Descripción del modelo de seguridad de clúster de conmutación por error en Windows Server 2008

Seleccione idioma Seleccione idioma
Id. de artículo: 947049 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo describe los cambios en Windows Server 2008 en el nuevo modelo de seguridad para el servicio de clúster de conmutación por error de Microsoft.

Más información

Versiones anteriores de tecnología de organización por clústeres de Microsoft

En las versiones anteriores de tecnología de organización por clústeres de Microsoft, el servicio de Cluster Server se ejecuta en el contexto de una cuenta de usuario de dominio que se modifica durante el proceso de configuración del clúster. Por tanto, el servicio de Cluster Server tiene los derechos necesarios en el nodo del clúster local para que funcione correctamente.

De forma predeterminada, todas las comunicaciones con el clúster utilizan la autenticación NT LAN Manager (NTLM) y el contexto de seguridad es la cuenta de servicio de Cluster Server. En Windows 2000 Service Pack 3 y versiones posteriores, la autenticación del protocolo Kerberos versión 5 está disponible. La autenticación Kerberos requiere configuración manual mediante la interfaz de línea de comandos de Cluster.exe (CLI).

En clústeres de Windows Server 2003, la autenticación Kerberos puede habilitarse en la interfaz de administrador de clústeres para un recurso nombre de red del clúster. Dado que la cuenta de servicio de Cluster Server es una cuenta de usuario de dominio, la cuenta de servicio de Cluster Server está limitada por todas las directivas de grupo que afectan a usuarios y grupos. Por ejemplo, estas directivas de grupo incluyen, pero no pueden estar limitadas a directivas de caducidad de contraseña, derechos de usuario las asignaciones, pertenencia a grupos locales y de dominio y así sucesivamente.

Tecnología en Windows Server 2008 de organización por clústeres de Microsoft

En clústeres de conmutación por error de Windows Server 2008, el servicio de clúster ya no se ejecuta en el contexto de una cuenta de usuario de dominio. En su lugar, el servicio de Cluster Server se ejecuta en el contexto de una cuenta de sistema local que ha restringido derechos para el nodo del clúster. De forma predeterminada, se utiliza la autenticación Kerberos. Si la aplicación no admite la autenticación Kerberos, se utiliza la autenticación NTLM.

Durante la instalación de la característica de clúster de conmutación por error, una cuenta de usuario de dominio sólo es necesario para las tareas siguientes:
  • Al ejecutar el proceso de validación de clústeres de conmutación por error.
  • Al crear el clúster.
Para completar cada una de estas tareas, debe tener el acceso y derechos siguientes:
  • Acceso de administrador local a cada nodo del clúster
  • Derechos para crear objetos de equipo en el dominio
Después de crea un clúster, la cuenta de usuario de dominio ya no es necesaria para el clúster funcione correctamente. Sin embargo, la cuenta de usuario de dominio se requiere para administrar el clúster. Para administrar el clúster, esta cuenta de usuario de dominio debe ser un miembro del grupo Administradores Local en cada nodo del clúster. Durante el proceso de crear el clúster, se crea un objeto de equipo en servicios de dominio de Active Directory (AD DS). La ubicación predeterminada de este objeto de equipo es el contenedor equipos.

El objeto de equipo que representa el nombre del clúster se convierte en el nuevo contexto de seguridad para este clúster. Este objeto de equipo se conoce como el objeto de nombre de clúster (CNO). El CNO se utiliza para todas las comunicaciones con el clúster. De forma predeterminada, todas las comunicaciones utilizan la autenticación Kerberos. Sin embargo, las comunicaciones también pueden utilizar la autenticación NTLM si es necesario.

Nota Pueden ser ensayadas previamente las cuentas de equipo que corresponden a los recursos de nombre de red del clúster en AD DS. Pueden ser ensayadas previamente las cuentas de equipo en contenedores no sea el contenedor equipos. Si desea establecer una cuenta de equipo ensayadas previamente para que sea el CNO, debe deshabilitar esta cuenta de equipo antes de crear el clúster. Si no se deshabilita esta cuenta de equipo, el proceso de crear clústeres producirá un error.

El CNO crea todos los otros recursos de nombre de red que se crean en un clúster de conmutación por error como parte de un punto de acceso de cliente (CAP). Estos recursos de nombre de red se conocen como objetos de equipo virtual (VCO). La información de lista de control de acceso (ACL) de CNO se agrega a cada VCO que se crea en AD DS. Además, el CNO es responsable de sincronizar la contraseña de dominio para cada VCO crearlo. El CNO sincroniza la contraseña de dominio cada 7 días.

Propiedades

Id. de artículo: 947049 - Última revisión: viernes, 1 de febrero de 2008 - Versión: 1.2
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palabras clave: 
kbmt kbexpertiseinter kbhowto kbinfo KB947049 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 947049

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com