在 Windows Server 2008 故障转移群集的安全模型的描述

文章翻译 文章翻译
文章编号: 947049 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了新的安全模型,Microsoft 的故障转移群集服务的 Windows Server 2008 中的更改。

更多信息

早期版本的 Microsoft 群集技术

在早期版本的 Microsoft 群集技术中,该群集服务在群集配置过程中修改的域用户帐户的上下文中运行。因此,群集服务将有适当地工作在本地群集节点上所有所需的权限。

默认状态下,所有与群集通信使用 NT LAN 管理器 (NTLM) 的身份验证和安全上下文是群集服务帐户。在 Windows 2000 Service Pack 3 和更高版本 Kerberos 版本 5 协议身份验证是可用的。通过使用 Cluster.exe 命令行界面 (CLI),Kerberos 身份验证要求手动配置。

在基于 Windows Server 2003 的群集中可以在群集管理器界面的群集网络名称资源启用 Kerberos 身份验证。因为群集服务帐户是域用户帐户,群集服务帐户被受影响的用户和组的所有组策略的限制。例如对于这些组策略包括,但可能不是限于密码过期策略、 用户权限分配、 本地和域组成员身份和等等。

Microsoft 群集 Windows Server 2008 中的技术

在 Windows Server 2008 故障转移群集中群集服务不能再域用户帐户的上下文中运行。而是,群集服务会在具有受限权限在群集节点的本地系统帐户的上下文中运行。默认状态下,使用 Kerberos 身份验证。如果应用程序不支持 Kerberos 身份验证,使用 NTLM 身份验证。

在故障转移群集功能的安装,一个域用户帐户只是所需的以下任务:
  • 当您运行故障转移群集验证过程。
  • 当您创建群集。
要完成这些任务的每一,您必须具有下列访问权限和权利:
  • 在 $ 群集中的每个节点的本地管理员访问权限
  • 在 $ 域中创建计算机对象的权限
在创建群集之后,域用户帐户不再需要为群集正确地工作。但是,域用户帐户才能管理群集。若要管理群集,这个域用户帐户必须在每个群集节点上本地的管理员组的成员。在创建群集过程在 Active Directory 域服务 (AD DS) 中创建计算机对象。此计算机对象的默认位置是计算机容器。

计算机对象类型的值,该值代表在群集的名称将成为新的安全上下文,为此群集。此计算机对象是已知的与群集名对象 (CNO)。在 CNO 用于与群集的所有通信。默认状态下,所有通信都使用 Kerberos 身份验证。但是,通信可以也使用 NTLM 身份验证,如果有必要。

注意在 AD DS 中,可以进行预装载群集网络名称资源与对应的计算机帐户。计算机帐户可以是预装载在计算机容器以外的其他容器中。如果要为其设置为在 CNO 已预登录的计算机帐户,则必须在创建群集之前禁用此计算机帐户。如果您不要禁用此计算机帐户,创建群集过程将失败。

在 CNO 创建所有其他作为一部分的客户端访问点 (CAP) 创建故障转移群集的网络名称资源。这些网络名称资源被称为虚拟计算机对象 (vco)。要在 AD DS 中创建的每个 VCO 添加 CNO 访问控制列表 (ACL) 信息。此外,该 CNO 负责为其创建每个 VCO 同步域密码。 在 CNO 同步域密码每 7 天。

属性

文章编号: 947049 - 最后修改: 2008年2月1日 - 修订: 1.2
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbmt kbexpertiseinter kbhowto kbinfo KB947049 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 947049
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com