Beschreibung des Failover Cluster-Sicherheitsmodells in Windows Server 2008

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947049 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Änderungen in Windows Server 2008 auf dem neuen Sicherheitsmodell für Microsoft Failover Cluster-Dienst.

Weitere Informationen

Frühere Versionen von Microsoft clustering-Technologie

In früheren Versionen von Microsoft clustering-Technologie führt der Cluster-Dienst im Kontext eines Domänenkontos für den Benutzer, die während der Konfiguration des Clusters geändert wird. Aus diesem Grund hat der Clusterdienst alle erforderlichen Rechte auf dem lokalen Clusterknoten ordnungsgemäß funktionieren.

In der Standardeinstellung die gesamte Kommunikation mit dem Cluster verwenden Authentifizierung (NTLM = NT LAN Manager), und der Sicherheitskontext ist das Clusterdienstkonto. In Windows 2000 Service Pack 3 oder höher ist die Authentifizierung von Kerberos Version 5-Protokoll verfügbar. Kerberos-Authentifizierung erfordert die manuellen Konfiguration mithilfe von "Cluster.exe" Command Line Interface (CLI).

In Windows Server 2003-basierten Clustern kann die Kerberos-Authentifizierung in der Cluster-Administrator-Schnittstelle für einen Cluster-Netzwerknamenressource aktiviert werden. Da das Cluster-Dienstkonto ein Domänenbenutzerkonto ist, wird das Clusterdienstkonto durch alle Gruppenrichtlinien eingeschränkt, die Benutzer und Gruppen zu beeinflussen. Zum Beispiel diese Gruppenrichtlinien enthalten, aber nicht darauf beschränkt, Richtlinien zum Kennwortablauf, Zuordnungen, lokale und domänenweite Gruppenmitgliedschaft und usw. von Benutzerrechten.

Microsoft clustering-Technologie in Windows Server 2008

Der Clusterdienst in Windows Server 2008-Failovercluster im Kontext eines Domänenkontos des Benutzers nicht mehr ausgeführt. Stattdessen führt der Cluster-Dienst im Kontext eines lokalen Systemkontos, die über eingeschränkte Rechte auf dem Clusterknoten verfügt. Standardmäßig wird Kerberos-Authentifizierung verwendet. Wenn die Anwendung keine Kerberos-Authentifizierung unterstützt, wird die NTLM-Authentifizierung verwendet.

Während der Installation des Failovercluster-Features ein Domänenbenutzerkonto ist nur für die folgenden Aufgaben erforderlich:
  • Wenn Sie den Prozess der Failovercluster-Validierung ausführen.
  • Wenn Sie den Cluster erstellen.
Um diese Aufgaben abgeschlossen haben, müssen Sie die folgenden Zugriffsrechte und Rechte:
  • Lokaler Administratorzugriff auf jedem Knoten im cluster
  • Rechte zum Erstellen von Computerobjekten in der Domäne
Nachdem ein Cluster erstellt wird, ist das Domänenkonto des Benutzers nicht mehr erforderlich, für den Cluster ordnungsgemäß funktionieren. Allerdings ist das Domänenbenutzerkonto zur Verwaltung des Clusters erforderlich. Dieses Domänenbenutzerkonto muss ein Mitglied der Gruppe der lokalen Administratoren auf jedem Clusterknoten sein, um die Verwaltung des Clusters. Während des Prozesses Erstellen von Clustern ist ein Computerobjekt in Active Directory-Domänendienste (AD DS) erstellt. Der Standardspeicherort des dieses Computerobjekt ist dem Container Computers.

Das Computerobjekt, das den Namen des Clusters darstellt, wird der neuen Sicherheitskontext für diesen Cluster. Dieses Computerobjekt wird als das Clusternamensobjekt (CNO) bezeichnet. Das Clusternamenobjekt wird für die gesamte Kommunikation mit dem Cluster verwendet. Gesamte Kommunikation verwenden standardmäßig die Kerberos-Authentifizierung. Allerdings können die Kommunikation auch NTLM-Authentifizierung verwenden, wenn es notwendig ist.

Hinweis Computerkonten, die die Cluster-Netzwerknamenressourcen entsprechen, können in AD DS provisorisch eingerichtet werden. Die Computerkonten können in anderen Containern Container Computer provisorisch eingerichtet werden. Wenn Sie ein Pre-Staging Computerkonto werden das Clusternamenobjekt festlegen möchten, müssen Sie dieses Computerkonto deaktivieren, bevor Sie den Cluster zu erstellen. Wenn Sie nicht dieses Computerkonto deaktivieren, wird das Erstellen von Clustern fehl.

Das Clusternamenobjekt erstellt alle anderen Netzwerknamenressourcen, die als Teil von einem Client Access Point (CAP) in einem Failovercluster erstellt werden. Diese Ressourcen für Netzwerknamen werden als virtuelle Computerobjekte (VCOs) bezeichnet. VCO, die in AD DS erstellt wird, wird die Clusternamenobjekt Zugriffssteuerungsliste (ACL) Informationen hinzugefügt. Darüber hinaus ist das Clusternamenobjekt verantwortlich für das Domänenkennwort für jede VCO erstellt basierend auf der Standard-Domänenrichtlinie synchronisieren.

Eigenschaften

Artikel-ID: 947049 - Geändert am: Freitag, 11. November 2011 - Version: 0.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbclustering kbexpertiseinter kbhowto kbinfo kbmt KB947049 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947049
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com