Descripción del modelo de seguridad de clúster de conmutación por error en Windows Server 2008

Resumen

Este artículo describe los cambios en Windows Server 2008 en el nuevo modelo de seguridad para el servicio de clúster de conmutación por error de Microsoft.

Más información

Versiones anteriores de la tecnología de clústeres de Microsoft

En las versiones anteriores de la tecnología de clustering de Microsoft, el servicio de Cluster Server se ejecuta en el contexto de una cuenta de usuario de dominio se modifica durante el proceso de configuración del clúster. Por lo tanto, el servicio de Cluster Server tiene todos los derechos necesarios en el nodo del clúster local funcione correctamente.

De forma predeterminada, todas las comunicaciones con el clúster utilizan la autenticación de NT LAN Manager (NTLM) y el contexto de seguridad es la cuenta de servicio de Cluster Server. En Windows 2000 Service Pack 3 y versiones posteriores, la autenticación del protocolo Kerberos versión 5 está disponible. La autenticación Kerberos requiere la configuración manual mediante el uso de la interfaz de línea de comandos (CLI) de Cluster.exe.

En los clústeres basados en Windows Server 2003, la autenticación Kerberos puede habilitarse en la interfaz del Administrador de clústeres para un recurso nombre de red del clúster. Dado que la cuenta de servicio de Cluster Server es una cuenta de usuario de dominio, la cuenta de servicio de Cluster Server está restringida por todas las directivas de grupo que afectan a usuarios y grupos. Por ejemplo, estas directivas incluyen, pero no podrá limitarse a las directivas de caducidad de contraseña, las asignaciones y pertenencia a grupos locales y de dominio de los derechos de usuario.

En Windows Server 2008 de la tecnología de clústeres de Microsoft

En clústeres de conmutación por error de Windows Server 2008, el servicio de Cluster Server ya no se ejecuta en el contexto de una cuenta de usuario de dominio. En su lugar, el servicio de Cluster Server se ejecuta en el contexto de una cuenta de sistema local que ha restringido derechos al nodo del clúster. De forma predeterminada, se utiliza la autenticación Kerberos. Si la aplicación no admite la autenticación Kerberos, se utiliza la autenticación NTLM.

Durante la instalación de la característica de clúster de conmutación por error, una cuenta de usuario de dominio sólo es necesario para las siguientes tareas:
  • Al ejecutar el proceso de validación de clúster de conmutación por error.
  • Al crear el clúster.
Para completar estas tareas, debe tener el acceso y los derechos siguientes:
  • Acceso de administrador local en cada nodo del clúster
  • Derechos para crear objetos de equipo en el dominio
Después de crea un clúster, la cuenta de usuario del dominio ya no es necesaria para que el clúster funcione correctamente. Sin embargo, es necesaria la cuenta de usuario de dominio para administrar el clúster. Para administrar el clúster, esta cuenta de usuario de dominio debe ser un miembro del grupo Administradores Local en cada nodo del clúster. Durante el proceso de crear el clúster, se crea un objeto de equipo en servicios de dominio de Active Directory (AD DS). La ubicación predeterminada de este objeto de equipo es el contenedor equipos.

El objeto de equipo que representa el nombre del clúster se convierte en el nuevo contexto de seguridad para este clúster. Este objeto de equipo se conoce como el objeto de nombre de clúster (CNO). El CNO se utiliza para todas las comunicaciones con el clúster. De forma predeterminada, todas las comunicaciones utilizan la autenticación Kerberos. Sin embargo, las comunicaciones también pueden utilizar la autenticación NTLM si es necesario.

Nota: Las cuentas de equipo que se corresponden con los recursos de nombre de red de clúster pueden ser ensayadas en AD DS. Las cuentas de equipo pueden ensayadas en contenedores que no sea el contenedor equipos. Si desea establecer una cuenta de equipo ensayado previamente para ser el CNO, debe deshabilitar esta cuenta de equipo antes de crear el clúster. Si deshabilita la cuenta de este equipo, se producirá un error en el proceso de crear el clúster.

El CNO crea todos los demás recursos de nombre de red que se crean en un clúster de conmutación por error como parte de un punto de acceso de cliente (CAP). Estos recursos de nombre de red se conocen como objetos de equipo Virtual (VCO). La información de la lista de Control de acceso (ACL) CNO se agrega a cada VCO que se crea en AD DS. Además, el CNO es responsable de sincronizar la contraseña de dominio para cada VCO que creó. El CNO sincroniza la contraseña de dominio cada 7 días.
Propiedades

Id. de artículo: 947049 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios