Описание модели безопасности отказоустойчивого кластера в Windows Server 2008

Переводы статьи Переводы статьи
Код статьи: 947049 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описываются изменения в Windows Server 2008 для новой модели безопасности для службы Microsoft отказоустойчивого кластера.

Дополнительная информация

Более ранние версии технологии кластеризации (Microsoft)

В более ранних версиях технологии кластеризации Майкрософт служба кластеров выполняется в контексте учетной записи пользователя домена, измененное в ходе процесса настройки кластера. Таким образом служба кластеров имеет все необходимые права на локальном узле кластера функционировать должным образом.

По умолчанию все связи с кластера с помощью проверки подлинности NT LAN Manager (NTLM) и является контекст безопасности учетной записи службы кластеров. В пакет обновления 3 (Sp3) для Windows 2000 и более поздних версиях доступен проверки подлинности протокола Kerberos версии 5. Проверка подлинности Kerberos требуется ручная настройка с помощью интерфейса командной строки Cluster.exe (CLI).

В кластеры под управлением Windows Server 2003 можно включить проверку подлинности Kerberos в интерфейсе администратора кластера для ресурса сетевого имени кластера. Так как учетная запись службы кластеров является учетной записью пользователя домена, учетной записи службы кластеров ограничена все групповые политики, которые влияют на пользователей и групп. Например эти групповые политики включают, но не может быть ограничено для политики срока действия пароля, прав пользователей, назначения, членство в группе локальных и домена и т. д.

Технологии Windows Server 2008 кластеризации (Microsoft)

Отказоустойчивые кластеры Windows Server 2008 служба кластеров не выполняется в контексте учетной записи пользователя домена. Вместо этого служба кластеров выполняется в контексте локальной системной учетной записью с ограниченными правами для узла кластера. По умолчанию используется проверка подлинности Kerberos. Если приложение не поддерживает проверку подлинности Kerberos, используется проверка подлинности NTLM.

Во время установки компонента отказоустойчивого кластера, учетная запись пользователя домена, только необходимые для выполнения следующих задач:
  • При запуске процесса проверки отказоустойчивого кластера.
  • При создании кластера.
Для выполнения каждой из этих задач, необходимо иметь следующие доступ и права:
  • Доступа локального администратора на каждом узле кластера
  • Права на создание объектов-компьютеров в домене
После создания учетной записи пользователя домена больше не требуется для кластера функционировать должным образом. Однако требуется учетная запись пользователя домена для администрирования кластера. Для администрирования кластера, эта учетная запись пользователя домена должен быть членом локальной группы администраторов на каждом узле кластера. Во время создания кластера объект компьютера создается в доменных службах Active Directory (AD DS). Расположение по умолчанию этот объект является контейнером компьютеров.

Объект компьютера, представляющий имя кластера становится новый контекст безопасности для этого кластера. Этот объект известен как объект имени кластера (CNO). CNO используется для всех соединений с кластером. По умолчанию все связи с помощью проверки подлинности Kerberos. Однако связи можно также использовать проверку подлинности NTLM, при необходимости.

Примечание Учетные записи компьютеров, которые соответствуют ресурсам сетевого имени кластера можно подготовленных в Доменные службы Active Directory. Учетные записи компьютеров можно подготовленных в контейнерах, отличных от компьютеров в контейнере. Необходимо задать учетную запись компьютера Предустанавливаемое быть CNO, перед созданием кластера необходимо отключить учетную запись этого компьютера. Если не отключить учетную запись этого компьютера, произойдет сбой процесса создания кластера.

CNO создает все остальные ресурсы сетевого имени, которые создаются в отказоустойчивом кластере из точки доступа клиента (CAP). Эти ресурсы сетевого имени, называются объектами виртуальных компьютеров (VCO). Сведения CNO списка управления доступом (ACL) добавляется к каждой VCO, созданный в Доменные службы Active Directory. Кроме того объект CNO ответственен за синхронизацию паролей домена для каждого VCO создается на основе политики домена по умолчанию.

Свойства

Код статьи: 947049 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbclustering kbexpertiseinter kbhowto kbinfo kbmt KB947049 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:947049

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com