Descrição do modelo de segurança de cluster de failover no Windows Server 2008

Traduções deste artigo Traduções deste artigo
ID do artigo: 947049 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve as alterações no Windows Server 2008 com o novo modelo de segurança para o serviço de cluster de failover do Microsoft.

Mais Informações

Versões anteriores do Microsoft tecnologia de cluster

Em versões anteriores da tecnologia de cluster da Microsoft, o serviço de cluster é executado no contexto de uma conta de usuário de domínio que é modificado durante o processo de configuração de cluster. Portanto, o serviço de cluster tem todos os direitos necessários no nó de cluster local para funcionar adequadamente.

Por padrão, todas as comunicações com o cluster usam autenticação NTLM (NT LAN Manager) e o contexto de segurança é a conta de serviço de cluster. No Windows 2000 Service Pack 3 e versões posteriores, a autenticação do protocolo Kerberos versão 5 está disponível. A autenticação Kerberos requer configuração manual usando a interface de linha de comando cluster.exe (CLI).

Em clusters baseados no Windows Server 2003, A autenticação Kerberos pode ser habilitada na interface do administrador de cluster para um recurso de cluster. Como a conta do serviço cluster é uma conta de usuário de domínio, a conta do serviço cluster é restrito por todas as diretivas de grupo que afetam usuários e grupos. Por exemplo, essas diretivas de grupo incluem, mas não podem ser limitadas a, diretivas de expiração de senha, atribuições, associação de grupo locais e de domínio e assim por diante de direitos do usuário.

Microsoft cluster tecnologia no Windows Server 2008

No clusters de Failover do Windows Server 2008, o serviço de cluster não é executado no contexto de uma conta de usuário de domínio. Em vez disso, o serviço de cluster é executado no contexto de uma conta sistema local que restringiu direitos para o nó do cluster. Por padrão, A autenticação Kerberos é usada. Se o aplicativo não oferecer suporte a autenticação Kerberos, A autenticação NTLM é usada.

Durante a instalação do recurso de cluster de Failover, uma conta de usuário de domínio é apenas necessário para as seguintes tarefas:
  • Quando você executar o processo de validação de cluster de Failover.
  • Quando você cria o cluster.
Para concluir cada uma dessas tarefas, você deve ter o acesso e direitos os seguintes:
  • Acesso de administrador local para cada nó do cluster
  • Direitos para criar objetos de computador no domínio
Após a criação de um cluster, a conta de usuário de domínio não é necessária para o cluster funcionar adequadamente. No entanto, a conta de usuário de domínio é necessário para administrar o cluster. Para administrar o cluster, essa conta de usuário do domínio deve ser um membro do grupo Administradores Local em cada nó de cluster. Durante o processo de criar o cluster, um objeto de computador é criado nos serviços de domínio Active Directory (AD DS). O local padrão deste objeto de computador é o recipiente Computers.

O objeto de computador que representa o nome do cluster se torna o novo contexto de segurança para este cluster. Este objeto de computador é conhecido como o CNO (objeto de nome de cluster). O CNO é usado para todas as comunicações com o cluster. Por padrão, todas as comunicações usam a autenticação Kerberos. No entanto, as comunicações também podem usar a autenticação NTLM se for necessário.

Observação Contas de computador que correspondam aos recursos de nome de rede de cluster podem ser pre-staged no AD DS. As contas de computador podem ser pre-staged em recipientes diferente no recipiente computadores. Se você deseja definir uma conta de computador pré-testada para ser o CNO, você deve desativar esta conta de computador antes de criar o cluster. Se você não desativar esta conta de computador, o processo de criar o cluster falhará.

O CNO cria todos os outros recursos de nome de rede que são criados em um cluster de Failover como parte de um ponto de acesso cliente (CAP). Esses recursos de nome de rede são conhecidos como objetos de computador virtual (VCOs). As informações de lista de controle de CNO acesso (ACL) são adicionadas à cada VCO é criado no AD DS. Além disso, o CNO é responsável por sincronizar a senha de domínio para cada VCO ele criado. O CNO sincroniza a senha de domínio a cada 7 dias.

Propriedades

ID do artigo: 947049 - Última revisão: sexta-feira, 1 de fevereiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbmt kbexpertiseinter kbhowto kbinfo KB947049 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947049

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com