Description du modèle de sécurité cluster avec basculement dans Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 947049 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit les modifications apportées dans Windows Server 2008 avec le nouveau modèle de sécurité pour le service de cluster avec basculement Microsoft.

Plus d'informations

Versions antérieures de Microsoft clustering technologie

Dans les versions antérieures de technologie de cluster Microsoft, le service de cluster s'exécute dans le contexte d'un compte d'utilisateur de domaine est modifié pendant le processus de configuration de cluster. Par conséquent, le service de cluster a les droits requis sur le n?ud de cluster local pour fonctionner correctement.

Par défaut, toutes les communications avec le cluster utilisent l'authentification NT LAN Manager (NTLM) et le contexte de sécurité est le compte de service de cluster. Dans Windows 2000 Service Pack 3 et versions ultérieures, l'authentification du protocole Kerberos version 5 est disponible. L'authentification Kerberos nécessite une configuration manuelle à l'aide de Cluster.exe Interface de ligne de commande (CLI).

Dans les clusters Windows Server 2003, l'authentification Kerberos peut être activée dans l'interface administrateur de cluster pour une ressource de nom de réseau de cluster. Le compte de service de cluster étant un compte d'utilisateur de domaine, le compte de service de cluster est limité par toutes les stratégies de groupe qui affectent les utilisateurs et groupes. Par exemple, ces stratégies de groupe incluent, mais peut-être pas limités aux stratégies d'expiration de mot de passe, des droits utilisateur affectations, appartenance au groupe local et le domaine et ainsi de suite.

Microsoft clustering technologie dans Windows Server 2008

Dans les clusters de basculement Windows Server 2008, le service de cluster s'exécute plus dans le contexte d'un compte d'utilisateur de domaine. Au lieu de cela, le service de cluster s'exécute dans le contexte d'un compte système local qui a restreint les droits sur le n?ud du cluster. Par défaut, l'authentification Kerberos est utilisée. Si l'application ne prend pas en charge l'authentification Kerberos, l'authentification NTLM est utilisée.

Au cours de l'installation de la fonctionnalité de cluster avec basculement, un compte d'utilisateur de domaine est uniquement nécessaire pour les tâches suivantes :
  • Lorsque vous exécutez le processus de validation de cluster avec basculement.
  • Lorsque vous créez le cluster.
Pour effectuer chacune de ces tâches, il vous faut les accès et les droits suivants :
  • Accès d'administrateur local à chaque n?ud du cluster
  • Droits pour créer des objets ordinateur dans le domaine
Après avoir créé un cluster, le compte d'utilisateur de domaine n'est plus requis pour le cluster fonctionner correctement. Toutefois, le compte d'utilisateur de domaine est requis pour administrer le cluster. Pour administrer le cluster, ce compte d'utilisateur de domaine doit être membre du groupe Administrateurs local sur chaque n?ud de cluster. Pendant le processus de création d'un cluster, un objet ordinateur est créé dans les services de domaine Active Directory (AD DS). L'emplacement par défaut de cet objet ordinateur est le conteneur ordinateurs.

L'objet ordinateur qui représente le nom du cluster devient le nouveau contexte de sécurité pour ce cluster. Cet objet ordinateur est connu comme CNO (cluster nom objet). Le CNO est utilisée pour toutes les communications avec le cluster. Par défaut, toutes les communications utilisent l'authentification Kerberos. Toutefois, les communications pouvez également utiliser l'authentification NTLM s'il est nécessaire.

note Comptes d'ordinateur qui correspondent aux ressources de nom de réseau de cluster peuvent être pré-intermédiaire dans AD DS. Les comptes d'ordinateur peuvent être pré-intermédiaire dans des conteneurs autre que le conteneur ordinateurs. Si vous souhaitez définir un compte d'ordinateur prédéfinis à le CNO, vous devez désactiver ce compte d'ordinateur avant de créer le cluster. Si vous ne désactivez pas ce compte d'ordinateur, le processus de création de cluster échouera.

Le CNO crée tous les autres ressources de nom de réseau qui sont créés dans un cluster avec basculement dans le cadre d'un point d'accès client (CAP). Ces ressources de nom de réseau sont appelés objets ordinateur virtuel (VCOs). Les informations CNO liste de contrôle d'accès ACL, Access Control (List) sont ajoutées à chaque VCO qui est créé dans AD DS. En outre, le CNO est responsable de la synchronisation le mot de passe de domaine pour chaque VCO il créé. Le CNO synchronise le mot de passe de domaine tous les 7 jours.

Propriétés

Numéro d'article: 947049 - Dernière mise à jour: vendredi 1 février 2008 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbmt kbexpertiseinter kbhowto kbinfo KB947049 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 947049
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com