластера наджлежащими правами для регистрации записей в DNS сервере или регистрация для сетевого имени в сети не выполняется.

Индикаторы состояния

Если Вы просмотрите свойства ресурса сетевого имени, то увидите индикаторы состояния для NetBIOS, DNS и Kerberos. Для просмотра данных индикаторов:
  1. Запустите Cluster Administrator.
  2. Дважды щелкните на ресурсе сетевого имени и затем выберите страницу Parameters. индикаторы состояния представлены в центре списка на вкладке Parameters.
В нижеприведенном списке описываются индикаторы состояния. Состояния этих индикаторов меняются, когда ресурс сетевого имени переходит из режима online в режим offline и обратно.
  • Состояние для NetBIOS: индикатор состояния для протокола NetBIOS отражает успех или неудачу регистрации NetBIOS-имени с помощью локального редиректора сети. Значение 0 означает успех; другие значения отображают код ошибки. Он не указывет, было ли зарегистрировано NetBIOS-имя для соответствующих WINS или DNS серверов. Для просмотра текста ошибки по ее коду введите в командной строке NET HELPMSG %ERRORCODE% и затем нажмите ENTER.
  • Состояние для DNS: индикатор состояния для DNS отражает успех или неудачу регистрации сетевого имени с помощью DNS сервера. Значение 0 означает успех; другие значения отображают код ошибки. Для просмотра текста ошибки по ее коду введите в командной строке NET HELPMSG %ERRORCODE% и затем нажмите ENTER.
  • Состояние для Kerberos: индикатор состояния для протокола Kerberos показывает код, который указывает, был или нет создан (или обновлен) объект "Computer". Значение 0 означает успех; другие значения отображают код ошибки. Для просмотра текста ошибки по ее коду введите в командной строке NET HELPMSG %ERRORCODE% и затем нажмите ENTER.
Семь параметров для ресурса сетевого имени в Windows 2003, которые не включались в предыдущие версии Windows Следующие параметры для ресурса сетевого имени используются для поддержки особенностей ресурса сетевого имени для Windows 2003, которые не включались в предыдущие версии Windows. Для просмотра этих параметров введите в командной строке CLUSTER RES "NETWORK_NAME_RESOURCE" /PRIV и затем нажмите ENTER. Параметры:
  • RequireDNS - соответствует параметру DNS Registration Must Succeed в пользовательском интерфейсе для ресурса сетевого имени. Он может иметь значение 0 или 1:

    • 0 - неудавшаяся регистрация DNS, она не препятствует нахождению ресурса в режиме online.
    • 1 - если DNS сервер не может быть обновлен, то ресурс не может находиться в режиме online.
  • RequireKerberos - соответствует параметру Enable Kerberos Authentication в пользовательском интерфейсе ресурса сетевого имени. Он может иметь значение 0 или 1:

    • 0 - аутентификация по протоколу Kerberos не включена, и объект "Computer" не создается для ресурса сетевого имени.
    • 1 - объект "Computer" создан, и аутентификация по протоколу Kerberos включена.
  • CreatingDC - отображает контроллер домена, который использовался кластером сервера для создания и изменения объекта "Computer" виртуального сервера, или, если объект был предварительно создан администратором домена, - контроллер домена, с которым устанавливают связь для ''перехвата'' существующего объекта "Computer". Данное значение пусто, когда параметр RequireKerberos отключен.
  • ResourceData - содержит зашифрованный пароль. Доступ к нему в системном реестре ограничен локальным администратором, системой и лицом, создавшим ресурс (владельцем).
  • StatusNetBIOS - соответствует параметру, который представлен в пользовательском интерфейсе для ресурса сетевого имени.
  • StatusDNS - соответствует параметру, который представлен в пользовательском интерфейсе для ресурса сетевого имени.
  • StatusKerberos - соответствует параметру, который представлен в пользовательском интерфейсе для ресурса сетевого имени.

Параметры командной строки

Как и для большинства административных задач для кластера сервера Вы можете включить параметры ''Registration Must Succeed'' и ''Enable Kerberos Authentication'' из командной строки, используя инструмент Cluster.exe. Cluster.exe устанавливается по умолчанию. Таким образом для того, чтобы его использовать, запустите следующие команды из командной строки (предполагается, что Вы выполняете команды с одного из узлов кластера):

Для включения параметра DNS Registration Must Succeed введите в командной строке:

cluster res "NETWORK_NAME_RESOURCE" /priv RequireDNS=1
Set RequireDNS=0 to disable RequireDNS

Для включения параметра Enable Kerberos Authentication введите в командной строке:

cluster res "NETWORK_NAME_RESOURCE" /priv RequireKerberos=1
Set RequireKerberos=0 to disable RequireKerberos

Для просмотра состояния индикатора с помощью Cluster.exe выполните следующую команду:
cluster.exe res "NETWORK_NAME_RESOURCE" /priv
За дополнительной информацией о Cluster.exe обратитесь к пункту ''Help and Support'' для поиска информации о Cluster.exe.

Устранение неполадок

Для информации об устранении неполадок при создании и манипулировании с объектом "Computer" и учетной записью службы кластера обратитесь к следующим статьям из Microsoft Knowledge Base:
307532
(http://support.microsoft.com/kb/307532/EN-US/ )
Troubleshooting the Manipulation of Computer Objects by the Cluster Service Account
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 302389 - Последнее изменение :: 10 июня 2003 г. - Редакция: 7.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Ключевые слова: 
kbinfo kbtool kbnetwork KB302389
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы