คำอธิบายของรุ่นการรักษาความปลอดภัย failover คลัสเตอร์ใน Windows Server 2008

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 947049 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความนี้อธิบายถึงการเปลี่ยนแปลงใน Windows Server 2008 รุ่นการรักษาความปลอดภัยใหม่สำหรับการบริการคลัสเตอร์ failover Microsoft

ข้อมูลเพิ่มเติม

Microsoft clustering เทคโนโลยีรุ่นก่อนหน้านี้

ในเวอร์ชันก่อนหน้าของ clustering เทคโนโลยีของ Microsoft บริการคลัสเตอร์ทำงานในบริบทของบัญชีผู้ใช้โดเมนที่มีการปรับเปลี่ยนระหว่างกระบวนการกำหนดค่าคลัสเตอร์ ดังนั้นจึง บริการคลัสเตอร์ที่มีสิทธิ์ที่จำเป็นทั้งหมดบนโหนดคลัสเตอร์ภายในการทำงานอย่างเหมาะสม

โดยค่าเริ่มต้น การสื่อสารทั้งหมด มีคลัสเตอร์ใช้การรับรองความถูกต้องของ NT LAN Manager (NTLM) และบริบทการรักษาความปลอดภัย บัญชีบริการคลัสเตอร์ ใน Windows 2000 Service Pack 3 และรุ่นที่ใหม่กว่า การตรวจสอบโพรโทคอล Kerberos ในรุ่น 5 จะพร้อมใช้งาน การรับรองความถูกต้อง kerberos ต้องกำหนดค่าด้วยตนเอง โดยใช้อินเทอร์เฟซของบรรทัดคำสั่ง Cluster.exe (CLI)

ในเซิร์ฟเวอร์ที่ใช้ Windows server 2003 clusters การรับรองความถูกต้องของ Kerberos สามารถเปิดใช้งานในส่วนติดต่อผู้ดูแลของคลัสเตอร์สำหรับเครือข่ายชื่อทรัพยากรคลัสเตอร์ เนื่องจากบัญชีบริการคลัสเตอร์ที่มีบัญชีผู้ใช้โดเมน บัญชีบริการคลัสเตอร์กำลัง constrained โดยนโยบายกลุ่มทั้งหมดที่ส่งผลกระทบต่อผู้ใช้และกลุ่ม ตัวอย่างเช่น รวม นโยบายกลุ่มเหล่านี้ แต่อาจไม่จำกัดเพียงการ รหัสผ่านหมดอายุนโยบาย สิทธิ์ผู้ใช้กำหนด ท้องถิ่นและโดเมนสมาชิกของกลุ่ม และอื่น ๆ

Microsoft clustering เทคโนโลยีใน Windows Server 2008

ใน Windows Server 2008 Failover Clusters บริการคลัสเตอร์ไม่รันในบริบทของบัญชีผู้ใช้โดเมน แทน บริการคลัสเตอร์ทำงานในบริบทของบัญชีผู้ใช้ภายในระบบที่มีจำกัดสิทธิ์ไปยังโหนดคลัสเตอร์ โดยค่าเริ่มต้น การรับรองความถูกต้อง Kerberos จะใช้ ถ้าแอพลิเคชันที่ไม่สนับสนุนการรับรองความถูกต้องของ Kerberos มีใช้การรับรองความถูกต้องของ NTLM

ในระหว่างการติดตั้งคุณลักษณะของคลัสเตอร์ Failover บัญชีผู้ใช้โดเมนอยู่เท่านั้นจำเป็นสำหรับการดำเนินการต่อไปนี้:
  • เมื่อคุณเรียกใช้กระบวนการตรวจสอบ Failover คลัสเตอร์
  • เมื่อคุณสร้างคลัสเตอร์
เมื่อต้องการทำงานเหล่านี้แต่ละ คุณต้องมีการเข้าถึงและสิทธิ์ต่อไปนี้:
  • ผู้ดูแลระบบภายในการเข้าถึงแต่ละโหนดในคลัสเตอร์
  • สิทธิ์ในการสร้างวัตถุคอมพิวเตอร์ในโดเมน
หลังจากสร้างคลัสเตอร์ บัญชีผู้ใช้โดเมนไม่จำเป็นสำหรับคลัสเตอร์ทำงานอย่างถูกต้อง อย่างไรก็ตาม แอคเคาท์ผู้ใช้โดเมนจะต้องใช้ในการดูแลคลัสเตอร์ เมื่อต้องการดูแลคลัสเตอร์ บัญชีผู้ใช้โดเมนนี้ต้องเป็นสมาชิกของกลุ่มผู้ดูแลระบบภายในแต่ละโหนดคลัสเตอร์ ในระหว่างกระบวนการคลัสเตอร์ที่มีสร้าง วัตถุคอมพิวเตอร์ถูกสร้างขึ้นในบริการการโดเมน active Directory ใช้งานอยู่ (AD DS) ตำแหน่งที่ตั้งเริ่มต้นของวัตถุคอมพิวเตอร์นี้เป็นคอนเทนเนอร์คอมพิวเตอร์

วัตถุคอมพิวเตอร์ที่แสดงถึงชื่อของคลัสเตอร์มี บริบทการรักษาความปลอดภัยใหม่สำหรับคลัสเตอร์นี้ วัตถุคอมพิวเตอร์นี้เรียกว่าเป็นคลัสเตอร์ชื่อออบเจ็กต์ (CNO) CNO ที่ใช้สำหรับการติดต่อสื่อสารทั้งหมดที่มีคลัสเตอร์ โดยค่าเริ่มต้น การสื่อสารทั้งหมดใช้การรับรองความถูกต้องของ Kerberos อย่างไรก็ตาม การสื่อสารที่สามารถใช้การรับรองความถูกต้องของ NTLM หากจำเป็น

หมายเหตุ:บัญชีคอมพิวเตอร์ที่สอดคล้องกับทรัพยากรของชื่อเครือข่ายคลัสเตอร์สามารถถูก pre-staged ใน AD DS บัญชีคอมพิวเตอร์สามารถถูก pre-staged ในคอนเทนเนอร์อื่นที่ไม่ใช่คอนเทนเนอร์คอมพิวเตอร์ ถ้าคุณต้องการตั้งค่าบัญชีคอมพิวเตอร์ pre-staged เป็น แบบ CNO คุณต้องปิดใช้บัญชีผู้ใช้คอมพิวเตอร์เครื่องนี้ก่อนที่คุณสร้างคลัสเตอร์ ถ้าคุณไม่ปิดใช้บัญชีผู้ใช้คอมพิวเตอร์เครื่องนี้ กระบวนสร้างคลัสเตอร์จะล้มเหลว

CNO สร้างทรัพยากรชื่อเครือข่ายอื่น ๆ ทั้งหมดที่สร้างขึ้นในแบบคลัสเตอร์ Failover เป็นส่วนหนึ่งของการไคลเอนต์การเข้าถึงจุด (CAP) ทรัพยากรชื่อเครือข่ายเหล่านี้ถูกเรียกว่าวัตถุคอมพิวเตอร์เสมือน (VCOs) ข้อมูลรายการควบคุมการเข้าถึงของ CNO (ACL) ถูกเพิ่มเข้าแต่ละ VCO ที่สร้างขึ้นใน AD DS นอกจากนี้ CNO รับผิดชอบสำหรับการซิงโครไนส์ของรหัสผ่านของโดเมนสำหรับ VCO แต่ละโปรแกรมสร้างขึ้นอยู่กับนโยบายเริ่มต้นของโดเมน

คุณสมบัติ

หมายเลขบทความ (Article ID): 947049 - รีวิวครั้งสุดท้าย: 20 ตุลาคม 2553 - Revision: 2.0
ใช้กับ
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbclustering kbexpertiseinter kbhowto kbinfo kbmt KB947049 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:947049

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com