Descrição do modelo de segurança de cluster de activação pós-falha no Windows Server 2008

Traduções de Artigos Traduções de Artigos
Artigo: 947049 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve as alterações no Windows Server 2008 o novo modelo de segurança para o serviço de cluster do Microsoft activação pós-falha.

Mais Informação

Versões anteriores do Microsoft tecnologia de clustering

Em versões anteriores da tecnologia de clustering do Microsoft, o serviço de cluster é executado no contexto de uma conta de utilizador de domínio é modificada durante o processo de configuração do cluster. Por conseguinte, o serviço de cluster tem os direitos necessários no nó de cluster local para funcionar correctamente.

Por predefinição, todas as comunicações com o cluster utilizam autenticação de NT LAN Manager (NTLM) e o contexto de segurança é a conta do serviço de cluster. No Windows 2000 Service Pack 3 e versões posteriores, A autenticação de protocolo do Kerberos versão 5 está disponível. A autenticação Kerberos requer configuração manual utilizando a interface da linha de comandos de cluster.exe (CLI).

Em clusters baseados no Windows Server 2003, A autenticação Kerberos pode ser activada na interface do administrador de clusters para um recurso de nome de rede de cluster. Uma vez que a conta do serviço de cluster é uma conta de utilizador de domínio, a conta do serviço de cluster é limitada por todas as políticas de grupo que afectam os utilizadores e grupos. Por exemplo, estas políticas de grupo incluem, mas não podem ser limitadas a políticas de expiração de palavra-passe, direitos de utilizador atribuições, membros do grupo local e de domínio e assim sucessivamente.

Microsoft clustering tecnologia no Windows Server 2008

Em clusters de activação pós-falha do Windows Server 2008, o serviço de cluster é já não é executado no contexto de uma conta de utilizador de domínio. Em vez disso, o serviço de cluster é executado no contexto de uma conta de sistema local que restringiu direitos para o nó do cluster. Por predefinição, A autenticação Kerberos é utilizada. Se a aplicação não suportar a autenticação Kerberos, é utilizada a autenticação NTLM.

Durante a instalação da funcionalidade de clusters de activação pós-falha, uma conta de utilizador de domínio é apenas necessário para as seguintes tarefas:
  • Quando executa o processo de validação de clusters de activação pós-falha.
  • Quando criar o cluster.
Para concluir cada uma destas tarefas, tem de ter o acesso e direitos seguintes:
  • Acesso de administrador local para cada nó no cluster
  • Direitos para criar objectos computador no domínio
Depois de criado um cluster, a conta de utilizador de domínio já não é necessária para o cluster funcione correctamente. No entanto, a conta de utilizador de domínio é necessário para administrar o cluster. Para administrar o cluster, esta conta de utilizador de domínio tem de ser membro do grupo de administradores local em cada nó do cluster. Durante o processo de criar o cluster, um objecto de computador é criado nos serviços de domínio do Active Directory (AD DS). A localização predefinida deste objecto de computador é o contentor de computadores.

O objecto de computador que representa o nome do cluster torna-se novo contexto de segurança para este cluster. Este objecto de computador é conhecido como cluster nome do objecto (CNO). O CNO é utilizado para todas as comunicações com o cluster. Por predefinição, todas as comunicações utilizam a autenticação Kerberos. No entanto, as comunicações também podem utilizar a autenticação NTLM se for necessário.

Nota Contas de computador que correspondam aos recursos de nome de rede de cluster podem ser pre-staged nos AD DS. As contas de computador podem ser pre-staged em contentores que não sejam o contentor de computadores. Se pretender definir uma conta de computador pre-staged seja o CNO, tem de desactivar esta conta de computador antes de criar o cluster. Se não desactivar esta conta de computador, o processo Criar Cluster falhará.

O CNO cria todos os outros recursos de nome de rede que são criados num cluster de activação pós-falha como parte de um ponto de acesso de cliente (CAP). Estes recursos de nome de rede são conhecidos como objectos de computador virtual (VCOs). As informações de lista CNO de controlo de acesso (ACL) são adicionadas para cada VCO é criado no AD DS. Além disso, o CNO é responsável por sincronizar a palavra-passe de domínio para cada VCO que criou. O CNO sincroniza a palavra-passe de domínio 7 dias.

Propriedades

Artigo: 947049 - Última revisão: 1 de fevereiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbmt kbexpertiseinter kbhowto kbinfo KB947049 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947049

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com